第14章 進階廣域網路協定-Frame-Relay、VPN與GRE 蕭志明老師 CCNA教學

章節大綱 Frame-Relay運作原理 建立FR Switch 水平分割問題 Frame-Relay子介面設定 FR的P2P與M2P設定 VPN 介紹 GRE Tunnel mGRE、NHRP 與 DMVPN 概論 蕭志明老師 CCNA教學

14.1 Frame-Relay運作原理 蕭志明老師 CCNA教學

FR運作的地方 以下圖為例有三個FR交換器，ISP建立FR交換器所形成的交換器網路再租用給企業用戶 蕭志明老師 CCNA教學

DLCI號碼 FR的L2位址就是DLCI號碼(Data Link Connection Identifier) FR就是靠DLCI對應出一條虛擬線路(VC，Virtual Circuit) 以下圖為例，FR-S3的s0介面中有設定兩個DLCI號碼301與302，s1介面中設定DLCI號碼為331，s2介面中設定為332。 蕭志明老師 CCNA教學

虛擬線路(VC) 虛擬線路的產生依據就是靠著DLCI的對應 以圖表為例R1與R2之間的VC線路規劃為R1中s0/0/0FR-S1中s0 102 FR-S1中s3 112 FR-S2中s3 221 FR-S2中s0 201R2中s0/0/0 R1中使用DLCI=102就會產生此條VC線路 DLCI的規劃是由ISP業者 蕭志明老師 CCNA教學

LMI運作 Local Management Interface (LMI) LMI 是一種 keepalive的機制，提供本地路由器 (DTE) 和FR交換器 (DCE) 之間的FR連接的狀態資訊 以下圖為例，R1與FR-S1之間連線是使用專線連接，LMI協定就是在此連線上運作來檢查R1與FR-S1的連線狀況 蕭志明老師 CCNA教學

LMI版本 LMI協定的版本有三種 路由器與FR交換器送出的LMI版本必須一致，這樣LMI才能正常運作 Cisco：預設 LMI 延伸 Ansi：對應於 ANSI 標準 T1.617 Annex D q933a：對應於 ITU 標準 Q933a 路由器與FR交換器送出的LMI版本必須一致，這樣LMI才能正常運作 蕭志明老師 CCNA教學

Inverse-ARP 類似ARP功能，只是ARP是將IP對應到MAC，Inverse-ARP用在將IP對應到DLCI 以下圖為例，R1使用DLCI=100會產生一條VC到R2，相對的R2使用DLCI=400會產生一條VC到R1 Inverse-ARP對應為本地的DLCI對應到遠端的IP位址 蕭志明老師 CCNA教學

承諾速率(CIR) 當企業用戶租用FR的頻寬時，ISP會定出承諾速率 (CIR，Committed Information Rate)來收取費用 企業用戶在CIR的範圍內傳送的資料ISP會確保傳遞成功 如果超出此範圍的封包將被標記為可選擇丟棄 (DE，Discard Eligible)，當FR網路頻寬不足時，被標記為DE封包將優先被丟棄 蕭志明老師 CCNA教學

擁塞通知 FR協定中有兩種方式通知網路有擁塞發生 向前擁塞通知 (FECN，Forward Explicit Congestion Notification) FECN是向前通知目的端FR有擁塞發生 向後擁塞通知 (BECN，Backward Explicit Congestion Notification) BECN是向後通知來源端FR有擁塞發生 蕭志明老師 CCNA教學

14.2 建立FR Switch 蕭志明老師 CCNA教學

建立FR Switch 203R3 (範例檔案：WAN-FR ma.pka) Lab 14-6影音教學 蕭志明老師 CCNA教學

FR常用相關指令 指令 說明 R1(config-if)#encapsulation frame-relay 設定介面為Cisco版本FR封裝 R1(config-if)#encapsulation frame-relay ietf 設定介面為IETF版本的FR封裝 R1(config-if)# frame-relay lmi-type ansi 設定該介面LMI Type為ansi R1(config-if)#frame-relay lmi-type q933a 設定該介面LMI Type為q933a R1(config-if)#int s0/0/0.2 point-to-point 建立s0/0/0.2 FR P2P子介面 R1(config)#int s0/0/0.34 multipoint 設定s0/0/0.34為FR M2P子界面 R1(config-subif)#frame-relay interface-dlci 102 將DLCI=102分配給該子介面 R1(config-if)#frame-relay map 10.0.0.3 103 broadcast 手動對應10.0.0.3 到dlci=103 R1#show int s0/0/0 查詢s0/0/0介面L2封裝 R1#show frame-relay lmi 查詢LMI運作狀況 R1#show frame-relay map 查詢IP對應到DLCI R1#show frame-relay pvc 查詢VC連線狀況 蕭志明老師 CCNA教學

規劃FR Switch DLCI s1 102、103 cisco s2 201、203 ansi s3 301、302 q933a LMI Type s1 102、103 cisco s2 201、203 ansi s3 301、302 q933a 蕭志明老師 CCNA教學

設定FR Switch 中s1的DLCI號碼及LMI Type 蕭志明老師 CCNA教學

設定FR Switch 中s2的DLCI號碼及LMI Type 蕭志明老師 CCNA教學

設定FR Switch 中s3的DLCI號碼及LMI Type 蕭志明老師 CCNA教學

FR Switch中DLCI 對應表 VC 線路 FR Switch 介面 DLCI號碼 R1R2 S1 102 S2 201 103 S3 301 R2R3 203 302 蕭志明老師 CCNA教學

設定DLCI對應表 蕭志明老師 CCNA教學

設定R1的FR 在FR Switch已經設定好VC後，每台路由器會分配到兩個DLCI，代表有兩條VC線路 將三台路由器中s0/0/0介面的L2設定為Frame-Relay，如下表指令為設定R1中s0/0/0為Frame-Relay協定 指令 說明 R1(config)#int s0/0/0 R1(config-if)#encapsulation frame-relay 啟動R1中的s0/0/0的FR協定 蕭志明老師 CCNA教學

查詢R1中s0/0/0的L2啟動狀態 Encapsulation Frame Relay表示目前s0/0/0的L2協定為Frame-Relay 蕭志明老師 CCNA教學

查詢R1的LMI show frame-relay lmi指令來查詢R1的LMI狀態 目前R1的LMI Type為CISCO。 蕭志明老師 CCNA教學

查詢R1的VC 使用show frame-relay pvc來查詢R1的VC連線狀態 如下圖所示，兩個紅色框框表示兩條VC線路的狀態，DLCI=102與DLCI=103各代表一條VC線路 蕭志明老師 CCNA教學

設定R2的FR 指令 說明 R2(config)#int s0/0/0 下表為針對R2的FR設定指令，其中要注意的是LMI Type必須改變，原因是FR Switch中s2的LMI Type為ansi 指令 說明 R2(config)#int s0/0/0 R2(config-if)#encapsulation frame-relay 啟動R2中的s0/0/0的FR協定 R2(config-if)# frame-relay lmi-type ansi 設定R2的LMI Type為ansi 蕭志明老師 CCNA教學

啟動及查詢R2中s0/0/0的FR R2的s0/0/0設定為Frame-Relay LMI Type已經改為ANSI 蕭志明老師 CCNA教學

查詢R2的DLCI與IP的對應 show frame-relay map查詢R2的DLCI與IP的對應 如下圖所示，所以R2會使用DLCI=201的VC線路傳送封包給R1 蕭志明老師 CCNA教學

R1的DLCI與IP的對應 當R1要跟10.10.10.2連線時，就會使用DLCI=102的VC線路，所以連線成功 蕭志明老師 CCNA教學

設定R3的FR R3的s0/0/0設定frame-relay ieft版本 LMI Type必須改變為Q933a 指令 說明 R3(config)#int s0/0/0 R3(config-if)#encapsulation frame-relay ietf 啟動R3中的s0/0/0的FR協定，並選擇IETF版本的FR R3(config-if)# frame-relay lmi-type q933a 設定R3的LMI Type為Q933a 蕭志明老師 CCNA教學

設定與查詢R3的s0/0/0的FR 蕭志明老師 CCNA教學

查詢R3的VC 蕭志明老師 CCNA教學

查詢R3的DLCI與IP的對應 蕭志明老師 CCNA教學

查看R3到FR交換器使用的DLCI R3執行ping 10.10.10.1時，R3會使用DLCI=301到FR交換器，再由FR交換器使用DLCI=103到R1，透過PT動畫功能來觀察 當R3的ping 封包傳到FR交換器時，打開ICMP動畫封包，如下圖所示 蕭志明老師 CCNA教學

靜態路由設定在FR網路上的問題 探討靜態路由設定在FR網路上的問題，如果使用出口介面的方式設定 就無法找到DLCI來使用 這時候一定要使用next hop ip的方式，才能夠使用DLCI 蕭志明老師 CCNA教學

R3設定靜態路由到200.200.200.0網路 在本範例檔案中，R2有設定一個Loopback0的200.200.200.0/24網路 蕭志明老師 CCNA教學

使用next hop ip 設定靜態路由 R3設定一筆使用next hop ip 的靜態路由到達200.200.200.0網路 R3執行ping 200.200.200.1成功 蕭志明老師 CCNA教學

14.3 水平分割問題 蕭志明老師 CCNA教學

範例檔案：WAN-FR ma-split.pka 水平分割問題 同一個網路介面收到資料後又從同一個介面將資料送出，違反的水平分割(Split Horizon)的原則 R1有兩條102與103的VC分別對應到R2與R3，但是R2與R3之間沒有VC，因此R2與R3如果要通溝一定要經由R1 範例檔案：WAN-FR ma-split.pka Lab 14-32影音教學 蕭志明老師 CCNA教學

三台路由啟動RIP 指令 說明 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network 10.0.0.0 R1(config-router)#no auto-summary 啟動R1中的RIPv2，並宣告一筆網路與關閉自動壓縮 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#network 10.0.0.0 R2(config-router)#network 200.200.200.0 R2(config-router)#no auto-summary 啟動R2中的RIPv2，並宣告兩筆網路與關閉自動壓縮 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#network 10.0.0.0 R3(config-router)#no auto-summary 啟動R3中的RIPv2，並宣告一筆網路與關閉自動壓縮 蕭志明老師 CCNA教學

查詢R1的路由表 如下圖所示，R1的RIP已經將200.200.200.0/24的網路學習到路由表中 蕭志明老師 CCNA教學

查詢R3的路由表 如下圖所示，沒有看到任何RIP的路由資訊 蕭志明老師 CCNA教學

關閉水平分割功能 如下表指令為關閉R1的s0/0/0水平分割功能，當執行完畢後，在R3的路由表就會看到RIP的200.200.200.0路由資訊 指令 說明 R1(config)#int s0/0/0 R1(config-if)#no ip split-horizon 在s0/0/0介面執行關閉水平分割功能 蕭志明老師 CCNA教學

14.4 Frame-Relay子介面設定 蕭志明老師 CCNA教學

Frame-Relay子介面設定 上單元範例網路是共享 需求: R1<-->R2:使用 192.168.10.0/24 網路 (範例檔案：WAN-FR p2p.pka) Lab 14-37影音教學 蕭志明老師 CCNA教學

FR子介面 FR子介面可設定為點對點(P2P，Point-to-Point)子介面或多對點(M2P，Multipoint )子介面。 一個P2P子介面只能連接一個VC線路，在這種情況下，每台路由器中P2P子介面都有獨立的網路，且每個P2P子介面都有一個 DLCI。這種介面類似專線連線。 M2P子介面 一個M2P子介面可建立多個VC線路，該子介面中的所有VC線路都位於同一子網中。 蕭志明老師 CCNA教學

每台路由器子介面與DLCI分配 VC 線路 路由器子介面 DLCI號碼 R1R2 R1中s0/0/0.2 102 R2中s0/0/0.1 201 R1R3 R1中s0/0/0.3 103 R3中s0/0/0.1 301 R2R3 R2中s0/0/0.3 203 R3中s0/0/0.2 302 蕭志明老師 CCNA教學

設定R1的FR子介面 指令 說明 R1(config)#int s0/0/0 切換到s0/0/0介面模式 R1(config-if)#no shut 啟動該介面 R1(config-if)#encapsulation frame-relay 設定該介面L2為frame-relay協定 R1(config-if)#int s0/0/0.2 point-to-point 建立s0/0/0.2 P2P子介面 R1(config-subif)#ip address 192.168.10.1 255.255.255.0 設定s0/0/0.2子介面IP位址 R1(config-subif)#int s0/0/0.3 point-to-point 建立s0/0/0.3 P2P子介面 R1(config-subif)#ip address 10.10.10.1 255.255.255.0 設定s0/0/0.3子介面IP位址 蕭志明老師 CCNA教學

R1執行FR子介面設定指令 蕭志明老師 CCNA教學

查詢R1的VC 如下圖所示，DLCI=102與DLCI=103兩條VC線路目前還是共用s0/0/0介面，並未將兩條VC分配到子介面中 蕭志明老師 CCNA教學

分配DLCI號碼給子介面 指令 說明 R1(config)#int s0/0/0.2 切換到s0/0/0.2子介面模式 R1(config-subif)#frame-relay interface-dlci 102 將DLCI=102分配給該子介面 R1(config-subif)#int s0/0/0.3 切換到s0/0/0.3子介面模式 R1(config-subif)#frame-relay interface-dlci 103 將DLCI=103分配給該子介面 蕭志明老師 CCNA教學

R1執行分配DLCI號碼及查詢VC 蕭志明老師 CCNA教學

查詢R1的DLCI與IP的對應 在P2P的FR介面下並不需要DLCI與IP的對應，其原因該介面只有一個DLCI，所以不需要DLCI與IP的對應 蕭志明老師 CCNA教學

設定R2的FR子介面指令 指令 說明 R2(config)#int s0/0/0 切換到s0/0/0介面模式 R2(config-if)#no shut 啟動該介面 R2(config-if)#encapsulation frame-relay 設定該介面L2為frame-relay協定 R2(config-if)#frame-relay lmi-type ansi 設定該介面LMI Type為ansi R2(config-if)#int s0/0/0.1 point-to-point 建立s0/0/0.1 P2P子介面 R2(config-subif)#frame-relay interface-dlci 201 將DLCI=201分配給該子介面 R2(config-subif)#ip address 192.168.10.2 255.255.255.0 設定s0/0/0.1子介面IP位址 R2(config-subif)#int s0/0/0.3 point-to-point 建立s0/0/0.3 P2P子介面 R2(config-subif)#frame-relay interface-dlci 203 將DLCI=203分配給該子介面 R2(config-subif)#ip address 172.30.10.2 255.255.255.0 設定s0/0/0.3子介面IP位址 蕭志明老師 CCNA教學

查詢R2子介面 使用show int s0/0/0.1與show int s0/0/0.3來查詢兩個子介面的狀態，如下圖所示 蕭志明老師 CCNA教學

設定R3的FR子介面指令 指令 說明 R3(config)#int s0/0/0 切換到s0/0/0介面模式 R3(config-if)#no shut 啟動該介面 R3(config-if)#encapsulation frame-relay 設定該介面L2為frame-relay協定 R3(config-if)#frame-relay lmi-type q933a 設定該介面LMI Type為q933a R3(config-if)#int s0/0/0.1 point-to-point 建立s0/0/0.1 P2P子介面 R3(config-subif)#frame-relay interface-dlci 301 分配DLCI=301給s0/0/0.1 R3(config-subif)#ip address 10.10.10.3 255.255.255.0 設定s0/0/0.1子介面IP位址 R3(config-subif)#int s0/0/0.2 point-to-point 建立s0/0/0.2 P2P子介面 R3(config-subif)#frame-relay interface-dlci 302 分配DLCI=302給s0/0/0.2 R3(config-subif)#ip address 172.30.10.3 255.255.255.0 設定s0/0/0.2子介面IP位址 蕭志明老師 CCNA教學

查詢R3的P2P介面狀態 蕭志明老師 CCNA教學

查詢R3的DLCI與IP的對應 R2跟192.168.10.1連線失敗，並不能說R3與R2的VC連線是不成功，其原因是R3的路由表沒有192.168.10.0/24的路由資訊。 蕭志明老師 CCNA教學

R1、R2及R3啟動RIPV2 指令 說明 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network 192.168.10.0 R1(config-router)# network 10.0.0.0 R1(config-router)#no auto-summary 在R1中啟動RIPv2並將192.168.10.0與10.0.0.0的網路宣告傳出，即將自動路由壓縮功能關閉 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#network 192.168.10.0 R2(config-router)#network 172.30.0.0 R2(config-router)#no auto-summary 在R2中啟動RIPv2並將192.168.10.0與172.30.0.0的網路宣告傳出，即將自動路由壓縮功能關閉 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#network 10.0.0.0 R3(config-router)#network 172.30.0.0 R3(config-router)#no auto-summary 在R3中啟動RIPv2並將10.0.0.0與172.30.0.0的網路宣告傳出，即將自動路由壓縮功能關閉 蕭志明老師 CCNA教學

查看R3路由表及測試連線 R3查看路由表及測試192.168.10.1的連線，如下表所示，R3的路由表中已經有192.168.10.0/24的路由資訊，因此，R3與192.168.10.1的連線就成功了 蕭志明老師 CCNA教學

14.5 FR的P2P與M2P設定 蕭志明老師 CCNA教學

(範例檔案：WAN-FR p2p and m2p.pka) FR的P2P與M2P設定 (範例檔案：WAN-FR p2p and m2p.pka) Lab 14-53影音教學 蕭志明老師 CCNA教學

FR Switch的設定 FR Switch 介面 DLCI LMI Type S0 102、103、104 Ansi S1 201 cisco S2 301 S3 401 蕭志明老師 CCNA教學

路由器之間的DLCI 對應表 VC 線路 FR Switch 介面 DLCI號碼 R1R2 S0 102 S1 201 R1R3 103 S2 301 R1R4 104 S3 401 蕭志明老師 CCNA教學

R1的子介面與DLCI分配 VC 線路 路由器子介面 DLCI號碼 路由器介面 R1R2 R1中s0/0/0.2 102 201 R1R3 R1中s0/0/0.34 103 R3中s0/0/0 301 R1R4 104 R4中s0/0/0 401 蕭志明老師 CCNA教學

設定R1的FR子界面 建立R1的FR子介面，使用s0/0/0實體介面來建立兩個子介面，s0/0/0.2為P2P子介面並分配DLCI=102，s0/0/0.34為M2P子介面並分配DLCI=103與104，相關設定指令如下表 指令 說明 R1(config)#int s0/0/0 切換到s0/0/0的界面模式 R1(config-if)#no shutdown 啟動s0/0/0 R1(config-if)#encapsulation frame-relay 設定s0/0/0的L2協定為FR R1(config-if)#frame-relay lmi-type ansi 設定s0/0/0的LMI Type為ANSI R1(config)#int s0/0/0.2 point-to-point 設定s0/0/0.2為P2P子界面 R1(config-subif)#frame-relay interface-dlci 102 分配DLCI=102給s0/0/0.2 R1(config-subif)#ip address 192.168.10.1 255.255.255.0 設定s0/0/0.2子界面IP R1(config)#int s0/0/0.34 multipoint 設定s0/0/0.34為M2P子界面 R1(config-subif)#frame-relay interface-dlci 103 分配DLCI=103給s0/0/0.34 R1(config-subif)#frame-relay interface-dlci 104 分配DLCI=104給s0/0/0.34 R1(config-subif)#ip address 10.10.10.1 255.255.255.0 設定s0/0/0.34子界面IP 蕭志明老師 CCNA教學

查看R1中子界面狀態及IP設定 蕭志明老師 CCNA教學

查詢R1的VC連線 接下來查詢R1的VC連線狀態，如下圖所示 蕭志明老師 CCNA教學

設定靜態DLCI與IP的對應 指令 說明 R1(config)#int s0/0/0.34 切換到s0/0/0.34子界面 使用指令來手動設定DLCI與IP對應，如此就不用藉由Inverse-ARP 規劃DLCI=103要對應到10.10.10.3，而DLCI=104要對應到10.10.10.4，設定的指令如下表所示。 指令 說明 R1(config)#int s0/0/0.34 切換到s0/0/0.34子界面 R1(config-subif)#frame-relay map ip 10.10.10.3 103 broadcast 手動對應10.10.10.3 到dlci=103 R1(config-subif)#frame-relay map ip 10.10.10.4 104 broadcast 手動對應10.10.10.4 到dlci=104 請注意如果frame-relay map ip 指令沒有加broadcast參數, 則FR Switch將不會傳送廣播與群播封包, 因此啟動路由協定EIGRP或OSPF等將無法形成鄰居,路由無法進行通報. 蕭志明老師 CCNA教學

再查詢R1的DLCI與IP的對應 查詢DLCI與IP的對應，如下圖所示 static表示為手動設定的DLCI與IP的對應 蕭志明老師 CCNA教學

設定R2的FR界面 設定R2 的s0/0/0設定為FR，如下表指令 指令 說明 R2(config)#int s0/0/0 R2(config-if)#no shutdown R2(config-if)#encapsulation frame-relay R2(config-if)#ip address 192.168.10.2 255.255.255.0 設定R2中s0/0/0為FR並設定IP位址 蕭志明老師 CCNA教學

查詢R2的FR相關訊息 s0/0/0分配到的DLCI=201 DLCI=201對應到192.168.10.1 蕭志明老師 CCNA教學

設定R3的FR界面 設定 R3中 s0/0/0為FR的指令 指令 說明 R3(config)#int s0/0/0 R3(config-if)#no shutdown R3(config-if)#encapsulation frame-relay R3(config-if)#ip address 10.10.10.3 255.255.255.0 設定R3中s0/0/0為FR並設定IP位址 蕭志明老師 CCNA教學

設定R3的FR界面 s0/0/0分配到的DLCI=301 DLCI=301對應到的IP為10.10.10.1 蕭志明老師 CCNA教學

設定R4的FR界面 設定R4的s0/0/0為FR，如下表指令 指令 說明 R4(config)#int s0/0/0 R4(config-if)#no shutdown R4(config-if)#encapsulation frame-relay R4(config-if)#ip address 10.10.10.4 255.255.255.0 設定R4中s0/0/0為FR並設定IP位址 蕭志明老師 CCNA教學

查詢R4中FR狀態 顯示s0/0/0分配到的DLCI=401 DLCI=401對應到的IP為10.10.10.1 蕭志明老師 CCNA教學

測試FR連線 R1可連接R2、R3與R4 蕭志明老師 CCNA教學

R2與R3無法連通 R3執行ping 192.168.10.2會無法連線 問題不是FR的問題，而是路由表的路由資訊不足 蕭志明老師 CCNA教學

R1、R2、 R3 、R4 啟動啟動EIGRP 以下為四台路由器啟動EIGRP的指令。 指令 說明 Router(config)#router eigrp 10 Router (config-router)#network 0.0.0.0 Router (config-router)#no auto-summary R1、R2、 R3 、R4 啟動 EIGRP並將全部網路介面宣告與關閉自動壓縮 蕭志明老師 CCNA教學

R2測試10.10.10.0/24 R2已經可以與10.10.10.0/24網路中的IP連線 蕭志明老師 CCNA教學

R3與R4問題 目前R3與R4無法互通 如下圖所示，R3卻無法連R4的10.10.10.4，其原因10.10.10.4無對應的DLCI，R4的原因一樣。 蕭志明老師 CCNA教學

設定R3 、R4中手動加入IP與DLCI對應 指令 說明 R3(config)#int s0/0/0 R3(config-if)#frame-relay map ip 10.10.10.4 301 broadcast 設定10.10.10.4 對應到DLC=301 R4(config)#int s0/0/0 R4(config-if)#frame-relay map ip 10.10.10.3 401 broadcast 設定10.10.10.3 對應到DLC=401 蕭志明老師 CCNA教學

執行與查詢R3中手動加入IP與DLCI對應 查詢R3的結果如下圖，10.10.10.4 對應到DLC=301已經手動設定成功 R3也可以與R4的10.10.10.4連線 蕭志明老師 CCNA教學

14.6 VPN 介紹 蕭志明老師 CCNA教學

VPN概念 VPN(Virtual Private Network)為虛擬私有網路，此概念是將Internet當作自己私有網路來使用，省下租用專線的成本 VPN需要有兩種技術的支援 第一要有Tunnel(通道)技術來做到虛擬線路(Virtual)的部分 第二要有加密的技術來支援私有(Private)的部分 蕭志明老師 CCNA教學

VPN架構示意圖 HQ建立兩個虛擬線路(Tunnel)分別連到Site1與Site2 這兩條虛擬線路可以想像是專線連線 虛擬線路是透過Internet現有的網路頻寬，所以虛擬線路無法有專屬的頻寬 蕭志明老師 CCNA教學

VPN優點 使用VPN的優點： 節省成本(Cost Savings)：VPN是透過現有的Internet建立虛擬線路，此因只需要連上Internet費用   擴充性(Scalability)：VPN的建立無須額外的基礎建置，不像建置專線，需要建置實體線路 相容性(Compatibility)：VPN的連線建立可以來自各種使用者端，例如：Site to Site的VPN連線，Remote-access to Site 的VPN，Remote-access可以是mobile user 安全性(Security)：VPN可以提供加密與認證功能，來防止未授權的使用者來存取資料，例如：IPSec、SSL技術。 蕭志明老師 CCNA教學

IPSec介紹 較常見到建立VPN的技術為IPSec，此IPSec是IETF的標準，直接運作在網路層來保護及認證IP封包 資料保密性(Confidentiality)：資料保密性主要是靠加密演算法來達成  資料完整性(Data Integrity)：防止封包內容被竄改，使用者收到的資料會跟送出時候的資料一模一樣  認證功能(Authentication)：確認連線使用者的身分，IPSec會使用IKE來交換認證的key，以達到確認身分功能。  不可重複性(Anti-replay protection)：保證封包不可重複性，也就是相同的封包不會重複送出或被複製 蕭志明老師 CCNA教學

14.7 GRE Tunnel 蕭志明老師 CCNA教學

GRE Tunnel 介紹 GRE(Generic Routing Encapsulation)為Cisco開發的通道協定之一，可以封裝任何L3協定、並可支援傳送multicast 封包 GRE Tunnel是一個很基本的建立VPN的通道(Tunnel)技術 GRE 通道沒有安全性，由於不用設定加密方式，所以設定上相當容易，可以讓讀者快速了解VPN的概念 蕭志明老師 CCNA教學

GRE通道運作原理 GRE通道的建立是將原始的IP封包再封裝一層新的IP資訊 如下圖所示，Site1中不管用什麼L3協定(IPv4或IPv6)，經過GRE通道時，會再封裝一層新IP表頭檔 蕭志明老師 CCNA教學

GRE Tunnel練習架構 範例檔案：WAN-GRE-Tunnel.pka Lab 14-76影音教學 蕭志明老師 CCNA教學

範例架構說明 本範例是要將R1與R2的內部網路使用GRE Tunnel串通，好像是專線一樣 目前內網是使用10.0.0.0的子網路，目前兩個內網是無法互通 GRE 通道是要建立在R1與R2之間 GRE 通道使用Internet來建立 蕭志明老師 CCNA教學

需求規劃 GRE通道需要一個通道介面(Tunnel Interface) R1與R2要各建立一個通道介面，GRE通道就靠這兩個通道介面來溝通 通道介面也是一種虛擬介面，類似Loopback介面 要指定通道介面的來源(tunnel source)與目的(tunnel destination) 蕭志明老師 CCNA教學

設定R1 、R2的tunnel指令 指令 說明 R1(config)#int tunnel 3 建立tunnel 3介面 R1(config-if)# ip address 10.10.20.1 255.255.255.0 設定tunnel 3介面 IP R1(config-if)# tunnel mode gre ip 設定tunnel 3使用的模式為gre ip R1(config-if)#tunnel source s0/0/0 設定tunnel 3的來源 R1(config-if)#tunnel destination 209.165.200.2 設定tunnel 3的目的 R2(config)#int tunnel 2 建立tunnel 2介面 R2(config-if)# ip address 10.10.20.2 255.255.255.0 設定tunnel 2介面 IP R2(config-if)# tunnel mode gre ip 設定tunnel 2使用的模式為gre ip R2(config-if)#tunnel source s0/0/1 設定tunnel 2的來源 R2(config-if)#tunnel destination 209.165.100.2 設定tunnel 2的目的 蕭志明老師 CCNA教學

建立R1通道介面 使用int tunnel x來建立，其中x為整數，如下圖所示 蕭志明老師 CCNA教學

查詢R1中Tunnel的資訊 介面狀態是L1 up、L2 down，雖然tunnel是虛擬介面，不過tunnel來源端與目的端還未指定時，L2 會是down 蕭志明老師 CCNA教學

指定R1通道來源與目的 當tunnel 3介面來源與目的指定完成後，L2就啟動 蕭志明老師 CCNA教學

建立R2的通道介面 蕭志明老師 CCNA教學

R1測試通道 使用動畫功能來觀察，動畫封包選擇ICMP，當R1執行ping 10.10.20.2後，將動畫封包打開，如下圖所示 蕭志明老師 CCNA教學

使用通道來學習遠端網路 R1的路由表內如如下圖所示，其中10.10.20.0/24為通道網路IP位址，出口介面為Tunnel3。 蕭志明老師 CCNA教學

R1與R2啟動路由協定 R1要透過tunnel來學習10.10.30.0/24網路 network宣告只要10.0.0.0網路，不要宣告209.165.100.0/24 指令 說明 R(config)#router rip R(config-router)#version 2 R(config-router)#no auto-summary R(config-router)#network 10.0.0.0 R1 、R2啟動RIP指令 蕭志明老師 CCNA教學

查詢RIP執行介面 R1使用show ip protocol來查看RIP執行狀況，如下圖所示 蕭志明老師 CCNA教學

查詢R1路由表 如下圖所示，有一筆RIP學習到10.10.30.0/24的路由資訊，其出口介面為Tunnel3 蕭志明老師 CCNA教學

測試PC0與PC1使用tunnel連線 在PC0執行ping 10.10.30.2後，當ICMP動畫到達R1時候將動畫封包打開，如下圖所示 請注意 Tunnel 只是虛擬的連線概念，實際傳送的路徑還是透過 Internet 蕭志明老師 CCNA教學

進階GRE Tunnel 請注意本章節探討的GRE Tunnel是1對1的通道關係 進階的GRE Tunnel演變為動態的1對多的通道關係,稱為Multipoint GRE(mGRE) Tunnel 由於mGRE通道的tunnel Destination 有多個, 所以需要搭配Next Hop Resolution Protocol (NHRP)來動態決定tunnel Destination IP位址 mGRE再搭配IPSec加密技術,就稱為Dynamic Multipoint VPN (DMVPN), DMVPN為目前企業在WAN上最常見的解決方案, 這些主題都會在CCNP課程介紹. 蕭志明老師 CCNA教學

14.8 mGRE、NHRP 與 DMVPN 概論 蕭志明老師 CCNA教學

進階GRE Tunnel 請注意本章節探討的GRE Tunnel是1對1的通道關係 進階的GRE Tunnel演變為動態的1對多的通道關係,稱為Multipoint GRE(mGRE) Tunnel 由於mGRE通道的tunnel Destination 有多個, 所以需要搭配Next Hop Resolution Protocol (NHRP)來動態決定tunnel Destination IP位址 mGRE再搭配IPSec加密技術,就稱為Dynamic Multipoint VPN (DMVPN), DMVPN為目前企業在WAN上最常見的解決方案 蕭志明老師 CCNA教學

mGRE Tunnel 連線架構 點對點 GRE Tunnel，變成點對多 GRE Tunnel(mGRE) 其連線的架構就跟 FR 網路一樣，類似 FR 用 VC 來規劃網路連線，可以架構出多種變化的網路連線 在 mGRE 的 Tunnel 連線就如同 FR 的 VC 連線 mGRE 網路連線主要可以分 Hub-and-Spoke 與 Spoke-to-Spoke 兩種連線架構 蕭志明老師 CCNA教學

Hub-and-Spoke 連線架構 蕭志明老師 CCNA教學

Spoke-to-Spoke 連線架構 蕭志明老師 CCNA教學

手動建立多點 GRE Tunnel 蕭志明老師 CCNA教學

動態 mGRE Tunnel 蕭志明老師 CCNA教學

mGRE+NHRP 練習 NHRP 已經設定，只要啟動 mGRE Tunnel 介面，觀察 mGRE 如何搭配 NHRP 來動態產生 Tunnel 連線。 蕭志明老師 CCNA教學

mGRE Tunnel 介面設定 蕭志明老師 CCNA教學

查詢 NHRP 資料庫 蕭志明老師 CCNA教學

查詢 R1 的路由表 蕭志明老師 CCNA教學

測試 mGRE+NHRP 在 R1 執行 ping 172.30.2.2 蕭志明老師 CCNA教學