IPSec_VPN基本原理.doc

路由器：连接互连网的核心设备，主要作用是选择最佳路径，通过路由表中的条目，将数据包转发到目标网段。 当与不同网段通信时，必须要设置默认网关。默认网关就是自己直连的路由器的以太口。配置S接口时，需要在DCE端配置同步时钟 2.不同网段通信时，路由器根据自己路由表条目转发数据包。 3.路由表建立方式： （1）直连路由 -- 路由表中标识为C的路由条目 （2）手工配置静态路由 -- 路由表中标识为S的条目 （3）动态路由使路由器自己学习 -- rip 标记为R的条目 OSPF 标记为O的条目 4.静态路由配置: R1（config）# ip route 目标网段 子网掩码 下一跳/接口 例如： R1上默认只有直连10.0.0.0和20.0.0.0网段，如果和PC1和PC2通信，R1作为PC1网关，数据包到达R1后，是没有PC2的30.0.0.0网段条目，所以可以利用静态路由，手工指定路径。 R1（config）#ip route 30.0.0.0 255.0.0.0 20.0.0.2 或：R1（config）#ip route 30.0.0.0 255.0.0.0 f0/1 这样数据包就能到达30.0.0.0网段，不过由于数据包的双向性，发送过去的数据包还要从PC2返回到PC1，所以返回的时候，同样需要在原本没有10.0.0.0路由条目的R2上添加10.0.0.0的静态路由 R2（config）#ip route 10.0.0.0 255.0.0.0 f0/1 4.默认路由：静态路由的特殊形式 R1（config）#ip route 0.0.0.0 0.0.0.0 出口接口 5.动态路由 距离矢量型路由协议RIP 适用于简单小型的网络环境 链路状态型路由协议 OSPF 适用于大型和复杂的网络环境 6.RIP RIP协议的特点： （1）度量值： 以跳数作为唯一的度量值，最大支持15跳。 （2）路由表的建立：简单照抄，把自己没有的路由信息简单抄进路由表。（距离矢量协议） （3）适用环境；小型简单的网络环境。 （4）信息的更新：每30秒周期性地通告自己的路由表。收敛慢，且占用带宽。 例如： 利用RIP动态路由协议完成PC1和PC2之间的通信。 默认情况下R1上只有10.0.0.0 和20.0.0.0 所以R1和R2同时启用RIP协议，宣告自己所直连的路径，相互学习。 R1(config)#router rip //启用RIP R1(config-router)#version 2 //选择版本2 R1(config-router)#net 10.0.0.0 //宣告自己直连路径 R1(config-router)#net 20.0.0.0 R3配置略 7.OSPF开放最短路径优先协议 特点： （1）先建立邻居关系; 然后交换链路状态信息，构建关于整个网络的链路状态数据库，最终所有路由器都有一个相同的数据库（网络地图）; 依据SPF算法自己计算路由表。 （2）R仅在其接口（链路）发生变化时，才将变化后的状态发送给其它路由器。触发更新+增量更新。邻居重新计算前往每个网络的最佳路径。 （3）适用于大型复杂环境 例： 利用OSPF动态路由协议完成PC1和PC2之间的通信。 默认情况下R1上只有10.0.0.0 和20.0.0.0 所以R1和R2同时启用OSPF协议，宣告自己所直连的链路状态信息（带宽，延迟等），每个路由器根据链路信息建立自己的链路状态数据库，根据SPF算法计算最佳路径。由于路径信息根据带宽延迟等计算，所以比RIP单纯以路由器数量来判断路径好坏更科学。 R1(config)#router ospf 1 //启用OSPF，1为进程号 R1(config-router)#net 20.0.0.0 0.255.255.255 area 0 //宣告直连信息（链路状态信息） R1(config-router)#net 10.0.0.0 0.255.255.255 area 0 R3配置同R1，不同的是需要net 30.0.0.0 0.255.255.255 area 0 8.NAT网络地址转换 目的：将内网地址转换为外部网络地址，方便内部用户上网，意义在于解决了IPV4地址短缺的问题。 NAT配置在网络的出口路由器上，配置NAT的步骤如下： 在接口上启用nat，内网F接口为inside，连外网S口为outside 定义允许进行转换的访问控制列表 定义给内部地址转换为外部地址的地址池 将地址池与访问控制列表关联 例： 用户PC2访问互联网，需要经过出口路由器R1，由于PC2使用的是内部地址，内部地址是不能再互联网传输的，所以在R1上需要进行NAT地址转