【正文】 端 IP地址相同。 5． 應(yīng)用 Crypto Map到端口 注意：在端口上只能應(yīng)用一種 crypto map，所以要將三個 crypto map綜合到一起，并配置同樣的 名稱 mapall。 圖 411 R5 的具體配 置 21 R6 的具體配置如 R5 一樣，我也用圖片的方式為大家介紹，如圖 412 所示。所有 PC的網(wǎng)管均用該網(wǎng)段 IP地址的最后一位 （注意寫法： “ipaddress ipgateway /子網(wǎng)掩碼 ”如圖 413 所示。然而 IPv4 本身并不具備安全特性，很容易便可偽造出 IP包的地址、修改其內(nèi)容、重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容。 從 IPSec協(xié)議族來看， IPSec的實現(xiàn)重點是 Inter密鑰交換 IKE和安全策略系統(tǒng)，這兩個技術(shù)的實現(xiàn)決定了 IPSec實現(xiàn)是否完善和標(biāo)準(zhǔn)。 圖 51 ping分部主機的 IP地址 然后我們 在 上海分部主機 PC4 上面來 ping公網(wǎng)的 IP地址， 如圖結(jié)果 可以看出 主機和上海分公司之間是不能 ping通的 ，因為公網(wǎng)對于 VPN來說只是一條透明的鏈路而已 ，如圖 52 所示。（注意：對等實體兩端是一樣的） 如圖 53所示。 圖 54 查看 IPSec的工作模式 使用 show crypto map 顯示所有配置在路由器上的 Crypto Map，便于更詳細(xì)的查看 ，如圖 55 所示?？?戶對信息系統(tǒng)的應(yīng)用相對于同行比較超前， OA、語音等系統(tǒng)需要實時的數(shù)據(jù)交換，而且數(shù)據(jù)的交換量較大，依靠原有的網(wǎng)絡(luò)連接，經(jīng)常會帶來數(shù)據(jù)堵塞，速度太慢，系統(tǒng)不能真正的發(fā)揮效益。 隨著業(yè)務(wù)的不斷發(fā)展，客戶為改造現(xiàn)有語音數(shù)據(jù)綜合通信網(wǎng)絡(luò)并配合即將上馬的企業(yè) ERP系統(tǒng)的應(yīng)用，需要與多個分支機構(gòu)的業(yè)務(wù)點相互連接， 建立一個單獨的靈活的符合企業(yè)運用要求的通達全球的數(shù)據(jù)通信網(wǎng)絡(luò)，保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩?，并能獲得優(yōu)良的網(wǎng)絡(luò)服務(wù)質(zhì)量保證。 N E 1 6 ( P E A )1 2 2 . 1 1 0 . 1 3 3 . 2N E 8 0 ( P )1 2 2 . 1 1 0 . 1 3 3 . 3N E 1 6 ( P E B )1 2 2 . 1 1 0 . 1 3 3 . 3C E AC E BE 1 1 0 . 0 . 5 . 1 / 2 4E 0 1 7 2 . 1 6 . 0 . 1 0 / 3 0E 1 1 0 . 0 . 3 1 / 2 4E 3 / 2 / 01 9 2 . 1 6 8 . 0 . 1 7 / 3 0E 1 / 0 / 31 9 2 . 1 6 8 . 0 . 1 8 / 3 0E 1 / 0 / 11 9 2 . 1 6 8 . 0 . 1 4 / 3 9E 3 / 3 / 01 9 2 . 1 6 8 . 0 . 1 3 / 3 0E 2 / 2 / 01 7 2 . 1 6 . 0 . 5 / 3 0E 0 1 7 2 . 1 6 . 0 . 6 / 3 0E 2 / 2 / 01 7 2 . 1 6 . 0 . 9 / 3 0北 京 總 部深 圳 分 部 圖 61 MPSL VPN網(wǎng)絡(luò)拓?fù)鋱D 關(guān)鍵配置代碼 1． PEA路由器配置 27 router id mpls lsr id //配置 mpls lsr id此處用和 router id一致的Loopback地址 ! mpls ldp //啟動 MPLS LDP協(xié)議 ! ip vrf vpntest //配置 vrf，其中 vpntest為 vrf名稱 rd 100:1 //rd為標(biāo)識符，結(jié)構(gòu)為自治系統(tǒng)編號： VPN站點編號 routetarget export 100:1 routetarget import 100:1 ! interface Ether2/2/0 description TO_RouterCEA ip vrf forwarding vpntest //VPN 站點連接 CE路由器接口 啟動 vrf forwarding ip address interface Ether3/2/0 description TO_RouterNE80_P ip address mpls ldp enable //與 P路由器連接的接口 啟動 MPLS LDP協(xié)議 ! interface LoopBack7/0/0 ip address ! router bgp 100 //配置 BGP協(xié)議 ! addressfamily ipv4 vrf vpntest //此模式為配置 EBGP和 CE路由器通過BGP協(xié)議來傳遞 VPN站點的路由 redistribute static redistribute connected no synchronization neighbor remoteas 65000 28 exitaddressfamily ! addressfamily vpnv4 //此模式為配置 vpnv4 iBGP路由，用于在 PE之間傳播 MBGP VPN路由 no synchronization neighbor remoteas 100 neighbor nexthopself neighbor updatesource LoopBack7/0/0 exitaddressfamily ! router ospf //PE、 P路由器路由通過 IGP路由協(xié)議傳播 work area redistribute static redistribute connected 2． 配置 NE80 作為 P路由器只做標(biāo)簽轉(zhuǎn)發(fā) router id mpls lsr id mpls ldp ! interface Ether1/0/1 description TO_RouterPEB negotiation auto no shutdown ip address mpls ldp enable //與 PEB路由器連接的接口啟動 MPLS LDP協(xié)議 ! interface Ether1/0/3 description TO_RouterPEA negotiation auto no shutdown ip address 29 mpls ldp enable //與 PEA路由器連接的接口啟動 MPLS LDP協(xié)議 ! interface LoopBack0 ip address ! router ospf work area redistribute connected redistribute static 3． CEA路由器配置（ VPN用戶路由器） router id interface Ether0 //用于和 PEA路由器連接 speed auto duplex auto no loopback ip address ! interface Ether1 //接入 VPN用戶局域網(wǎng) speed auto duplex auto no loopback ip address ! router bgp 65000 //配置 EBGP路由，與 PE路由器之間傳遞 VPN用戶路由 redistribute static redistribute connected neighbor remoteas 100 ! 4． 配置 PEB路由器，和 CEB之間通過靜態(tài)路由互聯(lián) hostname PEB router id 30 mpls lsr id mpls ldp ! ip vrf vpntest rd 100:1 routetarget export 100:1 routetarget import 100:1 ! interface Ether12/2/0 //用于和 CEB路由器連接 ip vrf forwarding vpntest ip address ! interface Ether13/2/0 //用于和 P路由器連接 ip address mpls ldp enable ! interface LoopBack7/0/0 ip address ! router bgp 100 ! addressfamily ipv4 vrf vpntest redistribute static redistribute connected no synchronization exitaddressfamily ! addressfamily vpnv4 no synchronization neighbor remoteas 100 neighbor nexthopself neighbor updatesource LoopBack7/0/0 31 exitaddressfamily ! router ospf work area redistribute connected redistribute static ! ip route vrf vpntest preference 60 //配置到 CEB路由器 VPN用戶網(wǎng)段地址靜態(tài)路由 5． 配置 CEB路由器 interface Ether0 //與 PEB路由器對接 ip address interface Ether1 //接入 VPN用戶局域網(wǎng) ip address ip route preference 60 //配置一條默認(rèn)路由 IPSec VPN與 MPLS VPN的 對 比 分析 MPLS VPN是一種基于 MPLS(Multiprotocol Label Switc hing,多協(xié)議標(biāo)記交換 )技術(shù)的 IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用 MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的 IP虛擬專用網(wǎng)絡(luò)（ IP VPN），可用來構(gòu)造寬帶的 Intra、 Extra，滿足多種靈活的業(yè)務(wù)需求。 與 IPSec VPN比較， MPLS VPN有它優(yōu)越的一方面，但也并非處處完美。 1． 系統(tǒng)的可靠性 MPLS VPN是基于電信的網(wǎng)絡(luò)進行構(gòu)建的，它的穩(wěn)定性相當(dāng)高。 從可靠性來說， MPLS有很強的優(yōu)勢。 32 IPSec VPN是完全基于 Inter構(gòu)建的，因此它的可靠性依賴于兩個方面：線路的可靠性和設(shè)備的穩(wěn)定性。目前基于 IPSec的 VPN技術(shù)已經(jīng)成熟，很多產(chǎn)品的運行都能夠非常穩(wěn)定可靠。一旦某一條線路 出錯，可以使用其他備份線路接入 Inter。這一點，是 MPLS鏈路無法達到的。 另外， MPLS長期的租金累計起來，也不是一個小數(shù)目， 例如 512K的帶寬，每個月需要上千元到幾千元的網(wǎng)絡(luò)租用費，如果是國際鏈路，就會更加昂貴。采用 IPSec VPN，一次性設(shè)備投入比較大。 3． 接入方便性 MPLS VPN連接比較簡單，只要求客戶把客戶設(shè)備 (CE) 連接到運營商的網(wǎng)絡(luò)邊緣設(shè)備 (PE)就可以了，運營商同時負(fù)責(zé)二層的數(shù)據(jù)傳輸工作和三層的路由工作，這種三層 MPLS VPN對客戶的要求比較低，客戶負(fù)擔(dān)較小，但這種做法常見的問題就是接入的靈活性。而大型客戶往往在全國各地都有自己的分支機構(gòu)，如果寄希望這些分支機構(gòu)所在城市都有同一家運營商并且都提供 MPLS VPN的服務(wù)，顯然很不現(xiàn)實，特別是在偏遠地區(qū)和移動用戶。 IPSec VPN則是完全利用互聯(lián)網(wǎng)，做到了只要接入 Inter，就可以利用IPSEC VPN來組建企業(yè)自己的網(wǎng)絡(luò)。響應(yīng)市場變化的速度快捷，可以在現(xiàn)有的任何 IP網(wǎng)絡(luò) 上部 33 署。隨著電信“最后一公里”技術(shù)的實現(xiàn)， Inter真的做到了無處不在。 隨著業(yè)務(wù)的不斷發(fā)展，移動用戶和在家辦公的用戶也越來越多， VPN客戶端的支持也非常重要，使用 IPSec客戶端可以讓移動用戶隨時隨地都能夠跟企業(yè)內(nèi)部進行信息交換。 4． 安全性 MPLS VPN采用路由隔離、地址隔離等多種手段提供了抗攻擊和標(biāo)記欺騙的手段，因此人們認(rèn)為， MPLS VPN完全能夠提供與 FR/ATM 相類似的線路安全保證。例如在MPLS VPN傳遞數(shù)據(jù)，只是標(biāo)記了端點路由，對數(shù)據(jù)本身并不提供加密的防護手段。 IPSec VPN 的顯著特點就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。 5． 可管理性 由于 MPLS VPN通訊關(guān)系是由運營商指定的，用戶配置的靈活性并不高。 用于實現(xiàn)在 MPLS VPN上可治理的中心服務(wù)這些新的技術(shù)使第三層 MPLS VPN體系結(jié)構(gòu)更為簡單、