【正文】 neighbor remoteas 100 **/指定鄰居B_PE(configrouter)neighbor updatesource loopback 0 **/指定更新源為環(huán)回口BZ_PE(config)router bgp 100BZ_PE(configrouter)no autosummary BZ_PE(configrouter)neighbor remoteas 100 BZ_PE(configrouter)neighbor updatesource loopback 0第六步：激活MPBGP鄰居MPBGP用于在PE路由器之間交換VPN路由，必須在VPNV4地址家族下激活VPNV4地址家族下激活MPBGP路由交換。惟一的限制是，當(dāng)前在CE路由器和PE路由器之間使用的路由選擇協(xié)議必須是RIP第2版，EIGRP、OSPF或EBGP。詳細(xì)配置表設(shè)備名稱區(qū)域IP地址備注Cisco 3640BS0/0模擬客戶端接入路由Cisco 3640BZS0/1模擬客戶端接入路由Cisco 3640B_PES0/0ISP與B相連接口S0/2ISP與C相連接口S0/1與ISP內(nèi)部相連地址Cisco 3640PS0/1與B_PE相連接口S0/0與BZ_PE相連接口Cisco 3640BZ_PES0/0與ISP內(nèi)部相連接口S0/1與BZ相連接口S0/2與CZ相連接口Cisco 3640CS0/2模擬客戶端接入路由Cisco 3640CZS0/2模擬客戶端接入路由表61圖62總拓?fù)鋱D圖63模擬實(shí)驗(yàn)圖說(shuō)明：由于使用模擬器來(lái)模擬真實(shí)拓?fù)?，由于?jì)算機(jī)一次無(wú)法啟用太多的設(shè)備，因此對(duì)于一些對(duì)于本課題不是很重要的設(shè)備被省略掉了，主要進(jìn)行VPN配置。另外，現(xiàn)在很多企業(yè)都有自己的合作伙伴，合作伙伴之間的VPN網(wǎng)絡(luò)需要有很高的靈活性，使用VPN技術(shù)可以做到簡(jiǎn)單快捷的與合作伙伴建立聯(lián)系，真正實(shí)現(xiàn)想連就連，想斷就斷。3DES：它使用的是三個(gè)不同的56bit密鑰（DES加密、DES解密、DES加密）用來(lái)創(chuàng)建密文。 同步加密同步加密算法又稱為秘密密鑰加密技術(shù)，它需要使用同一個(gè)秘密密鑰來(lái)進(jìn)行加密和解密。 IKE（Internet 密鑰交換）IKE協(xié)議是一種動(dòng)態(tài)更改Ipsec 密鑰和參數(shù)的機(jī)制，通過(guò)自動(dòng)的交換機(jī)制和密鑰的更新來(lái)防止Ipsec會(huì)話被攻擊。圖51 vpn通道Ip幀/包 L2頭部IP頭部TCP/UDP頭部有效負(fù)載表51AH傳輸模式封裝原始IP報(bào)頭驗(yàn)證報(bào)頭（AH）有效負(fù)載表52AH隧道模式封裝新IP報(bào)頭驗(yàn)證報(bào)頭（AH）原始IP報(bào)頭有效負(fù)載表53ESP傳輸模式封裝原始IP報(bào)頭封裝安全有效負(fù)載（ESP）報(bào)頭有效負(fù)載ESP報(bào)尾ESP驗(yàn)證數(shù)據(jù)表54ESP隧道模式封裝新IP報(bào)頭封裝安全有效負(fù)載（ESP）報(bào)頭原始IP報(bào)頭有效負(fù)載ESP報(bào)尾ESP驗(yàn)證數(shù)據(jù)表55 對(duì)等體驗(yàn)證Ipsec對(duì)數(shù)據(jù)進(jìn)行加密防止數(shù)據(jù)在途中被竊取和修改，保護(hù)傳送過(guò)程中的數(shù)據(jù)，但是首先VPN端點(diǎn)要能夠?qū)?duì)方端點(diǎn)的進(jìn)行確認(rèn)，否則就談不上數(shù)據(jù)包的保密了。AES 高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）：是一種應(yīng)用很廣泛的傳統(tǒng)的加密方式。Ipsec 無(wú)法將其業(yè)務(wù)擴(kuò)展到數(shù)據(jù)鏈路層，只能夠保護(hù)IP層以上的數(shù)據(jù)。當(dāng)VPN分組被打上兩層標(biāo)簽后，再通過(guò)PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)絡(luò)中沿著LSP被逐級(jí)轉(zhuǎn)發(fā)下去。 可以通過(guò)對(duì)Import RT和Export RT的進(jìn)行適當(dāng)?shù)呐渲?，運(yùn)營(yíng)商可以構(gòu)建不同拓?fù)漕愋偷腣PN網(wǎng)絡(luò)。VPNv4地址只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)，它對(duì)客戶端來(lái)說(shuō)是不可預(yù)見(jiàn)性的。MPLS提供商的P路由器對(duì)于CE路由器是不可見(jiàn)的，所有路由重分發(fā)操作以及MPLS相關(guān)的其他操作都是由PE路由器完成的，而它對(duì)于站點(diǎn)的CE路由器是完全透明的。CE 路由器—— 客戶端路由器，直連在PE路由器上。一個(gè)可靠的企業(yè)網(wǎng)絡(luò)可以為企業(yè)帶來(lái)無(wú)法衡量的利益，反之則有可能對(duì)公司帶來(lái)不可估量的損失。 按VPN業(yè)務(wù)層次模型劃分這是根據(jù)ISP向用戶提供的VPN服務(wù)工作在第幾層來(lái)劃分的，而不是根據(jù)隧道協(xié)議工作在哪一層劃分的。上兩種類型區(qū)分在于用戶數(shù)據(jù)在協(xié)議棧的哪一層被封裝，其中L2TP主要用于實(shí)現(xiàn)撥號(hào)VPN業(yè)務(wù)但也可以用于實(shí)現(xiàn)專線VPN業(yè)務(wù)，GRE、IPSec和MPLS主要用于實(shí)現(xiàn)專線VPN業(yè)務(wù)，這些協(xié)議之間本身是不沖突的，可以結(jié)合起來(lái)使用。不同的運(yùn)營(yíng)商在開(kāi)展VPN業(yè)務(wù)時(shí)也推出了不同的分類方式，他們主要從它們業(yè)務(wù)的角度劃分而用戶也有它們自己的的劃分方法它們是根據(jù)自己的的需求進(jìn)行劃分。 VPN技術(shù)目前存在的問(wèn)題 由于VPN是利用現(xiàn)有的公共網(wǎng)，搭建的是邏輯線路，并不是真實(shí)的專線，實(shí)質(zhì)是利用特殊的加密技術(shù)實(shí)現(xiàn)專線的效果，因此它不可能做到專線那樣絕對(duì)安全。一個(gè)企業(yè)想要擴(kuò)大原有的VPN的容量和覆蓋的范圍，只要與新的運(yùn)營(yíng)商簽約建立新的賬戶，就可以擴(kuò)大服務(wù)范圍。網(wǎng)管們可以使用VPN替代那些昂貴的租用線路來(lái)實(shí)現(xiàn)屬下各個(gè)分支機(jī)構(gòu)的連接。VPN，為什么稱為虛擬網(wǎng)呢？這是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并不需要建立傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是采用架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式)、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)是在邏輯鏈路中傳輸。 20第一步：配置用作LDP路由器ID的環(huán)回接口。VPN技術(shù)在一般的路由器上可以實(shí)現(xiàn)，目前在防火墻、交換機(jī)、windows等軟件中也都支持VPN功能，所以現(xiàn)在VPN在企業(yè)中應(yīng)用十分廣泛。VPN作為一種降低成本的技術(shù)，其效果是立即且顯著的，主要體現(xiàn)在以下幾個(gè)方面：（1）移動(dòng)用戶長(zhǎng)途通信成本費(fèi)。這樣可以更加迅速捕捉到一些商業(yè)機(jī)會(huì)，建立起可靠的商業(yè)伙伴關(guān)系。VPN的安全、私有特點(diǎn)主要是利用加密技術(shù)和隧道技術(shù)來(lái)實(shí)現(xiàn)，如何因地制宜的使用各種VPN技術(shù)，做到性價(jià)比最高，是最重要的。根據(jù)用戶的是使用專線還是撥號(hào)上網(wǎng)，VPN接入分為：專線接入和撥號(hào)接入。（1）接入VPN：這是企業(yè)員工出差或企業(yè)的分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。（3）撥號(hào)VPN業(yè)務(wù)（VPDN）：這個(gè)是按接入方式劃分的，因?yàn)楹茈y明確VPDN究竟屬于哪一層。 采用VPN的理由相對(duì)于企業(yè)對(duì)網(wǎng)絡(luò)設(shè)計(jì)的要求，最好使用VPN，有以下理由：（1）與向運(yùn)營(yíng)商租用專線或者搭建專線對(duì)比，使用VPN是可以達(dá)到專線效果但比專線節(jié)省大量費(fèi)用的一種最優(yōu)技術(shù)手段；（2）專線的使用很大程度地制約了網(wǎng)絡(luò)的靈活性，而使用VPN可以很好的彌補(bǔ)這一點(diǎn)；（3）使用QoS的VPN服務(wù)通過(guò)配置隊(duì)列的優(yōu)先級(jí)可以控制不同類型的數(shù)據(jù)流量，對(duì)于服務(wù)質(zhì)量可以有很大的改善，對(duì)企業(yè)內(nèi)部的管理有很大的幫助。VRF表——與客戶相關(guān)的路由表實(shí)例。骨干網(wǎng)核心路由器P負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，其不與CE直接相連。RT使用了BGP中擴(kuò)展團(tuán)體屬性來(lái)用于路由信息的分發(fā)，同時(shí)其具有全局惟一性，同一個(gè)RT只能被一個(gè)VPN所使用，它分成Import RT和Export RT，分別用于路由信息的導(dǎo)入策略和導(dǎo)出策略。CEPE路由器之間通過(guò)采用靜態(tài)/默認(rèn)路由或采用ICP(RIPvOSPF)等動(dòng)態(tài)路由協(xié)議。以上就是MPLS VPN路由傳送的原理。數(shù)據(jù)源驗(yàn)證：驗(yàn)證Ipsec vpn的數(shù)據(jù)源。 IPSEC模式 Ipsec 定義了隧道模式和傳送模式兩種的運(yùn)行模式，它們對(duì)原始的IP包提供不同的保護(hù)能力。數(shù)據(jù)證書——它是由第三方CA給設(shè)備發(fā)數(shù)字證書。階段2也是一個(gè)強(qiáng)制的IKE階段，它是利用階段1協(xié)商同意的參數(shù)在兩個(gè)端點(diǎn)之間建立單向的SA。同步加密通常是用于大批量的加密需求。公鑰可以廣泛的發(fā)出，但是私鑰就必須的保密的。（3）企業(yè)網(wǎng)絡(luò)在進(jìn)行規(guī)劃設(shè)計(jì)時(shí)要注重考慮網(wǎng)絡(luò)的整體性價(jià)比，在考慮網(wǎng)絡(luò)的強(qiáng)度的同時(shí)要盡量節(jié)省公司資源，實(shí)現(xiàn)低成本，高效益的目的。圖65 計(jì)算idle值圖66 計(jì)算出idle值3. 確定好生成文件輸出目錄。B_PE (config)int lo0B_PE (configif)ip add B_PE (configif)exitP E2(config)int lo0BZ_PE (configif)ip add P E2(configif)exit第二步：?jiǎn)⒂肅EF，如果沒(méi)有在PE路由器上啟用CEF，MPLS將不能正常運(yùn)行。B_PE (config)ip vrf CE1PE1 **/定義VRFB_PE(configvrf)rd 2:1 **/定義RD值（區(qū)分不同公司使用相同路由）B_PE(configvrf)routetarget export 2:1 **/定義RT值 （負(fù)責(zé)路由的導(dǎo)入和導(dǎo)出）B_PE(configvrf)routetarget import 2:1BZ_PE (config)ip vrf CE2PE2BZ_PE(configvrf)rd 2:1BZ_PE(configvrf)routetarget export 2:1BZ_PE(configvrf)routetarget import 2:1第八步：配置VRF接口，將其同VRF關(guān)聯(lián)起來(lái)。這樣B中私網(wǎng)地址就能夠傳到BZ中。圖624 EIRGP路由表至此，本設(shè)計(jì)中MPLS網(wǎng)絡(luò)就搭建成功。C(config)crypto isakmp key 0 sf address **/配置預(yù)共享密鑰CZ(config)crypto isakmp key 0 sf address **//配置預(yù)共享密鑰第二步：配置IKE策略示例。C(config)crypto map CE3TOCE4 10 IPsecIsakmp **//設(shè)置靜態(tài)加密圖C(configcryptomap)set peer **//設(shè)置對(duì)等體C(configcryptomap)match address 170 **//匹配感興趣流C(configcryptomap)set transformset set10 **//設(shè)置變換集C(configcryptomap)exitCZ(config)crypto map CE3TOCE4 20 IPsecIsakmp CZ(configcryptomap)set peer CZ(configcryptomap)match address 160 CZ(configcryptomap)set transformset set20 CZ(configcryptomap)exit第六步：將加密映射表應(yīng)用于外部接口C(config)int s0/0 **//進(jìn)入接口C(configif)crypto map CE3TOCE4 **//把密碼圖應(yīng)用到接口上C(configif)exitCZ(config)int s0/0 **//進(jìn)入接口CZ(configif)crypto map CE3TOCE4 **//把密碼圖應(yīng)用到接口上CZ(configif)exitC(config)ip route **//做一條默認(rèn)路由CZ(config)ip route **//做一條默認(rèn)路由C路由器和CZ路由器分別模擬C公司和C子公司，下面測(cè)試兩者間的數(shù)據(jù)通信情況：630測(cè)試連通性如果單單使用PING 是不能同的因?yàn)樗皇锹酚善魃系母信d趣流。而MPLS VPN是向運(yùn)營(yíng)商租用專線，所以它的費(fèi)用是相對(duì)較高，比較適用于一些大中型的公司，經(jīng)常用來(lái)傳輸一些較重要寶貴的企業(yè)內(nèi)部數(shù)據(jù)。能師從張老師，我為自己