页面好看的教育类网站模板如何在百度提交自己的网站
目录
■IPSec
▲IPSec VPN应用场景
▲IPSec架构
▲安全联盟SA
▲IPSec传输模式
▲IPSec隧道模式
▲IPSec VPN配置步骤
■路由策略配置
▲路由策略
▲策略路由
▲实验
■VRRP
■IPSec
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。
虚拟专用网(Virtual Private Network):一种建立在公网上的,由某一组织或某一群用户专用的通信网络。
实现虚拟专用网关键技术:隧道技术(Tuneling);加解密技术(Encryption&Decryption) ;密钥管理技术(Key Management) ;身份认证技术(Authentication) 。
▲IPSec VPN应用场景
企业分支可以通过IPSec VPN接入到企业总部网络。
▲IPSec架构
IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。IKE协议提供密钥协商,建立和维护安全联盟SA等服务。
IPSec功能分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)。
认证头(AH):提供数据完整性和数据源认证,但不提供数据保密服务,实现算法有MD5、SHA。
封装安全负荷(ESP):提供数据加密功能,加密算法有DES、3DES、AES等。
Internet密钥交换协议(IKE):用于生成和分发在ESP和AH中使用的密钥。代表协议DH。
IPSec SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(SecurityParameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。
▲安全联盟SA
安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA。
▲IPSec传输模式
▲IPSec隧道模式
▲IPSec VPN配置步骤
■路由策略配置
策略路由:通过定义策略和应用,实现数据流量按照规划的路径走,比如张三走联通出口,李四走电信出口(策略路由的优先级比普通路由表优先级更高)。
路由策略是通过ACL等方式控制路由发布,让对方学到适当路由条目,比如有20条路由条目,只想让某个路由器学到10条,可以通过路由策略进行过滤。
路由策略和策略路由是两种不同的机制,主要区别如下:
▲路由策略
基于策略控制路由信息的引入、发布、接收;基于控制平面,为路由协议和路由表服务;与路由协议结合完成策略;应用命令route-policy。
▲策略路由
由表转发报文,而是通过按照策略需要转发,转发失败后再通过查找路由表转发;基于转发平面,为转发策略服务;需要手工逐跳配置,以保证报文按策略转发;应用命令traffic-policy。
▲实验
①让R3可以学到10.1.2.0/24和10.1.1.3.0/24 路由,不能学到10.1.1.0/24.
②让 R2 向 R1 通告 R3 的三个环回接口,cost 设置为 10。
实验步骤:
1、配置IP地址
2、配置RIP和OSPF
3、R2上配置路由引入和路由策略,进行路由过滤和cost设置
4、验证测试
- R1
system-viewsysname R1int g0/0/0ip add 12.1.1.1 30int lo0ip add 10.1.1.1 24int lo1ip add 10.1.2.1 24int lo2ip add 10.1.3.1 24quit[R1]ripversion 2network 12.0.0.0network 10.0.0.0- R2
......[R2]acl 2000[R2-acl-basic-2000]rule 10 permit source 10.1.2.0 0.0.0.255[R2-acl-basic-2000]rule 20 permit source 10.1.3.0 0.0.0.255[R2-acl-basic-2000]q[R2][R2]route-policy FROMRI permit node 10[R2-route-policy]if-match acl 2000[R2-route-policy]q[R2][R2]ospf 1[R2-ospf-1]import-route rip 1 route-policy FROMRI[R2-ospf-1]q[R2]......- R3
......[R3]ospf 1area 0network 0.0.0.0 0.0.0.0quit......■VRRP
核心交换机coreswl VRRP配置(Master)
[coreswl] interface Vlanif 10 //进入Vlanif 10(写成vlanif10也行)
[coresw1-Vlanif10] vrrp vrid 10 virtual-ip 192.168.10.254 //配置VRRP虚拟路由器10,虚拟 IP地址是192.168.10.254
[coresw1-Vlanif10] vrrp vrid 10 priority 120 //虚拟路由器10的优先级设置为120
[coreswl-Vlanif10] vrrp vrid 10 preempt-mode timer delay 20 //抢占延时设置为20秒。比如以前该设备是备份设备,调整优先级后成为优先级最高的设备,不会马上成为Master,需要延时20秒,再抢占成为Master。
核心交换机coresw2 VRRP配置(Backup)
[coreswl] interface Vlanif 10 //进入Vlanif 10
[coresw1-Vlanif10] vrrp vrid 10 virtual-ip 192.168.10.254 //配置VRRP虚拟路由器10,虚拟 IP地址是192.168.10.254,优先级默认是100
在核心交换机coresw2上查看VRRP状态,这台设备处于Backup备份状态(coreswl优先级是120,coresw2默认优先级100,故coreswl由于优先级更高,处于Master状态)。
[coresw2] display vrrp brief
至此,本文的内容就结束了。