收藏 分享(赏)
下载资源 加入VIP,免费下载

CiscoASA-VPN配置.doc

上传人:精品资料 文档编号:9229019 上传时间:2019-07-30 格式:DOC 页数:800 大小:8.70MB
下载 相关 举报
CiscoASA-VPN配置.doc_第1页
第1页 / 共800页
CiscoASA-VPN配置.doc_第2页
第2页 / 共800页
CiscoASA-VPN配置.doc_第3页
第3页 / 共800页
CiscoASA-VPN配置.doc_第4页
第4页 / 共800页
CiscoASA-VPN配置.doc_第5页
第5页 / 共800页
点击查看更多>>
资源描述

1、 第 1 页共 800 页CiscoASA VPN 配置目录简述 3隧道技术(Tunnel) .5GRE(Generic Routing Encapsulation) 8概述 8配置 GRE.11GRE keepalive .27配置 GRE keepalive 28加密技术 41加密算法 41HMAC(Hashed Message Authentication Code) .44IPsec(IP Security) .45概述 45IKE(Internet Key Exchange) .47SA(Security Association) 50IKE Phase One .52IKE Pha

2、se Two.53IPsec Mode .54ESP(Encapsulating Security Protocol) 58AH(Authentication Header) .60Transform Set .62Crypto Map .62隧道分离(Split Tunneling) 63IPsec LAN-to-LAN VPN(LAN-to-LAN VPN) 63概述 63Router-to-Router LAN-to-LAN VPN.66Router-to-PIX LAN-to-LAN VPN.93Router-to-ASA LAN-to-LAN VPN .116IPsec Dynami

3、c LAN-to-LAN VPN(DyVPN) 138概述 138Router-to-Router Dynamic LAN-to-LAN VPN141Router-to-PIX Dynamic LAN-to-LAN VPN180Router-to-ASA Dynamic LAN-to-LAN VPN 182Point-to-Point (p2p) GRE over IPsec .185概述 185Static p2p GRE over IPsec .189Dynamic p2p GRE over IPsec 230第 2 页共 800 页Dynamic Multipoint VPN(DMVPN

4、) 256概述 256multipoint GRE (mGRE).257Next Hop Resolution Protocol (NHRP)260配置 DMVPN 267IPsec VPN Feature.320IPsec Dead Peer Detection(IPsec DPD) 320IPsec SA Idle Timer351IPsec Preferred Peer .373Reverse route injection (RRI) 393IPsec VPN High Availability .410Stateful Failover for IPsec .445NAT Trave

5、rsal( NAT-T) 484Easy VPN(EzVPN) .520概述 520EzVPN over Router525EzVPN over PIX562EzVPN over ASA 587SSL VPN(WebVPN ) .615概述 615SSL VPN over Router .619SSL VPN over ASA661PPTP VPN 695概述 695PPTP VPN over Router 697PPTP VPN over PIX 739L2TP VPN.760概述 760L2TP VPN over Router.762L2TP over IPsec on PIX 788L2

6、TP over IPsec on ASA.817第 3 页共 800 页简述当不同的远程网络通过 Internet 连接时,比如上海和北京的两个分公司通过Internet 连接时,网络之间的互访将会出现一些局限性,如下拓朴所示:在上图中,由于上海和北京的两个分公司内部网络分别使用了私有 IP 网段10.1.1.0 和 192.168.1.0,而私有 IP 网段是不能传递到 Internet 上进行路由的,所以两个分公司无法直接通过私网地址 10.1.1.0 和 192.168.1.0 互访,如 R2 无法直接通过访问私网地址 192.168.1.4 来访问 R4。在正常情况下,上图中两个分公司

7、要互访,可以在连接 Internet 的边界路由器上配置 NAT 来将私网地址转换为公网地址,从而实现两个私有网络的互访。但是在某些特殊需求下,两个分公司需要直接通过对方私有地址来访问对方网络,而不希望通过 NAT 映射后的地址来访问,比如银行的业务系统,某银行在全国都有分行,而所有的分行都需要访问总行的业务主机系统,但这些业务主机地址并不希望被 NAT 转换成公网地址,因为银行的主机不可能愿意暴露在公网之中,所以分行都需要直接通过私网地址访问总行业务主机;在此类需求的网络环境中,我们就必须要解决跨越 Internet 的网络与网络之间直接通过私有地址互访的问题。第 4 页共 800 页请再看

8、如下拓朴的网络环境:在上图的网络环境中,上海与北京两个分公司网络通过路由器直接互连,虽然两个公司的网络都是私有网段,但是两个网络是直连的,比如上海分公司的数据从本地路由器发出后,数据包直接就丢到了北京分公司的路由器,中间并没有经过任何第三方网络和设备,所以两个分公司直接通过对方私有地址互访没有任何问题。由上图环境可知,只要两个网络直接互连而不经过任何第三方网络,那么互连的网络之间可以通过真实地址互访,而无论其真实地址是公网还是私网。例如上海与北京这样的远距离网络要直连从而实现直接通过私有地址互访,要在公司之间自行铺设网络电缆或光纤是完全不可能的,可以选择的替代方法就是向 ISP 申请租用线路,

9、这样的租用线路称为专线,专线是 ISP 直接将两个公司连接起来的线路,完全是公司与公司的路由器直连,用户不会感觉到 Internet 的存在,所以通过租用ISP 专线连接的网络之间可以直接通过对方私有地址进行互访。至于 ISP 的专线是如何实现的,您不必担忧,通常是使用二层技术实现的,但是专线的租用价格是相当昂贵的,有时是根据距离和带宽收费的,所以在某些时候,在公司之间通过租用 ISP 专线连接的成本可能无法承受,因此,人们尝试着使用网络技术让跨越Internet 的网络模拟出专线连接的效果,这种技术,就是隧道技术(Tunnel) ,也是当前很常见的 VPN(Virtual Private N

10、etwork)技术,本文将全力解述 VPN 技术,需要强烈说明,如果不能实现隧道功能的 VPN,不能称为 VPN。隧道技术(Tunnel)由于在某些环境下,通过 Internet 连接的远程网络之间,双方需要直接使用对方私有 IP 地址来互访,而私有 IP 网段是不能传递到 Internet 上进行路由的,在数据包封装为私有 IP 发到 Internet 之后,由于 Internet 的路由器没有私有 IP 网段,所以最终数据包将全部被丢弃而不能到达真正目的地。如下图:第 5 页共 800 页上图中,上海分公司要访问北京分公司的 R4,如果通过将数据包目的 IP 封装为 192.168.1.4

11、,该数据包到达 Internet 后是会被丢弃的,因为 Internet 没有192.168.1.0 的路由,所以数据包也就不可能到达北京分公司的路由器;从图中我们不难发现,除非数据包的目的 IP 为 200.1.1.1,才能到达北京分公司的路由器,否则别无它法,所以上海公司发出去的数据包的目标 IP 只有封装为 200.1.1.1 才能到达北京分公司的路由器 R3,既然如此,我们就思考着想办法将数据包原来的私有 IP 地址先隐藏起来,在外部封装上公网 IP,等数据包通过公网 IP 被路由到该 IP的路由器后,再由该路由器剥除数据包外层的公网 IP,从而发现数据包的私有 IP后,再通过私有 I

12、P 将数据包发到真正的目的地。可以肯定,完成数据包封装与解封装的路由器必须既能与 Internet 直接通信,也能与私有网络通信。在上图中,上海分公司的 R2 要想直接通过私有 IP 地址 192.168.1.4 与北京分公司的 R4 通信,在数据包的目标 IP 封装为 192.168.1.4 发到路由器 R1 之后, R1 就必须将整个数据包当成数据,然后在该数据包的外层再次将北京分公司路由器 R3 的公网 IP 地址200.1.1.1 写上,然后发到 Internet,Internet 根据数据包的公网 IP 地址 200.1.1.1 将数据包路由到 R3,然后 R3 将数据包的公网 IP

13、 剥除后,看见私有 IP 地址192.168.1.4,然后再根据该地址将数据包发到 R4,最终实现了上海分公司通过私有 IP 地址 192.168.1.4 访问北京分公司网络的功能。上个例子中,通过在目标 IP 为私有 IP 的数据包外面封装公网 IP,从而实现远程网络之间使用私有 IP 通信的技术,称为隧道技术,由此可见,在隧道中传递的数据包至少包含着两个 IP 包头(两个 IP 地址) ,最外面的 IP 地址肯定是公网 IP,以用作在 Internet 中路由该数据包,里面的 IP 应该是私有 IP,就是目标主机的真实 IP。通过隧道连接的两个远程网络就如同直连,隧道达到的效果,就是网络直

14、连的效果。隧道就像一辆汽车,原本为私有 IP 的数据包就像是乘客,路途中只看汽车不看乘客,只要汽车能去哪个地方,汽车里的乘客就可以被送到哪个地方,第 6 页共 800 页在行驶过程中,车内的乘客不受干扰。被隧道再次封装公网 IP 的数据包协议称为乘客协议(Passenger protocol) ,不是所有类型协议的数据包能被隧道封装,所以对于隧道来说,乘客协议(Passenger protocol)是有范围限制的,但本文只谈 IP协议。隧道中传输的数据包格式如下图:就隧道技术有多种实现方式,也就存在多种隧道协议,隧道可以实现远程网络之间通过私有 IP 地址互访,隧道技术,就是 VPN 技术,要

15、实现 VPN,就是实现隧道,不能实现隧道,就不叫 VPN。下文将全力解述最有用的隧道技术与 VPN 技术。隧道协议目前共有:GRE(Generic Routing Encapsulation)IP Security (IPsec)Secure Sockets Layer/Transport Layer Security (SSL/TLS)VPN (WebVPN)第 7 页共 800 页Point-to-Point Tunneling Protocol (PPTP)Layer Two Tunneling Protocol (L2TP)GRE(Generic Routing Encapsulati

16、on)概述GRE 是一种最传统的隧道协议,其根本功能就是要实现隧道功能,通过隧道连接的两个远程网络就如同直连,GRE 在两个远程网络之间模拟出直连链路,从而使网络间达到直连的效果,为此,GRE 需要完成多次封装,总共有 3 次,换句话说,就是在 GRE 隧道中传输的数据包都有 3 个包头,因为我们只谈 IP 协议,所以 GRE中的 IP 数据包是一层套一层,总共有 3 个 IP 地址。GRE 在实现隧道时,需要创建虚拟直连链路,GRE 实现的虚拟直连链路可以认为是隧道,隧道是模拟链路,所以隧道两端也有 IP 地址,但隧道需要在公网中找到起点和终点,所以隧道的源和终点分别都以公网 IP 地址结尾

17、,该链路是通过 GRE 协议来完成的,隧道传递数据包的过程分为 3 步:1接收原始 IP 数据包当作乘客协议,原始 IP 数据包包头的 IP 地址为私有 IP地址。 2将原始 IP 数据包封装进 GRE 协议,GRE 协议称为封装协议( Encapsulation Protocol) ,封装的包头 IP 地址为虚拟直连链路两端的 IP 地址。3将整个 GRE 数据包当作数据,在外层封装公网 IP 包头,也就是隧道的起源和终点,从而路由到隧道终点。GRE 隧道中传输的数据包格式如下:第 8 页共 800 页注:其中公网 IP 包头部分也称为传输协议(Transport Protocol)GRE

18、会在原始 IP 数据包之外,额外多封装 24 字节或 28 字节,具体视 GRE 模式而定。以下图为例,解释 GRE 传输数据过程:第 9 页共 800 页GRE 要在远程路由器之间创建虚拟直连链路,也就是隧道(Tunnel) ,如果没有该隧道,GRE 不能完成隧道功能,隧道是 GRE 最基本的功能,也是 GRE 所有功能;上图环境中,当上海分公司 R2 将数据包 IP 地址封装为 192.168.1.4 发往北京分公司的 R4 时,GRE 操作过程如下:1假设 R1 与 R3 的 GRE 虚拟直连链路(隧道)已经建立,隧道链路两端的地址分别为 1.1.1.1 和 2.2.2.2,隧道两端的起

19、源和终点分别为 100.1.1.1 和 200.1.1.1。2 R1 收到目标 IP 为 192.168.1.4 的数据包后,将原始数据包当作乘客数据包封装进 GRE 协议中,并且添加 GRE 包头,包头中源 IP 为隧道本端地址 1.1.1.1,包头中目标 IP 为隧道对端地址 1.1.1.2,从而完成 GRE 数据包的封装。3在封装了 GRE 隧道地址的数据包外面封装 GRE 隧道起源 IP 地址,该 IP 地址为公网地址,即源 IP 为 100.1.1.1,目标 IP 为隧道终点 200.1.1.1,最后将数据包发出去。封装后的数据包如下:第 10 页共 800 页数据包被发到 Inte

20、rnet 之后,所有路由器只根据数据包最外面的公网 IP 进行转发,也就是只根据公网目标 IP 地址 200.1.1.1 来转发,直到数据包到达公网 IP 的真正目的地后,即到达 R3(IP:200.1.1.1)之后,公网 IP 包头才会被剥开,当 R3 剥开数据包的公网 IP 包头后,发现 GRE 包头,发现目标 IP 为 1.1.1.2,从而得知自己就是 GRE 隧道的终点,所以继续将 GRE 包头剥开,最后发现目标 IP 地址为192.168.1.4,然后将数据包发往 192.168.1.4(路由器 R4) 。通过以上 GRE 过程,上海分公司 R2 直接通过私有 IP 地址 192.1

21、68.1.4,最终成功与北京分公司 R4 通信。配置 GRE在远程路由器之间配置 GRE,总共分为三步:第 11 页共 800 页1创建虚拟链路(隧道)接口,号码任意,两端可不相同。2配置虚拟链路(隧道)接口地址,该地址是在 GRE 包头中被封装的地址。3定义虚拟链路(隧道)的源和目的,因为数据包最终要在公网中传递,所以该地址就是在公网中指导路由器转发数据包的可路由公网 IP,也是建立隧道两端路由器的真实公网 IP。注:GRE Tunnel 只支持路由器,不支持集中器和 PIX 以及 ASA。GRE 支持的协议有 IP ,Decnet,IPX ,Appletalk。GRE 可分为 point-

22、to-point GRE 和 multipoint GRE(mGRE)两种。point-to-point GRE 只能在两台路由器之间建立。multipoint GRE(mGRE )也可以在两台以上的路由器之间建立。point-to-point GRE 支持 IP 单播,组播,以及 IGP 动态路由协议和非 IP 协议。multipoint GRE(mGRE)只支持单播,组播以及动态 IGP 路由协议,不支持非 IP 协议。本小节只讨论 point-to-point GRE,而 multipoint GRE(mGRE )将在后续内容中讨论。GRE 隧道接口没有 OSI 一层协议做检测,只要本端

23、源地址有效,并且隧道终点地址有路由可达,那么 GRE 隧道接口就会 up,而无论隧道对端是否已经配置隧道接口;如果 GRE 隧道的接口状态要 down,只要达到如下 3 个情况中任意一个即可:第 12 页共 800 页1没有去往隧道终点地址的路由。2去往隧道终点地址的路由指向了隧道接口自己。3隧道起源地址的接口状态为 down。以下图为例,配置 GRE说明:图中 Internet 使用路由器 R5 来模拟。1配置基础网络环境(1 )配置 R1:r1(config)#int f0/0 r1(config-if)#ip address 10.1.1.1 255.255.255.0r1(config

24、-if)#no sh第 13 页共 800 页r1(config)#int F0/1r1(config-if)#ip add 100.1.1.1 255.255.255.0r1(config-if)#no shr1(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.5说明:配置 R1 的接口地址,并写默认路由指向 Internet(路由器 R5) ,地址100.1.1.5。(2 )配置 R2:r2(config)#int f0/0r2(config-if)#ip add 10.1.1.2 255.255.255.0r2(config-if)#no shr2(co

25、nfig)#ip route 0.0.0.0 0.0.0.0 10.1.1.1说明:配置 R2 的接口地址,并写默认路由指向 R1。(3 )配置 R3:r3(config)#int f0/0r3(config-if)#ip add 200.1.1.1 255.255.255.0r3(config-if)#no shr3(config)#int f0/1r3(config-if)#ip address 192.168.1.3 255.255.255.0第 14 页共 800 页r3(config-if)#no shr3(config)#ip route 0.0.0.0 0.0.0.0 200.1

26、.1.5说明:配置 R3 的接口地址,并写默认路由指向 Internet(路由器 R5) ,地址200.1.1.5。(4 )配置 R4:r4(config)#int f0/1r4(config-if)#ip add 192.168.1.4 255.255.255.0r4(config-if)#no shr4(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.3说明:配置 R4 的接口地址,并写默认路由指向 R3。(5 )配置 R5:r5(config)#int f0/1r5(config-if)#ip add 100.1.1.5 255.255.255.0r

27、5(config-if)#no shr5(config)#int f0/0r5(config-if)#ip add 200.1.1.5 255.255.255.0r5(config-if)#no sh第 15 页共 800 页说明:配置 R5 的接口地址,因为 R5 模拟 Internet,R5 只需要有公网路由100.1.1.0 和 200.1.1.0 即可,所以 R5 不需要写任何路由,也不允许写任何路由。2测试基础网络环境(1 )查看 R5 的路由表:r5#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile,

28、 B BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U

29、- per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set100.0.0.0/24 is subnetted, 1 subnetsC 100.1.1.0 is directly connected, FastEthernet0/1C 200.1.1.0/24 is directly connected, FastEthernet0/0r5#第 16 页共 800 页说明:因为 R5 为 Internet 路由器,所以 R5 只有公网路由,没有用户的私网

30、路由,也不应该有用户的私网路由。(2 )测试上海分公司路由器 R1 到北京分公司路由器 R3 的连通性:r1#ping 200.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.1.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 44/106/288 msr1#说明:因为双方路由器都接入 Internet,所以使用公网地址 100.1.1.1 和200.1.1.1 是可以正常

31、通信的。(3 )测试上海分公司 R2 直接使用私有地址 192.168.1.4 到北京分公司 R4 的连通性:r2#ping 192.168.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:.Success rate is 0 percent (0/5)r2#说明:因为 Internet 中的路由器只有公网路由,没有用户的私有网段,所以上第 17 页共 800 页海分公司 R2 直接使用私有地址 192.168.1.4 与北京分公司 R4 无

32、法通信。(4 )跟踪上海分公司 R2 到北京分公司的路径信息:r2#traceroute 192.168.1.4Type escape sequence to abort.Tracing the route to 192.168.1.41 10.1.1.1 104 msec 100 msec 80 msec2 * * * 3 * * * 4 r2#说明:从结果中可以看出,由于 Internet 没有用户的私有网段,所以数据包出了公司路由器后,到达 Internet 就被丢弃了。3在上海分公司与北京分公司之间配置 GRE 隧道(1 )在上海分公司路由器 R1 上配置连接到北京分公司路由器 R3

33、的 GRE 隧道:r1(config)#interface tunnel 1r1(config-if)#ip address 1.1.1.1 255.255.255.0r1(config-if)#tunnel source 100.1.1.1r1(config-if)#tunnel destination 200.1.1.1第 18 页共 800 页r1(config-if)#exit说明:在 R1 上创建 GRE 虚拟链路(隧道)接口,号码为 1,两端号码可不相同;隧道接口地址为 1.1.1.1/24,隧道的起源为 100.1.1.1,隧道的终点为 200.1.1.1。(2 )查看 R1 当

34、前的隧道接口状态:r1#show interfaces tunnel 1Tunnel1 is up, line protocol is up Hardware is TunnelInternet address is 1.1.1.1/24MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec, reliability 255/255, txload 1/255, rxload 1/255Encapsulation TUNNEL, loopback not setKeepalive not setTunnel source 100.1.1.1, destinatio

35、n 200.1.1.1Tunnel protocol/transport GRE/IPKey disabled, sequencing disabledChecksumming of packets disabledTunnel TTL 255Fast tunneling enabledTunnel transmit bandwidth 8000 (kbps)Tunnel receive bandwidth 8000 (kbps)Last input never, output never, output hang neverLast clearing of “show interface“

36、counters never第 19 页共 800 页Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0Queueing strategy: fifoOutput queue: 0/0 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts, 0

37、runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 output buffer failures, 0 output buffers swapped outr1#说明:可以看出,在 R1 创建 GRE 隧道之后,隧道接口状态便已经 up,这是因为默认情况下,GRE 隧道接口没有 OSI 一层协议

38、做检测,只要本端源地址有效,并且隧道终点地址有路由可达,那么 GRE 隧道接口就会 up,而无论隧道对端是否已经配置隧道接口。(3 )在北京分公司路由器 R3 上配置连接到上海分公司路由器 R1 的 GRE 隧道:r3(config)#interface tunnel 3r3(config-if)#ip address 1.1.1.2 255.255.255.0r3(config-if)#tunnel source 200.1.1.1r3(config-if)#tunnel destination 100.1.1.1r3(config-if)#exit第 20 页共 800 页说明:在 R3

39、上创建 GRE 虚拟链路(隧道)接口,号码为 3,两端号码可不相同;隧道接口地址为 1.1.1.2/24,隧道的起源为 200.1.1.1,隧道的终点为 100.1.1.1。(4 )查看 R3 当前的隧道接口状态:r3#show interfaces tunnel 3Tunnel3 is up, line protocol is up Hardware is TunnelInternet address is 1.1.1.2/24MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec, reliability 255/255, txload 1/255, rxlo

40、ad 1/255Encapsulation TUNNEL, loopback not setKeepalive not setTunnel source 200.1.1.1, destination 100.1.1.1Tunnel protocol/transport GRE/IPKey disabled, sequencing disabledChecksumming of packets disabledTunnel TTL 255Fast tunneling enabledTunnel transmit bandwidth 8000 (kbps)Tunnel receive bandwi

41、dth 8000 (kbps)Last input never, output never, output hang neverLast clearing of “show interface“ counters never第 21 页共 800 页Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0Queueing strategy: fifoOutput queue: 0/0 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute o

42、utput rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 output buffer failures,

43、0 output buffers swapped outr3#说明:R3 上 GRE 隧道状态也已经 up。4测试 GRE 隧道(1 )测试 R1 与 R3 之间的 GRE 隧道连通性:r1#ping 1.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 1.1.1.2, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/96/196 ms第 22 页共 800 页r1#说明:因为 R1

44、与 R3 双方 GRE 隧道已经成功建立,并且状态都为 up,所以隧道连通性正常。(2 )再次测试上海分公司 R2 直接使用私有地址 192.168.1.4 到北京分公司 R4的连通性:r2#ping 192.168.1.4 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:.Success rate is 0 percent (0/5)r2#说明:上海分公司的路由器 R1 在收到去往 192.168.1.4 后,因为默认路由从真实接口 F0/1 出

45、去,结果数据包被发到 Internet 中的路由器 R5,由于 Internet 路由器 R5 只有公网路由,没有用户的私有网段,所以上海分公司 R2 直接使用私有地址 192.168.1.4 与北京分公司 R4 无法通信,如下是 R1 路由表:r1#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 -

46、OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static 第 23 页共 800 页routeo - ODR, P - periodic downloaded static routeGateway of last resort is

47、 100.1.1.5 to network 0.0.0.01.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Tunnel1100.0.0.0/24 is subnetted, 1 subnetsC 100.1.1.0 is directly connected, FastEthernet0/110.0.0.0/24 is subnetted, 1 subnetsC 10.1.1.0 is directly connected, FastEthernet0/0S* 0.0.0.0/0 1/0 via 100.1.

48、1.5r1#要解决此问题,必须让流量从 GRE 隧道中传输。(3 )在创建 GRE 隧道的路由器双方将去往对方私有网段的数据包引入 GRE 隧道中传输:R1:r1(config)#ip route 192.168.1.0 255.255.255.0 tunnel 1第 24 页共 800 页R3:r3(config)#ip route 10.1.1.0 255.255.255.0 tunnel 3(4 )再次测试上海分公司 R2 直接使用私有地址 192.168.1.4 到北京分公司 R4的连通性:r2#ping 192.168.1.4Type escape sequence to abort

49、.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 24/80/240 msr2#说明:上海分公司的路由器 R1 在收到去往 192.168.1.4 后,因为路由192.168.1.0 已经指向 GRE 隧道,对方同样也已经回指向 GRE 隧道,所以上海分公司 R2 直接使用私有地址 192.168.1.4 与北京分公司 R4 通信正常。(5 )再次跟踪上海分公司 R2 到北京分公司的路径信息:r2#traceroute 192.168.1.4Type escape sequence to abort.Tracing the route to 192.168.1.4第 25 页共 800 页1 10.1.1.1 108 msec 52 msec 16 msec2 1.1.1.2 112 msec 48 msec 12 msec3 192.168.1.4 132 msec * 96 msecr2#说明:可以看见,上海与北京分公司私有网段之

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报