封装技术:
GRE
MGRE
VPN---------虚拟专用网--------隧道技术----------封装技术
GRE--------通用路由封装
希望的走法
SIP | DIP |
---|---|
192.168.1.1 | 192.168.2.1 |
真实物理链路的传递4、
SIP | DIP |
---|---|
12.0.0.1 | 23.0.0.2 |
GRE封装
SIP | DIP | 封装 | SIP | DIP | 数据 |
---|---|---|---|---|---|
12.0.0.1. | 23.0.0.2 | GRE | 192.168.1.1 | 192.168.2.1 | 数据 |
在GRE通讯前,必须保证公网的连通性
GRE配置:
1、创建隧道接口----------interface Tunnel 0/0/—
2、配置隧道接口的IP地址---------ip address X.X.X.X 掩码
3、选择隧道封装方式--------tunnel-protocol gre
4、定义封装内容----------source X.X.X.X | destination X.X.X.X
注意:要在两个设备上都配置
要配置通过隧道接口去往目标网段的下一跳
GRE技术的局限性----------由GRE构建的隧道实际上是一个点到点的隧道,如果是多个私网需要进行访问就需要配置大量的隧道接口
NHRP协议------下一跳解析协议
C/S架构模式
NHRS--------下一跳解析服务器:他的公网接口地址不允许改变
首先,需要在私网中确定一个设备作为NHS,规定NHS的公网地址一般不允许改变,并且其他分支设备需要知道中心的地址信息,之后分支会将自身隧道接口的IP地址和对应的公网IP地址的对应关系发送给中心,中心收到信息后会记录一张表,之后转发数据查看这张表中记录的消息进行转发,其他分支之间想要通讯,先向中心去请求这张表
MGRE配置
中心配置
1、创建隧道接口----------interface Tunnel 0/0/—
2、配置隧道接口的IP地址---------ip address X.X.X.X 掩码
3、选择隧道封装方式--------tunnel-protocol GRE p2mp
4、定义封装内容----------source X.X.X.X | nhrp network-id 数字
分支配置
1、创建隧道接口----------interface Tunnel 0/0/—
2、配置隧道接口的IP地址---------ip address X.X.X.X 掩码
3、选择隧道封装方式--------tunnel-protocol GRE p2mp
4、定义封装内容---------source —— | nhrp network-id 数字 | nhrp entry 中心的隧道接口IP 中心所在的公网地址 register
注意:network-id 需要相同
MGRE环境构建的网络本质是点到点的隧道
RIP配置MGRE网络出现的问题:
1、运行RIP协议后,只有中心获取到了所有分支的路由信息,但是分支没有获取到路由
nhrp entry multicas dynamic----------需要中心开启伪广播
2、当RIP环境中中心开启伪广播后,分支只获取中心的路由信息,没有分支的路由
去到中心隧道接口中关闭水平分割机制
undo rip split-horizon
实验
首先,配置IP地址:
根据如图,配置ip(先不配置MGRE和GRE接口的IP)
第二,配置ppp二层网络类型(注意:华为默认使用ppp协议)
R1和R5之间使用pap认证:
在R5上,进入aaa,创建一个用户,这个用户服务类型是ppp,进入接口,认证是pap认证
aaa
local-user 名字 password cipher 密码
local-user 名字 service-type ppp
进入对应接口 ppp authentication-mode pap
进入R1,让R1也使用创建的用户做认证
ppp pap local-user 名字 password cipher 密码
注意:配置完之后,要让配置的接口 shutdown,然后undo shutdown进行一个重启
R2和R5之间使用chap认证:
可以使用刚刚在R5身上创建的一个用户,也可以重新创建一个用户来认证,如果使用之前的用户,则直接进入对应接口进行配置认证即可
local-user 名字 password cipher 123456
local-user 名字 service-type ppp
进入对应接口 ppp authentication-mode chap
R2上,进行chap认证
ppp chap password cipher 密码
ppp chap user 用户名
注意,重启接口
R3和R5使用hdlc认证
只需要修改R3和R5使用的链路协议
进入接口 link-protocol hdlc
首先构建GRE网络
要先让公网环境能够互通,因此,要在每个路由器上添加一个缺省,且下一跳都是指向R5,先采用GRE封装路由协议,首先在R1和R4之间创建一个点到点的隧道接口,在配置封装方式,定义封装内容
1、创建隧道接口----------interface Tunnel 0/0/—
2、配置隧道接口的IP地址---------ip address X.X.X.X 掩码
3、选择隧道封装方式--------tunnel-protocol gre
4、定义封装内容----------source X.X.X.X
destination X.X.X.X
注意:在两个设备上都要配置,同时要添加隧道路由
配置MGRE
MGRE的配置,需要区分中心和分支,中心配置
1、创建隧道接口----------interface Tunnel 0/0/—
2、配置隧道接口的IP地址---------ip address X.X.X.X 掩码
3、选择隧道封装方式--------tunnel-protocol GRE p2mp
4、定义封装内容----------source X.X.X.X
nhrp network-id 数字
分支配置
1、创建隧道接口----------interface Tunnel 0/0/—
2、配置隧道接口的IP地址---------ip address X.X.X.X 掩码
3、选择隧道封装方式--------tunnel-protocol GRE p2mp
4、定义封装内容---------source ip地址
nhrp network-id 数字
nhrp entry 中心的隧道接口IP 中心所在的公网地址 register
注意:network id要相同
rip配置,要注意,rip是通过组播的方式进行IP信息的传递,但是MGRE本质是一种点到点网络,采用的是单播方式,因此,必须在接口开启 伪广播
去到中心路由开启---------nhrp entry multicas dynamic
当RIP环境中中心开启伪广播后,分支只获取中心的路由信息,没有分支的路由
去到中心隧道接口中关闭水平分割机制-----undo rip split-horizon
pc设备访问R5
配置,Pc的ip,注意要配置网关,因为Pc处于私网,R5在公网,因此,要使用nat将pc的ip映射出去,在公网和私网的边界设备配置
acl 2000
rule permit source 网络ip 反掩码
进入边界设备的接口
nat outbound 2000
所有ip都是如此