VPN. Туннели в маршрутизируемых сетях презентация

Содержание

Слайд 2

Цель создания Недостатки IP-маршрутизации: Использование ЦП (в старых моделях) Обработка

Цель создания

Недостатки IP-маршрутизации:
Использование ЦП (в старых моделях)
Обработка каждого пакета
отсутствие балансировки

нагрузки (кроме специальных настроек OSPF). Т.о. некоторые пути не используются, постоянное переназначение метрик приводит к нестабильности сети, управление трафиком посредством IGP слишком медленное, маршрутизация зависит только от топологии.
Слайд 3

Недостатки IP маршрутизации 1 1 3 2 Пример: Используется путь

Недостатки IP маршрутизации

1

1

3

2

Пример: Используется путь А-C-D-E, путь A-B-D оказывается не загружен


A

B

C

D

E

Слайд 4

MPLS Цель: ускорить процесс маршрутизации IP-пакетов, расширить возможности обработки трафика

MPLS

Цель: ускорить процесс маршрутизации IP-пакетов, расширить возможности обработки трафика в зависимости

от типа приложения.
Идея: коммутация меток. Каждый пакет снабжается меткой, которая несет в себе информацию о следующем узле сети. Метка добавляется к пакету (т.е. между 2 и 3 уровнем). Т.О. каждый пакет ассоциируется к определенным потоком.
Преимущества: высокая скорость передачи пакетов за счет обработки метки короткого фиксированного размера (20 бит), анализ заголовка IP-пакета только на входе в MPLS-облако, эффективное управление трафиком, поддержка балансировки нагрузки, создание виртуальных каналов.
Слайд 5

Как работает IP маршрутизатор

Как работает IP маршрутизатор

Слайд 6

Как работает MPLS коммутатор

Как работает MPLS коммутатор

Слайд 7

Как работает MPLS

Как работает MPLS

Слайд 8

Работа MPLS

Работа MPLS

Слайд 9

Работа MPLS

Работа MPLS

Слайд 10

Работа MPLS

Работа MPLS

Слайд 11

MPLS терминология Label — метка — значение от 0 до

MPLS терминология

Label — метка — значение от 0 до 1 048

575. На основе неё LSR принимает решение, что с пакетом делать. Label Stack — стек меток. Каждый пакет может нести одну, две, три, и больше меток Push Label — операция добавления метки к пакету данных Swap Label — операция замены метки Pop Label — операция удаления метки
.
Слайд 12

MPLS терминология LSR — Label Switch Router — это любой

MPLS терминология

LSR — Label Switch Router — это любой маршрутизатор в

сети MPLS. Intermediate LSR — промежуточный маршрутизатор MPLS — он выполняет операцию Swap Label Ingress LSR — «входной», первый маршрутизатор MPLS — он выполняет операцию Push Label . Egress LSR — «выходной», последний маршрутизатор MPLS — он выполняет операцию Pop Label ..
Слайд 13

MPLS терминология LER — Label Edge Router — это маршрутизатор

MPLS терминология

LER — Label Edge Router — это маршрутизатор на границе

сети MPLS. В частности Ingress LSR и Egress LSR являются граничными, а значит они тоже LER. LSP — Label Switched Path — путь переключения меток. Это однонаправленный канал от Ingress LSR до Egress LSR, то есть путь, по которому фактически пройдёт пакет через MPLS-сеть. Иными словами — это последовательность LSR.
Слайд 14

MPLS терминология LIB — Label Information Base — таблица меток.

MPLS терминология

LIB — Label Information Base — таблица меток. Аналог таблицы

маршрутизации (RIB) в IP. В ней указано для каждой входной метки, что делать с пакетом — поменять метку или снять её и в какой интерфейс отправить. LFIB — Label Forwarding Information Base — по аналогии с FIB — это база меток, к которой обращается сетевой процессор. При получении нового пакета нет нужды обращаться к CPU и делать lookup в таблицу меток — всё уже под рукой.
Слайд 15

Заголовок MPLS Label — собственно сама метка. Длина — 20

Заголовок MPLS

Label — собственно сама метка. Длина — 20 бит. TC —

Traffic Class. Несёт в себе приоритет пакета
S — Bottom of Stack — индикатор дна стека меток длиной в 1 бит.
TTL — Time To Live — полный аналог IP TTL. Даже той же самой длиной обладает — 8 бит. Единственная задача — не допустить бесконечного блуждания пакета по сети в случае петли. При передаче IP-пакета через сеть MPLS значение IP TTL может быть скопировано в MPLS TTL, а потом обратно. Либо отсчёт начнётся опять с 255, а при выходе в чистую сеть IP значение IP TTL будет таким же, как до входа.
Слайд 16

Протокол сизнализации Протокол сигнализации необходим для: уведомлении маршрутизаторов LSR вдоль

Протокол сизнализации

Протокол сигнализации необходим для:
уведомлении маршрутизаторов LSR вдоль пути о

необходимости настройки меток
согласования значения меток – чтобы они относились к одному и тому же пути в разных LSR

Назначение протокола LDP
Протокол LDP предназначен для построения целостных маршрутов коммутации по меткам LSP. Установка соседских отношений
Установление соседских отношений между маршрутизаторами осуществляется в две фазы:
обмен сообщениями Hello;
установление сессии LDP.

Слайд 17

Параметры функционирования LDP Существует несколько параметров функционирования LDP: режим обмена

Параметры функционирования LDP

Существует несколько параметров функционирования LDP:
режим обмена информацией о метках

(Label Distribution Mode)
режим контроля над распространением меток (Label Distribution Control)
механизм сохранения меток (Label Retention Mode)
Слайд 18

Режим обмена информацией о метках Между соседями возможно использования двух

Режим обмена информацией о метках

Между соседями возможно использования двух режимов обмена

информацией о метках: Downstream On Demand - с запросом;
Downstream Unsolicited - без запроса.
Слайд 19

Механизм контроля над распространением меток Independent Label Distribution Control -

Механизм контроля над распространением меток

Independent Label Distribution Control - независимый контроль;
Ordered

Label Distribution Control - упорядоченный контроль
Слайд 20

Режим сохранения меток Conservative Label Retention Mode (сдержанный режим сохранения

Режим сохранения меток

Conservative Label Retention Mode (сдержанный режим сохранения меток);
Liberal Label

Retention Mode (свободный режим сохранения меток).
Слайд 21

VRF

VRF

Слайд 22

VRF

VRF

Слайд 23

VRF+MPLS

VRF+MPLS

Слайд 24

Стек меток

Стек меток

Слайд 25

Стек меток

Стек меток

Слайд 26

VRF+MPLS=VPN

VRF+MPLS=VPN

Слайд 27

Конфигурация VRF

Конфигурация VRF

Слайд 28

Конфигурация VRF (1)

Конфигурация VRF (1)

Слайд 29

Конфигурация VRF(2)

Конфигурация VRF(2)

Слайд 30

Проверка таблицы маршрутизации

Проверка таблицы маршрутизации

Слайд 31

конфигурация EIGRP for VRF-A

конфигурация EIGRP for VRF-A

Слайд 32

Проверка таблицы маршрутизацииVRF-A

Проверка таблицы маршрутизацииVRF-A

Слайд 33

конфигурация OSPF for VRF-B

конфигурация OSPF for VRF-B

Слайд 34

L2pt Протокол L2TP имитирует соединение типа "точка-точка" путем инкапсуляции дейтаграмм

L2pt

Протокол L2TP имитирует соединение типа "точка-точка" путем инкапсуляции дейтаграмм протокола РРР

для их транспортировки по маршрутизируемым сетям или по объединенным сетям.
Используется для соединения Site –to-site и Remote Access, bcgjkmpetn IPSec (esp) для шифрования, аутентификация chap
Слайд 35

L2pt:инкапсуляция (IP) Протокол L2TP имитирует соединение типа "точка-точка" путем инкапсуляции

L2pt:инкапсуляция (IP)

Протокол L2TP имитирует соединение типа "точка-точка" путем инкапсуляции дейтаграмм

протокола РРР для их транспортировки по маршрутизируемым сетям или по объединенным сетям.
Используется для соединения Site –to-site и Remote Access

protocol:115,
ip 192.168.1.45

protocol:6
ip 172.16.5.4

ip 172.16.5.0/24

Слайд 36

L2pt:инкапсуляция (UDP) Протокол L2TP имитирует соединение типа "точка-точка" путем инкапсуляции

L2pt:инкапсуляция (UDP)

Протокол L2TP имитирует соединение типа "точка-точка" путем инкапсуляции дейтаграмм протокола

РРР для их транспортировки по маршрутизируемым сетям или по объединенным сетям.
Используется для соединения Site –to-site и Remote Access

UDP 1701

Слайд 37

L2pt:операции канала Управляющее соединение Установление сессии Использование порядковых номеров в

L2pt:операции канала

Управляющее соединение
Установление сессии
Использование порядковых номеров в канале данных
Механизм keepalive (Hello)
Прерывание

сессии
Слайд 38

L2pt:конфигурация # Указываем роутеру аутентифицировать pptp клиентов по локальной базе

L2pt:конфигурация

# Указываем роутеру аутентифицировать pptp клиентов по локальной базе (нужно, если

включен aaa new model)
aaa authentication ppp default local
aaa authorization network default local
aaa authorization exec default local
# Создаём пользователя (через secret бывают проблемы)
username password
# Включаем использование виртуальных частных коммутируемых сетей
vpdn enable
Слайд 39

L2pt:конфигурация # Cоздаем группу vpdn-group L2TP accept-dialin protocol l2tp virtual-template

L2pt:конфигурация

# Cоздаем группу
vpdn-group L2TP
  accept-dialin
    protocol l2tp
  virtual-template 10
    no l2tp

tunnel authentication
# Настраиваем виртуальный интерфейс
interface Virtual-Template 10 
    ip unnumbered FastEthernet0/1 #внутренний
    peer default ip address pool POOL-VPN
ppp encrypt mppe auto
    ppp authentication pap chap ms-chap ms-chap-v2
# Создаем пул адресов для клиентов
ip local pool POOL-VPN 192.168.10.200 192.168.10.210
Слайд 40

L2pt:конфигурация # Настраиваем метод авторизации - PreShare-Key crypto isakmp policy

L2pt:конфигурация

# Настраиваем метод авторизации - PreShare-Key
crypto isakmp policy 10
    encr 3des
 

  authentication pre-share
    group 2
    lifetime 3600
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 3600
# Настраиваем IPSEC
crypto ipsec transform-set L2TP esp-3des esp-sha-hmac 
    mode transport
# Создаём CryptoMap
crypto dynamic-map L2TP-map 10
  set nat demux
    set transform-set L2TP
crypto map TEST 10 ipsec-isakmp dynamic L2TP-map
Слайд 41

L2pt:конфигурация # Применяем CryptoMap на внешнем интрфейсе interface FastEthernet0/0 ip

L2pt:конфигурация

# Применяем CryptoMap на внешнем интрфейсе
interface FastEthernet0/0
  ip address IPвнешний 255.255.255.0
 

duplex auto
  speed auto
  crypto map TEST
Слайд 42

pptp:формат заголовка PPTP работает, устанавливая обычную PPP сессию с противоположной

pptp:формат заголовка

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic

Routing Encapsulation.
Второе соединение на TCP-порте 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий. PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, например — MS-CHAPv2 и EAP-TLS.
Слайд 43

Pptp:конфигурация # Указываем роутеру аутентифицировать pptp клиентов по локальной базе

Pptp:конфигурация

# Указываем роутеру аутентифицировать pptp клиентов по локальной базе (нужно, если

включен aaa new model)
aaa authentication ppp default local
aaa authorization network default local
aaa authorization exec default local
# Создаём пользователя (через secret бывают проблемы)
username password
# Включаем использование виртуальных частных коммутируемых сетей
vpdn enable
Имя файла: VPN.-Туннели-в-маршрутизируемых-сетях.pptx
Количество просмотров: 96
Количество скачиваний: 0
- Предыдущая
Майкрософт туралы мәлімет
Следующая -
Продвижение в Instagram от А до Я

Похожие презентации

Алгоритм. Линейный алгоритм
CALS-технологии. Статистический контроль в производстве
Операторы циклов
Технологическое развитие и искусственный интеллект
Разработка и создание приложения на Delphi Расписание занятий техникума
Привилегии и роли
Решение задач ЕГЭ типа В9
Разработка Web-сайтов с использованием языка разметки гипертекста HTML. (8 класс)
Презентация и конспект урока Способы кодирования информации Л. Л. Босова 5 класс.
Современные веб-технологии
Что такое массив? Алгоритмизация и программирование, язык Python. 10 класс
JavaScript. Оператори. Лекція 2
Памятка о порядке блокирования информации, причиняющей вред здоровью и развитию детей, распространяемой в сети Интернет
Програмування у Visual Studio
Разработка открытого урока по информатике Текстовый редактор MicrosoftWord
Признаки объектов, 7 класс
Sieci komputerowe. Sieci-intro
WeOptimum Windows Customer Support Center
Родительское собрание Безопасность детей в сети Интернет и интернет-угрозы для ребенка
Логические принципы проектирования современного компьютера
MS Word программасында құжатқа сурет кірістіру
Entity Framework (EF)
Module 3. Mass media. Case study. Problem 6
Программный продукт как субъект промышленного производства
Введение в Пролог
Моя безопасность в информационном веке (классный час)
Ребёнок и интернет: опасности, которые подстерегают наших детей
Мәліметтер қорларының үш негізгі модельдері
Обратная связь
Email: Нажмите что бы посмотреть