MPLS (Multi-Protocol Label Switching) 的概念是在一个封包之中加入 Label (标签),所谓 Label,是加在 Layer 2 Header 与 Layer3 Header 之间的一串 32 bits 标示 (所以 MPLS 又称为 Layer 2.5),其中 20bits 为 Label 值。路由器会依据这个 Label 值去判断封包的 Next Hop,用了这个方法,路由器不用再查找 Route Table 便可以决定怎样处理封包,传送效率便可大大提升,此技术於 ISP 的 Backbone Network 中被广泛使用。
Jan Ho 2021-07-22
Posted In: menu-tall-2-zh-hans, 虚拟私人网路 VPN
越来越多公司用 IPSEC 来建立 Site to Site VPN,普遍应用於透过 Internet 建立连线,因为价钱便宜,设定上相对简单得多。IPSEC VPN 用 IKE (Internet Key Exchange) 进行参数交换和建立连线,因此在设定 IPSEC VPN 前应先了解 IKE 的运作。
Jan Ho 2021-07-22
Posted In: 虚拟私人网路 VPN
Generic Routing Encapsulation (GRE) 可以在两个 Physical Interface 之间建立点对点 Tunnel,多用於设置 Virtual Private Network (VPN) 去保护资讯。本文会先介绍 GRE Tunnel 的设定方法,最後在 GRE 上加上 IPSec 设定去做认证和加密。
Jan Ho 2021-07-22
Posted In: 虚拟私人网路 VPN
用 Tunnel 来连接不同 Site 并建立 Virtual Private Network (VPN) 的传统做法是使用 Generic Routing Encapsulation (GRE)。但如果大家已经看过本网关於 GRE 的文章,就知道用 GRE 来建立 Spoke-to-spoke Topology 所要设定的 Tunnel 数量相当庞大,比较理想的方法是使用 Dynamic Multipoint VPN (DMVPN)。阅读本文前读者必需深入了解 GRE Tunnel 与 Routing Protocol 的运作,例如:EIGRP 和 OSPF 等。
Jan Ho 2021-07-22
Posted In: 虚拟私人网路 VPN
Cisco 的 Group Encrypted Transport VPN (GETVPN) 技术可以简化 IPSec 设定,让网管人员更容易管理和配置 IPSec。为了建立 Fully Mesh IPSec 网络,每只 Router 都要对其馀所有 Router 建立 IPSec Tunnel,涉及大量的 ISAKMP Key 管理及 IPSec 组态。试计算一下,如网络里有 n 只 Router 之间需要 IPSec 保护,IPSec Tunnel 总数为 n(n-1)/2,设定极为费时及容易出错,网管人员生活大打折扣 😭 。本文将会介绍 GETVPN 的原理和设定,假设读者已对 IPSec 理论有所了解。
Jan Ho 2021-07-22
Posted In: 虚拟私人网路 VPN
当企业需要透过 Internet 使用 Routing Protocol 进行 Route 交换时,通常会在 Site 与 Site 之间建立 GRE Tunnel。但 GRE Tunnel 并无加密功能,流经 Internet 的资讯变得不安全,这时候 GRE 可与 IPSec 一起应用。本文会介绍两种非常相似的技术,分别是:GRE over IPSec 及 IPSec over GRE。阅读本文前读者需掌握 IPSec VPN 设定,及对 EIGRP 有基本认识。
Jan Ho 2021-07-22
Posted In: menu-tall-2-zh-hans, 虚拟私人网路 VPN