基于CISCO路由器的

IPSECVPN和BGP/MPLSVPN基于CISCO路由器的

IPSECVPN和BGP/MPLS1目錄VPN簡(jiǎn)介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例目錄VPN簡(jiǎn)介BGP/MPLSVPNIPSec基礎(chǔ)2VPN背景總公司租用專線我們有很多分公司，如果用租用專線的方式把他們和總公司連起來(lái)，需要花很多錢想節(jié)約成本的話，可以用VPN來(lái)連接分公司分公司分公司VPN背景總公司租用專線我們有很多分公司，如果用租用專線的方3VPN簡(jiǎn)介IPVPN(VirtualPrivateNetwork，虛擬專用網(wǎng))就是利用開放的公眾IP/MPLS網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支機(jī)構(gòu)、移動(dòng)辦公人員等連接起來(lái)。IP/MPLS網(wǎng)中心站點(diǎn)分支機(jī)構(gòu)移動(dòng)辦公人員VPN簡(jiǎn)介IPVPN(Virtua4隧道機(jī)制IPVPN可以理解為：通過隧道技術(shù)在公眾IP/MPLS網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線。隧道是利用一種協(xié)議來(lái)傳輸另外一種協(xié)議的技術(shù)，共涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議。被封裝的原始IP包新增加的IP頭IPSec頭乘客協(xié)議隧道協(xié)議承載協(xié)議原始IP包經(jīng)過IPSec封裝后隧道機(jī)制IPVPN可以理解為：通過隧道技術(shù)在公眾IP/MP5隧道帶來(lái)的好處隧道保證了VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用地址無(wú)關(guān)

Internet被封裝的原始IP包新增加的IP頭IPSec頭私網(wǎng)地址公網(wǎng)地址中心站點(diǎn)分支機(jī)構(gòu)Internet根據(jù)這個(gè)地址路由可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來(lái)的，而不是Internet隧道隧道帶來(lái)的好處隧道保證了VPN中分組的封裝方式及使用的地址與6按隧道類型對(duì)VPN分類隧道協(xié)議如下：第二層隧道協(xié)議，如L2TP第三層隧道協(xié)議，如IPSec介于第二層和第三層之間的隧道協(xié)議，如MPLSVPN按隧道類型對(duì)VPN分類隧道協(xié)議如下：7L2TPL2TP封裝的乘客協(xié)議是位于第二層的PPP協(xié)議。原始數(shù)據(jù)包新增加的IP頭L2TP頭可以是IP、IPX和AppleTalkPPP封裝原始數(shù)據(jù)包PPP頭L2TP封裝原始數(shù)據(jù)包PPP頭可以是IP、ATM和幀中繼L2TP沒有對(duì)數(shù)據(jù)進(jìn)行加密。L2TPL2TP封裝的乘客協(xié)議是位于第二層的PPP協(xié)議。原始8L2TP的典型應(yīng)用--VPDNL2TP連接PPP連接用戶發(fā)起PPP連接到接入服務(wù)器接入服務(wù)器封裝用戶的PPP會(huì)話到L2TP隧道，L2TP隧道穿過公共IP網(wǎng)絡(luò)，終止于電信VPDN機(jī)房的LNS用戶的PPPsession經(jīng)企業(yè)內(nèi)部的認(rèn)證服務(wù)器認(rèn)證通過后即可訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源L2TP的典型應(yīng)用--VPDNL2TP連接PPP連接用戶發(fā)起9IPSecIPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議IPSec可以對(duì)被封裝的數(shù)據(jù)包進(jìn)行加密和摘要等，以進(jìn)一步提高數(shù)據(jù)傳輸?shù)陌踩訧PSecIPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議10MPLSVPN的基本工作模式在入口邊緣路由器為每個(gè)包加上MPLS標(biāo)簽，核心路由器根據(jù)標(biāo)簽值進(jìn)行轉(zhuǎn)發(fā)，出口邊緣路由器再去掉標(biāo)簽，恢復(fù)原來(lái)的IP包。MPLS網(wǎng)P1P2PE1PE2CE1CE210.1.1.1MPLS標(biāo)簽10.1.1.110.1.1.1MPLSVPN的基本工作模式在入口邊緣路由器為每個(gè)包加上M11MPLSVPN的特點(diǎn)MPLS標(biāo)簽位于二層和三層之間三層包頭MPLS標(biāo)簽二層包頭二層包頭三層包頭MPLS封裝MPLSVPN的特點(diǎn)MPLS標(biāo)簽位于二層和三層之間三層包頭12三種VPN的比較L2TPIPSecMPLSVPN隧道協(xié)議類型第二層第三層第二層和第三層之間是否支持?jǐn)?shù)據(jù)加密不支持支持不支持對(duì)設(shè)備的要求只要求邊緣設(shè)備支持L2TP只要求邊緣設(shè)備支持IPSec要求邊緣設(shè)備和核心設(shè)備都支持MPLS三種VPN的比較L2TPIPSecMPLSVPN隧道協(xié)議類13目錄VPN簡(jiǎn)介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例目錄VPN簡(jiǎn)介BGP/MPLSVPNIPSec基礎(chǔ)14IPSec概述IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(hash)等手段，來(lái)保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私密性(confidentiality)、完整性(dataintegrity)和真實(shí)性(originauthentication)。IPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議IPSec概述IPSec是一種開放標(biāo)15通過加密保證數(shù)據(jù)的私密性私密性：防止信息泄漏給未經(jīng)授權(quán)的個(gè)人通過加密把數(shù)據(jù)從明文變成無(wú)法讀懂的密文，從而確保數(shù)據(jù)的私密性Internet4ehIDx67NMop9eRU78IOPotVBn45TR土豆批發(fā)價(jià)兩塊錢一斤實(shí)在是看不懂加密4ehIDx67NMop9eRU78IOPotVBn45TR解密土豆批發(fā)價(jià)兩塊錢一斤通過加密保證數(shù)據(jù)的私密性私密性：防止信息泄漏給未經(jīng)授權(quán)的個(gè)人16對(duì)稱加密如果加密密鑰與解密密鑰相同，就稱為對(duì)稱加密由于對(duì)稱加密的運(yùn)算速度快，所以IPSec使用對(duì)稱加密算法來(lái)加密數(shù)據(jù)對(duì)稱加密如果加密密鑰與解密密鑰相同，就稱為對(duì)稱加密17對(duì)數(shù)據(jù)進(jìn)行hash運(yùn)算來(lái)保證完整性完整性：數(shù)據(jù)沒有被非法篡改通過對(duì)數(shù)據(jù)進(jìn)行hash運(yùn)算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性土豆兩塊錢一斤Hash4ehIDx67NMop9土豆兩塊錢一斤4ehIDx67NMop9土豆三塊錢一斤4ehIDx67NMop9我偷改數(shù)據(jù)Hash2fwex67N32rfee3兩者不一致代表數(shù)據(jù)已被篡改對(duì)數(shù)據(jù)進(jìn)行hash運(yùn)算來(lái)保證完整性完整性：數(shù)據(jù)沒有被非法篡改18對(duì)數(shù)據(jù)和密鑰一起進(jìn)行hash運(yùn)算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。通過把數(shù)據(jù)和密鑰一起進(jìn)行hash運(yùn)算，可以有效抵御上述攻擊。土豆兩塊錢一斤Hashfefe23fgrNMop7土豆兩塊錢一斤fefe23fgrNMop7土豆三塊錢一斤2fwex67N32rfee3我同時(shí)改數(shù)據(jù)和摘要兩者還是不一致Hashfergergr23frewfgh對(duì)數(shù)據(jù)和密鑰一起進(jìn)行hash運(yùn)算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修19對(duì)稱密鑰交換對(duì)稱加密和hash都要求通信雙方具有相同的密鑰問題：怎樣在雙方之間安全地傳遞密鑰？密鑰哈哈，要是敢直接傳遞密鑰，我就只好偷看了密鑰對(duì)稱密鑰交換對(duì)稱加密和hash都要求通信雙方具有相同的密鑰問20DH算法的基本原理RouterARouterB生成一個(gè)整數(shù)p生成一個(gè)整數(shù)q把p發(fā)送到對(duì)端p把q發(fā)送到對(duì)端q根據(jù)p、q生成g根據(jù)p、q生成g生成密鑰Xa生成密鑰Xb把Ya=g^Xa發(fā)送到對(duì)端把Yb=g^Xb發(fā)送到對(duì)端YaYbKey=Yb^Xa=g^(Xb*Xa)Key=Ya^Xb=g^(Xa*Xb)最后得到的對(duì)稱密鑰雙方?jīng)]有直接傳遞密鑰DH算法的基本原理RouterARouterB生成一個(gè)整21通過身份認(rèn)證保證數(shù)據(jù)的真實(shí)性真實(shí)性：數(shù)據(jù)確實(shí)是由特定的對(duì)端發(fā)出通過身份認(rèn)證可以保證數(shù)據(jù)的真實(shí)性。常用的身份認(rèn)證方式包括：Pre-sharedkey，預(yù)共享密鑰RSASignature，數(shù)字簽名通過身份認(rèn)證保證數(shù)據(jù)的真實(shí)性真實(shí)性：數(shù)據(jù)確實(shí)是由特定的對(duì)端發(fā)22預(yù)共享密鑰預(yù)共享密鑰，是指通信雙方在配置時(shí)手工輸入相同的密鑰。Hash_L+

路由器名等本地Hash共享密鑰遠(yuǎn)端生成的Hash_LHash=+對(duì)端路由器名Internet共享密鑰接收到的Hash_L預(yù)共享密鑰預(yù)共享密鑰，是指通信雙方在配置時(shí)手工輸入相同的密鑰23數(shù)字證書RSA密鑰對(duì)，一個(gè)是可以向大家公開的公鑰，另一個(gè)是只有自己知道的私鑰。用公鑰加密過的數(shù)據(jù)只有對(duì)應(yīng)的私鑰才能解開，反之亦然。數(shù)字證書中存儲(chǔ)了公鑰，以及用戶名等身份信息。數(shù)字證書我是RouterA，我的公鑰是…….數(shù)字證書RSA密鑰對(duì)，一個(gè)是可以向大家公開的公鑰，另一個(gè)是只24數(shù)字簽名認(rèn)證+IDInformation加密Hash_I解密Hash_I私鑰公鑰本地遠(yuǎn)端Hash=+身份信息Hash對(duì)稱密鑰數(shù)字簽名+身份信息Hash12數(shù)字證書+Internet對(duì)稱密鑰數(shù)字簽名數(shù)字證書數(shù)字簽名認(rèn)證+ID加密Hash_I解密Hash_I私鑰公鑰25IPSec框架結(jié)構(gòu)ESPAHDES3DESAESMD5SHADH1DH2IPSec框架可選擇的算法IPSec安全協(xié)議加密數(shù)據(jù)摘要對(duì)稱密鑰交換IPSec框架結(jié)構(gòu)ESPAHDES3DESAESMD5SHA26IPSec安全協(xié)議AH(AuthenticationHeader)只能進(jìn)行數(shù)據(jù)摘要(hash)，不能實(shí)現(xiàn)數(shù)據(jù)加密ah-md5-hmac、ah-sha-hmacESP(EncapsulatingSecurityPayload)能夠進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)摘要(hash)esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、IPSec安全協(xié)議描述了如何利用加密和hash來(lái)保護(hù)數(shù)據(jù)安全I(xiàn)PSec安全協(xié)議AH(AuthenticationHe27IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式傳輸模式：不改變?cè)械腎P包頭，通常用于主機(jī)與主機(jī)之間。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)AH頭AHhashAH對(duì)除了TTL等變化值以外的整個(gè)IP包進(jìn)行hash運(yùn)算IP頭數(shù)據(jù)ESP頭hashESPtrailerESPauthESP加密hashIPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道28IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式隧道模式：增加新的IP頭，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)新IP頭AHhashIP頭數(shù)據(jù)ESP頭hashESPtrailerESPauthESP加密hashAH頭新IP頭IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道29IPSec與NATAH模式無(wú)法與NAT一起運(yùn)行AH對(duì)包括IP地址在內(nèi)的整個(gè)IP包進(jìn)行hash運(yùn)算，而NAT會(huì)改變IP地址，從而破壞AH的hash值。IP頭數(shù)據(jù)AH頭hashhashNAT：我要修改源/目的IP地址AH：不行！我對(duì)IP地址也進(jìn)行了hashIPSec與NATAH模式無(wú)法與NAT一起運(yùn)行IP頭數(shù)據(jù)AH30IPSec與NATESP模式下：只進(jìn)行地址映射時(shí)，ESP可與它一起工作。進(jìn)行端口映射時(shí)，需要修改端口，而ESP已經(jīng)對(duì)端口號(hào)進(jìn)行了加密和/或hash，所以將無(wú)法進(jìn)行。IP頭數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：端口號(hào)被加密了，沒法改，真郁悶IPSec與NATESP模式下：IP頭31IPSec與NATESP模式下：?jiǎn)⒂肐PSecNAT穿越后，會(huì)在ESP頭前增加一個(gè)UDP頭，就可以進(jìn)行端口映射。IP頭數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：可以改端口號(hào)了，太棒了新UDP頭IPSec與NATESP模式下：IP頭32目錄VPN簡(jiǎn)介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例目錄VPN簡(jiǎn)介BGP/MPLSVPNIPSec基礎(chǔ)33對(duì)上一節(jié)的回顧IPSec協(xié)議框架包括加密、hash、對(duì)稱密鑰交換、安全協(xié)議等四個(gè)部分，這些部分都可以采用多種算法來(lái)實(shí)現(xiàn)。問題1：要成功建立IPSecVPN，兩端路由器必須采用相同的加密算法、hash算法和安全協(xié)議等，但I(xiàn)PSec協(xié)議中并沒有描述雙方應(yīng)如何協(xié)商這些參數(shù)。問題2：IPSec協(xié)議中沒有定義通信雙方如何進(jìn)行身份認(rèn)證，路由器有可能會(huì)和一個(gè)假冒的對(duì)端建立IPSecVPN。對(duì)上一節(jié)的回顧IPSec協(xié)議框架包括加密、hash、對(duì)稱密鑰34端到端IPSecVPN的工作原理需要保護(hù)的流量流經(jīng)路由器，觸發(fā)路由器啟動(dòng)相關(guān)的協(xié)商過程。啟動(dòng)IKE(Internetkeyexchange)階段1，對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道。啟動(dòng)IKE階段2，在上述安全通道上協(xié)商IPSec參數(shù)。按協(xié)商好的IPSec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)。HostAHostBRouterARouterB什么是端到端的VPN？端到端IPSecVPN的工作原理需要保護(hù)的流量流經(jīng)路由器，35IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)協(xié)商建立IKE安全通道所使用的參數(shù)IKE階段1HostAHostBRouterARou36IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)，包括：加密算法Hash算法DH算法身份認(rèn)證方法存活時(shí)間IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)，包括：37IKE階段1Policy10DESMD5DH1Pre-sharelifetimePolicy15DESMD5DH1Pre-sharelifetimeRouterARouterBhostAhostBPolicy203DESSHADH1Pre-sharelifetimePolicy253DESSHADH2Pre-sharelifetime雙方找到相同的策略集上述IKE參數(shù)組合成集合，稱為IKEpolicy。IKE協(xié)商就是要在通信雙方之間找到相同的policy。IKE階段1Policy10Policy15Router38IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)交換對(duì)稱密鑰雙方身份認(rèn)證建立IKE安全通道協(xié)商建立IKE安全通道所使用的參數(shù)交換對(duì)稱密鑰雙方身份認(rèn)證建立IKE安全通道IKE階段1HostAHostBRouterARou39IKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)協(xié)商IPSec安全參數(shù)IKE階段2HostAHostBRouterARou40IKE階段2雙方協(xié)商IPSec安全參數(shù)，稱為變換集transformset，包括：加密算法Hash算法安全協(xié)議封裝模式存活時(shí)間Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetimeIKE階段2雙方協(xié)商IPSec安全參數(shù)，稱為變換集trans41IKE與IPSec安全參數(shù)的比較加密算法Hash算法存活時(shí)間DH算法身份認(rèn)證安全協(xié)議封裝模式IKEIPSecIKE與IPSec安全參數(shù)的比較加密算法Hash算法存活時(shí)間42IKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)建立IPSecSA協(xié)商IPSec安全參數(shù)建立IPSecSAIKE階段2HostAHostBRouterARou43IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：SA由SPD(securitypolicydatabase)和SAD(SAdatabase)組成。兩端成功協(xié)商IPSec參數(shù)加密算法hash算法封裝模式lifetime安全協(xié)議SPD加密SPIHash封裝模式lifetimeSAD目的IP地址SPI安全協(xié)議IPSecSAIPSecSA(安全關(guān)聯(lián)，Securit44IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：SPI(SecurityParameterIndex)，由IKE自動(dòng)分配發(fā)送數(shù)據(jù)包時(shí)，會(huì)把SPI插入到IPSec頭中接收到數(shù)據(jù)包后，根據(jù)SPI值查找SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法等。一個(gè)SA只記錄單向的參數(shù)，所以一個(gè)IPSec連接會(huì)有兩個(gè)IPSecSA。IPSecSAIPSecSA(安全關(guān)聯(lián)，Securit45IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：使用SPI可以標(biāo)識(shí)路由器與不同對(duì)象之間的連接。BANK192.168.2.1SPI–12ESP/3DES/SHAtunnel28800192.168.12.1

SPI–39ESP/DES/MD5tunnel28800InternetIPSecSAIPSecSA(安全關(guān)聯(lián)，Securit46IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：達(dá)到lifetime以后，原有的IPSecSA就會(huì)被刪除如果正在傳輸數(shù)據(jù)，系統(tǒng)會(huì)在原SA超時(shí)之前自動(dòng)協(xié)商建立新的SA，從而保證數(shù)據(jù)的傳輸不會(huì)因此而中斷。IPSecSAIPSecSA(安全關(guān)聯(lián)，Securit47SA示例SA示例48端到端IPSecVPN的配置流程配置IPSec前的準(zhǔn)備工作配置IKE參數(shù)配置IPSec參數(shù)測(cè)試并驗(yàn)證IPSec是否正常工作端到端IPSecVPN的配置流程配置IPSec前的準(zhǔn)備工作49端到端IPSecVPN的配置步驟1配置IPSec前的準(zhǔn)備工作確認(rèn)在配置IPSec之前，網(wǎng)絡(luò)是通的。確認(rèn)AH流量(IP協(xié)議號(hào)為50)、ESP流量(IP協(xié)議號(hào)為51)和ISAKMP流量(UDP的端口500)不會(huì)被ACL所阻塞。端到端IPSecVPN的配置步驟1配置IPSec前的準(zhǔn)備工50配置IPSec前的準(zhǔn)備工作在RouterA上ping路由器RouterBRouterA上要有到site2的路由，RouterB上有到site1的路由有必要的情況下，在路由器中添加類似以下的ACL條目：RouterA#showaccess-listsaccess-list102permitahphost172.30.2.2host172.30.1.2access-list102permitesphost172.30.2.2host172.30.1.2access-list102permitudphost172.30.2.2host172.30.1.2eqisakmpE0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB配置IPSec前的準(zhǔn)備工作在RouterA上ping路由器R51端到端IPSecVPN的配置步驟2配置IKE參數(shù)啟用IKE創(chuàng)建IKE策略集policy配置IKE身份認(rèn)證的相關(guān)參數(shù)驗(yàn)證IKE配置端到端IPSecVPN的配置步驟2配置IKE參數(shù)52啟用IKERouterA(config)#nocryptoisakmpenableRouterA(config)#cryptoisakmpenablerouter(config)#[no]cryptoisakmpenable默認(rèn)情況下，IKE處于開啟狀態(tài)IKE在全局模式下對(duì)所有端口啟用對(duì)于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，達(dá)到阻斷IKE的目的啟用IKERouterA(config)#nocrypt53創(chuàng)建IKE策略cryptoisakmppolicypriorityrouter(config)#RouterA(config)#cryptoisakmppolicy110RouterA(config-isakmp)#encryptiondesRouterA(config-isakmp)#hashmd5RouterA(config-isakmp)#group1RouterA(config-isakmp)#authenticationpre-shareRouterA(config-isakmp)#lifetime86400Authentication---身份認(rèn)證方式Encryption---加密算法Group---DH算法組Hash---摘要算法Lifetime---IKE生存期創(chuàng)建IKE策略cryptoisakmppolicypr54IKE策略集的取值<86400秒86400秒IKESA生存期DHGroup2DHGroup1密鑰交換算法Rsa-sigPre-share身份認(rèn)證方式SHA-1MD5摘要算法3DESDES加密算法更安全的取值安全的取值參數(shù)(56bit密鑰)(3次DES運(yùn)算)(128bit密鑰)(160bit密鑰)(768bit密鑰)(1024bit密鑰)(共享密鑰)(數(shù)字簽名)IKE策略集的取值<86400秒86400秒IKESA55IKE策略集的優(yōu)先級(jí)cryptoisakmppolicy100

hashmd5

authentication

pre-sharecryptoisakmppolicy200authenticationrsa-sig

hashshacryptoisakmppolicy300authenticationpre-sharehashmd5RouterA(config)#RouterB(config)#cryptoisakmppolicy100hashmd5authenticationpre-sharecryptoisakmppolicy200authenticationrsa-sighashshacryptoisakmppolicy300authenticationrsa-sighashmd5Priority表示策略集的優(yōu)先級(jí)，該值越小表示優(yōu)先級(jí)越高路由器將首先比較優(yōu)先級(jí)最高的策略集是否匹配，因此本例中雖然三個(gè)策略集都匹配，但路由器只會(huì)采用policy100建議把最安全的策略集設(shè)為最高優(yōu)先級(jí)IKE策略集的優(yōu)先級(jí)cryptoisakmppolicy56使用共享密鑰進(jìn)行身份認(rèn)證RouterA(config)#cryptoisakmpkeycisco1234address172.30.2.2router(config)#cryptoisakmpkeykeystringaddresspeer-addresscryptoisakmpkeykeystringhostnamehostnamerouter(config)#共享密鑰Cisco1234Site1Site2172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB兩端路由器使用的共享密鑰必須相同可以用IP地址或

主機(jī)名來(lái)指定對(duì)端使用共享密鑰進(jìn)行身份認(rèn)證RouterA(config)#c57驗(yàn)證IKE配置RouterA#showcryptoisakmppolicyProtectionsuiteofpriority110encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:MessageDigest5authenticationmethod:Pre-SharedKeyDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitDefaultprotectionsuiteencryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitshowcryptoisakmppolicy

router#顯示已配置的和缺省的策略集驗(yàn)證IKE配置RouterA#showcryptois58端到端IPSecVPN的配置步驟3配置IPSec參數(shù)配置IPSec變換集用ACL定義需要IPSec保護(hù)的流量創(chuàng)建cryptomap把cryptomap應(yīng)用到路由器的端口上端到端IPSecVPN的配置步驟3配置IPSec參數(shù)59配置IPSec變換集cryptoipsectransform-settransform-set-name

transform1[transform2[transform3]]router(cfg-crypto-trans)#router(config)#RouterA(config)#cryptoipsectransform-setmineesp-desRouterA(cfg-crypto-trans)#modetunnel每個(gè)變換集中可以包含AH變換、ESP變換和封裝模式(隧道模式或傳輸模式)每個(gè)變換集中最多可以有一個(gè)AH變換和兩個(gè)ESP變換配置IPSec變換集cryptoipsectransfo60IOS支持的變換RouterA(config)#cryptoipsectransform-set transform-set-name?ah-md5-hmacAH-HMAC-MD5transformah-sha-hmacAH-HMAC-SHAtransformesp-3desESPtransformusing3DES(EDE)cipher(168 bits)esp-desESPtransformusingDEScipher(56bits)esp-md5-hmacESPtransformusingHMAC-MD5authesp-sha-hmacESPtransformusingHMAC-SHAauthesp-nullESPtransformw/ocipherIOS支持的變換RouterA(config)#crypt61用ACL定義需要IPSec保護(hù)的流量access-listaccess-list-number[dynamicdynamic-name

[timeoutminutes]]{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedenceprecedence][tostos][log]router(config)#RouterA(config)#access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterB10.0.1.010.0.2.0加密定義哪些流量需要IPSec保護(hù)Permit=要保護(hù)/deny=不用保護(hù)用ACL定義需要IPSec保護(hù)的流量access-list62兩端路由器要配置對(duì)稱的ACLRouterA(config)#access-list110permittcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255RouterB(config)#access-list101permittcp

10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255E0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB兩端路由器要配置對(duì)稱的ACLRouterA(config)#63Cryptomap的主要配置參數(shù)需要IPSec保護(hù)的流量的ACLVPN對(duì)端的IP地址使用的IPSec變換集協(xié)商建立IPSecSA的方式(手工或通過IKE)IPSecSA的存活期Cryptomap的主要配置參數(shù)需要IPSec保護(hù)的流量的64創(chuàng)建cryptomapcryptomapmap-nameseq-numipsec-manualcryptomapmap-nameseq-numipsec-isakmp

[dynamicdynamic-map-name]router(config)#Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterBRouterA(config)#cryptomapmymap110ipsec-isakmpSite3B10.0.3.3RouterC每個(gè)路由器端口只能應(yīng)用一個(gè)cryptomap當(dāng)一個(gè)端口有多個(gè)VPN對(duì)端時(shí)，就使用seq-num來(lái)區(qū)分創(chuàng)建cryptomapcryptomapmap-nam65Cryptomap配置示例RouterA(config)#cryptomapmymap110ipsec-isakmpRouterA(config-crypto-map)#matchaddress110RouterA(config-crypto-map)#setpeer172.30.2.2RouterA(config-crypto-map)#setpeer172.30.3.2RouterA(config-crypto-map)#setpfsgroup1RouterA(config-crypto-map)#settransform-setmineRouterA(config-crypto-map)#setsecurity-associationlifetime86400Site1Site2172.30.2.2AB10.0.1.310.0.2.3RouterARouterB172.30.3.2BRouterCInternet可配置多個(gè)vpn對(duì)端進(jìn)行冗余Cryptomap配置示例RouterA(config)66應(yīng)用cryptomap到路由器端口上RouterA(config)#interfaceethernet0/1RouterA(config-if)#cryptomapmymapE0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBmymaprouter(config-if)#cryptomapmap-name在出口上應(yīng)用cryptomap應(yīng)用cryptomap到路由器端口上RouterA(con67端到端IPSecVPN的配置步驟4測(cè)試并驗(yàn)證IPSec是否正常工作_1顯示IKE策略

showcryptoisakmppolicy顯示IPSec變換集

showcryptoipsectransform-set顯示cryptomaps

showcryptomap端到端IPSecVPN的配置步驟4測(cè)試并驗(yàn)證IPSec是否68端到端IPSecVPN的配置步驟4測(cè)試并驗(yàn)證IPSec是否正常工作_2顯示IPSecSA的狀態(tài)

showcryptoipsecsadebugIPSec事件

debugcryptoipsecdebugISAKMP事件

debugcryptoisakmp端到端IPSecVPN的配置步驟4測(cè)試并驗(yàn)證IPSec是否69端到端IPSecVPN的配置示例RouterA#showruncryptoisakmppolicy110hashmd5authenticationpre-sharecryptoisakmpkeycisco1234address172.30.2.2!cryptoipsectransform-setmineesp-des!cryptomapmymap10ipsec-isakmpsetpeer172.30.2.2settransform-setminematchaddress110!interfaceEthernet0/1ipaddress172.30.1.2255.255.255.0noipdirected-broadcastcryptomapmymap!access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255E0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBRouterB#showruncryptoisakmppolicy110hashmd5authenticationpre-sharecryptoisakmpkeycisco1234address172.30.1.2!cryptoipsectransform-setmineesp-des!cryptomapmymap10ipsec-isakmpsetpeer172.30.1.2settransform-setminematchaddress101!interfaceEthernet0/1ipaddress172.30.2.2255.255.255.0noipdirected-broadcastcryptomapmymap!access-list101permittcp10.0.2.00.0.0.25510.0.1.00.0.0.255端到端IPSecVPN的配置示例RouterA#show70目錄VPN簡(jiǎn)介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例目錄VPN簡(jiǎn)介BGP/MPLSVPNIPSec基礎(chǔ)71EasyVPN的特點(diǎn)EasyVPNRemoteEasyVPNServer端到端模式下，兩端路由器都要進(jìn)行較復(fù)雜的配置EasyVPN模式下，Remote只需要進(jìn)行簡(jiǎn)單的配置，其余大部分參數(shù)由Server端直接推送給它EasyVPN模式常用于用戶的遠(yuǎn)程接入Remote可以是ciscovpnclient，server端可以是路由器，其IOS要求高于或等于12.2(8)TEasyVPN的特點(diǎn)EasyVPNRemoteEasy72流程1--client向server發(fā)送IKEpolicyRemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerPolicy1,Policy2,Policy3EasyVPN由client觸發(fā)ciscovpnclient中內(nèi)置了多個(gè)IKEpolicyclient觸發(fā)EasyVPN后，會(huì)把內(nèi)置的IKEpolicy全部發(fā)送到server端流程1--client向server發(fā)送IKEpolicy73流程2--server找到匹配的policyserver把client發(fā)送來(lái)的IKEpolicy與自己的policy相比較找到匹配值后成功建立IKESARemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerPolicy1檢查后發(fā)現(xiàn)policy1匹配流程2--server找到匹配的policyserver74流程3--server要client輸入用戶/口令RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerUsername/passwordAAAcheckingUsername/passwordchallenge如果配置了擴(kuò)展認(rèn)證Xauth，server端將要求client端發(fā)送用戶名/口令進(jìn)行身份認(rèn)證配置Xauth將獲得更高的安全性，因此建議server端配置Xauth流程3--server要client輸入用戶/口令Rem75流程4--server向client推送參數(shù)RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerClient請(qǐng)求配置參數(shù)Server推送配置參數(shù)身份認(rèn)證通過后，client將向server請(qǐng)求其余的配置參數(shù)Server向client推送的參數(shù)至少要包含分配給client的IP地址流程4--server向client推送參數(shù)RemoteP76流程5--server進(jìn)行反向路由注入RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServer創(chuàng)建RRI靜態(tài)路由Server進(jìn)行反向路由注入(ReverseRouteInjeciton，RRI)，為剛分配的client端IP地址產(chǎn)生一條靜態(tài)路由，以便正確地路由發(fā)送給client端的數(shù)據(jù)包流程5--server進(jìn)行反向路由注入RemotePCw77流程6--建立IPSecSARemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServer建立IPSecSAVPNtunnelClient收到配置參數(shù)，雙方建立IPSecSA流程6--建立IPSecSARemotePCwith78EasyVPN在server端的配置步驟vpngate1創(chuàng)建IKE策略集，該策略集至少要能與vpnclient的一個(gè)內(nèi)置策略集相匹配，以便在server和client之間建立IKESA定義要推送給client的組屬性，其中包含分配給client的地址池、pre-sharekey等定義IPSec變換集(只用于client觸發(fā)建立IPSecSA時(shí)，如果是server觸發(fā)建立IPSecSA就不需要使用)啟用DPD死亡對(duì)端檢測(cè)配置Xauth擴(kuò)展認(rèn)證把cryptomap應(yīng)用到路由器端口上EasyVPN在server端的配置步驟vpngate1創(chuàng)79創(chuàng)建IKE策略集vpngate1(config)#cryptoisakmpenablevpngate1(config)#cryptoisakmppolicy1vpngate1(config-isakmp)#authenpre-sharevpngate1(config-isakmp)#encryption3desvpngate1(config-isakmp)#group2vpngate1(config-isakmp)#exitAuthen:PresharedkeysEncryption:3-DESDiffie-Hellman:Group2Othersettings:DefaultPolicy1vpngate1創(chuàng)建IKE策略集vpngate1(config)#cryp80Ciscovpnclient內(nèi)置的部分策略集DESMD5DH2Pre-share3DESMD5DH2Pre-share3DESSHADH2Pre-sharevpngate1Ciscovpnclient內(nèi)置的部分策略集DES3DE81定義分配給client的地址池router(config)#iplocalpool{default|pool-name

low-ip-address[high-ip-address]}vpngate1(config)#iplocalpoolremote-pool10.0.1.10010.0.1.150vpngate1Remoteclientremote-pool10.0.1.100to10.0.1.150Pool地址池中的地址將分配給client端定義分配給client的地址池router(config)#82定義推送給client的組屬性router(config)#cryptoisakmpclientconfigurationgroup{group-name|default}vpngate1(config)#cryptoisakmpclientconfigurationgroupvpngroup1vpngate1(config-isakmp-group)#keymyvpnkeyvpngate1(config-isakmp-group)#poolremote-poolKey:myvpnkeyPoolname:remote-poolGroup:vpngroup1vpngate1Remoteclient可定義多個(gè)組，每個(gè)組使用自己的pre-sharekey和地址池定義推送給client的組屬性router(config)#83配置組屬性的查詢模式router(config)#aaaauthorizationnetworkgroup-namelocalgroupradiusvpngate1(config)#aaanew-modelvpngate1(config)#aaaauthorizationnetwork

vpn-remote-accesslocalvpngate1Remoteclientvpn-remote-accessGrouprouter(config)#aaanew-model定義查詢模式vpn-remote-access，表明是在路由器本地查詢配置組屬性的查詢模式router(config)#aaaa84把組屬性查詢模式與cryptomap關(guān)聯(lián)router(config)#cryptomapmap-nameisakmpauthorizationlistlist-namevpngate1(config)#cryptomapdynmapisakmpauthorizationlistvpn-remote-accessvpngate1Remoteclientvpn-remote-accessGroup把組屬性查詢模式與cryptomap關(guān)聯(lián)router(co85配置路由器響應(yīng)client的IP地址申請(qǐng)router(config)#cryptomapmap-nameclientconfigurationaddress{initiate|respond}vpngate1(config)#cryptomapdynmapclientconfigurationaddressrespondvpngate1Remoteclient配置路由器響應(yīng)client的IP地址申請(qǐng)router(con86創(chuàng)建IPSec變換集router(config)#cryptoipsectransform-settransform-set-name

transform1[transform2[transform3]]vpngate1(config)#cryptoipsectransform-setvpntransformesp-3desesp-sha-hmacvpngate1(cfg-crypto-trans)#exitvpntransformTransformsetnamevpngate1Remoteclient創(chuàng)建IPSec變換集router(config)#crypt87創(chuàng)建動(dòng)態(tài)cryptomaprouter(config)#cryptodynamic-mapdynamic-map-name

dynamic-seq-numvpngate1(config)#cryptodynamic-mapmaptemplate1vpngate1(config-crypto-map)#settransform-setvpntransformvpngate1(config-crypto-map)#reverseroutevpngate1(config-crypto-map)#exitmaptemplate1Cryptomapname/sequence#vpngate1創(chuàng)建動(dòng)態(tài)cryptomaprouter(config)#c88動(dòng)態(tài)cryptomap與靜態(tài)cryptomap靜態(tài)cryptomap中要配置保護(hù)流量的ACL等EasyVPN模式下client的地址是變化的，定義保護(hù)流量的ACL比較困難，所以不適宜直接使用靜態(tài)cryptomap動(dòng)態(tài)cryptomap中不需要配置全部參數(shù)，缺少的參數(shù)可以在后續(xù)動(dòng)態(tài)地配置動(dòng)態(tài)cryptomap與靜態(tài)cryptomap靜態(tài)cry89把動(dòng)態(tài)map與靜態(tài)map相關(guān)聯(lián)router(config)#cryptomapmap-name

seq-numipsec-isakmpdynamicdynamic-map-namevpngate1(config)#cryptomapdynmap1

ipsec-isakmpdynamicmaptemplatevpngate1Remoteclientdynmap1Cryptomapname/sequence#把動(dòng)態(tài)map與靜態(tài)map相關(guān)聯(lián)router(config)#90啟用IKE的DPD死亡對(duì)端檢測(cè)vpngate1router(config)#cryptoisakmpkeepalivesecsretries

vpngate1(config)#cryptoisakmpkeepalive20101)DPDSend:Areyouthere?2)DPDReply:YesIamhere.2)DPDReply:YesIamhere.Secs:發(fā)送DPD消息的時(shí)間間隔，取值范圍是10-3600秒Retries:DPD失敗后隔多長(zhǎng)時(shí)間重發(fā)，取值范圍是2-60秒啟用IKE的DPD死亡對(duì)端檢測(cè)vpngate1router(91啟用AAA登錄認(rèn)證router(config)#aaaauthenticationloginlist-namemethod1[method2…]vpngate1(config)#aaaauthenticationloginvpnuserslocalvpngate1(config)#usernameuser1passwordpass1vpngate1(config)#usernameuser2passwordpass2vpngate1RemoteclientvpnusersVPNusergroup啟用AAA登錄認(rèn)證router(config)#aaaau92定義擴(kuò)展認(rèn)證Xauth的超時(shí)時(shí)間router(config)#cryptoisakmpxauthtimeoutsecondsvpngate1(config)#cryptoisakmpxauthtimeout20vpngate1RemoteclientvpnusersVPNusergroup20seconds定義擴(kuò)展認(rèn)證Xauth的超時(shí)時(shí)間router(config)93把Xauth認(rèn)證方式與cryptomap關(guān)聯(lián)router(config)#cryptomapmap-nameclientauthenticationlistlist-namevpngate1(config)#cryptomapdynmapclientauthenticationlistvpnusersvpngate1RemoteclientvpnusersVPNusergroupdynmap1Cryptomapname把Xauth認(rèn)證方式與cryptomap關(guān)聯(lián)router(94把cryptomap應(yīng)用到路由器的端口vpngate1(config)#interfaceethernet0/1vpngate1(config-if)#cryptomapdynmapvpngate1(config-if)#exitdynmap1Cryptomapnamevpngate1Remotecliente0/1把cryptomap應(yīng)用到路由器的端口vpngate1(c95EasyVPN在client端的配置步驟1點(diǎn)擊“new”創(chuàng)建一個(gè)新條目EasyVPN在client端的配置步驟1點(diǎn)擊“new”創(chuàng)96EasyVPN在client端的配置步驟2設(shè)置EasyVPNserver的IP地址EasyVPN在client端的配置步驟2設(shè)置EasyV97EasyVPN在client端的配置步驟3設(shè)置組名和對(duì)應(yīng)的pre-sharekeyEasyVPN在client端的配置步驟3設(shè)置組名和對(duì)應(yīng)的98Xauth擴(kuò)展認(rèn)證如果設(shè)置了Xauth擴(kuò)展認(rèn)證，在連接的過程中會(huì)提示輸入用戶名/口令Xauth擴(kuò)展認(rèn)證如果設(shè)置了Xauth擴(kuò)展認(rèn)證，在連接的過程99連接成功后的狀態(tài)信息連接成功后的狀態(tài)信息100目錄VPN簡(jiǎn)介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例目錄VPN簡(jiǎn)介BGP/MPLSVPNIPSec基礎(chǔ)101VPN中的角色CECECECEPEPEPP運(yùn)營(yíng)商網(wǎng)絡(luò)用戶網(wǎng)絡(luò)用戶網(wǎng)絡(luò)CE(CustomEdgeRouter)，用戶邊緣路由器，直接與運(yùn)營(yíng)商網(wǎng)絡(luò)相連PE(ProviderEdgeRouter)，運(yùn)營(yíng)商邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P(ProviderRouter)：運(yùn)營(yíng)商核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。VPN中的角色CECECECEPEPEPP運(yùn)營(yíng)商網(wǎng)絡(luò)用戶網(wǎng)絡(luò)102對(duì)IPSecVPN的回顧C(jī)ECECECEPEPEPPIPSec隧道在CE與CE之間建立，需要用戶自己創(chuàng)建并維護(hù)VPNIPSecVPN的創(chuàng)建以及相關(guān)用戶路由的配置等都需要手工完成擴(kuò)展不方便，如果用戶VPN網(wǎng)絡(luò)中新增一個(gè)節(jié)點(diǎn)，需要完成以下工作：1.在這個(gè)新增結(jié)點(diǎn)上建立與所有已存在的N個(gè)結(jié)點(diǎn)的隧道及相關(guān)的路由；2.對(duì)于已存在的N個(gè)結(jié)點(diǎn)，需要在每個(gè)結(jié)點(diǎn)上都建立一個(gè)與新增結(jié)點(diǎn)之間的隧道及相關(guān)的路由。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0IPSecVPNtunnelVPN_A10.4.0.0對(duì)IPSecVPN的回顧C(jī)ECECECEPEPEPPIPS103BGP/MPLSVPN要達(dá)到的目標(biāo)CECECECEPEPEPP隧道在PE與PE之間建立，用戶不需要自己維護(hù)VPN把VPN隧道的部署及路由發(fā)布變?yōu)閯?dòng)態(tài)實(shí)現(xiàn)VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0VPNtunnelBGP/MPLSVPN要達(dá)到的目標(biāo)CECECECEPEPE104要解決的主要問題CECECECEPEPEPP提供一種動(dòng)態(tài)建立的隧道技術(shù)解決不同VPN共享相同地址空間的問題VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0MPLSBGPVPNtunnel要解決的主要問題CECECECEPEPEPP提供一種動(dòng)態(tài)建立105動(dòng)態(tài)隧道----MPLS動(dòng)態(tài)隧道----MPLS106MPLS與動(dòng)態(tài)隧道MPLS（MultiProtocollabelSwitch，多協(xié)議標(biāo)簽交換）是根據(jù)標(biāo)簽對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，因此在三層數(shù)據(jù)包中可以使用私有地址，從而形成了一種天然的隧道。MPLS標(biāo)簽的分發(fā)可以通過LDP等協(xié)議動(dòng)態(tài)完成，所以MPLS能夠提供動(dòng)態(tài)的隧道。三層包頭MPLS標(biāo)簽二層包頭MPLS與動(dòng)態(tài)隧道MPLS（MultiProtocolla107MPLS包頭結(jié)構(gòu)MPLS包頭通常有32Bit:20Bit用作標(biāo)簽（Label）3個(gè)Bit的EXP,協(xié)議中沒有明確，通常用作COS1個(gè)Bit的S,用于標(biāo)識(shí)是否是棧底，表明MPLS的標(biāo)簽可以嵌套。理論上，標(biāo)記?？梢詿o(wú)限嵌套，從而提供無(wú)限的業(yè)務(wù)支持能力。8個(gè)Bit的TTL2層頭部MPLS頭部IP頭部數(shù)據(jù)標(biāo)簽EXPSTTL32Bit020232432MPLS包頭結(jié)構(gòu)MPLS包頭通常有32Bit:2層頭部MPL108MPLS標(biāo)簽的生成1R1R2R3R4172.16.1/24路由器發(fā)現(xiàn)有直連路由時(shí)就會(huì)向外發(fā)送標(biāo)簽172.16.1/24Label20In20MPLS標(biāo)簽的生成1R1R2R3R4172.16.1/24路109MPLS標(biāo)簽的生成2R1R2R3R4172.16.1/24路由器發(fā)現(xiàn)自己有直連路由時(shí)就會(huì)向外發(fā)送標(biāo)簽收到下游到某條路由的標(biāo)簽并且該路由生效（也就是說，在本地已經(jīng)存在該條路由，并且路由的下一跳和標(biāo)簽的下一跳相同）時(shí)會(huì)發(fā)送標(biāo)簽。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30MPLS標(biāo)簽的生成2R1R2R3R4172.16.1/24路110MPLS標(biāo)簽生成的要點(diǎn)R1R2R3R4172.16.1/24運(yùn)行MPLS的路由器中必須同時(shí)運(yùn)行普通路由協(xié)議通過標(biāo)簽形成的路經(jīng)，與查找路由表形成的路徑是相同的In標(biāo)簽是由本地路由器發(fā)給其他路由器的，Out標(biāo)簽是由其他路由器發(fā)給自己的。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30MPLS標(biāo)簽生成的要點(diǎn)R1R2R3R4172.16.1/24111MPLS數(shù)據(jù)包轉(zhuǎn)發(fā)R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2MPLS數(shù)據(jù)包轉(zhuǎn)發(fā)R1R2R3R4172.16.1/2417112MPLS的優(yōu)化1R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2最后一跳路由器收到數(shù)據(jù)包后，并不需要進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)，所做的只是去掉標(biāo)簽，然后送交IP層。最好在倒數(shù)第二跳路由器就去掉標(biāo)簽，直接把IP報(bào)文發(fā)送給最后一跳路由器。問題：路由器怎么知道自己是倒數(shù)第二跳？MPLS的優(yōu)化1R1R2R3R4172.16.1/24172113MPLS的優(yōu)化2R1R2R3R4172.16.1/24172.16.1/24In3172.16.1/24In30out3172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.24172.16.1.25172.16.1.2最后一跳路由器向倒數(shù)第二跳分配一個(gè)特殊的標(biāo)簽3。路由器查看標(biāo)簽轉(zhuǎn)發(fā)表，如果發(fā)現(xiàn)out標(biāo)簽是3，就認(rèn)為自己是倒數(shù)第二跳路由器。標(biāo)簽分配方式（優(yōu)化前）標(biāo)簽分配方式（優(yōu)化后）轉(zhuǎn)發(fā)方式(優(yōu)化前)轉(zhuǎn)發(fā)方式(優(yōu)化后)倒數(shù)第一跳隨機(jī)分配分配特定的標(biāo)簽3標(biāo)簽彈出，IP路由轉(zhuǎn)發(fā)IP路由轉(zhuǎn)發(fā)倒數(shù)第二跳隨機(jī)分配隨機(jī)分配標(biāo)簽交換標(biāo)簽彈出MPLS的優(yōu)化2R1R2R3R4172.16.1/24172114地址沖突----BGP地址沖突----BGP115地址沖突的細(xì)分CECECECEPEPEPP本地路由沖突問題，即在同一臺(tái)PE上如何區(qū)分不同VPN的相同路由。（PE發(fā)時(shí)）路由在網(wǎng)絡(luò)中的傳播問題，即在PE上接收到來(lái)自不同VPN的兩條相同路由時(shí)，如何進(jìn)行辨別（PE收時(shí)）數(shù)據(jù)包的轉(zhuǎn)發(fā)問題，即使成功解決了路由表的沖突，但在PE接收到一個(gè)IP數(shù)據(jù)包時(shí)，怎么知道該發(fā)給那個(gè)VPN？因?yàn)镮P數(shù)據(jù)包頭中唯一可用的信息就是目的地址，而很多VPN中都可能存在這個(gè)地址。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0地址沖突的細(xì)分CECECECEPEPEPP本地路由沖突問題，116解決本地路由沖突的思路CECEPE在PE上同時(shí)維護(hù)多張相互獨(dú)立路由表一張全局路由表（公網(wǎng)路由表）為每個(gè)VPN建立一個(gè)路由表由于每個(gè)VPN使用自己獨(dú)立的路由表，因此可以有效地解決本地路由沖突。VPN_AVPN_B10.1.0.010.1.0.0GlobalRoutingTableVRFforVPN-AVRFforVPN-BVPNRoutingTableIGP&/orBGP解決本地路由沖突的思路CECEPE在PE上同時(shí)維護(hù)多張相互獨(dú)117VRFVRF(VPNRouting&ForwardingInstance，VPN路由轉(zhuǎn)發(fā)實(shí)例)可以看作虛擬的路由器，該虛擬路由器包括以下元素：一張獨(dú)立的路由表，從而包括了獨(dú)立的地址空間；一組歸屬于這個(gè)VRF的路由器接口的集合；一組只用于本VRF的路由協(xié)議。問題：VRF實(shí)現(xiàn)了不同VPN之間路由的隔離，這并不夠，如何實(shí)現(xiàn)VRF之間的路由發(fā)布和交互呢？VRFVRF(VPNRouting&Forwardin118RT（Routetarget）PE2PE1Vrf1：exportredimportredVrf2：exporty