思科路由器组建VPN的工作原理、协议和配置

对于大中型企业来说，VPN的应用非常普遍，极大的促进了业务的开展，也为企业内部提供了一个相对安全稳定而且高效的胡同网络。对于安全和稳定性要求很高的企业很多会选择思科路由器作为核心路由设备。下文将从VPN的概念和工作原理讲起，顺带会讲解一下路由协议和实例配置，让广大企业技术人员能够对思科cisco路由器在逐渐VPN时候的工作有一个比较全面的了解。

    虚拟专用网VPN（Virtual Private Network）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

   VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。

   VPN是对企业内部网的扩展，提供了高性能、低价位的因特网安全接入。

   VPN的工作原理：VPN 客户端和VPN网关建立一条连接，称为隧道（Tunnel），然后将用户数据包封装成IP 报文后通过该隧道传送给VPN 网关，VPN 网关收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理，使Internet 上的其它用户无法读取，因而是安全可靠的。隧道可以通过隧道协议来实现，根据是在OSI 模型的第二层还是第三层实现隧道，隧道协议分为第二层隧道协议和第三层隧道协议。

   第二层隧道协议:第二层隧道协议是将整个PPP 帧封装在内部隧道中。现有的第二层隧道协议有：
 PPTP（Point-to-Point Tunneling Protocol）：点到点隧道协议，该协议支持点到点PPP 协议在IP 网络上的隧道封装，PPTP 作为一个呼叫控制和管理协议，使用一种增强的GRE（Generic Routing Encapsulation，通用路由封装）技术为传输的PPP 报文提供流控和拥塞控制的封装服务。

L2TP（Layer 2 Tunneling Protocol）：二层隧道协议，由IETF 起草，微软等公司参与，并且已经成为标准RFC。L2TP 既可用于实现拨号VPN 业务，也可用于实现专线VPN 业务。

    第三层隧道协议:用户数据在网络协议栈的第3层被封装。现有的第三层隧道协议有：
 IPSec（IP Security）协议：IPSec 协议不是一个单独的协议，它给出了IP 网络上数据安全的一整套体系结构，包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。来保证数据报在网络上传输时的完整性、真实性、防重放和私有性。

 GRE（Generic Routing Encapsulation）协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。

  另外还有就是MPLS  VPN和SSL VPN。

以第三层隧道协议为例，总结一下它们的具体配置。

一、IPSEC配置：
IPSEC的两个阶段释义：
IPSEC阶段1 - 第一阶段IKE安全协商，通过确认远端网关是否具有匹配的Pre-Shared密钥，来进行2个VPN网关或VPN客户端的相互认证。
IPSEC阶段2 - 第二阶段IPSEC安全协商，通过Ipsec的连接参数来生成保护VPN数据流的会话密钥。在阶段二，我们将从阶段1的Diffie-Hellman密钥交换中摘取新的密钥信息，并将其作为保护VPN数据流的会话密钥。一旦完成阶段二的协商，就会建立VPN连接，以备使用。

 二、GRE配置：
GRE是Tunnel接口的一种封装协议，所以要进行GRE封装首先必须建立Tunnel。一旦隧道建立起来，就可以进行GRE的加封装和解封装。
第一步：加封装
tunnel 收到此包后交给GRE模块进行封装，GRE模块封装完成后交由IP模块处理，IP模块做完相应处理后根据此包的目的地址及路由表交由相应的网络接口处理。
第二步：解封装
解封装的过程则和上述加封装的过程相反。从tunnel接口收到的报文交给IP模块，IP模块检查此包的目的地址，发现是此路由器后进行相应的处理（和普通的IP数据报相同）剥掉IP包头然后交给GRE模块，GRE模块进行相应处理后（如检验密钥等），去掉GRE包头然后交给IPX模块，IPX模块将此包按照普通的IPX数据报处理即可。

三、MPLS VPN配置：
MPLS（Multiprotocol Label Switching）是多协议标签交换的简称，MPLS引入标签机制 ，用短而定长的标签来把选路和转发分开。由标签来规定一个分组通过网络的路径，数据传输通过标签交换路径完成。

MPLS VPN 模型中，包含三个组成部分：CE、PE 和P：
CE（Customer Edge）设备：是用户网络边缘设备，有接口直接与服务提供商相连，可以是路由器或是交换机等。CE“感知”不到VPN 的存在。
PE（Provider Edge）路由器：即运营商边缘路由器，是运营商网络的边缘设备，与用户的CE 直接相连。MPLS 网络中，对VPN 的所有处理都发生在PE路由器上。
P（Provider）路由器：运营商网络中的骨干路由器，不和CE 直接相连。P 路由器需要支持MPLS 能力.

MPLS VPN简单配置示例：
规划BGP MPLS VPN网络：

1、确定路由器的角色(P,PE,CE)

2、确定PE与CE路由方式(BGP, RIP, OSPF, Static)

3、确定PE的VRF规划(VRF ,RD ,RT ,Interface)

配置步骤：

1、配置PE路由器

2、配置P路由器

3、验证测试

配置PE： 配置VRF

（router）#ip cef

Router-if# mpls ip

Router#ip vrf vrf_name

Router-vrf#rd rd_number

Router-vrf#router-target export rt rt_number

Router-vrf#router-target import rt rt_number

配置P路由器：

(router) # ip cef　　

(router-if) # tag-switching ip

或者

(router) # ip cef

(router-if)# mpls ip

启用CEF，在需要的接口启用打标签机制

配置PE路由器-接口启用VRF

(router)#interface Serial1/1

(router-if)#ip vrf forwarding vrf-name

配置PE路由器—配置PE与CE路由

采用静态路由

ip route vrf vrfname Dest-IP SubMask Next-hop
 

配置PE路由器—配置MP-iBGP

 router bgp 223

 neighbor 10.0.4.1 remote-as 223

 neighbor 10.0.4.1 update-source Loopback0

 no auto-summary

 address-family ipv4 vrf C_A

 redistribute static

 no auto-summary

 no synchronization

 exit-address-family

 address-family vpnv4

 neighbor 10.0.4.1 activate

 neighbor 10.0.4.1 send-community both

 no auto-summary

 exit-address-family
 
通过以上的总结，更好的学习和运用VPN，欢迎交流。