在HCIA中提到用NAT来实现私网访问公网,但该方法存在一个弊端,即会暴露死亡中的服务器,对于不想暴露的服务器可以进行VPN方法进行设计
VPN(虚拟专用网络):核心是隧道技术(封装技术),包含GRE和MGRE(GRE的升级版)两种手段
GRE(通用路由封装协议):创建隧道接口配置虚拟网段,将自身的公网物理接口IP定为源IP,将目标公网物理接口IP定为目标IP
MGRE:必须在多节点的VPN网络下,选择一台边界路由器成为中心(NHS---下一跳解析路由器:负责接收分支汇报 的信息(分支隧道接口配置的IP地址和隧道接口对应的物理 地址),之后分支之间想要互相访问,只需要找中心获取 NHRP表即可构建隧道。
有以下一个例子:
要求:R1/R2/R3构建一个MGRE环境,R1为中心站点;R1和R4之间为点到点的GRE
橙色为MGRE的虚拟线路,紫色为GRE的虚拟线路
配置GRE:
R1为例:如图所示R1和R4之间建立隧道,该隧道的网段为192.168.6.0 24网段,根据GRE的思想,要将私网信息进行封装骗过边界路由器,必须在封装的时候加上该边界路由器的公网物理接口IP作为源IP,而对端边界路由器的公网物理接口IP为目标IP,这样在将信息包丢到边界路由器的时候,边界路由器一看源IP是自己,就可以丢给对端,对端一看目标IP是自己就进行解封装,信息由此传递出去
配置MGRE:
R1作为MGRE的中心站点 ,它在隧道中创建的IP将会作为分支的隧道的中心IP地址,并且通过nhrp network-id来创建组,组号相同为一组
R2作为分支站点,与中心站点配置相似,但需要增加nhrp entry命令来告诉分支中心是谁,怎么吧会找信息发给中心,两个参数分别是中心站点的隧道IP地址和其隧道的物理地址。通过配置,分支就会通过隧道将自身的信息(即自身的隧道ip和自身的物理ip告知给中心)
分支配置好后可通过 display nhrp peer all 来查看NHRP表
配置完还需写静态,也可以通过RIP来实现连通
此时可以发现,私网和公网已经连通,但私网网段中的pc端还无法进行访问公网,接下来可以用NAT进行实现pc端访问公网
扫一扫
401
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
