iKuai爱快流控路由

标题: cisco路由与爱快对接IPSEC案例 [打印本页]
作者: cimo    时间: 2017-2-8 17:54
标题: cisco路由与爱快对接IPSEC案例
(, 下载次数: 63)


就上一个简单的拓扑和配置,不详细解释了。

cisco 路由配置
  1. Building configuration...

  3. Current configuration : 2286 bytes
  4. !
  5. ! Last configuration change at 16:00:49 GMT Wed Feb 8 2017
  6. version 15.2
  7. no service pad
  8. service timestamps debug datetime msec
  9. service timestamps log datetime msec
  10. no service password-encryption
  11. !
  12. hostname AAAAAAA
  13. !
  14. boot-start-marker
  15. boot system flash c800-universalk9-mz.SPA.154-3.M1.bin
  16. boot-end-marker
  17. !
  18. !
  19. enable secret 4 8a./rRpqmMgDDv1Z2sTJXzcfTgT2r4A4fYds2And0i6
  20. enable password *******
  21. !
  22. no aaa new-model
  23. memory-size iomem 10
  24. clock timezone GMT 8 0
  25. !
  26. !
  27. !
  28. !
  29. !
  30. ip dhcp excluded-address 192.168.6.200 192.168.6.254
  31. ip dhcp excluded-address 192.168.6.1 192.168.6.99
  32. !
  33. ip dhcp pool DHCP_POOL
  34. network 192.168.6.0 255.255.255.0
  35. default-router 192.168.6.1
  36. dns-server 202.96.134.33 114.114.114.114
  37. lease 0 0 30
  38. !
  39. !
  40. !
  41. ip cef
  42. no ipv6 cef
  43. !
  44. !
  45. license udi pid CISCO881-K9 sn FGL180322YF
  46. !         
  47. !
  48. archive
  49. log config
  50.   hidekeys

  52. !
  53. !
  54. !
  55. !
  56. !
  57. !
  58. !
  59. crypto isakmp policy 10
  60. encr 3des
  61. hash md5
  62. authentication pre-share
  63. lifetime 10800
  64. crypto isakmp key sanshi address 100.100.100.100  
  65. !
  66. !
  67. crypto ipsec transform-set myset esp-3des esp-md5-hmac
  68. mode tunnel
  69. !
  70. !
  71. !
  72. crypto map mymap 10 ipsec-isakmp
  73. set peer 100.100.100.100
  74. set transform-set myset
  75. match address ipsec
  76. !
  77. !
  78. !
  79. !
  80. !
  81. interface FastEthernet0
  82. no ip address
  83. !
  84. interface FastEthernet1
  85. no ip address
  86. !
  87. interface FastEthernet2
  88. no ip address
  89. !
  90. interface FastEthernet3
  91. no ip address
  92. !
  93. interface FastEthernet4
  94. ip address 200.200.200.200 255.255.255.0
  95. ip nat outside
  96. ip virtual-reassembly in
  97. duplex full
  98. speed 100
  99. crypto map mymap
  100. !
  101. interface Vlan1
  102. ip address 192.168.6.1 255.255.255.0
  103. ip nat inside
  104. ip virtual-reassembly in
  105. !
  106. ip local policy route-map Check-Local
  107. ip forward-protocol nd
  108. no ip http server
  109. no ip http secure-server
  110. !
  111. ip nat inside source list 110 interface FastEthernet4 overload
  112. ip route 0.0.0.0 0.0.0.0 FastEthernet4 200.200.200.1
  113. !
  114. ip access-list extended ipsec
  115. permit ip 192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255
  116. !
  117. access-list 110 deny   ip 192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255
  118. access-list 110 permit ip 192.168.6.0 0.0.0.255 any
  119. !
  120. !
  121. !
  122. line con 0
  123. no modem enable
  124. line aux 0
  125. password *******
  126. line vty 0 4
  127. password *******
  128. login
  129. transport input all
  130. !
  131. scheduler allocate 3000 1000
  132. ntp server 211.233.84.186
  133. ntp server 122.226.192.4
  134. !
  135. end
复制代码
爱快配置

(, 下载次数: 51)


作者: 爱快技术支持04    时间: 2017-2-8 17:58
沙发
作者: 爱快小黑    时间: 2017-2-8 17:58
顶一个,好东西
作者: 小C    时间: 2017-2-8 18:17
一个复杂,一个简单。。。相映成趣。。。这个很有意思,截图发朋友圈了,哈哈
作者: 爱快技术支持05    时间: 2017-2-8 18:39
顶一个。
作者: cimo    时间: 2017-2-8 18:45
小C 发表于 2017-2-8 18:17
一个复杂,一个简单。。。相映成趣。。。这个很有意思,截图发朋友圈了,哈哈
...

复杂也有复杂的好处,比如说灵活度更高。当然爱快能把复杂的东西简单化本身也不是一个简单的事情
作者: puyol123456    时间: 2017-2-8 18:49
有爱快了,为什么要用思科呢
作者: cimo    时间: 2017-2-8 18:52
puyol123456 发表于 2017-2-8 18:49
有爱快了,为什么要用思科呢

这个问题问的好,客户应该全部换成爱快  
作者: 小C    时间: 2017-2-8 18:53
cimo 发表于 2017-2-8 18:52
这个问题问的好,客户应该全部换成爱快

这句话听的真爽,晚上的鸡蛋灌饼得多加一个鸡蛋!
作者: puyol123456    时间: 2017-2-8 19:11
小C 发表于 2017-2-8 18:53
这句话听的真爽,晚上的鸡蛋灌饼得多加一个鸡蛋!

我真觉得华为思科的高端路由挺垃圾的,那么沉,功能那么少,接口那么少,还要单独花钱买板子,也不够配置灵活直观。软路由完全可以啊,淘宝3000多的24核心,64g内存二手服务器装爱快,ros,配合一些淘宝二手的二层万兆交换机,做单臂路由,绝对超过华为93,97,77系列啊,如果爱快能把缓存做稳定了。后期再做出一些配合支付宝微信的在线开通账户付款的功能,还有双机热备功能,那宇宙无敌了。
作者: snow2sun    时间: 2017-2-9 07:54
小C 发表于 2017-2-8 18:17
一个复杂,一个简单。。。相映成趣。。。这个很有意思,截图发朋友圈了,哈哈
...

命令行更喜欢也很习惯,实际上思科加密部分配置也就两三行,并不复杂,这个配置文件内容大多数都是常规其他配置
作者: snow2sun    时间: 2017-2-9 08:01
puyol123456 发表于 2017-2-8 19:11
我真觉得华为思科的高端路由挺垃圾的,那么沉,功能那么少,接口那么少,还要单独花钱买板子,也不够配置 ...

第一灵活性必然超过软路由,规模下应用接触太少导致预判罢了,光是虚拟路由器模板就不是软路由能比的,第二性能远超过软路由,硬件级策略模板下发不是软路由能比的,背板带宽更是软路由望尘莫及,第三稳定性远非软路由能比,只是你企业环境接触少不了解,软路由根本不能上核心业务
作者: puyol123456    时间: 2017-2-9 18:10
snow2sun 发表于 2017-2-9 08:01
第一灵活性必然超过软路由,规模下应用接触太少导致预判罢了,光是虚拟路由器模板就不是软路由能比的,第 ...

光说不能比,能讲具体点,差多少,有什么数据吗?比如背板带宽,你华为标称能到几T,然后呢?
作者: 9622315    时间: 2017-2-9 18:18
小C 发表于 2017-2-8 18:17
一个复杂,一个简单。。。相映成趣。。。这个很有意思,截图发朋友圈了,哈哈
...

话说Cisco也支持web,只是通常很少有人通过web配置,约定俗成了吧。
作者: 9622315    时间: 2017-2-9 18:18
本帖最后由 9622315 于 2017-2-9 18:22 编辑
小C 发表于 2017-2-8 18:17
一个复杂,一个简单。。。相映成趣。。。这个很有意思,截图发朋友圈了,哈哈
...

话说Cisco也支持web,只是通常很少有人通过web配置,约定俗成了吧。

话说,7621A下月外测,C总有兴趣吗?
作者: 9622315    时间: 2017-2-9 18:23
本帖最后由 9622315 于 2017-2-9 18:25 编辑
puyol123456 发表于 2017-2-8 19:11
我真觉得华为思科的高端路由挺垃圾的,那么沉,功能那么少,接口那么少,还要单独花钱买板子,也不够配置 ...

很多问题没有你想的那么简单,比如最简单的入网许可证,你的软路由有吗?
作者: puyol123456    时间: 2017-2-9 18:57
9622315 发表于 2017-2-9 18:23
很多问题没有你想的那么简单,比如最简单的入网许可证,你的软路由有吗? ...

楼上了解华为思科那种版子嘛?能否详解下根服务器软路由有什么区别?性能,功能?价格?
作者: 9622315    时间: 2017-2-9 19:02
本帖最后由 9622315 于 2017-2-9 19:04 编辑
puyol123456 发表于 2017-2-9 18:57
楼上了解华为思科那种版子嘛?能否详解下根服务器软路由有什么区别?性能,功能?价格? ...

区别就是人家是电信级,有入网许可证,你的软路由再好,不是电信级,也没有入网许可证,另外就是EMI相关等级,也不是一个量级,总之,人家一片卡,就卖你一台整机的价格,还不愁卖不出去,自然有人家的道理。

总之,用软路由的不会用“硬”路由,用“硬”路由的铁定看不上软路由,设备各有所长,用户各取所需。
作者: puyol123456    时间: 2017-2-9 19:05
9622315 发表于 2017-2-9 19:02
区别就是人家是电信级,有入网许可证,你的软路由再好,不是电信级,也没有入网许可证,另外就是EMI相关 ...

稳定点,负责人能吃回扣,zf能收高额税,还有什么嘛?老说自然有道理,都是场面话

这谁都知道,关键是具体的东西,数据?包转发率?背板带宽?特殊功能?

关键是华为的me60和ne5000这种东西只当路由器用,支持各种二层协议,起个bgp,什么的,nat做起来是不是很麻烦?计费是不是要对接第三发radius和aaa?讲讲啊
作者: 9622315    时间: 2017-2-9 19:09
本帖最后由 9622315 于 2017-2-9 19:11 编辑
puyol123456 发表于 2017-2-9 19:05
稳定点,负责人能吃回扣,zf能收高额税,还有什么嘛?老说自然有道理,都是场面话

这谁都知道,关键是具 ...

起个BGP还不够吗?人家本来就不是让你做NAT的,你非要做NAT那能怪谁,且问爱快功能多,但爱快支持BGP吗?

没听说过用核心网设备当接入网设备用的,NAT路由器都是接入网设备,你应该明白吧?

还是那句话,设备各有所长,用户各取所需,正确的人将正确的设备安装在正确的地方,三者缺一不可。

作者: puyol123456    时间: 2017-2-9 19:24
9622315 发表于 2017-2-9 19:09
起个BGP还不够吗?人家本来就不是让你做NAT的,你非要做NAT那能怪谁,且问爱快功能多,但爱快支持BGP吗?
...

早期华为系统底层是vxwork,后来一些高端设备也用了linux。并且cpu也都是x86的intel,这几点你知道吗?现在有个同事几之前在华为做安全。我个人理念是并不分什么软硬,不要总长他人威风,原理都差不多的。ros也可以起bgp和ospf啊。那你说说ros和x86的高端华为ne从cpu和系统上讲是一个东西,具体有什么区别呢,请指教。急什么
作者: puyol123456    时间: 2017-2-9 19:34
9622315 发表于 2017-2-9 19:09
起个BGP还不够吗?人家本来就不是让你做NAT的,你非要做NAT那能怪谁,且问爱快功能多,但爱快支持BGP吗?
...

请问bgp你用过吗?华为最便宜能起bgp的交换机是什么型号呢?

回答问题要讲原理和具体内容啊,别说空话,举个例子来说,nat这个事情在linux里是iptables的netfilter做,并且他的规则也可以实现acl一样的效果,不知道爱快的acl是用iptables实现的吗,并且linux的网卡间转发是用内核的ipforward实现的。但是交换机的acl虽然同样效果,也许是厂家自己写的libc去操作数据包,也许效率更高,和硬件驱动结合得更好些,系统也更精简,我猜测而已。
你能说的像我一样具体些吗?具体区别,高效,原理,功能。

但你不要把软路由说的这么垃圾啊,不然为什么要用爱快还当班主啊
作者: 9622315    时间: 2017-2-9 19:34
puyol123456 发表于 2017-2-9 19:24
早期华为系统底层是vxwork,后来一些高端设备也用了linux。并且cpu也都是x86的intel,这几点你知道吗?现 ...

Juniper的路由器,北电的路由器也是x86的,你知道吧?但人家在P4或甚至P3的平台上,实现了千兆线速转发,为啥?ASIC芯片,你的软路由有吗?这类设备不能只看CPU,这些专业设备,CPU只是做过程控制,数据处理有专门的NPU或ASIC芯片,数据加密也有专门的SSL加速芯片,所以主控CPU工作很清闲没有必要配置很高,就好比爱快的C总,只要管理好公司主要业务线就行了,开发、销售、售后支持,都有专门的人负责,而你的软路由不一样,光杆司令一枚,同样的CPU,干的活多了N多倍,不管那段代码出问题,都可能导致整个系统不稳定。且问,浑身都是铁,能打几颗钉?
作者: puyol123456    时间: 2017-2-9 19:38
9622315 发表于 2017-2-9 19:34
Juniper的路由器,北电的路由器也是x86的,你知道吧?但人家在P4或甚至P3的平台上,实现了千兆线速转发, ...

大概了解了,就是说主板上有些单独的芯片,系统有对应的驱动,具体功能具体芯片完成和软件对接,实现高效的功能?是这个意思吗
作者: 9622315    时间: 2017-2-9 19:42
puyol123456 发表于 2017-2-9 19:34
请问bgp你用过吗?华为最便宜能起bgp的交换机是什么型号呢?

回答问题要讲原理和具体内容啊,别说空话, ...

从根本原理上讲,软路由转发是软件转发靠CPU处理,交换机转发是硬件转发不经过CPU处理,这就是3层交换机的性能与效率远远高于同等价位的软路由的原因,你呢也别跟我扯啥实现原理,我对软件方面不是很熟,但我知道,不同的设备有不同的应用领域,软路由再好,不能一手遮天。
作者: 9622315    时间: 2017-2-9 19:47
本帖最后由 9622315 于 2017-2-9 19:50 编辑
puyol123456 发表于 2017-2-9 19:38
大概了解了,就是说主板上有些单独的芯片,系统有对应的驱动,具体功能具体芯片完成和软件对接,实现高效 ...

对呀,华为的东西比较乱据说,据说曾经有一度,在同一台机器中最多能同时跑4个系统,Linux、VxWorks、QNS、还有一个不记得了听都没听过的系统,究其根本原因就是整个设备由多个不同的子系统组成,每个子系统都有自己的处理器,每个子系统分别由不同的团队开发,每个团队都有自己独立的一套开发框架,所以……不过据说这个问题,近几年改善了不少。
作者: puyol123456    时间: 2017-2-9 20:13
9622315 发表于 2017-2-9 19:42
从根本原理上讲,软路由转发是软件转发靠CPU处理,交换机转发是硬件转发不经过CPU处理,这就是3层交换机 ...

你对软件不熟,对哪方面比较精通?集成商专门给人做项目组网?

觉得那些三层和路由,大不了就是稳定,性能好些,但是功能的确垃圾。运营商也用nat的,方正,歌华什么的。三大运营商,因为资源不缺,方便记录日志,所以不用nat,他们的设备顶多做路由寻址,交换,封杀些协议吧。在对接个计费。没有服务器和软路由世界,小区怎么做。不知道你了解二十年前买卡片上网卡,回家用isdn拨号,那种时代运营商用什么计费吗?想了解
作者: 9622315    时间: 2017-2-9 20:23
puyol123456 发表于 2017-2-9 20:13
你对软件不熟,对哪方面比较精通?集成商专门给人做项目组网?

觉得那些三层和路由,大不了就是稳定,性 ...

ISDN算啥,当年我们用的还是14.4kbps的拨号猫,那个年代还没有Internet,我们上的是BBS,呵呵,这都是20年前的事情了。那个年代,就已经有Radius服务器了,不过那个年代计费也简单,拨号上网嘛,你拨的就是特服号,类似当年的声讯服务,当年声讯服务如何计费,这个也同样的道理。
作者: puyol123456    时间: 2017-2-9 20:53
9622315 发表于 2017-2-9 20:23
ISDN算啥,当年我们用的还是14.4kbps的拨号猫,那个年代还没有Internet,我们上的是BBS,呵呵,这都是20年 ...

也是跑在bsd上的计费软件,和现在的本没本质区别?那时候也是tcpip吧,是不是除了二层协议变了,其他没什么区别啊,比如也是web server,也是操作系统,也是ip地址。怎么可能没有internel呢,那怎么玩网游,怎么看网站?
作者: puyol123456    时间: 2017-2-9 20:56
9622315 发表于 2017-2-9 20:23
ISDN算啥,当年我们用的还是14.4kbps的拨号猫,那个年代还没有Internet,我们上的是BBS,呵呵,这都是20年 ...

如果没有ip这个东西,你们怎么上bbs?猫不就是做数模转换的吗?atm电话线里的东西在最外层封装了ip,才能到达一个地方。
作者: 9622315    时间: 2017-2-10 07:37
本帖最后由 9622315 于 2017-2-10 07:40 编辑
puyol123456 发表于 2017-2-9 20:56
如果没有ip这个东西,你们怎么上bbs?猫不就是做数模转换的吗?atm电话线里的东西在最外层封装了ip,才能 ...

不一定非要TCP/IP协议,曾经很火的Novell系统用的IPX/SPX协议也是支持PPP网络的哦!

现在是PPP到ISP,然后通过IP网络到ICP,当年BBS时,是(通过猫池)直接拨号到类似ICP机构的服务器(BBS服务)上。

所以具体使用啥协议通信,你要看BBS服务器所在网络用的是啥协议,不一定是TCP/IP,拨号线路建立的仅仅是2层(甚至是1层)连接。

后来有了Internet了,有了ISP了,也就有了现在的TCP/IP网络,就是拨号到ISP了。
作者: 小C    时间: 2017-2-10 09:34
9622315 发表于 2017-2-9 18:18
话说Cisco也支持web,只是通常很少有人通过web配置,约定俗成了吧。

见过培训出来的小伙子不会用web,被培训成人肉机器了
作者: puyol123456    时间: 2017-2-10 10:56
9622315 发表于 2017-2-10 07:37
不一定非要TCP/IP协议,曾经很火的Novell系统用的IPX/SPX协议也是支持PPP网络的哦!

现在是PPP到ISP,然 ...

学习了,一直非常想了解早起通信,计费,运营商各种设备的知识,对硬件设备的了解,还停留在华为6503和s5700系列,等等的二三层功能上,这方面的书籍有推荐吗?
作者: 9622315    时间: 2017-2-10 12:38
小C 发表于 2017-2-10 09:34
见过培训出来的小伙子不会用web,被培训成人肉机器了

正常,在天朝,这很正常。

C总,等我的7621公测时,发贵司一台,帮忙测测?
作者: woyiyou    时间: 2017-4-23 22:15
puyol123456 发表于 2017-2-8 19:11
我真觉得华为思科的高端路由挺垃圾的,那么沉,功能那么少,接口那么少,还要单独花钱买板子,也不够配置 ...

你的想法可真幼稚啊。
作者: csc2007    时间: 2017-4-23 22:29
此贴学习中,慢慢消化
作者: puyol123456    时间: 2017-4-24 11:39
woyiyou 发表于 2017-4-23 22:15
你的想法可真幼稚啊。

你知道ios底层是什么操作系统改的吗
作者: xl890    时间: 2017-4-24 12:44
这个是设置cisco路由与爱快下面访问相互联通吗?
作者: woyiyou    时间: 2017-4-25 19:27
puyol123456 发表于 2017-4-24 11:39
你知道ios底层是什么操作系统改的吗

你想的太简单了,爱快和华为思科比都不在一个量级
作者: puyol123456    时间: 2017-4-26 12:36
本帖最后由 puyol123456 于 2017-4-26 12:54 编辑
woyiyou 发表于 2017-4-25 19:27
你想的太简单了,爱快和华为思科比都不在一个量级

具体给讲讲,ikuai,VRP和ios这3个操作系统原理,基于什么,性能,底层差异,具体能差在?
知道什么是lib库吗?知道什么叫VxWorks吗?linux和bsd最新内核网络性能差多?

知道什么是openswan吗?sslvpn?pppoe原理?QinQ?

你再给讲讲爱快的acl实现原理,和交换机上的acl有什么差异。呵呵

有不少人跟你一样总爱一句否定别人,讲空话,一句差异很大,可能在运营商底层干过实施,听自己也搞不明白ospf的北大青鸟讲师讲过几天课程,或者卖设备的集成商,但应该不是专门干网络和linux技术的,因为说不出来细节的差异,只能说空话了。

我们需要你给具体讲讲,少说空话。quidway,cisco产品线的确很多,我觉得ikuai在ip网络方面,2347层这块功能,易用上,秒杀华为二三层的产品,比如quidway的AR系列就是垃圾。你用过么

作者: woyiyou    时间: 2017-4-26 13:03
puyol123456 发表于 2017-4-26 12:36
具体给讲讲,ikuai,VRP和ios这3个操作系统原理,基于什么,性能,底层差异,具体能差在?
知道什么是lib ...

好吧 你利害。
作者: puyol123456    时间: 2017-4-26 13:09
本帖最后由 puyol123456 于 2017-4-26 13:14 编辑
woyiyou 发表于 2017-4-26 13:03
好吧 你利害。

我没说ikuai和那几个公司是一个量级的,实际上肯定也不是,华为还做7层防火墙,一道门,olt,广猫,服务器,ippbx,反正一大堆产品,还做手机呢。关键是它卖多少钱?
ikuai整个公司不超过100人,但是就企业网关的功能,绝对易用性超过所有软路由和硬件厂商,包括磊科,mikrotik ccr一切。但是骨干网运营商级别的功能爱快可能暂时没想做,比如动态路由,VRRP,实际上,也就差这么点了(我想,以爱快的能力,做起来并不难,封装一下quagga和keepalived这2个软件,就具备以上功能了)。而且你想想软件免费还兼容x86是多么的牛逼啊,废物利用了多少电脑,二手网卡,淘汰服务器,我觉得这点很可贵。

一会儿我吃完饭回答那些问题,如果你需要的话.

某版主也是不懂技术细节,甚至iptables都没用过,就总说些指导小朋友一样的大话,恶心。也是不少国人的特点,吹的比会的多。真干不行了
作者: woyiyou    时间: 2017-4-26 13:13
puyol123456 发表于 2017-4-26 13:09
我没说ikuai和那几个公司是一个量级的,实际上肯定也不是,华为还做7层防火墙,一道门,olt,广猫,服务器 ...

你的基础够扎实的。知道的真是挺多的。希望 交交朋友。向你学习
作者: puyol123456    时间: 2017-4-26 13:15
woyiyou 发表于 2017-4-26 13:13
你的基础够扎实的。知道的真是挺多的。希望 交交朋友。向你学习

可以相互学习,手机号就是微信
作者: woyiyou    时间: 2017-4-26 13:19
puyol123456 发表于 2017-4-26 13:15
可以相互学习,手机号就是微信

恩  好的
作者: zxk114    时间: 2017-4-26 15:23
过来学习一下。。。



欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/) Powered by Discuz! X3.3