专用网络

在讲虚拟专用网络(V P N)之前,先给大家介绍什么是专用网络。

专用网络也就是专线业务,大多是面向企业、政府以及其他要求带宽稳定、较高服务质量的客户。一般具有固网IP地址,不需要进行接入认证;根据客户需求,不仅在接入层对带宽和接入业务类型上有要求、而且会对业务的全程全网服务质量提出更细节和详尽的要求;而专线客户,往往由运营商提供更为主动、周全、及时、专业的客户服务支撑。

一家公司异地的局域网可以通过专线连接,如下图所示,北京、上海两个城市的局域网,可以通过数字数据网(DDN)专线业务、帧中继(FR)专线业务、数字用户线路(DSL)专线业务、同步数字(SDH)专线业务等进行连接。

image

使用专线连接,成本高、通讯质量好,专线通常用于内网通信,全网通常采用私有IP地址。



虚拟专用网络(V P N)

如图所示,企业在北京的网络接入了Internet、在上海的网络也接入了Internet,这两个局域网通过Internet是连接起来,但由于北京和上海的两个网络是私网地址,不能通Internet直接相互通信。

通过配置两端路由器R1和R2,可以为两个局域网创建一个隧道,实现两个局域网之间能够相互通信,通过加密和身份验证技术实现数据通信的安全,能够达到像专线一样的效果。这种在公共网络中建立的连接多个局域网的隧道就称为虚拟专用网络(V P N)。

image

通过V P N利用Internet把两地网络进行互联,只需要支付本地上Internet的费用,费用低。使用IPSec能够保证数据通信安全,不改变使用习惯,使用私网地址和对方进行通讯。

配置站点间V P N

站点间×××就是在Internet上创建×××隧道,将多个局域网进行连接。后面还会讲到远程访问×××,在远程计算机建立到企业内网的×××连接,访问企业内网。

 

GRE隧道V P N

GRE V P N(Generic Routing Encapsulation)即通用路由封装协议,是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。下面给大家讨论的GRE隧道V P N,是将跨Internet的内网之间的通信的数据包封装到具有公网地址的数据包中进行传输。

如图所示,北京和上海两个局域网通过Internet连接,在AR1和AR3上配置GRE隧道,这时候大家应该把这条隧道当成一条连接AR1和AR3的一根网线。AR1的隧道接口的地址和AR3隧道接口的地址在同一个网段。这样理解,你就清楚在AR1上添加到上海网段的路由,下一跳是172.16.0.2,在AR3上添加到北京网段的路由,下一跳是172.16.0.1。

图中也画出了PC1给PC2通信的数据包,在隧道中(也就是在Internet中)传输数据包封装格式示意图,可以看到PC1到PC2的数据包外面又有一层GRE封装,最外面是隧道的目标地址和隧道的源地址。

image

使用eNSP参照上图搭建实验环境。

在AR1上的设置。

[AR1]interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0]ip address 20.1.1.1 24

[AR1-GigabitEthernet0/0/0]quit

[AR1]interface Vlanif 1

[AR1-Vlanif1]ip address 10.1.1.1 24

[AR1-Vlanif1]quit

[AR1]ip route-static 20.1.2.0 24 20.1.1.2 --添加到20.1.2.0/24路由

在AR2上的配置,不添加到北京和上海网络的路由,Internet上的路由器不添加到私有网络的路由。

[AR2]interface GigabitEthernet 0/0/0

[AR2-GigabitEthernet0/0/0]ip address 20.1.1.2 24

[AR2-GigabitEthernet0/0/0]quit

[AR2]interface GigabitEthernet 0/0/1

[AR2-GigabitEthernet0/0/1]ip address 20.1.2.2 24

[AR2-GigabitEthernet0/0/1]quit

在AR3上的配置。

[AR3]interface GigabitEthernet 0/0/0

[AR3-GigabitEthernet0/0/0]ip address 20.1.2.1 24

[AR3-GigabitEthernet0/0/0]quit

[AR3]interface Vlanif 1

[AR3-Vlanif1]ip address 10.1.2.1 24

[AR3-Vlanif1]quit

[AR3]ip route-static 20.1.1.0 24 20.1.2.2

现在AR1上创建到上海网络的GRE隧道接口,并添加到上海网络的路由。

[AR1]interface Tunnel 0/0/0

[AR1-Tunnel0/0/0]tunnel-protocol ? --查看隧道支持的协议

gre Generic Routing Encapsulation

ipsec IPSEC Encapsulation

ipv4-ipv6 IP over IPv6 encapsulation

ipv6-ipv4 IPv6 over IP encapsulation

mpls MPLS Encapsulation

none Null Encapsulation

[AR1-Tunnel0/0/0]tunnel-protocol gre

[AR1-Tunnel0/0/0]ip address 172.16.0.1 24 --指定隧道接口的地址

[AR1-Tunnel0/0/0]source 20.1.1.1 --指定隧道的起点(源地址)

[AR1-Tunnel0/0/0]destination 20.1.2.1 --指定隧道的终点(目标地址)

[AR1-Tunnel0/0/0]quit

[AR1]ip route-static 10.1.2.0 24 172.16.0.2 --添加到上海网络的路由

添加到上海网络的路由,下一跳也可以使用Tunnel 0/0/0 替换。

[AR1]ip route-static 10.1.2.0 24 Tunnel 0/0/0。

在AR3上创建到北京网络的GRE隧道接口,并添加到北京网络的路由。

[AR3]interface Tunnel 0/0/0

[AR3-Tunnel0/0/0]tunnel-protocol gre

[AR3-Tunnel0/0/0]ip address 172.16.0.2 24

[AR3-Tunnel0/0/0]source 20.1.2.1

[AR3-Tunnel0/0/0]destination 20.1.1.1

[AR3-Tunnel0/0/0]quit

[AR3]ip route-static 10.1.1.0 24 172.16.0.1

查看Tunnel 0/0/0接口的状态。

<AR3>display interface Tunnel 0/0/0

Tunnel0/0/0 current state : UP

Line protocol current state : UP

Last line protocol up time : 2018-06-16 01:37:01 UTC-08:00

Description:HUAWEI, AR Series, Tunnel0/0/0 Interface

Route Port,The Maximum Transmit Unit is 1500

Internet Address is 172.16.0.2/24

Encapsulation is TUNNEL, loopback not set

……

抓包分析GRE隧道中的数据包格式。如图所示,右击AR2路由器,点击“数据抓包”,点击“GE 0/0/0”接口。

image

开始抓包后,PC1 ping PC2,观察捕获的数据包,查看GRE封装。

image

上面给大家展示创建GRE隧道V P N将两个城市的局域网进行了连接,如果一个企业在北京、上海、石家庄三个城市都有局域网,如图所示,我们创建GRE隧道×××,需要在每个路由器上创建两个Tunnel接口,分别定义好隧道的起点和终点,以及隧道接口地址,添加到远程网络的路由。

image

总结:GRE是一个标准协议,支持多种协议和多播,能够用来创建弹性的V P N,支持多点隧道,能够实施QOS。

GRE协议的存在问题有:缺乏加密机制,没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive),隧道很消耗CPU,出现问题要进行DEBUG很困难。

 

韩老师关于的课程,点击下图去学习

2f30d6ae97f42191996643db944c594d