Tunnel ××× OSPF——三剑客的精妙组合

时间 2020-01-31

标签 tunnel ospf 剑客精妙组合繁體版

原文原文链接

Tunnel ××× OSPF——三剑客的精妙组合

×××和OSPF之间好像没有多大关系，前者是用于公网上站点到站点或者出差人员与公司之间安全链接的一种技术，后者是局域内的路由协议。今天我们使用Tunnel技术让它们两个也协同工做一次。呵呵！说实话OSPF和×××仍是比较熟悉的，但Tunnel技术是近几天才掌握的。如今和你们一块儿分享分享。但愿在Tunnel方面比较强的朋友能留下宝贵意见。

再说这个技术以前，我先说一下为何我会去研究Tunnel？是这样的，有人问了我一个问题，他说为何两个站点之间作了×××以后不能启OSPF路由协议，不是产生了一个隧道吗？我当时以为挺简单的笑着对他说：“你在这边启了OSPF，那边也启了OSPF，请问电信的路由器你如何启用OSPF？”。过后以为这个问题值得研究一下，随即发现了不少解决这个问题的方法，其中Tunnel是比较简单的一种。

接下来我们带着问题来看看这个技术的应用，首先分析一下上面提到的问题，为何作了×××以后不能启用路由协议？其实这也是不少刚刚接触×××的人一个误区，认为双方创建了×××以后就会产生一个直连的隧道，其实×××是把数据加密了，数据走在路上没人认识它因此才管它叫它隧道，所谓隧道实际上是一种封装、加密、传输、拆封、解密的过程。它并非真正的隧道。

如今在来看一个问题，为何我们要在公网上启用OSPF路由协议（固然RIP、EIGRP、静态都也能够，只是今儿我们说这个），如今公司的总部和分部分别位于不一样的城市。内部都有多个网段，要求不但能跨越Internet统一路由条目，还要保证安全可靠的互访。说白了就是想在不拉DDN专线的前提下，构建一个局域网的环境。在这样的一种状况下Tunnel派上了用场。

首先看看我们本次的拓扑图，以下：

可能看得不太清楚，我把信息简单罗列一下：

1. 五个路由器，R1、R2、R3、R4、R5.

2. R1和R5分别是总公司和分司内网的路由器；

总公司R1 E0/1接口的IP为192.168.2.1/24；E0/0接口的IP为192.168.1.2/24

分公司R5 E0/1接口的IP为192.168.20.1/24；E0/0接口的IP为192.168.10.2/24；

3. R2和R4分别是总公司和分公司链接内网与外网的路由器；

总公司R2 E1/0接口的IP为192.168.1.1/24；广域网接口S0/0的IP为61.134.1.5/24；

分公司R4 E1/0接口的IP为192.168.10.1/24；广域网接口S0/0的IP为218.30.19.52/24；

4. R3是我用来模拟公网环境的一个路由器。其S0/0接口的IP为61.134.1.4/24；S0/1接口的IP为218.30.19.51/24；

5. R2上Tunnel 0接口的IP为192.168.100.1/24；R4上Tunnel 0接口的IP为192.168.100.2/24；

OK!相信你们对上面这个苛刻的要求的解决方案已经很是期待了。下面就来看看我们的对策。个人博客仍是老规矩，为了不你们阅读时乱了思绪。依然分几个部分来讲。

第一部分：路由器的基本配置

（后面还有好多要说的地址方，我怕字数不达标（超了），就把配置截成了图，若是看不清你们能够打开看）

基本配置没啥说的很简单，IP和主机名都和拓扑上一致。路由器2和4上广域网接口上我用的是默认的HDLC协议，若是你那儿有更高的要求可使用PPP。

第二部分：路由协议的配置

路由协议配置时R1和R5上很简单，各自把两边的网段发布一下便可。重点我来讲一下R2和R4上，R2和R4只有内网接口所在的网段才可以被发布，为何呢？由于OSPF是属于内部网关路由协议，它只能在单一自治系统内决策路由。也就是说只能在局域网里使用一下，不能运用到公网上。因此R2和R4上我只发布了一个网段。那我们用什么方法和公网联系呢？作一条默认路由便可，其它的电信本身会去作。

如今你们可能在纳闷儿，怎么没有R3？R3我们管不着，它是Internet上的千千万万个路由器。是不可能让我们拿来作OSPF路由协议的。因此我们不用管。刚刚给它配了IP以后，如今把它晾那就能够了，呵呵！

如今你们可能在想，按照上面的路由协议配置下去，总公司和分公司能通讯吗？固然不能啊。怎么才能？这就是我们下面要说的关键技术——Tunnel.

第三部分：Tunnel的配置

说是关键的技术，其实很是简单。你们能够从下图中看到，我们到R2和R4路由器上，而后进入Tunnel 0接口，可别小看Tunnel啊！它可支持0-2147483647这么多个接口（我这是CISCO的）。而后我们使用命令tunnel destination指定Tunnel的对端IP，注意这个IP可得是个公网IP才行啊，我们这边也得是公网的。这样才能通讯。而后用命令tunnel source指定我们这边外网口的接口，写IP也能够啊。最后再给tunnel 0配个IP。这个IP随便配都行，我这R2配的是192.168.100.1/24；R4配置的是192.168.100.2/24这样的话总部和分部之间就由逻辑接口Tunnel 0产生了一个新的网段，我们把这个网段经过OSPF发步一下，两边的路由条目就通一了，实现了互通。

验证的图这里暂时先不截，等一下后面还要你们分析分析。先来看另外一个更重要的问题。那就是数据如何安全的在总部和分部之间传输？这就是我们接下来要说的×××。

第四部分：×××的配置

×××前面我可说的很多啊，前面在ISA SERVER上，WINDOWS 2003、WINDOWS 2008上都说的有，今天正好在路由器上也来讲一下。

你们可别觉得前面作了个Tunnel又起了OSPF，这×××该咋作，说实话该咋作仍是咋作！惟一的区别是运用到的接口变了，稍后会说。下面图上我说的其实够详细了。这里就给你们捋一捋思绪就能够了。首先第一步，得创建一个IKE协商策略；第二步，设置密钥和对端的IP地址；第三步，作一个访问控制列表，好定义哪些数据将会被×××；第四步，配置IPSec；第五步，配置一个map，用来包含前面几步的设置；第六步，把这个map运用到接口。把上面所说的六步记住以后配置×××今后再也不难。只要进得了相应的模式。一路打“?”就知道咋配了，呵呵！

OK！就说这么多吧！若是你们对×××感性趣下次专门写个×××的。早有这样的想法了。

再补充说一点，作好全部的策略后，是把map运用到逻辑接口tunnel 0上而不是物理接口s0/0，用到s0/0上是不会有任何做用，你们想啊数据走的是经过逻辑接口tunnel 0 创建起来的通道上。因此要用到tunnel 0上。

接下来，我们来验证验证！

第五部分：验证我们的配置

首先到R1上来看看。经过ping对方内网路由器R5的e0/1接口能够看到总部和分部通讯正常；再经过traceroute R5的e0/1能够看到经过了3个路由，IP地址为192.168.1.1（R1的）；192.168.100.2（R4的）；192.168.10.2（R5的）。以此证实数据走的是由Tunnel技术产生的通道。R1根本不知道有R3.也就是说它不知道本身发出去的数据包Internet上是怎么走的。再看看路由表，能够看到整个Internet对于R1来讲都被Tunnel产生的网段192.168.100.0/24所取代。同是它也学到了分公司内的全部路由信息。你们会看到代价值（cost）比较大，这里是11100多，固然啦，由于中间其实有N多个公网的路由器。

如今到R2上来瞧瞧！经过命令sh ip os n查看到的OSPF邻居信息能够看到R2的OSPF邻居是处于内网的R1（IP：192.168.2.1）和分公司的出口路由R4（IP：218.30.19.52），中间的部分对于R2上运行的OSPF来讲，它是不知道的，由于它走的是Tunnel. 经过查看路由表能够看到COST值也很大，学习到对端路由信息的下一跳地址是192.168.100.2.也就是对端tunnel 0的接口。

再看看×××，经过命令show crypto isakmp sa能够看到密钥信息已经同步过去了。目的为218.30.19.52，源为61.134.1.5，状态为活动。而后经过命令show crypto ipsce sa查看IPSce已经同步。能够看到被加密被哈希的数据包数量以及封装截封装等信息。

下图是R4上截到的一张图，显示信息和R2差很少，能够看到它也将总部那边的路由信息学习到了。而且我这里作了个对比：经过sh cdp n能够看到它的设备邻居是R3和R5，而后经过命令sh ip os n能够看到它的OSPF邻居是R5（IP：192.168.20.1）和R2（IP：192.168.100.1）。×××信息就不说了，和R2是同样的。

再来看看R5，能够看到ping通R1的内接口E0/1是没有问题的。而且全部路由信息都学到了。特色都和前面同样——来自远方的路由条目COST都比较大哈。

最后再来看看R3，咱们已经晾它很久了，能够看到什么路由信息也没有，只给它配了IP而已，就像前面说的同样，我们根本管不着。

OK！终于把三剑客给你们介绍完了，如今我们就解决了上面说的需求。如今总公司和分公司之间不但可以跨越Internet统一路由信息，还可以安全的进行互访。最后再补充一点若是网段数目不少的话，好比内部还有VLAN啊，三层交换什么的。能够把OSPF在多划几个区域，好比把分公司划成末梢区域。或者其它区域以减小路由大哥的负担。今儿我这只划了一个区域，不建议这样作，呵呵！