HCIP—MGRE综合实验
首先,按照题目要求绘制拓扑图,如下图所示:
首先还是进行IP的配置,这里不需要严格的子网划分,因此直接使用方便记忆的网段,如R4和R5之间使用45.0.0.0/24,而R1和后面的PC1使用192.168.1.0/24,R2后面私网网段使用192.168.2.0/24以此类推。
特别的,在本题中R1/R2/R3所采用的MGRE环境也需要一个网段,就使用192.168.5.0/24
同理,R1和R4之间的GRE环境,分配192.168.6.0/24
以此为思路进行IP的配置,MGRE和GRE的配置之后再做,例:
[r1]int Serial 4/0/0
[r1-Serial4/0/0]ip add 15.0.0.1 24
然后配置GRE和MGRE的前提是R5所属的公网部分要能通才可以,因此我们首先要把公网做通
首先在R1-R4上,使用一条缺省路由指向公网,例如R1上:
[r1]ip route-static 0.0.0.0 0 15.0.0.2
这样公网内部就能通了,我们可以进行测试,如R1去ping 35.0.0.1:
但是此刻的公网并不算按照题目要求做通,因此我们来做第二点要求
首先R1和R5间使用PPP的PAP认证,华为设备默认使用PPP封装因此不需要进行额外更改,我们直接做PAP认证即可
在R5上创建一个aaa用户并指定为用于ppp认证的用户,然后在与R1相连的端口上开启认证:
[r5-aaa]local-user admin password cipher 123456
[r5-aaa]local-user admin service-type ppp
[r5-Serial3/0/0]ppp authentication-mode pap
然后在R1上找R5认证:
[r1-Serial4/0/0]ppp pap local-user admin password cipher 123456
此时R1和R5的PAP认证就已经完成,如果要进行测试,将接口shutdown之后重新启动看能否连通即可。
然后R2和R5之间使用PPP的CHAP认证,与上面的PAP认证同理:
[r5-aaa]local-user inui password cipher toko
[r5-aaa]local-user inui service-type ppp
[r5-Serial3/0/1]ppp authentication-mode chap
[r2-Serial4/0/0]ppp chap user inui
[r2-Serial4/0/0]ppp chap password cipher toko
同理,要进行测试也要重启接口。
然后是R3和R5之间采用HDLC封装,这就需要我们修改封装类型,把接口的封装类型修改为HDLC:
[r3-Serial4/0/0]link-protocol hdlc
[r5-Serial4/0/0]link-protocol hdlc
这样第二条需求的三个需求就都完成了
然后我们就可以开始搭建MGRE和GRE环境了
我们首先搭建MGRE环境
R1为中心站点,在R1上创建隧道接口,该接口和正常接口一样需要配置IP地址,然后定义封装类型为MGRE,并指定其出接口IP,然后在R1上开启nhrp:
[r1]interface Tunnel 0/0/0
[r1-Tunnel0/0/0]ip address 192.168.5.1 24
[r1-Tunnel0/0/0]tunnel-protocol gre p2mp
[r1-Tunnel0/0/0]source 15.0.0.1
[r1-Tunnel0/0/0]nhrp network-id 100
然后在R2上也创建隧道接口,由于R2的出接口IP是可以变的,所以直接写接口不写IP,然后加入R1创建的nhrp域,通过nhrp向中心汇报信息:
[r2]int Tunnel 0/0/0
[r2-Tunnel0/0/0]ip add 192.168.5.2 24
[r2-Tunnel0/0/0]tunnel-protocol gre p2mp
[r2-Tunnel0/0/0]source Serial 4/0/0
[r2-Tunnel0/0/0]nhrp network-id 100
[r2-Tunnel0/0/0]nhrp entry 192.168.5.1 15.0.0.1 register
R3与R2配置相同
这时我们去中心上查看nhrp:
可以看到R2和R3已经找R1注册成功,这样R1/R2/R3之间的MGRE环境就搭建完成
然后来搭建R1和R4间的GRE环境
在R1上开启一个新的tunnel接口并指定封装类型为GRE,源为出接口IP地址,目标为R4的入接口IP地址:
[r1]int Tunnel 0/0/1
[r1-Tunnel0/0/1]ip address 192.168.6.1 24
[r1-Tunnel0/0/1]tunnel-protocol gre
[r1-Tunnel0/0/1]source 15.0.0.1
[r1-Tunnel0/0/1]destination 45.0.0.1
R4与R1配置相似,只是源IP和目标IP要调换一下
配置完成后R1与R4间的GRE就搭建完成了。
因为整个私有网络要基于RIP全网可达,所以我们需要在中心站点也就是R1上开启伪广播
[r1-Tunnel0/0/0]nhrp entry multicast dynamic
然后在R1上开启RIP并宣告所有直连网段(虚拟的网段也要进行宣告):
[r1]rip
[r1-rip-1]version 2
[r1-rip-1]network 192.168.1.0
[r1-rip-1]network 192.168.5.0
[r1-rip-1]network 192.168.6.0
同理,R2/R3/R4上也开启RIP并且宣告所有直连的私网网段
然后我们去R1上查看路由表里通过RIP获取的路由信息:
可以看到R1已经获取到了R2/R3/R4后面私有网段的路由信息
但如果查看R2和R3的路由表,会发现里面缺少一些路由,这是由于RIP的水平分割机制导致的
所以我们要进入搭建了MGRE环境的接口,把水平分割关掉:
[r1-Tunnel0/0/0]undo rip split-horizon
这时我们再去R2上,可以看到路由信息是全的:
至此,前四个要求都已经完成
我们给PC配置IP并且ping R5的环回进行测试,会发现并不能ping通,我们需要在R1-R4设备上再做nat地址转换,例如在R1上:
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r1-Serial4/0/0]nat outbound 2000
在R2-R4上也进行同样的操作,就可以完成第五个要求。