攻城狮论坛

IE-LAB

作者: nashw28
查看: 497|回复: 0

主题标签Tag

more +今日重磅推荐Recommend No.1

论坛活动~"闲书换金币" 11本书免费送论坛活动~"闲书换金币" 11本书免费送

more +随机图赏Gallery

泰克许国军老师云计算NA公开课视频HCNA-Cloud 华为大数据云计算视频教程泰克许国军老师云计算NA公开课视频HCNA-Cloud 华为大数据云计算视频教程
华为全套HCIE安全视频教程Security LVC公开课 陈世杰 彭定学 王锐 阮维 戴鑫 合力讲演华为全套HCIE安全视频教程Security LVC公开课 陈世杰 彭定学 王锐 阮维 戴鑫 合力讲演
hillstone虚拟化安全培训HCSA-V--云界云格 虚拟化视频教程 专业原厂级讲师hillstone虚拟化安全培训HCSA-V--云界云格 虚拟化视频教程 专业原厂级讲师
Yeslab Hans 2017年最新录制HCNA-HNTD v2.1进阶课程视频33讲Yeslab Hans 2017年最新录制HCNA-HNTD v2.1进阶课程视频33讲
16个方向,全方位学习. Linux运维工程师、架构师全套教程。包含PPT 案例 视频 作业16个方向,全方位学习. Linux运维工程师、架构师全套教程。包含PPT 案例 视频 作业
【2017年-第1期】泰克HCNA华为 安全直通车【最新视频教程】+【扩展资料】【2017年-第1期】泰克HCNA华为 安全直通车【最新视频教程】+【扩展资料】
2017年最新 数据库系统概论(新技术篇)(中国人民大学)教授级大学视频教程2017年最新 数据库系统概论(新技术篇)(中国人民大学)教授级大学视频教程
多位F5工程师的杰作业-F5部署红宝书多位F5工程师的杰作业-F5部署红宝书
超级详细 为了CCIE而录制的CCNA视频教程《CCNA鸿篇巨制版54集》CCIE魔鬼训练营超级详细 为了CCIE而录制的CCNA视频教程《CCNA鸿篇巨制版54集》CCIE魔鬼训练营
华为防火墙视频教程 原理一日通 网络设备防火墙工作原理 设计理念 售前售后攻城狮必备华为防火墙视频教程 原理一日通 网络设备防火墙工作原理 设计理念 售前售后攻城狮必备
教主秦柯 华为防火墙视频50集 USG防火墙进阶讲解 华为防火墙典型配置案例 IPSec教主秦柯 华为防火墙视频50集 USG防火墙进阶讲解 华为防火墙典型配置案例 IPSec
华为安全原厂培训视频教程 新HCNA-Security-中小型企业网安全技术指南(53集)华为安全原厂培训视频教程 新HCNA-Security-中小型企业网安全技术指南(53集)

[学习笔记] 小狼推荐 动态多点VPN 学习总结

[复制链接]
查看: 497|回复: 0
开通VIP 免金币+免回帖+批量下载+无广告
运用IPSec地道在Internet上进行安全的数据传输,是现在公司总部与分支通讯的首要解决方案。它的商业价值,这儿就不提了,随意找个文档也会侃半响的。
IPSec网络的拓扑可所以星形构造(hub−and−spoke)也可所以网状构造(full mesh)。实践运用中,数据流量首要散布在分支与基地之间,分支与分支之间的流量散布较少,所以星形构造(hub−and−spoke)一般是最常用的,而且它更经济。由于星形构造(hub−and−spoke)比网状构造(full mesh)运用更少的点到点链路,可以削减线路费用。
在星形拓扑中,分支机构到分支机构(spoke −to−spoke)的连通不需要额定的通讯费用。但在星形构造中,分支到分支的通讯有必要跨越基地,这会耗费基地的资本并引进延时。特别在用IPSec加密时,基地需要在发送数据分支的地道上解密,而在接纳数据的分支地道上从头加密。还有一种状况是:通讯的两个分支在同一个城市,而基地在另一个城市,这便引进了不必要的延时。
当星形IPSec网络(hub−and−spoke)规划不断拓展时,传统VPN的装备则更加繁琐,且不便于保护和排错。因而IP数据包的动态路由将十分有意义。
但IPSec地道和动态路由协议之间存在一个根底疑问,动态路由协议依赖于多播或播送包进行路由更新,而IPSec地道不支撑多播或播送包的加密。
这儿便引进了动态多点VPN (DMVPN)的概念。
这儿将引进两个协议:GRE 和 NHRP
GRE:通用路由封装。由IETF在RFC 2784中界说。它是一个可在恣意一种网络层协议上封装恣意一个其它网络层协议的协议。GRE将有用载荷封装在一个GRE包中,然后再将此GRE包封装根据实践运用的传输协议上进行转发。(我觉得:GRE相似木马的壳。^_^)
IPSec不支撑播送和组播传输,但是GRE能很好的支撑运载播送和组播包到对端,而且GRE地道的数据包是单播的。这就意味着GRE地道的数据包是可被IPSec加密的,也即GRE Over IPSec。
经过GRE地道与IPSec加密相结合,运用动态路由协议在加密地道两头的路由器上更新路由表。从地道对端学到的子网在路由表条目里将会包含地道对端的IP地址作为抵达对端子网的下一跳地址。这样,地道任何一端的网络发生变化,另外一端都会动态地学习到这个变化,并坚持网络的连通性而无需改动路由器的装备。
IPSec运用拜访操控列表(ACL)来匹配感兴趣数据流。当有数据包匹配所界说的ACL时,IPSec加密地道便会树立。当运用GRE Over IPSec时,GRE地道的装备已经包含了GRE地道对端的地址,这个地址一起也是IPSec地道的对端地址。所以,没有必要再独自为IPSec界说匹配ACL。经过将GRE地道与IPSec绑定,GRE地道一旦树立,将马上触发IPSec加密。在用IPSec对GRE包进行加密时,可以将IPSec装备为传输形式,由于GRE已经将初始数据包封装为单播的IP包,没必要让IPSec再封装一个包头。
GRE的特色使得IPSec也能时尚的运转动态协议了。至此,IPSec不支撑动态路由的前史改动了,DMVPN中的“多点” 被摆平。
接下来,让我们看看“动态”的特性是怎样被引进的?
GRE树立了地道,IPSec完成了VPN网络的加密有些。想要树立GRE地道,地道的一端有必要知道另一端的IP地址,而且有必要可以在Internet上路由。这就请求基地和一切分支路由器有必要具有静态的公共IP地址。
但是向ISP请求静态IP地址的费用是十分贵重的。一般,为节省地址资本并进步有用运用率,无论是ADSL仍是直接线缆接入,ISP会经过DHCP服务来供给动态IP地址。(注:IPv4的瓶颈引发的地址缺乏。IPv6不会存在该疑问,声称可以给地球上的每一粒沙子都分个IP,口气很大的说)
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方QQ群

QQ|无图浏览|手机版|网站地图|攻城狮论坛 ( 京ICP备12049419号 )|网站地图

GMT+8, 2017-9-23 22:31 , Processed in 0.261141 second(s), 22 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn