《CCNP ROUTE 300-101认证考试指南》——2.2节远程连通性概述

2.2 远程连通性概述
CCNP ROUTE 300-101认证考试指南

2.2 远程连通性概述
在远程办事处和中心站点之间发送语音、视频和数据时,除了需要保证低开销之外,经常还要保证低延迟和部署简便。传统的WAN方案(比如专线、帧中继和ATM)通常不能同时满足以上所有要求。幸运的是,多种VPN技术能很好地满足这样的设计方案。

本节对多种VPN技术进行了分类。本章的后续内容还会较为详细地分析这些技术。

2.2.1 基于MPLS的VPN
多协议标签交换(MPLS)通常是服务提供商使用的技术,许多大型企业也会在它们的骨干网络中使用MPLS。MPLS基于标签而不是IP地址,作出转发决策。因此MPLS头部通常被为垫片头部,因为它位于原有的两个头部之间。

基于MPLS的VPN可分为以下两大类:

二层MPLS VPN;
三层MPLS VPN。
本章会在之后的2.3节深入讨论这两种VPN。

2.2.2 基于隧道的VPN
隧道是一条虚拟连接,可以跨越多个物理路由器。然而从穿越隧道的流量的角度上看,从隧道一端到另一端看起来只穿越了一台路由器(即经历了1跳)。

有多种VPN技术可以建立虚拟隧道。本章讨论的几种技术包括:

通用路由封装(GRE);
动态多点VPN(DMVPN);
多点GRE;
IPSec。

2.2.3 混合VPN
除了只使用一种基于MPLS的VPN技术,或只使用一种基于隧道的VPN技术之外,也可以同时选择使用多种VPN技术。例如,管理员可能需要把企业一个站点的MPLS网络扩展到远程另一个站点的MPLS网络,同时要对通过服务提供商网络的流量进行加密。

可以通过在DMVPN之上建立三层MPLS VPN,来满足以上设计需求。DMVPN技术负责承载三层MPLS VPN流量,在企业地点之间有效地建立直接连接,同时使用IPSec加密穿越服务提供商云的流量。

对于混合VPN的设计方案来说,最重要的注意事项是开销。每次增加封装,都会增加数据包的头部总大小。当头部占用更多的空间,一个数据包内能携带的数据总量就会减少。因此,管理员可能需要降低接口上数据帧的最大传输单元(MTU)值。

时间: 2025-01-24 12:47:13

《CCNP ROUTE 300-101认证考试指南》——2.2节远程连通性概述的相关文章

《CCNP安全防火墙642-618认证考试指南》——2.6节配置文件

2.6 配置文件 CCNP安全防火墙642-618认证考试指南 关键ASA设备可以在其flash存储内保存一份"启动(startup)"配置文件,当设备重启或断电时,启动配置文件内的配置命令不会发生丢失.一旦ASA设备开始启动,它将把启动配置文件内的命令复制到RAM(易失性)内存中作为"运行(running)"配置文件.完成启动后,被输入或复制到运行配置文件的命令将立即执行并生效. 输入命令show startup-config可以查看启动配置文件的内容,如例2-9

《CCNP安全防火墙642-618认证考试指南》——2.3节使用CLI

2.3 使用CLICCNP安全防火墙642-618认证考试指南网络安全工程师经常需要对防火墙的安全策略和配置进行修改.另外,在日常维护工作中,防火墙的行为需要被监控,防火墙处理穿越其自身的流量的行为也需要执行故障排除.为了更好地完成以上任务,ASA设备为管理用户提供了以下与之交互的连接方式. 通过异步Console线缆连接到CLI.通过Telnet会话连接到CLI.通过安全壳(SSH)版本1.x或版本2连接到CLI.通过Web浏览器连接到自适应安全设备管理器(ASDM).除了以上所介绍的,管理员

《CCNP安全VPN 642-648认证考试指南(第2版)》——1.1节“我已经知道了吗?”测试题

1.1 "我已经知道了吗?"测试题CCNP安全VPN 642-648认证考试指南(第2版)在开始学习本章的内容之前,读者可以通过"我已经知道了吗?"测试题来确定自己对本章主题的掌握程度.表1-1详细列出了本章讨论的主题以及对应的测试题. Which of the following are available VPN connection methods on the ASA? (Choose all that apply.)下面哪些是ASA上可用的VPN连接方法?

《CCNP安全Secure 642-637认证考试指南》——2.8节填空

2.8 填空 CCNP安全Secure 642-637认证考试指南 1.Politics within an organization can cause a lack of within the security policies.企业或组织内部的争斗倾轧可能导致安全策略缺乏 . 2.A good disaster recovery plan must include contingencies for both and security breaches.一份完备的灾难恢复计划必须同时考虑

《CCNP安全Secure 642-637认证考试指南》——6.10节填空

6.10 填空 CCNP安全Secure 642-637认证考试指南 1. is an IEEE standard that provides a framework for authenticating and authorizingnetwork devices connected to LAN ports and for preventing access in theevent that the authentication fails. 标准是一种基于端口的访问控制架构,它对连接到局域

《CCNP安全Secure 642-637认证考试指南》——8.3节路由式数据面安全技术

8.3 路由式数据面安全技术 CCNP安全Secure 642-637认证考试指南 接下来,我们将讨论各种安全技术的原理及其实施方法. 8.3.1 访问控制列表 访问控制列表(Access Control List,ACL)是一种指令列表,一般由若干个ACL条目(ACL entry)组成,用于控制进出路由器接口的数据包.当数据包到达接口时,路由器自上而下搜索ACL中是否存在匹配的条目,以决定允许还是拒绝数据包通过. ACL可以防御多种攻击,与其他安全措施配合使用能进一步提高网络的安全性.无论是中

《CCNP安全Secure 642-637认证考试指南》——6.1节摸底测验

6.1 摸底测验 CCNP安全Secure 642-637认证考试指南 摸底测验有助于读者了解自己目前的知识水平并制订相应的学习计划.如果需要从头至尾阅读本章内容,则可以暂时跳过摸底测验. 摸底测验包括10道题,均取自本章"基础知识点"中的内容.读者可以将该测验作为分配学习时间的辅助手段. 表6-1列出了本章的主要知识点以及相应的摸底测验题号. 注意: 摸底测验旨在评估读者对本章内容的掌握程度.如果答错了某道题目或对某道题目有疑问,请将其标记为错误.不要将没有把握的题目一笔带过,这样会

《CCNP安全VPN 642-648认证考试指南(第2版)》——5.10节配置无客户端的SSL VPN的单点登录

5.10配置无客户端的SSL VPN的单点登录 CCNP安全VPN 642-648认证考试指南(第2版) 单点登录(SSO)可以解决用户在第一次成功地登录到SSL VPN后,当访问内部资源时不得不重新输入他们的登录凭证的问题.ASA在远程用户和服务器之间承当验证代理的角色以实现SSO的功能.当用户在SSL VPN的登录页面上提交他们的凭证后,ASA将账户信息发送给验证/应用程序服务器,如果验证成功的话,服务器返回一个cookie.接着ASA使用这个cookie作为用户访问被SSO服务器保护的域资

《CCNP安全VPN 642-648认证考试指南(第2版)》——1.3节支持VPN的协议

1.3 支持VPN的协议 CCNP安全VPN 642-648认证考试指南(第2版) 正如本小节的标题所点明的,下面将介绍不同的协议,这些协议可以独立工作,也可以一起工作,它们为远程用户和远程站点访问公司的内部资源提供了一个安全的隧道和数据传输的方法.不过,这种访问方法是以一种无需危害内部安全策略的方式实现的.当你学习本书的其余的章节和配置示例时,请注意每种协议的角色和它们是如何工作的,从而提供了VPN连接的整体方法. 1.3.1 对称和非对称密钥算法 下面的小节将讨论IPSec.SSL/TLS和