hcie-security內(nèi)容修訂20套第二部分hc ds_第1頁
hcie-security內(nèi)容修訂20套第二部分hc ds_第2頁
hcie-security內(nèi)容修訂20套第二部分hc ds_第3頁
hcie-security內(nèi)容修訂20套第二部分hc ds_第4頁
hcie-security內(nèi)容修訂20套第二部分hc ds_第5頁
已閱讀5頁,還剩28頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031066USG6000V1R1V1.0開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型(新開發(fā)/優(yōu)化)姚傳哲2014-08-15王銳開發(fā)丁祖賢2015-03-27優(yōu)化本頁不打印HC13031066DSVPN原理及應(yīng)用 目標(biāo)學(xué)完本課程后,您將能夠:掌握DSVPN各組成協(xié)議的原理理解MGRE的原理和作用掌握NHRP協(xié)議的協(xié)商過程掌握DSVPN的各種配置細(xì)節(jié) 目錄GRE Over IPSec的缺陷DSVPN原理介紹MGRENHRP協(xié)議原理及過程IPSec安全封裝DSVPN應(yīng)用場景分析DSVPN配置細(xì)節(jié)GRE Over IPSec的擴(kuò)展性問題IPSEC 隧道

2、集中在hub點(diǎn) 所有流量都穿越hub點(diǎn)每來一個(gè)新的spoke點(diǎn),hub都必須被配置當(dāng)一邊地址為動(dòng)態(tài)時(shí),點(diǎn)到點(diǎn)的GRE部署存在問題DSVPNDSVPN(Dynamic Smart IPsec VPNs),動(dòng)態(tài)智能VPN。NHRP協(xié)議(NBMA Next Hop Resolution Protocol ),下一跳 解析協(xié)議。MGRE(Multipoint GRE),多點(diǎn)GRE??蛇x的IPSec封裝,實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。與DSVPN特性相關(guān)的參考標(biāo)準(zhǔn)與協(xié)議如下:RFC2332:The Next Hop Resolution Protocol(NHRP)RFC1701:Generic Routing

3、Encapsulation(GRE)DSVPN使用限制使用限制DSVPN網(wǎng)絡(luò)中只支持兩種路由協(xié)議:靜態(tài)路由和OSPF路由協(xié)議。DSVPN特性不支持雙機(jī)熱備。DSVPN特性不支持虛擬系統(tǒng)。注意事項(xiàng)在同一個(gè)DSVPN網(wǎng)絡(luò)中,所有Tunnel接口的IP地址應(yīng)該配置為同一個(gè)網(wǎng)段。在MGRE隧道中,一個(gè)Tunnel接口下只能引用一個(gè)IPsec安全框架。在DSVPN部署了IPSec隧道時(shí),快速刷新NHRP映射表會引發(fā)IKE鄰居重協(xié)商等待,有可能造成業(yè)務(wù)中斷,因此應(yīng)避免頻繁刷新NHRP映射表。mGRE多點(diǎn)GREMGRE(Multipoint Generic Routing Encapsulation)點(diǎn)到多

4、點(diǎn)的GRE隧道靜態(tài)隧道動(dòng)態(tài)隧道NHRP協(xié)議的作用NHRP(Next Hop Resolution Protocol)即下一跳地址解析協(xié)議。主要功能:解決非點(diǎn)到點(diǎn)直連網(wǎng)絡(luò)跨互聯(lián)網(wǎng)映射問題。類似于IPMAC,IPDHCI號。解決動(dòng)態(tài)IP問題。NHRP協(xié)議報(bào)文src_protocol_address_lendst_protocol_address_lenflagsrequest_idsrc_nbma_addresssrc_protocol_addressCodeOffsetdst_protocol_addressNHRP(Next Hop Resolution Protocol)即下一跳地址解析協(xié)議

5、。報(bào)文必須字段:NHRP協(xié)議映射表NHRP(Next Hop Resolution Protocol)即下一跳地址解析協(xié)議。靜態(tài)表項(xiàng):手工配置獲得;動(dòng)態(tài)表項(xiàng):主動(dòng)注冊或動(dòng)態(tài)查詢獲得。NHRP協(xié)議協(xié)商過程一:Spoke向Hub注冊NHRP協(xié)議協(xié)商過程二:Normal方式建立Spoke與Spoke之間的隧道Normal方式。當(dāng)DSVPN采用分支節(jié)點(diǎn)相互學(xué)習(xí)路由方案時(shí),源Spoke可以學(xué)習(xí)到目的Spoke的Tunnel地址(在該路由部署方案下,目的Spoke的Tunnel地址等同于源Spoke到目的Spoke路由的下一跳地址),因此源Spoke將以目的Spoke的Tunnel地址為索引,查找其公網(wǎng)地

6、址。NHRP協(xié)議協(xié)商過程二:Normal方式建立Spoke與Spoke之間的隧道Normal方式。NHRP協(xié)議協(xié)商過程二:Normal方式建立Spoke與Spoke之間的隧道Normal方式。MGRE隧道報(bào)文封裝過程。NHRP協(xié)議協(xié)商過程三:Shortcut方式建立Spoke與Spoke之間的隧道Shortcut方式。NHRP協(xié)議協(xié)商過程三:Shortcut方式建立Spoke與Spoke之間的隧道Shortcut方式。MGRE隧道報(bào)文封裝過程。IPSec安全封裝 控制報(bào)文在DSVPN網(wǎng)絡(luò)中經(jīng)過IPSEC加密的封裝格式:IPGRENHRPIPSec 數(shù)據(jù)報(bào)文在DSVPN網(wǎng)絡(luò)中經(jīng)過IPSEC加密的

7、封裝格式(transport模式):IPGREIPIPSecPayload當(dāng)企業(yè)需要對總部和分支機(jī)構(gòu)以及分支機(jī)構(gòu)間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)的時(shí)候,可以在部署DSVPN的同時(shí)綁定IPSec安全框架,實(shí)現(xiàn)分支間同時(shí)動(dòng)態(tài)建立起MGRE隧道和IPSec隧道。DSVPN應(yīng)用場景分析基本場景 介紹DSVPN網(wǎng)絡(luò)的典型組網(wǎng)及應(yīng)用。Hub主備備份場景 DSVPN支持部署多臺Hub設(shè)備,用以提高總部的可靠性。 Hub負(fù)載分擔(dān)場景 單臺Hub設(shè)備受性能制約,其下所能連接的Spoke數(shù)量有限,當(dāng)網(wǎng)絡(luò)中Spoke節(jié)點(diǎn)較多時(shí),總部需要部署多臺Hub來提高總部的處理能力。級聯(lián)場景 介紹設(shè)備同時(shí)充當(dāng)Spoke和Hub兩種角色

8、時(shí)的應(yīng)用場景。DSVPN應(yīng)用場景分析基本場景:DSVPN應(yīng)用場景分析Hub主備備份場景:DSVPN應(yīng)用場景分析Hub負(fù)載分擔(dān)場景:DSVPN應(yīng)用場景分析級聯(lián)場景:DSVPN配置細(xì)則 配置DSVPN時(shí),需要先配置MGRE隧道,再配置DSVPN網(wǎng)絡(luò)中的路由學(xué)習(xí)方式。如果需要對隧道之間的流量進(jìn)行加密,還需要配置IPSec安全框架。配置隧道參數(shù)配置路由參數(shù)(可選)配置IPSec安全框架DSVPN配置細(xì)則隧道參數(shù)配置配置Spoke節(jié)點(diǎn)的MGRE隧道參數(shù):配置Tunnel接口的類型為P2MP。 system-view interface tunnel interface-number tunnel-pro

9、tocol gre p2mp ip address ip-address mask | maslength 配置靜態(tài)NHRP映射表項(xiàng)。 nhrp entry protocol-address nbma-address register配置分支勱態(tài)生成本地的組播成員列表。 nhrp entry multicast dynamic(可選)配置MGRE隧道建立方式為Shortcut方式。 nhrp shortcutDSVPN配置細(xì)則隧道參數(shù)配置配置Hub節(jié)點(diǎn)的MGRE隧道參數(shù):配置Tunnel接口的類型為P2MP。 system-view interface tunnel interface-num

10、ber tunnel-protocol gre p2mp配置分支勱態(tài)生成本地的組播成員列表。 nhrp entry multicast dynamic(可選)配置NHRP重定向功能。 nhrp redirectDSVPN配置細(xì)則路由配置分支節(jié)點(diǎn)相互學(xué)習(xí)路由:配置靜態(tài)路由。 ip route-static ip-address mask | mask-length nexthop-address | interface-type interface-number nexthop-address 配置動(dòng)態(tài)路由,動(dòng)態(tài)路由只支持OSPF協(xié)議。 進(jìn)入OSPF視圖: ospf process-id 指定S

11、poke要發(fā)布的內(nèi)網(wǎng)路由信息。 network address wildcard-mask進(jìn)入Spoke的Tunnel接口視圖,配置OSPF的網(wǎng)絡(luò)類型為廣播型。 interface tunnel interface-number ospf network-type broadcastDSVPN配置細(xì)則路由配置分支節(jié)點(diǎn)路由匯聚到總部:配置靜態(tài)路由。 ip route-static ip-address mask | mask-length nexthop-address | interface-type interface-number nexthop-address 配置動(dòng)態(tài)路由,動(dòng)態(tài)路由只支

12、持OSPF協(xié)議。 進(jìn)入OSPF視圖: ospf process-id 指定Spoke要發(fā)布的內(nèi)網(wǎng)路由信息。 network address wildcard-mask進(jìn)入Spoke的Tunnel接口視圖,配置OSPF的網(wǎng)絡(luò)類型為廣播型。 interface tunnel interface-number ospf network-type p2mpDSVPN配置細(xì)則IPSec保護(hù) 當(dāng)企業(yè)需要對總部和分支機(jī)構(gòu)以及分支機(jī)構(gòu)間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)的時(shí)候,可以在部署DSVPN的同時(shí)綁定IPSec安全框架,數(shù)據(jù)安全傳輸。創(chuàng)建一個(gè)IPSec安全框架,并進(jìn)入IPSec安全框架視圖。 ipsec profile profile-name在IPSec安全框架下綁定IKE對等體(對等體中無需配置本端和對端地址) ike-peer peer-name在I

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論