頁5-4 introduction to WAN
Technologies
廣域網路技術介紹
寬頻網路的技術只是解決你的Last Mile(最後一里路)的技術,Last Mile的技術有ADSL、Cable Modem(電纜數據機)、FTTP、Wi-Fi、Dial-up Modem(撥號數據機)。
Last Mile從網路的角度來看就是最後一段到你家裡,在過去就沒了已是末端設備。上面那些都不是核心網路的技術
這一章要了解的是Last Mile的技術
頁5-5
早期專線都是看距離所以非常的貴,已有新的技術把他取代掉
頁5-6 WAN Devices
(設備)
1.
邊界的Router
2. CSU/DSU為連結設備,CSU/DSU這種的網路設備他是給專線用的,因為專線需要做時間的同步,他的功能就是提供時間。
專線也叫做synchronous(同步),他需要時間同步的,由CSU/DSU來提供時間。
3. WAN switches
4. Core routers(核心路由器)
5. Modems(數據機)
Last Mil可以一直發展因為他是利用現有的環境,ADSL是利用現有的電話線,Cable Modem是利用現有的有線電視。
頁5-7
CSU/DSU這端叫做DCE的角色,Router這端叫做DTE,由DCE提供時間給DTE
這是ADSL的數據機,是利用現有的電話線。
這是光纖到府,先走光纖到大樓之後要轉換成Ethernet(銅線),要有個轉換器。光波轉成電波。
以上這三種都是第一層的轉換設備。
頁5-10 WAN Layer 2 Protocols
1. 第二層點對點的專線跑的是PPP和HDLC其中一個,Cisco的預設值是HDLC協定業界標準的是PPP協定。
2. Packet Switching(分組交換)跑的是Frame Relay和ATM。
3. Circuit Switching(電路交換)也是點對點的,跑PPP和HDLC。Circuit Switching就是電話撥接,意思是電話撥通了跑PPP或HDLC。
4. 現在絕大部分都是Ethernet。
5. Broadband(寬頻),寬頻網路的技術他只是個Last Mile的技術,不是從頭到尾都是寬頻。跑的是DSL、PPPoE、PPPoA,oA是over ATM現在比較多的是PPPoE(over
Ethernet) 。
以上這五種都是第二層的Protocols。
頁5-12 WAN Link Options
WAN鏈路選項
Lesson 2 Configuring Serial Encapsulation
配置串行封裝
頁5-16 Serial Communication Links
串行通信鏈路
Serial介面做設定一定要有DSU/CSU這種設備來提供Router,中間還有其他設備。
典型WAN的速度有分美規跟歐規,T開頭的是美規E開頭的是歐規,都是專線分兩種不同規格。
頁5-18 Configuration of a Serial
interface
串行介面的配置
這圖是省略中間的設備,只看到兩條藍色線對接,藍色線有一端是DCE另一端是DTE,接DCE的這端就要提供Clock Rate(時鐘速率),clockrate 64000這行指令要下在DCE這端。
因為接在DCE這端的Router要負責提供clockrate給DTE這端的Router。
配合的Bandwidth(頻寬)64K,非常的低速。
RouterB(config)# interface
Serial 0/0/0
RouterB(config-if)# bandwidth
64
RouterB(config-if)# no
shutdown
RouterB就少一行指令,因為他是DTE這端,如果你多下那行指令也不會顯示錯誤,變成沒有作用的指令。
如果RouterA 沒下Clock Rate這行指令,RouterB有下Clock Rate這行指令,會變成完全都沒有作用。
The
serial cable that is attached determines the DTE or DCE mode of the Cisco
router. Choose the cable to match the network requirement.
連接的串行電纜確定Cisco路由器的DTE或DCE模式。 選擇電纜以匹配網路要求。
A common
misconception for students that are new to networking and Cisco IOS Software is to assume that the
bandwidth command
changes the physical bandwidth of the link. The bandwidth command
modifies only the bandwidth metric that is used by routing protocols such as
EIGRP and OSPF .
對網路和Cisco IOS軟件新手的學生常見的誤解是假定頻寬命令更改鏈路的物理頻寬。bandwidth命令僅修改路由協定(如EIGRP和OSPF)使用的頻寬度量。
Sometimes,
a network administrator changes the bandwidth value to have more control over
the chosen outgoing interface.
有時,網路管理員更改頻寬值以更好地控制所選的出站介面。
RouterB# show controllers
Serial 0/0/0
可以用這行指令來檢查這台Router是DCE還是DTE。
如果覺得64K太低的話可以調高,他有個上限值,可以打?查看。
頁5-20 HDLC Protocol
接下來是第二層的封裝,
剛剛的Clock Rate是處理第一層。第二層要跑什麼協定,第二層協定預設值是Cisco的HDLC,點對點的專線預設值就是跑HDLC。
RouterB# show interface
Serial 0/0/0
你會看到第一層UP第二層也UP,表示Clock Rate沒問題和兩邊的封裝都一樣,第二層會UP是因為兩邊都相同HDLC的協定。
如果連第一層都down的話表示你Clock Rate有問題,第二層down表示封裝不一致,比如一邊跑PPP一邊跑HDLC就down了。
頁5-22 Point-to-point protocol
點對點協定
PPP
provides a standard method for transporting datagrams over point-to-point
links.
PPP提供了一種通過點對點鏈路傳輸數據報的標準方法。
PPP
supports authentication.
PPP支持認證。
HDLC不是討論的重點,因為要走向業界標準的PPP,重點他還可以提供而外的功能,其中一項他有支援驗證雙邊做檢查。
頁5-23 PPP is a Layered architecture
PPP是一種分層架構
PPP can carry packets from
several protocol suites using NCP
PPP可以攜帶來自使用NCP的多個協定套件的分組
PPP controls the setup of
several link options using LCP
PPP控制使用LCP的幾個鏈路選項的設置
PPP是一個業界標準運作在第二層的協定,很像Ethernet、Ethernet是區域網路的第二層;廣域網路也就是專線的第二層就是PPP。
他有二個小協定一個叫做LCP,LCP這個小協定的工作是做驗證,還有可以做Channel就是被綁起來,叫做Multi Link PPP(MLP)有點像Ether Channel,可以把多個專線綁在一起。比如說一條專線不夠在買第二條,然後把他綁成一條不但容錯而且負載均衡,只有PPP才有這個功能。
另一個小協定NCP是用來支援上層多個協定堆疊,比如說我今天的線路是跑PPP,上層可以跑IPv4也可以跑IPv6甚至其他的協定堆疊都可以跑。
堆疊:就像TCP/IP為一個協定堆疊(TCP/IP Protocol Stack),他們各自有自己的協定堆疊。
Synchronous or Asynchronous同步跟非同步,Synchronous為專線Asynchronous為撥接,不管你是專線或撥接的線路都可跑。所以PPP協定堆疊的意思是:我是運作在第二層不管底層是專線或撥接,或者上層是什麼協定堆疊我都可以支援。
頁5-24 PPP Configuration
RouterA(config)# interface
Serial 0/0/0
RouterA(config-if)# ip
address 10.0.1.1 255.255.255.0
RouterA(config-if)#
encapsulation PPP
RouterA(config-if)# bandwidth
512
RouterA(config-if)# clockrate
64000
RouterA(config-if)# no
shutdown
RouterB(config)# interface
Serial 0/0/0
RouterB (config-if)# ip
address 10.0.1.2 255.255.255.0
RouterB (config-if)#
encapsulation PPP
RouterB (config-if)#
bandwidth 512
RouterB (config-if)# no
shutdown
To set PPP as the
encapsulation method to be used by a serial interface, use the encapsulation
PPP interface configuration command.
要將PPP設置為串行介面使用的封裝方法,請使用encapsulation PPP介面配置命令。
使用PPP只要把封裝改掉,下encapsulation PPP這行指令把封裝改了,把預設值HDLC改掉了,兩邊要改成相同的封裝。這只是幫你改封裝並沒有加其他的功能,但NCP、LCP二個小協定都已經是OPEN,第一層第二層都通了第三層的IP地址就可以用了。
在NCP和LCP還沒有UP之前IP地址是沒有用的,Ping不通連自己都Ping不通。
頁5-26 PPP Authentication: PAP
PPP驗證:PAP
Password
Authentication Protocol:
密碼身份驗證協定:
-
Passwords are sent in
plaintext.
密碼是以明文發送的。
-
The peer is in control of
attempts.
對等是企圖控制。
PPP的而外功能一般都會選擇加驗證,PPP的驗證協定有兩種,簡單型的為PAP,比較強的為CHAP。
一般不會選PAP的原因是因為他的密碼在傳送的過程中是明碼,是一個很簡單的驗證機制。送Username Password給對方做檢查,查表後一樣的就接受
一般的企業不會使用PAP
頁5-27 PPP Authentication: CHAP
PPP驗證:CHAP
Challenge
Handshake Authentication Protocol:
挑戰握手身份驗證協定:
-
Hash values, not actual
passwords, are sent across the link.
哈希值,而不是實際的密碼,通過鏈接發送。
-
The local router or external
server is in control of authentication attempts.
本地路由器或外部伺服器控制身份驗證嘗試。
CHAP的驗證方式是你所設定的密碼根本就沒有離開設備,沒有跨過這個網路。他真正離開設備不是密碼,而是Hash出來的值。
也就是說你所設定的密碼只是個根據,在根據你所設定的密碼去產生一個Hash值,產生出來的Hash值送給對方做檢查。
所以真正在網路上交換的是Hash出來的值,不是真正的密碼
這個CHAP是一個單向的CHAP。
建Username跟Password掌握一個原則,我建你的你建我的然後密碼共用。
Branch要驗證HQ所以Branch的Username叫HQ;也就是說你的Hostname等於我的Username,密碼共用Cisco。
反過來HQ幫Branch建帳號密碼,所以Username為Branch密碼共用Cisco。
Username跟Password都設定好後下圖為封包傳送:
一開始1號封包帶出我自己的名字,然後要求要做CHAP驗證。HQ收到這個封包之後查表,找到Username有個叫Branch,找到之後拿Password經過MD5演算法算出一個HASH值,然後在把HASH值用2號封包Response (回應)給你。
Branch收到2號封包之後查表,找到Username有個叫HQ,Branch也拿這個密碼經過MD5演算法算出一個HASH值。
Branch拿到HASH值之後,查看自己算出來的HASH值跟HQ所送過來的HASH值一不一樣,如果HASH值都一樣就是驗證成功。不一樣驗證失敗。
只要兩邊Password大小寫都一樣,經過相同MD5演算法演算出來的值是一樣的,要破解反推回去很難。
最後送3號敘述的封包,我的名字叫Branch,剛剛檢查的結果是accept(接受)或Reject(拒絕)。
MD5的運用非常廣泛,不只在PPP這邊用會常看到,以上為MD5的運作原理。
密碼沒有在網路上傳送,在網路上互相交換的是HASH值,是one way HASH出來的一個值,不是真正的密碼,所以兩邊的密碼要完全一樣包括空白鍵。
最大的優點
頁5-29 Configuring CHAP for PPP Authentication
配置PPP認證的CHAP
Router(config)#
hostname RouterA
RouterA(config)#
username RouterB password Cisco123
RouterA(config)#
interface Serial 0/0/0
RouterA(config-if)#
ip address 10.0.1.1 255.255.255.0
RouterA(config-if)#
encapsulation PPP
RouterA(config-if)#
PPP authentication chap
RouterA(config-if)#
clockrate 64000
hostname hostname
Sets a device host name. 設置設備主機名。
username username password password
Configures a new user to the
device. 為設備配置新用戶。
Username是為對方而建帳號,password兩邊都要一樣
interface interface_name
Enters interface
configuration mode for the specified interface.
進入指定介面的介面配置模式。
ip address ip_address subnet_mask
Sets an IP address on the
interface. 設置介面的IP地址。
encapsulation PPP
Configures a link with
PPP-type encapsulation.
配置PPP類型封裝的鏈路。
PPP authentication chap
Enables CHAP authentication
on the interface with PPP encapsulation.
在使用PPP封裝的介面上使能CHAP認證。
clockrate clock_rate
configures the clock rate for
a hardware connection on a serial interface. A command is used in interface
configuration mode and is set on the DCE device.
配置串行介面上硬件連接的時鐘速率。 命令在介面配置模式下使用,並在DCE設備上設置。
Router(config)#
hostname RouterB
RouterB(config)#
username RouterA password Cisco123
RouterB
(config)# interface Serial 0/0/0
RouterB
(config-if)# ip address 10.0.1.2 255.255.255.0
RouterB
(config-if)# encapsulation PPP
RouterB
(config-if)# PPP authentication chap
頁5-31 Verifying CHAP Configuration
驗證CHAP配置
RouterA#
show interface Serial 0/0/0
後續的檢查當你今天加上驗證之後,如果Username跟Password有一點點的不一樣馬上斷掉,會發現第二層是down。
RouterA# debug
ppp authentication
The debug ppp authentication
command shows the successful CHAP output and verifies PPP authentication.
debug ppp
authentication命令顯示成功的CHAP輸出並驗證PPP身份驗證。
只要打開debug就可以很清楚看到他雙邊交換的訊息。也叫雙向CHAP
可以看到有兩組雙向的CHAP,第一組的CHAP是output(輸出)的challenge(挑戰),我送出challenge會收到對方的回應,在回應驗證成功。
你可以看到id 4號有三筆資料他們是同一組,序號都是id 1他們是同一組。
上面的UP是第一層的狀態,Line protocol才是第二層,等到雙向驗證成功最下面的第二層才會UP。
如果之前就驗證過,之後就不會在出現上面的驗證訊息,如果你還想在看一次的話必須把interface shutdown 下來在no shutdown他就會重新在驗證一次。
頁5-31 Troubleshooting Serial Connections
串行連接疑難解答
show controllers
看controllers的目地就是要檢查確定你的cable(電纜)是接哪一端,這端是接DCE還是DTE。
show interfaces
看第二層的封裝一不一樣,預設值HDLC你可以改成PPP,不管你改成什麼就是要兩邊一致。
debug ppp authentication
看驗證有沒有成功。
確定這三個都檢查過了就可以Ping看看。
Lesson 4 introducing VPN Solutions
引入VPN解決方案
頁5-60 VPN and Their Benefits
VPN及其優點
VPN分為兩大類:
Site-to-Site
VPN(站點到站點VPN)
點對點,一個據點到另一個據點,比如說總公司到分公司。
用另一種角度來看,自己的總公司到自己的分公司叫intranet VPN(內部網)。另一種是合作夥伴,不同公司所建立的VPN叫Extranet VPN(外聯網)。
Site-to-Site VPN要事先設定好,而且設定也很多,因為要做很多工作加解密驗證,各種的安全機制有很多的參數要調,兩邊都要一致。
Remote
access VPN(遠程訪問VPN)
有需要的時候才連,就像連到LAB。如果要使用公司內部的應用或連到伺服器都要先建VPN,建完VPN兩邊都是私有地址。
頁5-61 VPN and Their Benefits(優點)
VPN requirements: (要求)
-
Connection
HQ and Branch
連接總部和Branch機構
VPN characteristics: (特性)
-
Virtual:
information within a private network is transported over a public network.
虛擬:專用網路中的信息通過公共網路傳輸。
-
Private:
traffic is separated by a tunnel so that it can be encrypted to keep the data
confidential.
私有:流量由隧道分隔,以便可以對其進行加密以保持數據的機密性。
VPN benefits: (好處)
-
Cost
savings 節省成本
-
Scalability 可擴展性
-
Compatibility 兼容性
-
Security 安全
專線直接用私有地址,不用建VPN但費用很高,VPN慢慢的取代專線。
頁5-63 Cisco SSL VPN Solutions
思科SSL VPN解決方案
Here are two Cisco SSL CPN
solutions:
以下是兩個Cisco SSL
VPN解決方案:
-
Cisco
AnyConnect SSL VPN
在做LAB裝的軟體。
-
Clientless
Cisco SSL VPN
直接透過瀏覽器,如果要完整功能還是要裝軟體。
SSL : Secure Socket Layer (安全套接字層)
頁5-64 introducing IPsec
介紹IPsec
IPsec
Characteristics 特性
-
IPsec acts at the network
layer, protecting and authenticating IP packets.
IPsec在網路層,保護和驗證IP數據包。
-
IPsec is a framework of open
standards that is algorithm-independent.
IPsec是與算法無關的開放標準的框架。
-
IPsec services provide four
critical functions:
IPsec服務提供四個關鍵功能:
l
Confidentiality 保密性
l
Data integrity 數據完整性
l
Authentication 身份驗證
l
Anti-replay protection 防重放保護
Site-to-Site VPN絕大部份用的是IPsec,可提供私密性、資料的完整性、使用者的身份驗證、防止駭客的反推。
私密性:資料是加密過的,駭客攔截到的封包是亂碼,利用加解密來確保他的私密性。
資料的完整性:我在資料的傳送過程當中,萬一被修改我必須要知道。
使用者的身份驗證:專送端和接收端一開始要交換資料之前,要先確認身份。
防止駭客的反推:隔一段時間自動改變他的演算法。
因為IPsec蠻複雜,在資安課程裡才有詳細解說。
頁5-67 Configuring GRE Tunnels
配置GRE隧道
介紹怎麼建立一個簡單的Tunnels,不包含加解密。
頁5-68 GRE Tunnel Overview
GRE隧道簡介
GRE = Generic Routing
Encapsulation:
GRE =通用路由封裝:
-
One of many tunneling
protocols
許多隧道協定之一
一開始是Cisco發明的,後來成為業界的標準。
-
IP protocol 47 defines GRE
packets
IP協定47定義GRE分組
他用的protocol ID是47號,IP裡面的protocol ID。ICMP是1號
-
Allows routing information to
be passed between connected networks
允許在連接的網路之間傳遞路由信息
-
No encryption
無加密
GRE的優勢是什麼?可以讓各家廠商都支援。因為他什麼都可以包,不管你要包的內容是什麼他都可以。
不像IPsec、IPsec是IP security的意思,意思是說IPsec只能包IP的封包;只能包IP的內容。如果你用的不是IP就不行。
IPsec只能包IP的封包而且是IP unicast only(只有IP單播),multicast過不去。
有太多協定用到multicast,像OSPF就要用到multicast,如果總公司跟分公司要透過VPN跑OSPF是不行的。
OSPF封包用GRE先幫你包起來,但是IPsec比較安全,在用IPsec包起來,得到一個結果IPsec OVER GRE。
IPsec比較安全但是只有unicast封包,變成你的OSPF的multicast封包先用GRE包,GRE包好之後在用IPsec包GRE,包兩層又安全又可以支援multicast
GRE = multicast → Any Data
頁5-69 GRE Tunnel Configuration
GRE implementation plan:
GRE實施計劃:
l
Learn the IP addresses.
了解IP地址。
須要兩端的IP地址。
l
Create a tunnel interface.
創建一個隧道介面。
須要Tunnel的介面。要有個編號他只是當地的Router在用,下圖兩邊都建Tunnel 0
l
Specify GRE tunnel mode as
the tunnel interface mode (optional).
指定GRE隧道模式為隧道介面模式(可選)。
要宣告他的模式,也就是說Tunnel mode有好多種,GRE只是其中一種而已,
l
Specify the tunnel source and
tunnel destination IP addresses.
指定隧道源和隧道目的IP地址。
重點是你的Tunnel source and Tunnel destination要宣告清楚,從哪裡到哪裡要清楚。R1 internet地址跟R2 internet地址要宣告清楚
Tunnel source可以重複使用,比如總公司就一個對外的地址,但他要跟很多分公司建Tunnel
Tunnel source and Tunnel destination基本上就是public(公共)的地址,internet的地址
l
Configure an IP address for
the tunnel interface.
配置隧道介面的IP地址。
下圖GRE Tunnel是internet的地址,但是建完Tunnel、Tunnel本身也要有個地址。建起來的Tunnel就是私有地址。
Tunnel source跟Tunnel destination是public(公共)地址,但是Tunnel本身所要用的地址是私有地址。
在internet上是不接受私有地址,私有地址已經被包在裡面了。HQ到Branch的封包是包二層,外層的地址是internet的地址,內層的地址才是Tunnel的地址,Tunnel的地址就是私有地址。
tunnel
mode gre ip
Specifies
GRE tunnel mode as the tunnel interface mode in interface tunnel configuration
mode. This is the default tunnel mode on Cisco routers, so, in fact, it is not
necessary to enter this command.
在介面隧道配置模式下,指定GRE隧道模式為隧道介面模式。 這是Cisco路由器上的預設隧道模式,因此,實際上,沒有必要輸入此命令。
tunnel
source ip_address
Specifies
the tunnel source IP address in interface tunnel configuration mode.
在介面隧道配置模式下指定隧道源IP地址。
tunnel
destination ip_address
Specifies
the tunnel destination IP address in interface tunnel configuration mode.
在介面隧道配置模式下指定隧道的目的IP地址。
ip
address ip_address mask
Specifies
the IP address of the tunnel interface.
指定隧道介面的IP地址。
Branch(config)#
interface Tunnel 0
Branch(config-if)#
tunnel mode gre ip
Branch(config-if)#
ip address 192.168.2.1 255.255.255.0
Branch(config-if)#
tunnel source 209.165.201.1
Branch(config-if)#
tunnel destination 209.165.202.130
Interface是Tunnel 0、tunnel mode是GRE然後是包IP,他可以包很多東西。
他自己本身的地址是私有地址192.168.2.1,Tunnel本身要用的地址。但是Tunnel source跟Tunnel destination是公有地址
HQ(config)#
interface Tunnel 0
HQ(config-if)#
tunnel mode gre ip
HQ(config-if)#
ip address 192.168.2.2 255.255.255.0
HQ(config-if)#
tunnel source 209.165.202.130
HQ(config-if)#
tunnel destination 209.165.201.1
Tunnel本身永遠是Logical(邏輯)介面,他是一個虛擬出來的Logical介面,但是他實際還是要走某個實體介面出去。
舉例:HQ跟高雄分公司建一個Tunnel介面,在跟台中分公司建一個Tunnel介面可以建好幾個,但是出去的地址永遠是實體介面的公有地址。
The
sample configuration illustrates a basic GRE tunnel configuration on the Branch
and HQ routers. The minimum configuration requires specification of the tunnel
source and destination addresses. You must also configure an IP subnet to
provide IP connectivity across the tunnel link.
示例配置說明了Branch和HQ路由器上的基本GRE隧道配置。 最小配置要求指定隧道來源和目標地址。 您還必須配置IP子網以通過隧道鏈路提供IP連接。
The
figure shows a tunnel configuration for the Branch and HQ routers. Both tunnel
interfaces have the tunnel source set as the local Gigabit Ethernet 0/1
interface and the tunnel destination set as the peer router Gigabit Ethernet
0/1 interface. The IP address is assigned to the tunnel interfaces on both
routers.
該圖顯示了Branch和HQ路由器的隧道配置。 兩個隧道介面都將隧道源設置為本地GigabitEthernet 0/1介面,並將隧道目標設置為對等體路由器GigabitEthernet 0/1介面。 IP地址分配給兩個路由器上的隧道介面。
如果HQ跟Branch的Tunnel私有地址都設定一樣的話,HQ在ping的話你會以為有通,但事實上只是ping通自己。
GER設定完之後,當你在show的時候你只是看到Local的狀態是起來的,他中間並沒有跑協定,所以通常都會加一行指令叫Keepalive(活著)。
就是說你設定完之後去show internet就會發現Tunnel 0已經UP了,他看到的只是Local的狀態起來了,中間到底通不通還不曉得,你要真正去傳data才會曉得。
有個方法可以讓我們UP之後並確定他是通的,就是加Keepalive。
在interface Tunnel 0的介面裡面,全部設定完之後在加個Keepalive,就可以讓他兩邊保持聯絡,就開始週期性兩邊互相對傳,兩邊對傳的Keepalive封包就幫你保持聯絡。
如果中間真的不通,比如internet斷了,他會跟著down下來。
兩邊都要加Keepalive,一邊沒加馬上斷。
實体介面的地址是共享的可以一直用他,但是你所建出來的Tunnel就是一個Tunnel介面用一個地址,不會使用重複地址。
可不可以不要每個Tunnel都要編地址。
如果我不跑動態路由只用靜態路由而已,大部份公司都這樣子做。就是說根本不想跑OSPF在中間,設定Tunnel只是要讓他通,然後用default routing指過去就好。設定一個簡單default routing就好。
我並沒有想要跑動態路由,只是想要建VPN這種Tunnel,建起來之後呢根本不須要用地址,靜態路由就這樣寫
Ip route 0.0.0.0 0.0.0.0
tunnel 0 就是我的default routing永遠長這個樣子。
你的interface Tunnel裡面,IP地址用借的,因為不在乎什麼地址,在乎的是可以出去就好,也不須要知道下一站地址,永遠把封包從這個出口介面丟出去。 靜態路由沒有下一站地址,只是出口介面而已
把ip address 192.168.2.2
255.255.255.0改成Ip
unnumbered g0/0
Ip unnumbered意思是我這個介面不而外配地址,而是借現有的
比如說借後端區網的實體介面,或著是借Loopback,就是借一個已經存在的介面。Tunnel所要用的地址是借來的地址。
東借西借的地址絕對不會是同網段,所以沒問題也只有點對點可以這樣做,好處是你不須要而外編地址,Tunnel 0的介面不用配IP,IP地址是借來的。
最長用的是借Loopback,因為Loopback最穩永遠都是UP。
注意:這個方法用在我不須要跑動態路由的情況下,只用靜態路由就好;如果一定要跑動態路由的話一定要有明確地址。設定就是把ip
address 192.168.2.2 255.255.255.0改成Ip unnumbered g0/0其他設定都一樣,最後在加一個Ip
route 0.0.0.0 0.0.0.0 tunnel 0。
也可以Tunnel 0、Tunnel 1、Tunnel 2全部都借同一個介面。
Ip unnumbered這個指令如果要用在Ethernet的話是不行的。
範例:Branch(config)#
interface Ethernet 0/0
Branch(config-if)# Ip unnumbered
馬上跟你講不行,這種介面不是點對點介面。
頁5-72 GRE Tunnel Verification(驗證)
Branch# show ip interface
brief | include Tunnel
Branch# show interface Tunnel
0
Tunnel source跟Tunnel destination一定要互相ping的通,才有辨法建起來。
協定就是GRE去包IP
Branch# show ip route
新增的Tunnel介面設定好之後,他就會出現在路由表
頁5-73 Summary
GRE is a tunneling protocol
that can encapsulate a wide variety of protocol packet types inside IP tunnels.
GRE是可以在IP隧道內封裝各種協定分組類型的隧道協定。
You must configure a tunnel
source and tunnel destination to establish a GRE tunnel as the IP address of
the tunnel itself.
必須配置隧道源和隧道目標才能將GRE隧道建立為隧道本身的IP地址。
You should verify that the
tunnel interface is up after configuring it.
配置隧道介面後,應驗證隧道介面是否已啟動。