ncre4networkadditional.txt

根据计算机等级考试大纲对高教社2007年9月出版的四级网络工程师教材的缺漏内容的补充

1）单击"新规则属性"对话框中的"隧道设置"标签。
2）选择"此规则不指定IPSec隧道"。
（7）设置"连接类型"
1）单击"新规则属性"对话框中的"连接类型"标签。
2）选择"所有网络连接"。
3）单击"确定"按钮回到"新IP安全策略属性"对话框。
4）单击"关闭"按钮关闭"新IP安全策略属性"对话框回到"本地安全策略"设置。
配置HOST B的IPSec
仿照前面对HOST A的配置对HOST B的IPSec进行配置。
测试IPSec
（1）不激活HOST A、HOST B的IPSec进行测试。
1）确保不激活HOST A、HOST B的IPSec。
2）在HOST A执行命令PING 192.168.0.2，注意观察屏幕提示。
3）在HOST B执行命令PING 192.168.0.1，注意观察屏幕提示。
（2）激活一方的IPSec进行测试
1）在HOST A新建立的IP安全策略上单击鼠标右键并选择"指派"， 激活该IP安全策略。
2）在HOST A执行命令PING 192.168.0.2，注意观察屏幕提示。
3）在HOST B执行命令PING 192.168.0.1，注意观察屏幕提示。
（3）激活双方的IPSec进行测试
1）在HOST A执行命令PING 192.168.0.2 -t ，注意观察屏幕提示。
2）在HOST B新建立的IP安全策略上单击鼠标右键并选择"指派"， 激活该IP安全策略。
3）观察HOST A、HOST B间的安全协商过程。


4.配置MPLS协议
MPLS/VPN配置实例 
要提供VPN服务的前提是：服务提供商的网络必须启用标签交换功能，即把以前的数据网络升级为MPLS网络。然后具体配置PE，PE上的配置按六步走： 
1）.定义并且配置VRF 
2）.定义并且配置RD 
3）.定义RT，并且配置导入导出策略 
4）.配置MP-BGP协议 
5）.配置PE到CE的路由协议 
6）.配置连接CE的接口，将该接口和前面定义的VRF联系起来。
PE3的部分配置如下： 
ip cef ──启用CEF转发功能 
ip vrf Red ──定义一个 VRF ,名字为Red 
description For Red User Vpn 
rd 6500:1 ──定义RD值为6500:1 
route-target export 6500:1 ──定义导出策略 
route-target import 6500:1 ──定义导入策略 
router rip ──配置PE3到CE3的路由协议RIP2 
version 2 ! 
address-family ipv4 vrf Red version 2 redistribute bgp 6500 metric 1──-将BGP学到的路由从新发布的RIP2中，network 192.168.1.0 使CE3能学到同一VPN中的其他路由 
no auto-summary 
exit-address-family 
router bgp 6500 ──-配置BGP协议 
no synchronization 
no bgp default ipv4-unicast 
bgp log-neighbor-changes 
neighbor 192.168.168.2 remote-as 6500 ──-和PE2建立邻居关系 
neighbor 192.168.168.2 update-source Loopback0 
no auto-summary ! 
address-family ipv4 vrf Red ────为VPN用户配置IPv4地址家族，使 
redistribute rip metric 1 VRF Red 所管辖的路由表中的路由从新发布到BGP协议中去。 
no auto-summary 
no synchronization 
exit-address-family ! 
address-family vpnv4 ────具体配置和PE2的关系，使PE3和PE2之间能交换VPNv4路由 
neighbor 192.168.168.2 activate 
neighbor 192.168.168.2 send-community both 
no auto-summary 
exit-address-family 
interface Ethernet0/1 ────-配置连接CE3的接口 
ip vrf forwarding Red ────-使该接口和前面定义的VRF Red联系起来 
ip address 192.168.1.17 255.255.255.252 
interface Ethernet0/0 ──-配置联系到7206上接口 
ip address 192.168.1.10 255.255.255.252 
half-duplex 
tag-switching ip ──-在该接口上启用标签交换 ! 
PE2上的部分配置如下： 
ip cef ──启用CEF转发功能 
ip vrf Red ──定义一个 VRF ,名字为Red description For Red User Vpn 
rd 6500:1 ──定义RD值为6500:1 
route-target export 6500:1 ──定义导出策略 
route-target import 6500:1 ─-定义导入策略 
! 
同时上传附件router bgp 6500 ─-配制BGP协议 
no synchronization 
no bgp default ipv4-unicast 
bgp log-neighbor-changes
neighbor 192.168.168.4 remote-as 6500 
neighbor 192.168.168.4 update-source Loopback0 
neighbor 192.168.168.4 next-hop-self 
──这点在PE-CE之间路由协议为BGP时，一定要配置。 
no auto-summary ! 
address-family ipv4 vrf Red 
neighbor 10.10.40.1 remote-as 6504 ──配置和CE2之间的路由协议BGP 
neighbor 10.10.40.1 activate 
no auto-summary 
no synchronization 
exit-address-family ! 
address-family vpnv4 
neighbor 192.168.168.4 activate ──激活和PE3的MP-IBGP邻居关系 
neighbor 192.168.168.4 send-community both 
no auto-summary 
exit-address-family ! 
interface Serial1/0 ──-配置连接到CE2的接口 
ip vrf forwarding Red ──把该接口和VRF Red联系起来 
ip address 10.10.40.2 255.255.255.252 
interface Ethernet0/1 ──配置连接到7206的接口 
ip address 192.168.1.13 255.255.255.252 
half-duplex 
tag-switching ip ──在此接口上启用标签交换 
interface Serial1/1 ──-配置连接到PE1的接口 
bandwidth 1544 
ip address 10.10.30.2 255.255.255.252 
encapsulation ppp 
tag-switching ip ──在此接口上启用MPLS交换 
总结 
上面的配置展现了在单个AS内部实现VPN的配置，当然VPN用户的各个接入点往往是地域跨度很大的，所以经常要涉及到跨AS提供VPN业务的需求。这样的配置会更加复杂，而且需要各个电信运营商配合行动才行，这里就不在具体展开叙述了。 
MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务，也能够开展QOS、TE、组播等等的业务。 
目前中国网通已经在大规模地在提供基于MPLS技术的VPN业务，其他运营商，如中国电信等也在迎头赶上。很快地，就象WWW技术一样，MPLS技术将会影响我们生活的方方面面！

全文完