一、提高可靠性
1、在IP地址借用中的应用
当某接口不是长期使用IP地址时,为了节省IP地址,可以配置该接口借用其他接口的IP地址。通常配置为借用Loopback接口的地址,以保持接口的稳定性。
2、在Router ID中的应用
一些动态路由协议要求路由器必须有Router ID,它是一台路由器在自治系统中的唯一标识。
例如,OSPF和BGP在没有手工配置Router ID时,系统需要从本地接口的IP地址中选一个最大的IP地址作为Router ID。如果选择的是物理接口的IP地址,当这个物理接口状态变为Down时,系统也不会重新选择Router ID,除非这个被选择的IP地址被删除。
因此建议使用Loopback接口的IP地址作为路由器的Router ID。因为Loopback接口稳定,它一直都处于Up状态。
3、在BGP中的应用
为了使BGP会话不受物理接口故障的影响,可将发送BGP报文的源接口配置成Loopback接口。
在使用Loopback接口作为BGP报文的源接口时,必须注意以下事项:
确认BGP对等体的Loopback接口的地址是可达的。
如果是EBGP连接,还要允许EBGP通过非直连建立邻居关系。
4、在MPLS LDP中的应用
在MPLS LDP中,为了保持网络的稳定性,通常使用Loopback接口的IP地址作为传输地址。这个Loopback接口的IP地址可能是公网地址。
5、在中的应用
在L2TP中,建议用户指定LAC端发起隧道请求时使用的隧道源接口类型是Loopback接口。这样是为了当LAC访问LNS时,提高LAC与LNS通信的可靠性。
在配置GRE和IPv6 over IPv4隧道时,需要创建Tunnel接口。同时可配置该隧道接口的源IP地址或源接口。即,指定该隧道的承载协议的源IP地址或源接口。此时一般选用的也是Loopback接口的IP地址或Loopback接口。
二、对信息分类
1、在SNMP中的应用
如果使用简单网络管理协议SNMP(Simple Network Management Protocol),可以设置发送trap报文时的源IP地址是Loopback接口的IP地址。
为了保障服务器的安全,SNMP trap将Loopback接口的IP地址作为源IP地址,而不是出接口的IP地址。这样可以使用过滤来保护SNMP的管理系统。系统只允许来自Loopback接口IP地址的报文访问SNMP端口,从而使得读写trap信息变得简单。
2、在NTP中的应用
网络时间协议NTP(Network Time Protocol)可以使所有设备的时间取得同步。NTP可以把Loopback接口的IP地址作为所有从本路由器发出的NTP报文的源地址。
出于对NTP的安全考虑,NTP将Loopback接口的IP地址(而不是出接口的IP地址)作为源地址。系统只允许Loopback接口地址的报文访问NTP端口。这样可以使用过滤来保护NTP系统
3、在记录信息方面的应用
输出网络流量记录时,可以配置网络流量输出时的源IP地址是Loopback接口的IP地址。
这是从服务器的安全角度考虑的。这样可以使用过滤来保护网络流量收集,因为只允许Loopback接口地址的报文访问指定的端口。
4、在安全方面的应用
在用户日志服务器端,通过识别日志的源IP地址,可以迅速定位日志信息的来源。建议配置Loopback地址作为日志报文的源IP地址。
5、在HWTACACS中的应用
配置HWTACACS,使从该路由器始发的报文使用的源地址是Loopback地址。这样可以使用过滤来保护HWTACACS服务器。
因为这样只允许从Loopback接口的地址发送的报文访问HWTACACS服务器,从而使读写日志变得简单。HWTACACS日志记录中只有Loopback接口的地址,而没有出接口的地址。
6、在RADIUS用户验证中的应用
配置RADIUS服务器时,使从该路由器始发的报文使用的源IP地址是Loopback接口的IP地址。
和在HWTACACS中的应用类似,这样配置是从服务器的安全角度考虑的。它可以使用过滤来保护RADIUS服务器和代理。这样只允许Loopback接口地址的报文访问RADIUS服务器的端口,从而使读写日志变得简单。RADIUS日志记录中只有Loopback接口的地址,而没有出接口的地址。简单聊聊DS优点 :
动态智能 —分部之间随时建立隧道, 流量不需要经过总部隧道, 流量不需要经过总部隧道, 延迟小,总部带宽、硬件资 源要求低。 分部地址可以不固定。
协商过程
第一步:分部与总部之间建立静态GR隧道
第二步:分部与分部之间建立动态GRE隧道,分为两种模式(normal和shortcut)
normal模式:
分部与总部之间静态隧道协商过程
分部之间动态隧道normal模式协商过程
实验模拟测试
(一)DS+静态
总部HUB配置:
interface Tunnel0/0/1
ip address 101011 2552552550
tunnel-protocol gre p2mp
source GigabitEthernet0/0/1
分部SPA配置:
interface Tunnel0/0/1
ip address 101012 2552552550
tunnel-protocol gre p2mp
source GigabitEthernet0/0/1
nhrp entry 101011 616711 register
分部SPB配置:
interface Tunnel0/0/1
ip address 101013 2552552550
tunnel-protocol gre p2mp
source GigabitEthernet0/0/1
nhrp entry 101011 616711 register
路由配置
总部:
ip route-static 0000 0000 616712
ip route-static 10120 2552552550 101012
ip route-static 10130 2552552550 101013
SPA:
ip route-static 0000 0000 200112
ip route-static 10110 2552552550 101011
ip route-static 10130 2552552550 101013
SPB:
ip route-static 0000 0000 202112
ip route-static 10110 2552552550 101011
ip route-static 10120 2552552550 101012
查看SPA的nhrp表
(二)DS+动态(ospf)
配置略,注意 开启组播、修改分部DR优先级;
shortcut模式:
协商完成后数据转发Internet上用于公网的合法IPv4地址已经分配完毕,因此使用IPv6代替IPv4是大势所趋。但是IPv6是一种与IPv4不同的网络协议,其取代IPv4还需要经过一个较长的时间。IPv4向IPv6的过渡不是一次性的,而是逐步地分层次地。在过渡时期,为了保证IPv4和IPv6能够共存、互通,人们发明了一些IPv4/IPv6的互通技术。
双栈技术是IPv4向IPv6过渡的一种有效的技术,其节点同时支持IPv4和IPv6协议栈。双栈节点与IPv4节点通讯时使用IPv4协议栈,双栈节点与IPv6节点通讯时使用IPv6协议栈。源节点根据目的节点的不同选用不同的协议栈,而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。
双栈可以在一个单一的设备上实现,也可以是一个双栈骨干网。对于双栈骨干网,其中的所有设备必须同时支持IPv4/IPv6协议栈,连接双栈网络的接口必须同时配置IPv4地址和IPv6地址。
双栈节点三种工作模式:
1、 只运行IPv6协议,表现为IPv6节点;
2、只运行IPv4协议,表现为IPv4节点;
3、双栈模式,同时打开IPv6和IPv4协议。
双栈技术是IPv4向IPv6过渡的基础,所有其它的过渡技术都以此为基础。
提供了两个IPv6站点之间通过IPv4网络实现通讯连接,以及两个IPv4站点之间通过IPv6网络实现通讯连接的技术。
Pv6网络边缘设备收到IPv6网络的IPv6报文后,将IPv6报文封装在IPv4报文中,成为一个IPv4报文,在IPv4网络中传输到目的IPv6网络的边缘设备后,解封装去掉外部IPv4头,恢复原来的IPv6报文,进行IPv6转发。
用于IPv6穿越IPv4网络的隧道技术有:
1、 IPv6手工配置隧道
2、 IPv4兼容地址自动隧道
3、 6to4自动隧道
4、ISATAP自动隧道
5、 IPv6 over IPv4 GRE隧道
6、隧道代理技术
7、 6over4隧道
8、 [endif]6PE隧道
9、 [endif]Teredo隧道
提供了IPv4网络与IPv6网络之间的互访技术。
IPv6穿越IPv4技术是为了实现IPv6节点之间的互通,而IPv6/IPv4互通技术是为了实现不同协议之间的互通。也就是使IPv6主机可以访问IPv4主机,IPv4主机可以访问IPv6主机。相关的技术有:
1、SIIT(Stateless IP/ICMP Translation)
2、NAT-PT
3、 DSTM(Dual Stack Transition Mechanism)
4、SOCKs64
5、传输层中继(TRT)
6、BIS(Bump in the Stack)
7、BIA(Bump in the API)重置报文统计信息。重置tunnel配置是指定Tunnel接口的Keepalive报文统计信息,将GRE隧道接口发送给对端的Keepalive报文数量和Keepalive响应报文数量的意思。1331 DM××× hub路由器的配置步骤及示例
要在Hub路由器上配置mGRE和IPSec集成,需要先配置上节的IPSec配置文件,然后按照表13-4所示步骤进行配置。
从表13-4中可以看出,DM×××上的hub路由器配置步骤还是比较多的,但只要我们掌握了其基本配置思路也就比较简单了。它的配置思路如下:
(1)使用“interface tunnel number”命令创建一个用于DM×××的mGRE隧道接口,并使用“ip address ip-address mask [secondary]”命令为它分配IP地址。
(2)使用“ip nhrp authentication string”命令配置与对spoke路由器请求连接进行身份认证的密码,所有hub和spoke路由器必须配置相同的认证密码。
(3)使用“ip nhrp map multicast dynamic”命令启用hub路由器上自动添加spoke路由器到NHRP映射中,实现动态×××连接。
(4)使用“unnel source {ip-address | type number}”命令指定隧道接口所关联的物理接口,也就是隧道源。
(5)使用“ip nhrp network-id number”命令配置一个网络ID标识DM×××所连接的NBMA网络。
(6)使用“tunnel source {ip-address | type number}”命令为同一个DM×××网络中的所有hub和spoke配置相同的隧道ID。
(7)使用“tunnel mode gre multipoint”命令配置隧道封装模式为mGRE。
(8)使用“tunnel protection ipsec profile name”命令引用上节所创建的IPSec配置文件,用来保护DM×××通信。
表13-4 DM×××上hub路由器的配置步骤
步骤
命令
说明
Step 1
interface tunnel number
例如:
Router(config)# interface tunnel 5
键入要进行×××连接的隧道(tunnel)接口号,进入接口配置模式。隧道接口是一个虚拟接口。参数number用来指定要创建或者配置的隧道接口号。可以创建的隧道接口号没有限制。
示例中创建的隧道接口号为5。
Step 2
ip address ip-address mask [secondary]
例如:
Router(config-if)# ip address 10001 2552552550
为隧道接口配置主要或者辅助IP地址。所有在同一个DM×××网络中的hub和spoke必须在同一个IP子网中。
示例中指定的隧道接口IP地址为:10001 2552552550。
Step 3
ip mtu bytes
例如:
Router(config-if)# ip mtu 1400
设置上述隧道接口可以发送IP数据包的MTU(Maximum Transmission Unit,最大传输单元)大小,以字节为单位。
Step 4
ip nhrp authentication string
例如:
Router(config-if)# ip nhrp authentication donttell
为上述隧道接口配置用于NHRP的身份认证字符串。在同一个DM×××网络中的所有hub和spoke路由器必须配置相同的NHRP身份认证字符串。示例中设置的认证字符串为donttell。
Step 5
ip nhrp map multicast dynamic
例如:
Router(config-if)# ip nhrp map multicast dynamic
允许NHRP自动添加spoke路由器到组播NHRP映射中。
Step 6
ip nhrp network-id number
例如:
Router(config-if)# ip nhrp network-id99
在上述隧道接口上启动NHRP,并指定一个网络ID。参数number用来指定一个在NBMA(NonBroadcast MultiAccess,非广播多路访问)网络中全局惟一的32位网络ID。取值范围为1~4294967295。
Step 7
tunnel source {ip-address | type number}
例如:
Router(config-if)# tunnel sourceEthernet0
为上述隧道接口设置一个源地址,其实就是指定隧道接口所对应的物理接口。示例中是与路由器Ethernet0接口关联的。
Step 8
tunnel key key-number
例如:
Router(config-if)# tunnel key 100000
(可选)为上述隧道接口启用一个ID密钥(ID key)。参数key-number用来指定用来标识隧道密钥的号码,取值范围为0~ 4,294,967,295。在同一个DM×××网络中的所有hub和spoke路由器必须配置相同的ID密钥。但如果你使用的是Cisco 6500系列交换机或者Cisco 7600系列路由器,则不要配置这个ID密钥。示例中的隧道密钥号为100000。
Step 9
tunnel mode gre multipoint
例如:
Router(config-if)# tunnel mode gre multipoint
为上述隧道接口设置封装模式为mGRE。
Step 10
tunnel protection ipsec profile name
例如:
Router(config-if)# tunnel protection ipsec profile prof
指定一个与上述隧道接口关联的IPSec配置文件。参数name用来指定IPSec配置文件名称。这个名称必须与上节介绍的,在“crypto ipsec profile name”命令中指定的配置文件名一样。示例中引用的IPSec配置文件名为prof。
Step 11
bandwidth kbps
例如:
Router(config-if)# bandwidth 1000
设置上述隧道接口当前的带宽值。参数kbps是以Kbps为单位指定隧道接口带宽值。默认值为9,建议值为1000,甚至更高。如果在隧道接口上启用了EIGRP路由协议,则这个带宽值至少为1000。带宽值的大小主要依据hub所支持的spoke数量。
Step 12
ip tcp adjust-mss max-segment-size
例如:
Router(config-if)# ip tcp adjust-mss1360
调整TCP包通过路由器时的MSS(Maximum Segment Size,最大数据段大小)。参数max-segment-size是以字节为单位指定MSS,取值勤范围为500 ~ 1460。当IP MTU值设置为1400时,建议MSS值设置为1360。
Step 13
ip nhrp holdtime seconds
例如:
Router(config-if)# ip nhrp holdtime450
改变NHRP NBMA地址作为在权威NHRP响应有效通告的时间,也就是改变NHRP NBMA地址可以在多长时间内被通告才算有效。参数seconds是以秒为单位指定NBMA地址有效通告的时间,建议的取值范围为300~600秒。示例中设置的NHRP响应保持时间为450秒。
Step 14
delay number
例如:
Router(config-if)# delay 1000
(可选)为在隧道接口上学习的路由修改EIGRP路由度量。参数number用来以秒为单位指定延时,建议值为1000。
1332 DM××× hub路由器的配置命令
本节要介绍在上节介绍的DM××× hub路由器配置步骤中的一些主要配置命令,以便更深入地理解这些命令功能和应用。
1 “ip mtu”命令
“ip mtu bytes”接口配置模式命令用来设置在接口上可以传输的最大IP包大小,单位为字节。默认大小为128KB。如果设置了MTU,则当数据包超过这个大小时会对数据包分段,然后在接收方再进行重新组装。如果要恢复到默认的MTU值,则可使用“no ip mtu”命令。
以下示例是为s0接口设置MTU值为300Byte。
interface serial 0
ip mtu 300
2 “ip nhrp authentication”命令
“ip nhrp authentication string”接口配置模式命令用来为接口配置使用NHRP进行身份认证的字符串(最多8个字符)。可使用前面带“no”关键字的该命令删除原来使用该命令所做的这个认证字符串配置。这个认证字符串要在源和目的站点同时配置,而且必须一样,以控制只有经过认证的NHRP站点可以与之进行通信。在同一个逻辑NBMA网络中的所有配置了NHRP的路由器必须共享相同的认证字符串。
以下示例是在启用了NHRP的接口配置NHRP认证字符串为specialxx。
ip nhrp authentication specialxx
3 “ip nhrp map multicast dynamic”命令
“ip nhrp map multicast dynamic”接口配置模式命令用来设置允许NHRP自动添加spoke路由器到组播NHRP映射中。要禁止这种功能,可使用前面带“no”关键字的该命令。
在spoke路由器需要发起mGRE和IPSec隧道,并注册它们的单播NHRP映射时需要使用该命令。该命令需要启用动态路由协议与mGRE和IPSec一起工作,因为IGP路由协议使用组播包。这个命令就避免了hub路由器为每个spoke路由器在组播映射中需要配置一个单独的配置行。
以下示例显示了如何在hub路由器上启用这个“ip nhrp map multicast dynamic”命令,使hub路由器自动添加spoke路由器到组播NHRP映射中。
crypto ipsec profile prof
set transform-set trans2
!
interface Tunnel0
bandwith 1000
ip address 10001 2552552550
ip mtu 1436
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 600
no ip split-horizon eigrp 1
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile prof
!
interface Ethernet0
ip address 101701 2552552550
4 “ip nhrp network-id”命令
“ip nhrp network-id number”接口配置模式命令用来在接口上启用NHRP。要在接口上禁用NHRP,则可以使用前面带“no”关键字的该命令。参数用来指定要一个NBMA网络中惟一的32位网络ID,取值范围为1~4294967295。通常在一个逻辑NBMA网络中的所有站点必须配置相同的网络ID。
5 “tunnel source”命令
“tunnel source {ip-address | interface-type interface-number}”接口配置模式命令用来设置隧道接口源地址,也就是它关联的物理接口。要删除隧道接口的源地址,则可使用前面带“no”关键字的该命令。参数ip-address用来指定在隧道中使用该IP地址作为包的源地址。参数“interface-type interface-number”用来指定在隧道中使用该接口作为包的源地址。默认是没有设置隧道接口源地址。但不能有两个使用相同封装模式,且具有相同源和目的地址的隧道。
以下示例显示了如何为GRE隧道设置一个隧道源地址
Router(config)# interface tunnel 0
Router(config-if)# tunnel source ethernet0 !---配置隧道源地址为ethernet0接口所对应的IP地址
Router(config-if)# tunnel destination 13110816419 !---配置隧道目的地址为13110816419
Router(config-if)# tunnel mode gre ip
6 “tunnel key”命令
“tunnel key key-number”接口配置模式命令用来为隧道接口启用一个ID密钥,仅应用于GRE。参数key-number用来指定隧道接口ID密钥号,取值范围为0~4294967295。这个命令可作为一种弱的安全保护措施,预防非法配置,或者来自外部的包注入。一旦配置了隧道ID密钥,则所有包都将携带这个ID密钥,不建议使用这个意义并不大的安全配置。要删除原来配置的这个密钥,则可使用无参数和可选项的“no tunnel key”命令。默认是没有启用隧道ID密钥的。
注意当配置了隧道ID密钥,则IP组播通信将不能支持,除非这个组播通信是进程交换(process-switching)方式(还有一种交换方式就是快速交换——Fash Switching)。另外,在组播通信中,如果配置了隧道ID密钥,你必须在接口上配置“no ip mroute-cache”接口配置命令。但要注意,这仅应用于Cisco IOS 120及以前版本中。
以直示例显示如何设置隧道ID密钥为3。
Router(config-if)# tunnel key 3
7 “tunnel mode”命令
“tunnel mode gre multipoint”接口配置模式命令用来为隧道接口配置封装模式为mGRE(多点GRE),默认为GRE隧道封装模式。要恢复到默认模式,可以使用无参数和可选项的“no tunnel mode”命令。
在启用mGRE隧道后,你可以启用隧道保护命令,允许你与一个IPSec配置文件进行关联。这样组合mGRE和IPSec加密技术,就允许一个mGRE接口支持多个IPSec隧道,简化配置的大小和复杂性。
8 “tunnel protection”命令
“tunnel protection ipsec profile name [shared]”接口配置模式命令用来使隧道接口与一个IPSec配置文件进行关联。默认是没有与IPSec配置文件关联的。要禁止该隧道接口与指定IPSec配置文件关联,则要使用前面带“no”关键字的该命令。命令中的参数和可选项说明如下:
ipsec profile:通过IPSec启用GRE隧道加密。
Name:指定用于隧道加密的IPSec配置文件。这个文件名必须与“crypto ipsec profile”命令中指定的IPSec配置文件名一致。
Shared:(可选)允许隧道保护IPSec SADB(Security Association Database,安全关联数据库)共享相同的动态加密映射,取代在每个隧道接口上所创建的加密映射。
注意使用“tunnel protection”命令所指定的IPSec加密将在GRE封装后执行,而在隧道接口上配置的一个加密映射所指定的加密将在GRE封装前执行。
使用“tunnel protection”命令用来指定在GRE被添加到隧道包后,IPSec将进行加密。该命令可以应用于mGRE(多点GRE)和p-pGRE(点对点GRE)隧道中。对于p-pGRE,隧道目的地址将用作IPSec peer地址;对于mGRE隧道,可能是多点IPSec peer,这时,相应的NHRP映射NBMA目的地址来作为IPSec peer地址。
如果你希望在配置了相同本地端点(隧道源)的同一个路由器上配置两个DM××× mGRE和IPSec隧道,你必须选择shared关键字。
8 “ip tcp adjust-mss”命令
“ip tcp adjust-mss max-segment-size”接口配置模式命令用来调整通过路由器的TCP SYN包的MSS(最大分段大小),单位为字节。取值范围为500~1460字节。MSS是由发起主机确定的。当一个主机发起一个与服务器TCP会话,它通过使用在TCP SYN包中的MSS选项字段协商IP分段大小。MSS字段的值由主机上配置的MTU确定,MSS值一般要小于MTU值。默认MSS值为1500个字节。可以通过前面带“no”关键字的该命令恢复到默认MMS设置。
10 “ip nhrp holdtime”命令
“ip nhrp holdtime seconds”接口配置模式命令用来改变NHRP NBMA地址作为权威NHRP响应被有效通告的时间。参数就是指出这个保持时间长短,单位为秒。默认为7200秒,即2个小时。
该命令的配置仅影响权威响应。在Cisco IOS系统中,被通告的保持时间是告诉其他路由器保持在权威NHRP响应中的信息的时间长短。在保持时间过期后,缓存的IP-to-NBMA地址映射条目将丢弃。在NHRP缓存中可以包含静态和动态条目,静态条目永远不会过期,而动态条目会过期的,不管它是权威的,还是非权威的。
以下的示例中,NHRP地址在1个小时内在权威NHRP响应中可以有效被通告。
ip nhrp holdtime 3600
转载于:>GRE的原理,你可以参考>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)