今天的CCNA课程和上一节课有点类似,也是讲关于网络架构的,不过上次是LAN的架构,今天是WAN的架构。另外还有牵扯到VPN的一些知识。我如果没记错的话,当时读书时候VPN算是比较重要的知识点,而且要求掌握配置方法,但是目前看新版CCNA似乎不需要了解配置,只需要有一个概念即可。
首先我们澄清一下WAN的概念,WAN和internet 不是一码事。WAN全面 wide area network 也就是广域网,这个概念是相对于LAN 局域网来说的。可以把WAN理解为更大区域的网络,比如几个不同国家的LAN合并在一起。很多人默认以为internet就是广域网,但是实际上internet可以理解为许多许多的广域网合并在一起。
有许多种WAN技术,使用了不同的线缆,接口,协议等等,有一些地方可能已经不再用这个了,但是在某一些地区可能仍然使用。比如像有的地方用电话拨号上网,有的地方用光纤,有的地方用UTP网线。
首先说一下专线:dedicated connection 或者leased line,这个国内外都很常见,一般是公司企业有业务需求,需要保证带宽或者私密性等,一般都是用专线,当然价格也不便宜。顾名思义,拉一条专有的线路从供应商到客户,或者客户不同的office之间。
比如下图,直接办公室拉到数据中心的专线,
另外一种比较常见的是办公室拉专线到服务供应商,可以通过网线,可以通过光纤,如下图所示
专线也有很多种类型,随着慢慢的发展速度越来越快,这些类型没必要都记住,大概了解一下即可,如下图所示
北美用T1 T2 T3,欧洲用E1 E2 E3
而实际上如果没有这种带宽或者数据安全需求的话,一般大家都是把路由器接到ethernet,然后可能很多个WAN共享ISP的设施,如果对数据安全有需求的话,那么需要VPN,如下图所示
那么zheli就引入到了MPLS的概念,其实MPLS一开始在很多地方都可以用,但是现在主要是供应商再用。所以才从这里引入MPLS的概念。
MPLS: multi protocol label switching,我们想一下,假如没有MPLS,客户的数据包发到供应商的路由器后需要拆包查看IP地址,然后再转发,中途经过多次转发后送达目的地。可是供应商的设备是很多个WAN共用的,那么这需要很多速度或者CPU资源来处理。而且信息的安全性得不到保障。那么使用MPLS呢,在数据进入到供应商这里后会添加一个labels,供应商的内部路由转发不会去查看IP,只是看labels,因此速度大大提升,等离开供应商后又把labels移除。这样即提高了速度,也增加了数据安全性。如下图所示
不论你使用什么线缆,什么协议,ISP都不在乎,只把包加上labels,然后转发后移除即可,可以把ISP看成一个大交换机。如下图所示
除了上述说的以外,一些家用的网络连接方式也可能用于WAN,比如小型办公室用电话和猫拨号上网(DSL, digital subsciber line)。如下图所示,
当然也有用电视线的CATV,如下图所示
然后如果预算充足,并且有备份或者保障需求的话,建议使用多个WAN链路,并且使用不同的ISP,如下图所示为常见的几种类型
最后讲一下VPN,VPN就是为了保证信息的私密性,不论是个人也好,公司也好,都连接到了共享的电信设施上,默认情况下是没有任何的加密安全设置,因此我们需要VPN。
常见的VPN有两种,
site to site VPNs using IPSec
Remote-access VPNs using TLS
Site to Site VPNs (IPsec) 就是在两个site的设备一般就是指路由器上进行配置,然后在共享的电信设备中建立一个IPsec VPN tunnel这么一个通道,两个点之间发出的数据包都会被加密,然后加上新的VPN header和IPheader来实现数据的安全,如下图所示
在图中可以看到,site内部的设备都不需要做出任何的设置,不需要了解什么信息,还是正常的发送数据,只是两个sites 的路由器加了加密和解密的动作。
标准的IPsec也有一些限制,比如IPsec不支持广播和组播,这就导致一些路由协议比如OSPF等无法使用。这里需要使用GRE over IPsec
GRE 就是 generic routing encapsulation,和IPsec类似,也是创建一个tunnel但是不加密,但是该封装协议支持3层协议,因此也就支持组播和广播,所以我们把GRE 和IPsec合起来用,GRE over IPsec就解决了刚才提到的问题。首先把原始的IP包加上GRE header 和IP header建立通道,这样可以实现组播和广播,然后再加密,加上IPsec header 和IP header 来实现数据的安全,如下图所示
另外一个注意的点是,假如有很多个sites,并且是用的full mesh拓扑架构,那么一个一个配置的工作会非常多,非常幸苦,因此可以使用思考的DMVPN
Dynamic multipoint VPN,只需要再hub 路由上配置好参数,它就会给其他路由配置信息来形成IPsec,如下图所示
除了site to site VPNs外,还有一种常见的就是我们经常见到的 remote-access VPNs,比如我们的手机啊,电脑啊安装的一些VPN软件,配置等等,这可以让我们的设备在任何环境都能接入并且访问公司的资源,并且数据是安全加密的。
这种一般使用的是TLS 也就是 transport layer security技术,像 HTTPS就是用的TLS,最早被称为SSL,实际应用如下图所示,
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
-------------------------------------------------------分隔符-------------------------------------------------------------------
Day 53 Anki Flashcard下载:https://drive.google.com/file/d/1ua5zBtGtuD03LIQuuusdtXX9RVfMkJND/view?usp=sharing
Day 53 Cisco Packet Tracer 练习题下载:https://drive.google.com/file/d/1Thlx_5KSj3YxTCK5EDC2vu5ftD5v8Jnn/view?usp=sharing
Day 53 Cisco Packet Tracer 练习题完成下载:https://drive.google.com/file/d/19jQXTvzqBHOZ-TBAsTGRvLvWIrA8Ea7u/view?usp=sharing
0 条评论