【正文】 neighbor remoteas 100 **/指定鄰居B_PE(configrouter)neighbor updatesource loopback 0 **/指定更新源為環(huán)回口BZ_PE(config)router bgp 100BZ_PE(configrouter)no autosummary BZ_PE(configrouter)neighbor remoteas 100 BZ_PE(configrouter)neighbor updatesource loopback 0第六步：激活MPBGP鄰居MPBGP用于在PE路由器之間交換VPN路由，必須在VPNV4地址家族下激活VPNV4地址家族下激活MPBGP路由交換。惟一的限制是，當前在CE路由器和PE路由器之間使用的路由選擇協(xié)議必須是RIP第2版，EIGRP、OSPF或EBGP。詳細配置表設備名稱區(qū)域IP地址備注Cisco 3640BS0/0模擬客戶端接入路由Cisco 3640BZS0/1模擬客戶端接入路由Cisco 3640B_PES0/0ISP與B相連接口S0/2ISP與C相連接口S0/1與ISP內部相連地址Cisco 3640PS0/1與B_PE相連接口S0/0與BZ_PE相連接口Cisco 3640BZ_PES0/0與ISP內部相連接口S0/1與BZ相連接口S0/2與CZ相連接口Cisco 3640CS0/2模擬客戶端接入路由Cisco 3640CZS0/2模擬客戶端接入路由表61圖62總拓撲圖圖63模擬實驗圖說明：由于使用模擬器來模擬真實拓撲，由于計算機一次無法啟用太多的設備，因此對于一些對于本課題不是很重要的設備被省略掉了，主要進行VPN配置。另外，現(xiàn)在很多企業(yè)都有自己的合作伙伴，合作伙伴之間的VPN網(wǎng)絡需要有很高的靈活性，使用VPN技術可以做到簡單快捷的與合作伙伴建立聯(lián)系，真正實現(xiàn)想連就連，想斷就斷。3DES：它使用的是三個不同的56bit密鑰（DES加密、DES解密、DES加密）用來創(chuàng)建密文。 同步加密同步加密算法又稱為秘密密鑰加密技術，它需要使用同一個秘密密鑰來進行加密和解密。 IKE（Internet 密鑰交換）IKE協(xié)議是一種動態(tài)更改Ipsec 密鑰和參數(shù)的機制，通過自動的交換機制和密鑰的更新來防止Ipsec會話被攻擊。圖51 vpn通道Ip幀/包 L2頭部IP頭部TCP/UDP頭部有效負載表51AH傳輸模式封裝原始IP報頭驗證報頭（AH）有效負載表52AH隧道模式封裝新IP報頭驗證報頭（AH）原始IP報頭有效負載表53ESP傳輸模式封裝原始IP報頭封裝安全有效負載（ESP）報頭有效負載ESP報尾ESP驗證數(shù)據(jù)表54ESP隧道模式封裝新IP報頭封裝安全有效負載（ESP）報頭原始IP報頭有效負載ESP報尾ESP驗證數(shù)據(jù)表55 對等體驗證Ipsec對數(shù)據(jù)進行加密防止數(shù)據(jù)在途中被竊取和修改，保護傳送過程中的數(shù)據(jù)，但是首先VPN端點要能夠對對方端點的進行確認，否則就談不上數(shù)據(jù)包的保密了。AES 高級數(shù)據(jù)加密標準DES（數(shù)據(jù)加密標準）：是一種應用很廣泛的傳統(tǒng)的加密方式。Ipsec 無法將其業(yè)務擴展到數(shù)據(jù)鏈路層，只能夠保護IP層以上的數(shù)據(jù)。當VPN分組被打上兩層標簽后，再通過PE輸出接口轉發(fā)出去，然后在MPLS骨干網(wǎng)絡中沿著LSP被逐級轉發(fā)下去。 可以通過對Import RT和Export RT的進行適當?shù)呐渲?，運營商可以構建不同拓撲類型的VPN網(wǎng)絡。VPNv4地址只用于骨干網(wǎng)絡上路由信息的分發(fā)，它對客戶端來說是不可預見性的。MPLS提供商的P路由器對于CE路由器是不可見的，所有路由重分發(fā)操作以及MPLS相關的其他操作都是由PE路由器完成的，而它對于站點的CE路由器是完全透明的。CE 路由器—— 客戶端路由器，直連在PE路由器上。一個可靠的企業(yè)網(wǎng)絡可以為企業(yè)帶來無法衡量的利益，反之則有可能對公司帶來不可估量的損失。 按VPN業(yè)務層次模型劃分這是根據(jù)ISP向用戶提供的VPN服務工作在第幾層來劃分的，而不是根據(jù)隧道協(xié)議工作在哪一層劃分的。上兩種類型區(qū)分在于用戶數(shù)據(jù)在協(xié)議棧的哪一層被封裝，其中L2TP主要用于實現(xiàn)撥號VPN業(yè)務但也可以用于實現(xiàn)專線VPN業(yè)務，GRE、IPSec和MPLS主要用于實現(xiàn)專線VPN業(yè)務，這些協(xié)議之間本身是不沖突的，可以結合起來使用。不同的運營商在開展VPN業(yè)務時也推出了不同的分類方式，他們主要從它們業(yè)務的角度劃分而用戶也有它們自己的的劃分方法它們是根據(jù)自己的的需求進行劃分。 VPN技術目前存在的問題 由于VPN是利用現(xiàn)有的公共網(wǎng)，搭建的是邏輯線路，并不是真實的專線，實質是利用特殊的加密技術實現(xiàn)專線的效果，因此它不可能做到專線那樣絕對安全。一個企業(yè)想要擴大原有的VPN的容量和覆蓋的范圍，只要與新的運營商簽約建立新的賬戶，就可以擴大服務范圍。網(wǎng)管們可以使用VPN替代那些昂貴的租用線路來實現(xiàn)屬下各個分支機構的連接。VPN，為什么稱為虛擬網(wǎng)呢？這是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并不需要建立傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是采用架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如Internet、ATM(異步傳輸模式)、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)是在邏輯鏈路中傳輸。 20第一步：配置用作LDP路由器ID的環(huán)回接口。VPN技術在一般的路由器上可以實現(xiàn)，目前在防火墻、交換機、windows等軟件中也都支持VPN功能，所以現(xiàn)在VPN在企業(yè)中應用十分廣泛。VPN作為一種降低成本的技術，其效果是立即且顯著的，主要體現(xiàn)在以下幾個方面：（1）移動用戶長途通信成本費。這樣可以更加迅速捕捉到一些商業(yè)機會，建立起可靠的商業(yè)伙伴關系。VPN的安全、私有特點主要是利用加密技術和隧道技術來實現(xiàn)，如何因地制宜的使用各種VPN技術，做到性價比最高，是最重要的。根據(jù)用戶的是使用專線還是撥號上網(wǎng)，VPN接入分為：專線接入和撥號接入。（1）接入VPN：這是企業(yè)員工出差或企業(yè)的分支機構通過公網(wǎng)遠程訪問企業(yè)內部網(wǎng)絡的VPN方式。（3）撥號VPN業(yè)務（VPDN）：這個是按接入方式劃分的，因為很難明確VPDN究竟屬于哪一層。 采用VPN的理由相對于企業(yè)對網(wǎng)絡設計的要求，最好使用VPN，有以下理由：（1）與向運營商租用專線或者搭建專線對比，使用VPN是可以達到專線效果但比專線節(jié)省大量費用的一種最優(yōu)技術手段；（2）專線的使用很大程度地制約了網(wǎng)絡的靈活性，而使用VPN可以很好的彌補這一點；（3）使用QoS的VPN服務通過配置隊列的優(yōu)先級可以控制不同類型的數(shù)據(jù)流量，對于服務質量可以有很大的改善，對企業(yè)內部的管理有很大的幫助。VRF表——與客戶相關的路由表實例。骨干網(wǎng)核心路由器P負責快速轉發(fā)數(shù)據(jù)，其不與CE直接相連。RT使用了BGP中擴展團體屬性來用于路由信息的分發(fā)，同時其具有全局惟一性，同一個RT只能被一個VPN所使用，它分成Import RT和Export RT，分別用于路由信息的導入策略和導出策略。CEPE路由器之間通過采用靜態(tài)/默認路由或采用ICP(RIPvOSPF)等動態(tài)路由協(xié)議。以上就是MPLS VPN路由傳送的原理。數(shù)據(jù)源驗證：驗證Ipsec vpn的數(shù)據(jù)源。 IPSEC模式 Ipsec 定義了隧道模式和傳送模式兩種的運行模式，它們對原始的IP包提供不同的保護能力。數(shù)據(jù)證書——它是由第三方CA給設備發(fā)數(shù)字證書。階段2也是一個強制的IKE階段，它是利用階段1協(xié)商同意的參數(shù)在兩個端點之間建立單向的SA。同步加密通常是用于大批量的加密需求。公鑰可以廣泛的發(fā)出，但是私鑰就必須的保密的。（3）企業(yè)網(wǎng)絡在進行規(guī)劃設計時要注重考慮網(wǎng)絡的整體性價比，在考慮網(wǎng)絡的強度的同時要盡量節(jié)省公司資源，實現(xiàn)低成本，高效益的目的。圖65 計算idle值圖66 計算出idle值3. 確定好生成文件輸出目錄。B_PE (config)int lo0B_PE (configif)ip add B_PE (configif)exitP E2(config)int lo0BZ_PE (configif)ip add P E2(configif)exit第二步：啟用CEF，如果沒有在PE路由器上啟用CEF，MPLS將不能正常運行。B_PE (config)ip vrf CE1PE1 **/定義VRFB_PE(configvrf)rd 2:1 **/定義RD值（區(qū)分不同公司使用相同路由）B_PE(configvrf)routetarget export 2:1 **/定義RT值 （負責路由的導入和導出）B_PE(configvrf)routetarget import 2:1BZ_PE (config)ip vrf CE2PE2BZ_PE(configvrf)rd 2:1BZ_PE(configvrf)routetarget export 2:1BZ_PE(configvrf)routetarget import 2:1第八步：配置VRF接口，將其同VRF關聯(lián)起來。這樣B中私網(wǎng)地址就能夠傳到BZ中。圖624 EIRGP路由表至此，本設計中MPLS網(wǎng)絡就搭建成功。C(config)crypto isakmp key 0 sf address **/配置預共享密鑰CZ(config)crypto isakmp key 0 sf address **//配置預共享密鑰第二步：配置IKE策略示例。C(config)crypto map CE3TOCE4 10 IPsecIsakmp **//設置靜態(tài)加密圖C(configcryptomap)set peer **//設置對等體C(configcryptomap)match address 170 **//匹配感興趣流C(configcryptomap)set transformset set10 **//設置變換集C(configcryptomap)exitCZ(config)crypto map CE3TOCE4 20 IPsecIsakmp CZ(configcryptomap)set peer CZ(configcryptomap)match address 160 CZ(configcryptomap)set transformset set20 CZ(configcryptomap)exit第六步：將加密映射表應用于外部接口C(config)int s0/0 **//進入接口C(configif)crypto map CE3TOCE4 **//把密碼圖應用到接口上C(configif)exitCZ(config)int s0/0 **//進入接口CZ(configif)crypto map CE3TOCE4 **//把密碼圖應用到接口上CZ(configif)exitC(config)ip route **//做一條默認路由CZ(config)ip route **//做一條默認路由C路由器和CZ路由器分別模擬C公司和C子公司，下面測試兩者間的數(shù)據(jù)通信情況：630測試連通性如果單單使用PING 是不能同的因為它不是路由器上的感興趣流。而MPLS VPN是向運營商租用專線，所以它的費用是相對較高，比較適用于一些大中型的公司，經(jīng)常用來傳輸一些較重要寶貴的企業(yè)內部數(shù)據(jù)。能師從張老師，我為自己