Tunnel ××× OSPF——三劍客的精妙組合
×××和OSPF之間好像沒有多大關係,前者是用於公網上站點到站點或者出差人員與公司之間安全連接的一種技術,後者是局域內的路由協議。今天咱們使用Tunnel技術讓它們兩個也協同工作一次。呵呵!說實話OSPF和×××還是比較熟悉的,但Tunnel技術是近幾天才掌握的。現在和大家一起分享分享。希望在Tunnel方面比較強的朋友能留下寶貴意見。
再說這個技術之前,我先說一下爲什麼我會去研究Tunnel?是這樣的,有人問了我一個問題,他說爲什麼兩個站點之間做了×××之後不能啓OSPF路由協議,不是產生了一個隧道嗎?我當時覺得挺簡單的笑着對他說:“你在這邊啓了OSPF,那邊也啓了OSPF,請問電信的路由器你如何啓用OSPF?”。事後覺得這個問題值得研究一下,隨即發現了很多解決這個問題的方法,其中Tunnel是比較簡單的一種。
接下來咱們帶着問題來看看這個技術的應用,首先分析一下上面提到的問題,爲什麼做了×××之後不能啓用路由協議?其實這也是很多剛剛接觸×××的人一個誤區,認爲雙方建立了×××之後就會產生一個直連的隧道,其實×××是把數據加密了,數據走在路上沒人認識它所以才管它叫它隧道,所謂隧道其實是一種封裝、加密、傳輸、拆封、解密的過程。它並不是真正的隧道。
現在在來看一個問題,爲什麼咱們要在公網上啓用OSPF路由協議(當然RIP、EIGRP、靜態都也可以,只是今兒咱們說這個),現在公司的總部和分部分別位於不同的城市。內部都有多個網段,要求不但能跨越Internet統一路由條目,還要保證安全可靠的互訪。說白了就是想在不拉DDN專線的前提下,構建一個局域網的環境。在這樣的一種情況下Tunnel派上了用場。
首先看看咱們本次的拓撲圖,如下:
可能看得不太清楚,我把信息簡單羅列一下:
1. 五個路由器,R1、R2、R3、R4、R5.
2. R1和R5分別是總公司和分司內網的路由器;
總公司R1 E0/1接口的IP爲192.168.2.1/24;E0/0接口的IP爲192.168.1.2/24
分公司R5 E0/1接口的IP爲192.168.20.1/24;E0/0接口的IP爲192.168.10.2/24;
3. R2和R4分別是總公司和分公司連接內網與外網的路由器;
總公司R2 E1/0接口的IP爲192.168.1.1/24;廣域網接口S0/0的IP爲61.134.1.5/24;
分公司R4 E1/0接口的IP爲192.168.10.1/24;廣域網接口S0/0的IP爲218.30.19.52/24;
4. R3是我用來模擬公網環境的一個路由器。其S0/0接口的IP爲61.134.1.4/24;S0/1接口的IP爲218.30.19.51/24;
5. R2上Tunnel 0接口的IP爲192.168.100.1/24;R4上Tunnel 0接口的IP爲192.168.100.2/24;
OK!相信大家對上面這個苛刻的要求的解決方案已經非常期待了。下面就來看看咱們的對策。我的博客還是老規矩,爲了避免大家閱讀時亂了思緒。依然分幾個部分來說。
第一部分:路由器的基本配置
(後面還有好多要說的地址方,我怕字數不達標(超了),就把配置截成了圖,如果看不清大家可以打開看)
基本配置沒啥說的很簡單,IP和主機名都和拓撲上一致。路由器2和4上廣域網接口上我用的是默認的HDLC協議,如果你那兒有更高的要求可以使用PPP。
第二部分:路由協議的配置
路由協議配置時R1和R5上很簡單,各自把兩邊的網段發佈一下即可。重點我來說一下R2和R4上,R2和R4只有內網接口所在的網段才能夠被髮布,爲什麼呢?因爲OSPF是屬於內部網關路由協議,它只能在單一自治系統內決策路由。也就是說只能在局域網裏使用一下,不能運用到公網上。所以R2和R4上我只發佈了一個網段。那咱們用什麼方法和公網聯繫呢?做一條默認路由即可,其它的電信自己會去做。
現在大家可能在納悶兒,怎麼沒有R3?R3咱們管不着,它是Internet上的千千萬萬個路由器。是不可能讓咱們拿來做OSPF路由協議的。所以咱們不用管。剛剛給它配了IP之後,現在把它晾那就可以了,呵呵!
現在大家可能在想,按照上面的路由協議配置下去,總公司和分公司能通信嗎?當然不能啊。怎麼才能?這就是咱們下面要說的關鍵技術——Tunnel.
第三部分:Tunnel的配置
說是關鍵的技術,其實非常簡單。大家可以從下圖中看到,咱們到R2和R4路由器上,然後進入Tunnel 0接口,可別小看Tunnel啊!它可支持0-2147483647這麼多個接口(我這是CISCO的)。然後咱們使用命令tunnel destination指定Tunnel的對端IP,注意這個IP可得是個公網IP才行啊,咱們這邊也得是公網的。這樣才能通信。然後用命令tunnel source指定咱們這邊外網口的接口,寫IP也可以啊。最後再給tunnel 0配個IP。這個IP隨便配都行,我這R2配的是192.168.100.1/24;R4配置的是192.168.100.2/24這樣的話總部和分部之間就由邏輯接口Tunnel 0產生了一個新的網段,咱們把這個網段通過OSPF發步一下,兩邊的路由條目就通一了,實現了互通。
驗證的圖這裏暫時先不截,等一下後面還要大家分析分析。先來看另一個更重要的問題。那就是數據如何安全的在總部和分部之間傳輸?這就是咱們接下來要說的×××。
第四部分:×××的配置
×××前面我可說的不少啊,前面在ISA SERVER上,WINDOWS 2003、WINDOWS 2008上都說的有,今天正好在路由器上也來說一下。
大家可別以爲前面做了個Tunnel又起了OSPF,這×××該咋做,說實話該咋做還是咋做!唯一的區別是運用到的接口變了,稍後會說。下面圖上我說的其實夠詳細了。這裏就給大家捋一捋思緒就可以了。首先第一步,得建立一個IKE協商策略;第二步,設置密鑰和對端的IP地址;第三步,做一個訪問控制列表,好定義哪些數據將會被×××;第四步,配置IPSec;第五步,配置一個map,用來包含前面幾步的設置;第六步,把這個map運用到接口。把上面所說的六步記住之後配置×××從此不再難。只要進得了相應的模式。一路打“?”就知道咋配了,呵呵!
OK!就說這麼多吧!如果大家對×××感性趣下次專門寫個×××的。早有這樣的想法了。
再補充說一點,做好所有的策略後,是把map運用到邏輯接口tunnel 0上而不是物理接口s0/0,用到s0/0上是不會有任何作用,大家想啊數據走的是通過邏輯接口tunnel 0 建立起來的通道上。所以要用到tunnel 0上。
接下來,咱們來驗證驗證!
第五部分:驗證咱們的配置
首先到R1上來看看。通過ping對方內網路由器R5的e0/1接口可以看到總部和分部通信正常;再通過traceroute R5的e0/1可以看到通過了3個路由,IP地址爲192.168.1.1(R1的);192.168.100.2(R4的);192.168.10.2(R5的)。以此證明數據走的是由Tunnel技術產生的通道。R1根本不知道有R3.也就是說它不知道自己發出去的數據包Internet上是怎麼走的。再看看路由表,可以看到整個Internet對於R1來說都被Tunnel產生的網段192.168.100.0/24所取代。同是它也學到了分公司內的所有路由信息。大家會看到代價值(cost)比較大,這裏是11100多,當然啦,因爲中間其實有N多個公網的路由器。
現在到R2上來瞧瞧!通過命令sh ip os n查看到的OSPF鄰居信息可以看到R2的OSPF鄰居是處於內網的R1(IP:192.168.2.1)和分公司的出口路由R4(IP:218.30.19.52),中間的部分對於R2上運行的OSPF來說,它是不知道的,因爲它走的是Tunnel. 通過查看路由表可以看到COST值也很大,學習到對端路由信息的下一跳地址是192.168.100.2.也就是對端tunnel 0的接口。
再看看×××,通過命令show crypto isakmp sa可以看到密鑰信息已經同步過去了。目的爲218.30.19.52,源爲61.134.1.5,狀態爲活動。然後通過命令show crypto ipsce sa查看IPSce已經同步。可以看到被加密被哈希的數據包數量以及封裝截封裝等信息。
下圖是R4上截到的一張圖,顯示信息和R2差不多,可以看到它也將總部那邊的路由信息學習到了。並且我這裏做了個對比:通過sh cdp n可以看到它的設備鄰居是R3和R5,然後通過命令sh ip os n可以看到它的OSPF鄰居是R5(IP:192.168.20.1)和R2(IP:192.168.100.1)。×××信息就不說了,和R2是一樣的。
再來看看R5,可以看到ping通R1的內接口E0/1是沒有問題的。並且所有路由信息都學到了。特點都和前面一樣——來自遠方的路由條目COST都比較大哈。
最後再來看看R3,我們已經晾它好久了,可以看到什麼路由信息也沒有,只給它配了IP而已,就像前面說的一樣,咱們根本管不着。
OK!終於把三劍客給大家介紹完了,現在咱們就解決了上面說的需求。現在總公司和分公司之間不但能夠跨越Internet統一路由信息,還能夠安全的進行互訪。最後再補充一點如果網段數目很多的話,比如內部還有VLAN啊,三層交換什麼的。可以把OSPF在多劃幾個區域,比如把分公司劃成末梢區域。或者其它區域以減少路由大哥的負擔。今兒我這隻劃了一個區域,不建議這樣做,呵呵!