基于RIP的MGRE VPN综合实验

实验拓扑

实验需求

1、R5为ISP，只能进行IP地址配置，其所有地址均配为公有IP地址；

2、R1和R5间使用PPP的PAP认证，R5为主认证方；

     R2与R5之间使用ppp的CHAP认证，R5为主认证方；

     R3与R5之间使用HDLC封装；

3、R1、R2、R3构建一个MGRE环境，R1为中心站点，R1、R4间为点到点的GRE；

4、整个私有网络基本RIP全网可达；

5、所有PC设置私有IP为源IP，可以访问R5环回,达到全网通。

实验思路

1、按照拓扑划分的网段配置路由接口IP地址,以及主机的IP地址（主机IP地址自行配置）。

2、完成R1和R5之间的PAP认证，R5为主认证方。

3、完成R2与R5之间的chap认证，R5为主认证方

4、完成R3与R5之间为HDLC封装。

5、在出口设备配置缺省路由,保证公网通

6、完成R1与R4为点到点GRE

7、完成R1/2/3构建MGRE，R1为中心站点

8、配置RIP.，实现宣告直连网段

9、私用网段配置NAT。

10、所有PC设置私有IP为源IP，可以访问R5环回。

实验步骤

1、按照拓扑划分的网段配置路由接口IP地址,以及主机的IP地址（主机IP地址自行配置）。

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1]int Serial 4/0/0
[R1-Serial4/0/0]ip add 15.1.1.1 24[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[R2]int Serial 4/0/0
[R2-Serial4/0/0]ip add 25.1.1.2 24
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.3.254 24
[R3]int Serial 4/0/0
[R3-Serial4/0/0]ip add 35.1.1.3 24[R4]int g0/0/1
[R4-GigabitEthernet0/0/1]ip add 192.168.4.254 24
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ip add 45.1.1.4 24[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 45.1.1.5 24
[ISP]int Serial 4/0/1
[ISP-Serial4/0/1]ip add 15.1.1.5 24
[ISP-Serial4/0/1]int Serial 3/0/1
[ISP-Serial3/0/1]ip add 25.1.1.5 24
[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]ip add 35.1.1.5 24
[ISP]int l0
[ISP-LoopBack0]ip add 5.5.5.5 24

2、完成R1和R5之间的PAP认证，R5为主认证方。

所以需要在 R5上创建用于验证的用户，且pap认证方式会明文传递用户名和密码。

主认证方：

[ISP]aaa
[ISP-aaa]local-user zhangdaye privilege level 15 password cipher wdy12345
[ISP-aaa]local-user zhangdaye service-type ppp
[ISP]int Serial 4/0/1   连接被认证方的端口
[ISP-Serial4/0/1]ppp authentication-mode pap

被认证方

[R1]int Serial 4/0/0     
[R1-Serial4/0/0]ppp pap local-user zhangdaye password cipher zdy12345

测试：关闭在开启 R1 和 R5 的 PPP 链路，检查验证是否能够通过。

3、完成R2与R5之间的chap认证，R5为主认证方

所以需要在R5上创建用于验证的用户，且chap认证方式会密文传递用户名和密码。

主认证方：

[ISP]aaa
[ISP-aaa]local-user wangdaye privilege level 15 password cipher wdy12345
[ISP-aaa]local-user wangdaye service-type ppp
[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]ppp authentication-mode chap

被认证方：

[R2]int Serial 4/0/0
[R2-Serial4/0/0]ppp chap user wangdaye
[R2-Serial4/0/0]ppp chap password cipher wdy12345

测试：关闭在开启 R2 和 R5 的 PPP 链路，检查验证是否能够通过。完成R3与R5之间为HDLC封装。

 

4、完成R3与R5之间为HDLC封装。

高级链路控制协议，这种封装技术，可以理解为就是在二层实施了介子访问控制工作

[R3]int Serial 4/0/0
[R3-Serial4/0/0]link-protocol hdlc  //修改二层封装
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]link-protocol hdlc
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y

5、在出口设备配置缺省路由,保证公网通

[R1]ip route-static 0.0.0.0 0 15.1.1.5
[R2]ip route-static 0.0.0.0 0 25.1.1.5
[R3]ip route-static 0.0.0.0 0 35.1.1.5
[R4]ip route-static 0.0.0.0 0 45.1.1.5

6、完成R1与R4为点到点GRE

分析：GRE，一种简单的VPN技术，属于点到点网络类型，让两个网络穿越中间网络来直接通讯，逻辑的在两个网络间建立了一条新的点到点直连链路。

[R1]interface Tunnel0/0/0
[R1-Tunnel0/0/0]ip address 10.1.1.1 24 建立隧道接口IP地址
[R1-Tunnel0/0/0]tunnel-protocol gre
[R1-Tunnel0/0/0]source 15.1.1.1
[R1-Tunnel0/0/0]destination 45.1.1.4[R4]interface Tunnel 0/0/0
[R4-Tunnel0/0/0]ip add 10.1.1.2 24   建立隧道接口IP地址
[R4-Tunnel0/0/0]tunnel-protocol gre
[R4-Tunnel0/0/0]source 45.1.1.4
[R4-Tunnel0/0/0]destination 15.1.1.1

7、完成R1/2/3构建MGRE，R1为中心站点

分析：若将多个节点使用普通GRE连接起来，将配置大量的网段和路由信息，且所有节点为固定IP地址；而MGRE-多点GRE ，实现多个节点构建为一个网段；结构为中心到站点结构；站点可以基于NHRP实现ip地址不固定，主动到固定IP的中心站点注册；中心成MAP映射—tunnel口IP与公有ip地址的对应；

若分支到分支，那么将在中心站点下载map来实现直接通讯。

配置思路：

1.将拓扑图转化为MGRE图

2. 创建Tunnel接口并配置IP

3. 选择MGRE点到多点的封装类型

4. 中心站点的源IP写固定的，分支站点写出接口

5. 中心站点要开启伪广播，分支站点要向中心站点注册

6. 设置NHRP的工作id

中心站点的配置

[R1]interface Tunnel 0/0/1     //创建隧道接口
[R1-Tunnel0/0/1]ip address 10.1.2.1 24    //隧道接口ip地址
[R1-Tunnel0/0/1]tunnel-protocol gre p2mp //定义该隧道为多点gre隧道
[R1-Tunnel0/0/1]source 15.1.1.1   //该隧道加封装的报头源IP
//地址通过NHRP协议来获取加封装的目标IP地址
[R1-Tunnel0/0/1]nhrp entry multicast dynamic //本地成为NHRP服务端，开启伪广播，为RIP做准备。
[R1-Tunnel0/0/1]nhrp network-id 100  //NHRP的工作编号，该网段所有设备必须在同一id

分支站点的配置：

[R2]interface Tunnel 0/0/1
[R2-Tunnel0/0/1]ip address 10.1.2.2 24
[R2-Tunnel0/0/1]tunnel-protocol gre p2mp
//加封装的源IP地址，为本地的隧道实际通过接口的IP地址，填写接口编号，而不是接口IP，原因在于该接口IP地址可变    
[R2-Tunnel0/0/1]source serial 4/0/0
//加封装的目标ip地址，需要到NHRP中心站点获取
[R2-Tunnel0/0/1]nhrp entry 10.1.2.1 15.1.1.1 register
[R2-Tunnel0/0/1]nhrp network-id 100[R3]interface Tunnel 0/0/1
[R3-Tunnel0/0/1]ip add 10.1.2.3 24
[R3-Tunnel0/0/1]tunnel-protocol gre p2mp
[R3-Tunnel0/0/1]source Serial 4/0/0
[R3-Tunnel0/0/1]nhrp network-id 100
[R3-Tunnel0/0/1]nhrp entry 10.1.2.1 15.1.1.1 register

测试：dis nhrp peer all 查看分支站点注册结果

8、配置RIP.，实现宣告直连网段

分析：这里能不能也宣告公网地址呢？多宣告多知道些路由不是更好吗？公网的地址不能被私网学到，宣告了也没用

[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]undo summary
[R1-rip-1]network 192.168.1.0
[R1-rip-1]network 10.0.0.0[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.2.0
[R2-rip-1]network 10.0.0.0
[R2-rip-1]undo summary[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]undo summary
[R3-rip-1]network 192.168.3.0
[R3-rip-1]network 10.0.0.0[R4]rip 1
[R4-rip-1]version 2
[R4-rip-1]undo summary
[R4-rip-1]network 192.168.4.0
[R4-rip-1]network 10.0.0.0

配完后发现R2和R3的路由条目不全 原因是RIP的水平分割（从一个接口收到的路由，不从这个接口传出去），故关闭中心接口的水平分割机制

[R1]int Tunnel 0/0/1
[R1-Tunnel0/0/1]undo rip split-horizon

查看RIP路由表学习情况

9、私用网段配置NAT。

[R1]acl 2000
[R1-acl-basic-2000]rule  permit source 192.168.1.0 0.0.0.255
[R1]int Serial 4/0/0
[R1-Serial4/0/0]nat outbound 2000[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R2]int Serial 4/0/0
[R2-Serial4/0/0]nat outbound 2000[R3]acl 2000
[R3-acl-basic-2000]rule permit source 192.168.3.0 0.0.0.255
[R3]int Serial 4/0/0
[R3-Serial4/0/0]nat outbound 2000[R4]acl 2000
[R4-acl-basic-2000]rule permit source 192.168.4.0 0.0.0.255
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]nat outbound 2000

10、所有PC设置私有IP为源IP，可以访问R5环回。

11、测试全网通