MGRE

基本概念

MGRE：点到多点的GRE隧道，它是对传统的点到点GRE隧道的一种扩展。
MGRE与GRE只在构建隧道方式上有所差异，但其报文的封装方式和原理与GRE隧道完全一致。
根据建立机制的不同，可将MGRE隧道分为静态隧道和动态隧道两种：
静态隧道：建立在Hub与Spoke之间，无论是否有流量经过，改隧道一直存在。
动态隧道：建立在spoke与spoke之间，当spoke与spoke之间有流量经过时，隧道会自动被创建；当一定周期没有流量经过时，
隧道将自动拆除。

NHRP协议原理及作用

NHRP：下一跳地址解析协议
基本原理：源Spoke (隧道发起方)以到目的Spoke (隧道响应方)路由的下一跳地址为索引，向目的Spoke发送NHRP地址解析请求，目的Spoke收到该地址请求后将向源Spoke返回其公网地址。源Spoke获取到目的Spoke的公网地址后，两者之间将建立动态的MGRE隧道。
主要功能：解决非点到点直连跨互联网映射的问题；解决动态IP问题。

NHRP的协商过程——spoke与spoke之间建立MGRE隧道（重点）：

Spoke与Hub之间的MGRE隧道建立完成后，Spoke 与Spoke之间将通过该隧道，发送NHRP地址解析请求给对方，获取对端的公网地址，并生成NHRP映射表，然后建立Spoke与Spoke之间的MGRE隧道。
Spoke与Spoke之间建立MGRE隧道的方式按照路由部署方案的不同，分为如下两种方式:
Normal方式
当DSv*n采用分支节点相互学习路由方案时，源Spoke’ 可以学习到目的Spoke的Tunne|地址(在该路由部署方案下，目的Spoke的Tunnel地址等同于源Spoke到目的Spoke路由的下一跳地址)，因此源Spoke将以目的Spoke的Tunnel地址为索引查找其公网地址。
Shortcut方式
当DSv*n采用分支节点路由汇聚到总部时，所有Spoke的路由下一跳全部都是Hub的Tunnel地址。源Spoke无法学习到目的Spoke的Tunnel地址，因此，源Spoke只能以目的Spoke的私网网段查找其公网地址。

spoke与spoke之间建立MGRE隧道——Normal方式

spoke_A与spoke_B之间建立动态MGRE隧道过程如下：
1、A要和B私网之间进行通信时，首先查找自己的路由表，发现下一跳地址为1.1.1.2。然后根据下一跳查找自己的NHRP映射表，发现里面没有对应表项，A会默认将该报文直接发给Hub，同时出发NHRP地址解析请求（NHRP请求中包含A的tunnel接口和公网接口地址，还有需要解析的B的tunnel地址）。
2、Hub在接收到请求和业务报文后，会通过自己与B之间的隧道将其转发给B。
3、B接收到A的NHRP请求后，将A的对应关系加载到自己的NHRP映射表中。同时，B也生成NHRP的应答返回给A。
4、A收到B的应答后，将应答信息加载到本地NHRP映射表中，然后A和B之间动态建立MGRE隧道。
隧道建立后，A和B之间的通信会有A直接发给B，不会再经过中间Hub的中转。

封装过程：先查找路由表，找到下一跳地址；根据下一跳，再查找NHRP表。

spoke与spoke之间建立MGRE隧道——shortcut方式

spoke_A与spoke_B之间建立动态MGRE隧道过程如下：
1、A要和B私网之间进行通信时，首先根据目的地址查找自己的NHRP映射表，发现里面没有对应表项；所以，A会接着查找路由表，发现了目标地址对应的下一跳为Hub的地址，于是将此业务报文发送给Hub。
2、Hub在收到A的报文后，将报文转发给B。
3、如果Hub在 转发过程中，发现接收的tunnel接口和转发接口在同一网段，Hub就会向A发送重定向的消息。Hub通知A发送的NHRP请求，要求A和B之间建立隧道直接通信，后续报文也不需要经过Hub中转。
4、A向Hub发送NHRP请求（包含了A的私网网段和A的公网接口地址，以及B的私网网段），由于shortcut方式下采用的是路由聚合方案，因此A 无法学习到B的tunnel地址，只能通过B的私网地址来获取B的公网接口地址。
5、B接收到A的NHRP请求后，将A的对应关系（A的私网地址和公网接口地址）加载到自己的NHRP映射表中。同时，B也生成NHRP的应答返回给A。
6、A收到B的应答后，将应答信息加载到本地NHRP映射表中（B的私网地址和公网接口地址），然后A和B之间动态建立MGRE隧道。
隧道建立后，A和B之间的通信会有A直接发给B，不会再经过中间Hub的中转。

封装过程：直接查找NHRP的映射表进行封装转发。

MGRE下的级联场景：

如图所示是某企业的一个网络拓扑，该企业的办事机构存在层级关系。在此类有层级关系的网络中部署DSv*n，一些中间节点将同时充当Spoke和Hub两种角色，这些同时充当Spoke和Hub角色的设备被称为级联总部。例如，Hub 1和Hub 2既充当其下Spoke的总部，又充当Hub (总部)的Spoke节点。
级联场景下，两个不同Hub下的Spoke之间建立动态MGRE隧道过程:
根据业务规划，一-部分Spoke隶属于Hub 1，一部分Spoke隶属 于Hub 2。当Hub 1下的Spoke需要与Hub 2下的Spoke建立动态MGRE隧道时，源Spoke将 向Hub 1发送NHRP地址解析请求，该地址解析请求经Hub1转发后最终到达Hub(总部)，Hub(总部)再将NHRP地址解析请求发送至Hub2，并最终到达目的Spoke，从而实现在级联场景下建立Spoke与Spoke之间的动态MGRE隧道。

IPSec

基本概念

IPSec提供的安全服务：不可否认性、重传攻击保护、数据源鉴别、完整性、机密性
安全服务涉及知识：对称加密算法、非对称加密算法、hmac、自签名证书、dh、hash
IPSec协议族安全体系框架：

IPSec协议族：

IKE工作过程（重中之重）

产生背景：用IPSec保护一个IP包之前，必须先建立安全联盟(SA)IPSec的安全联盟可以通过手I配置的方式建立。但是当网络中节点较多时，手工配置将非常困难，而且难以保证安全性。这时就可以使用IKE (Internet KeyExchange)自动进行安全联盟建立与**交换的过程。Internet**交换 (IKE) 就用于动态建立SA，代表IPSec对SA进行协商。
IKE的用途：

IKE与AH/ESP之间的关系（简单来说IKE就是协商产生秘钥，用于数据的安全传输）：

工作过程：

重点：IKE安全通道协商主要涉及的五个参数：认证方式、加密算法、秘钥交换算法、完整性算法、秘钥改变时间

IPSec的简单配置：

由于配置方式有很多中，这儿介绍几种常见的