【正文】 圖623 MPIBGP拓撲圖在B_PE上查看EIGRP的路由表，發(fā)現(xiàn)器能夠學習到BZ_PE上的路由，說明在ISP內部能夠實現(xiàn)了全互聯(lián)。P (config)ip cef **在全局模式下運行MPLS 第三步：在核心接口上配置MPLS。第一步：配置用作LDP路由器ID的環(huán)回接口。 B_PE(config)router rip **/在路由器上啟用RIPB_PE(config)version 2B_PE(configrouter)addressfamily ipv4 vrf CE1PE1B_PE(configrouteraf)redistribute Bgp 100 metric transparent **/重分布BGP路由到RIP中B_PE(configrouteraf)network BZ_PE(config)router rip BZ_PE(config)version 2BZ_PE (configrouter)addressfamily ipv4 vrf CE2PE2BZ_PE E(configrouteraf)redistribute Bgp 100 metric transparent BZ_PE (configrouteraf)network 在查看VPNV4路由是否到達時，同樣通過show ip bgp 是沒有內容的，需要用show ip bgp vpnv4 all 來查看收到的VPNV4路由。B的路由要想通過B_PE傳到BZ中，因為原來BB_PE中的路由是導入到VRF中的，所以想要把VRF中的路由導入到公網(wǎng)中，這時就需要重分發(fā)的技術，這時要做雙向的重分發(fā)，這樣B中的私網(wǎng)地址就可以重分布到BGP中，再經(jīng)過MPLS網(wǎng)絡，到達BZ_PE上，這樣一路傳遞下去，然后再重分布到RIP 中。 圖621顯示同B直連的路由信息第九步：配置PECE路由選擇協(xié)議并將客戶路由重發(fā)到了MPBGP中PECE路由選擇協(xié)議的配置使用RIP第2版，大部分配置是在IPv4地址家族下完成的。B_PE(config)int s0/1 B_PE(configif)ip vrf Forwarding CE1PE1 **/把vrf關聯(lián)到接口上B_PE(config)int s0/0B_PE(configif)ip add BZ_PE(config)int s0/2 BZ_PE(configif)ip vrf Forwarding CE2PE2BZ_PE(config)int s0/1BZ_PE (configif)ip add 當配置完VRF時，再查看B_PE路由表。在把VRF關聯(lián)到接口上面去的時候，原先接口配置的地址信息會消失。圖619 查看BGP鄰居第七步：配置VRF實例B_PE端，由于B_PE端連接的兩個CE端B和C，為了避免兩個客戶端使用同一個私有網(wǎng)段地址，傳到B_PE中的產(chǎn)生沖突，需要在B_PE上為不同的客戶端定義一個VRF。B_PE(config)router bgp 100 **/運行BGP協(xié)議B_PE(configrouter)no autosummary **/關閉自動匯總B_PE(configrouter)neighbor remoteas 100 **/指定鄰居B_PE(configrouter)neighbor updatesource loopback 0 **/指定更新源為環(huán)回口BZ_PE(config)router bgp 100BZ_PE(configrouter)no autosummary BZ_PE(configrouter)neighbor remoteas 100 BZ_PE(configrouter)neighbor updatesource loopback 0第六步：激活MPBGP鄰居MPBGP用于在PE路由器之間交換VPN路由，必須在VPNV4地址家族下激活VPNV4地址家族下激活MPBGP路由交換。B_PE:B_PE(config)router eigrp 100 **/運行EIGRP協(xié)議B_PE(configrouter)no autosummary **/關閉自動匯總B_PE(configrouter)network B_PE(configrouter)network BZ_PE:BZ_PE(config)router eigrp 100BZ_PE(configrouter)no autosummary BZ_PE(configrouter)network BZ_PE(configrouter)network 第五步：配置全局的BGP參數(shù)MPBGP用于跨越MPLS VPN主干在PE路由器之間通告客戶路由。B_PE(config)ip cef **在全局模式下運行MPLSBZ_PE(config)ip cef 第三步：在核心接口上配置MPLS。在CE端運行RIP協(xié)議第2版，然后把其直連的網(wǎng)段加入到這個協(xié)議中B(config)router rip **/運行路由RIP協(xié)議B(configrouter)no autosummary **/關閉自動匯總B(configrouter)version 2 **/修改RIP的版本號B(configrouter)network **/把網(wǎng)段加入的協(xié)議B(configrouter)network BZ(config)router rip BZ(configrouter)no autosummary BZ(configrouter)version 2 BZ(configrouter)network BZ(configrouter)network 配置PE路由器PE路由器的配置比CE 路由器復雜得多，本設計中關于PE路由器的配置涉及的9個步驟如下：第一步：配置環(huán)回接口，以用作BGP更新源和LDP路由器ID。惟一的限制是，當前在CE路由器和PE路由器之間使用的路由選擇協(xié)議必須是RIP第2版，EIGRP、OSPF或EBGP。完成后，在之前設置的路徑的文件夾中找到7個后綴名為bat的文件，都打開后就可對其進行配置了。圖67選定文件生成目錄4. 配置各臺路由器的接口和型號。圖64 設備選型2. 選擇計算idle值，確定，把結果填入idle值選項框。詳細配置表設備名稱區(qū)域IP地址備注Cisco 3640BS0/0模擬客戶端接入路由Cisco 3640BZS0/1模擬客戶端接入路由Cisco 3640B_PES0/0ISP與B相連接口S0/2ISP與C相連接口S0/1與ISP內部相連地址Cisco 3640PS0/1與B_PE相連接口S0/0與BZ_PE相連接口Cisco 3640BZ_PES0/0與ISP內部相連接口S0/1與BZ相連接口S0/2與CZ相連接口Cisco 3640CS0/2模擬客戶端接入路由Cisco 3640CZS0/2模擬客戶端接入路由表61圖62總拓撲圖圖63模擬實驗圖說明：由于使用模擬器來模擬真實拓撲，由于計算機一次無法啟用太多的設備，因此對于一些對于本課題不是很重要的設備被省略掉了，主要進行VPN配置。（2）C公司與旗下分公司之間使用Ipsec VPN實現(xiàn)，加以ACL與NAT進行完善，同時配備防火墻以保證數(shù)據(jù)的安全性。 組網(wǎng)方案規(guī)劃 租用專線與使用VPN成本對比（1）租用專線費用如下所示：圖61 租用專線費用（2）使用VPN技術不用申請專線，只需要原有的公網(wǎng)基礎以及現(xiàn)有的路由器即可，可以大大節(jié)省開支費用。另外，網(wǎng)絡安全問題應該擺在第一位， （2）公司總部同其子公司或者合作伙伴之間的網(wǎng)絡應選擇擴展性高，靈活性強的網(wǎng)絡連接類型。另外，現(xiàn)在很多企業(yè)都有自己的合作伙伴，合作伙伴之間的VPN網(wǎng)絡需要有很高的靈活性，使用VPN技術可以做到簡單快捷的與合作伙伴建立聯(lián)系，真正實現(xiàn)想連就連，想斷就斷。傳統(tǒng)的方法有專線連接、IP地址直接訪問、撥號連接、無線傳輸?shù)?，可是它們不是費用高昂，就是功能單一，而且還有可能存在安全隱患。對于數(shù)據(jù)簽名來講，這兩種密鑰的用途卻是相反的，公鑰是用來解密和驗證簽名的，而私鑰是用來簽署消息的哈希值。 異步加密算法異步加密算法是使用不同的密鑰進行加密和解密，加密的密鑰稱為公鑰（public key），用于加密的密鑰不能夠用于解密，用于解密的密鑰稱為私鑰（private key）。3DES：它使用的是三個不同的56bit密鑰（DES加密、DES解密、DES加密）用來創(chuàng)建密文。是當前同步加密的選擇，這個密鑰長度是按64比特進行遞增。常見的同步加密算法主要有DES、3DES和AES。這種加密算法主要用在20世紀70年代中期。 同步加密同步加密算法又稱為秘密密鑰加密技術，它需要使用同一個秘密密鑰來進行加密和解密。這樣子一來，加密后的數(shù)據(jù)只能夠被有解密能力的人讀取。換而言之，就是每個方向都要使用獨立的密鑰素材。IKE進程可以分為兩個階段，階段1是一個強制的IKE階段，它是建立在對等體之間一個雙向的SA，即兩個對等體的哈希、加密、組等都要相同，否則對等體之間就無法建立IPSEC連接，緊接著，這個階段還要執(zhí)行對等體的驗證。 IKE（Internet 密鑰交換）IKE協(xié)議是一種動態(tài)更改Ipsec 密鑰和參數(shù)的機制，通過自動的交換機制和密鑰的更新來防止Ipsec會話被攻擊。OTP（一次性密碼）——一般都是以TAN或PIN的方式來識別。證書被發(fā)放到設備，需要驗證設備的時候向第三方提交證書，然后由第三方進行檢查，通過了就驗證成功。 下面舉出5種方法可以驗證IPSEC對等體：用戶名和密碼——在端點配置他們，但是因為用戶名和密碼是經(jīng)常使用的，所以這個驗證方法安全性不高。圖51 vpn通道Ip幀/包 L2頭部IP頭部TCP/UDP頭部有效負載表51AH傳輸模式封裝原始IP報頭驗證報頭（AH）有效負載表52AH隧道模式封裝新IP報頭驗證報頭（AH）原始IP報頭有效負載表53ESP傳輸模式封裝原始IP報頭封裝安全有效負載（ESP）報頭有效負載ESP報尾ESP驗證數(shù)據(jù)表54ESP隧道模式封裝新IP報頭封裝安全有效負載（ESP）報頭原始IP報頭有效負載ESP報尾ESP驗證數(shù)據(jù)表55 對等體驗證Ipsec對數(shù)據(jù)進行加密防止數(shù)據(jù)在途中被竊取和修改，保護傳送過程中的數(shù)據(jù)，但是首先VPN端點要能夠對對方端點的進行確認，否則就談不上數(shù)據(jù)包的保密了。在數(shù)據(jù)包穿過非受信的網(wǎng)絡時，包中的數(shù)據(jù)其實是安全的，因為網(wǎng)絡中只能看到通信方的真實IP地址。傳送模式就是僅僅把Ipsec頭部插在IP包中時。AH和ESP都是利用HMAC（基于哈希的報文驗證）來進行完整性檢查和驗證的。AES 高級數(shù)據(jù)加密標準DES（數(shù)據(jù)加密標準）：是一種應用很廣泛的傳統(tǒng)的加密方式。 Ipsec協(xié)議Ipsec 提供了兩種安全協(xié)議，為IPSec對等體之間傳輸?shù)腎P數(shù)據(jù)流提供安全服務：ESP（Encapsulating Security Payload）封裝安全有效負載AH（Authentication Header）驗證報頭 (1) ESP 是為IPSEC提供數(shù)據(jù)機密性、源驗證、完整性等特性一種體系框架。它不能夠單