Tunnel ××× OSPF——三劍客的精妙組合

Tunnel ××× OSPF——三劍客的精妙組合

×××和OSPF之間好像沒有多大關係，前者是用於公網上站點到站點或者出差人員與公司之間安全鏈接的一種技術，後者是局域內的路由協議。今天我們使用Tunnel技術讓它們兩個也協同工做一次。呵呵！說實話OSPF和×××仍是比較熟悉的，但Tunnel技術是近幾天才掌握的。如今和你們一塊兒分享分享。但願在Tunnel方面比較強的朋友能留下寶貴意見。

再說這個技術以前，我先說一下爲何我會去研究Tunnel？是這樣的，有人問了我一個問題，他說爲何兩個站點之間作了×××以後不能啓OSPF路由協議，不是產生了一個隧道嗎？我當時以爲挺簡單的笑着對他說：「你在這邊啓了OSPF，那邊也啓了OSPF，請問電信的路由器你如何啓用OSPF？」。過後以爲這個問題值得研究一下，隨即發現了不少解決這個問題的方法，其中Tunnel是比較簡單的一種。

接下來我們帶着問題來看看這個技術的應用，首先分析一下上面提到的問題，爲何作了×××以後不能啓用路由協議？其實這也是不少剛剛接觸×××的人一個誤區，認爲雙方創建了×××以後就會產生一個直連的隧道，其實×××是把數據加密了，數據走在路上沒人認識它因此才管它叫它隧道，所謂隧道實際上是一種封裝、加密、傳輸、拆封、解密的過程。它並非真正的隧道。

如今在來看一個問題，爲何我們要在公網上啓用OSPF路由協議（固然RIP、EIGRP、靜態都也能夠，只是今兒我們說這個），如今公司的總部和分部分別位於不一樣的城市。內部都有多個網段，要求不但能跨越Internet統一路由條目，還要保證安全可靠的互訪。說白了就是想在不拉DDN專線的前提下，構建一個局域網的環境。在這樣的一種狀況下Tunnel派上了用場。

首先看看我們本次的拓撲圖，以下：

 

可能看得不太清楚，我把信息簡單羅列一下：

1.      五個路由器，R1、R2、R3、R4、R5.

2.      R1和R5分別是總公司和分司內網的路由器；

總公司R1 E0/1接口的IP爲192.168.2.1/24；E0/0接口的IP爲192.168.1.2/24

分公司R5 E0/1接口的IP爲192.168.20.1/24；E0/0接口的IP爲192.168.10.2/24；

3.      R2和R4分別是總公司和分公司鏈接內網與外網的路由器；

總公司R2 E1/0接口的IP爲192.168.1.1/24；廣域網接口S0/0的IP爲61.134.1.5/24；

分公司R4 E1/0接口的IP爲192.168.10.1/24；廣域網接口S0/0的IP爲218.30.19.52/24；

4.      R3是我用來模擬公網環境的一個路由器。其S0/0接口的IP爲61.134.1.4/24；S0/1接口的IP爲218.30.19.51/24；

5.      R2上Tunnel 0接口的IP爲192.168.100.1/24；R4上Tunnel 0接口的IP爲192.168.100.2/24；

OK!相信你們對上面這個苛刻的要求的解決方案已經很是期待了。下面就來看看我們的對策。個人博客仍是老規矩，爲了不你們閱讀時亂了思緒。依然分幾個部分來講。

第一部分：路由器的基本配置

（後面還有好多要說的地址方，我怕字數不達標（超了），就把配置截成了圖，若是看不清你們能夠打開看）

基本配置沒啥說的很簡單，IP和主機名都和拓撲上一致。路由器2和4上廣域網接口上我用的是默認的HDLC協議，若是你那兒有更高的要求可使用PPP。

 

第二部分：路由協議的配置

     路由協議配置時R1和R5上很簡單，各自把兩邊的網段發佈一下便可。重點我來講一下R2和R4上，R2和R4只有內網接口所在的網段纔可以被髮布，爲何呢？由於OSPF是屬於內部網關路由協議，它只能在單一自治系統內決策路由。也就是說只能在局域網裏使用一下，不能運用到公網上。因此R2和R4上我只發佈了一個網段。那我們用什麼方法和公網聯繫呢？作一條默認路由便可，其它的電信本身會去作。

    如今你們可能在納悶兒，怎麼沒有R3？R3我們管不着，它是Internet上的千千萬萬個路由器。是不可能讓我們拿來作OSPF路由協議的。因此我們不用管。剛剛給它配了IP以後，如今把它晾那就能夠了，呵呵！

 

如今你們可能在想，按照上面的路由協議配置下去，總公司和分公司能通訊嗎？固然不能啊。怎麼才能？這就是我們下面要說的關鍵技術——Tunnel.

第三部分：Tunnel的配置

    說是關鍵的技術，其實很是簡單。你們能夠從下圖中看到，我們到R2和R4路由器上，而後進入Tunnel 0接口，可別小看Tunnel啊！它可支持0-2147483647這麼多個接口（我這是CISCO的）。而後我們使用命令tunnel destination指定Tunnel的對端IP，注意這個IP可得是個公網IP才行啊，我們這邊也得是公網的。這樣才能通訊。而後用命令tunnel source指定我們這邊外網口的接口，寫IP也能夠啊。最後再給tunnel 0配個IP。這個IP隨便配都行，我這R2配的是192.168.100.1/24；R4配置的是192.168.100.2/24這樣的話總部和分部之間就由邏輯接口Tunnel 0產生了一個新的網段，我們把這個網段經過OSPF發步一下，兩邊的路由條目就通一了，實現了互通。

 

驗證的圖這裏暫時先不截，等一下後面還要你們分析分析。先來看另外一個更重要的問題。那就是數據如何安全的在總部和分部之間傳輸？這就是我們接下來要說的×××。

第四部分：×××的配置

×××前面我可說的很多啊，前面在ISA SERVER上，WINDOWS 2003、WINDOWS 2008上都說的有，今天正好在路由器上也來講一下。

你們可別覺得前面作了個Tunnel又起了OSPF，這×××該咋作，說實話該咋作仍是咋作！惟一的區別是運用到的接口變了，稍後會說。下面圖上我說的其實夠詳細了。這裏就給你們捋一捋思緒就能夠了。首先第一步，得創建一個IKE協商策略；第二步，設置密鑰和對端的IP地址；第三步，作一個訪問控制列表，好定義哪些數據將會被×××；第四步，配置IPSec；第五步，配置一個map，用來包含前面幾步的設置；第六步，把這個map運用到接口。把上面所說的六步記住以後配置×××今後再也不難。只要進得了相應的模式。一路打「?」就知道咋配了，呵呵！

OK！就說這麼多吧！若是你們對×××感性趣下次專門寫個×××的。早有這樣的想法了。

 

 

再補充說一點，作好全部的策略後，是把map運用到邏輯接口tunnel 0上而不是物理接口s0/0，用到s0/0上是不會有任何做用，你們想啊數據走的是經過邏輯接口tunnel 0 創建起來的通道上。因此要用到tunnel 0上。

接下來，我們來驗證驗證！

第五部分：驗證我們的配置

    首先到R1上來看看。經過ping對方內網路由器R5的e0/1接口能夠看到總部和分部通訊正常；再經過traceroute R5的e0/1能夠看到經過了3個路由，IP地址爲192.168.1.1（R1的）；192.168.100.2（R4的）；192.168.10.2（R5的）。以此證實數據走的是由Tunnel技術產生的通道。R1根本不知道有R3.也就是說它不知道本身發出去的數據包Internet上是怎麼走的。再看看路由表，能夠看到整個Internet對於R1來講都被Tunnel產生的網段192.168.100.0/24所取代。同是它也學到了分公司內的全部路由信息。你們會看到代價值（cost）比較大，這裏是11100多，固然啦，由於中間其實有N多個公網的路由器。

 

如今到R2上來瞧瞧！經過命令sh ip os n查看到的OSPF鄰居信息能夠看到R2的OSPF鄰居是處於內網的R1（IP：192.168.2.1）和分公司的出口路由R4（IP：218.30.19.52），中間的部分對於R2上運行的OSPF來講，它是不知道的，由於它走的是Tunnel. 經過查看路由表能夠看到COST值也很大，學習到對端路由信息的下一跳地址是192.168.100.2.也就是對端tunnel 0的接口。

再看看×××，經過命令show crypto isakmp sa能夠看到密鑰信息已經同步過去了。目的爲218.30.19.52，源爲61.134.1.5，狀態爲活動。而後經過命令show crypto ipsce sa查看IPSce已經同步。能夠看到被加密被哈希的數據包數量以及封裝截封裝等信息。

 

下圖是R4上截到的一張圖，顯示信息和R2差很少，能夠看到它也將總部那邊的路由信息學習到了。而且我這裏作了個對比：經過sh cdp n能夠看到它的設備鄰居是R3和R5，而後經過命令sh ip os n能夠看到它的OSPF鄰居是R5（IP：192.168.20.1）和R2（IP：192.168.100.1）。×××信息就不說了，和R2是同樣的。

 

再來看看R5，能夠看到ping通R1的內接口E0/1是沒有問題的。而且全部路由信息都學到了。特色都和前面同樣——來自遠方的路由條目COST都比較大哈。

 

    最後再來看看R3，咱們已經晾它很久了，能夠看到什麼路由信息也沒有，只給它配了IP而已，就像前面說的同樣，我們根本管不着。

 

    OK！終於把三劍客給你們介紹完了，如今我們就解決了上面說的需求。如今總公司和分公司之間不但可以跨越Internet統一路由信息，還可以安全的進行互訪。最後再補充一點若是網段數目不少的話，好比內部還有VLAN啊，三層交換什麼的。能夠把OSPF在多劃幾個區域，好比把分公司劃成末梢區域。或者其它區域以減小路由大哥的負擔。今兒我這隻劃了一個區域，不建議這樣作，呵呵！