网路类型分为:MA和点到点
MA又分为BMA(广播型多路访问,如以太网)和NBMA(非广播型多路访问)
GRE--通用路由封装(点到点 VPN)
MGRE是多点的GRE,属于NBMA网络类型;若多个网段都要通过VPN互联则会导致网段数量和路由条目呈现指数级上升;并且要固定ip地址就要企业级的路由器,费用高。故使用MGRE,仅一个MA网段即可,且可以只存在一个中心站点,即一个固定的ip地址,其他分支站点可以用动态的ip地址。这样一来可以节省成本,便于管理。
下图是实验的步骤:
![](https://img-blog.csdnimg.cn/img_convert/dd77a870192440afc88c2283d6bd714f.jpeg)
因为公网IP任意,所以直接可以将ip配置
ip配置完成以后,可以直接用缺省将中间的公网连通
然后建立tunnel接口,在r1,r2,r3之间建立vpn互联
![](https://img-blog.csdnimg.cn/img_convert/c3a8b071488f55c7c46f5e1713f9cb56.png)
![](https://img-blog.csdnimg.cn/img_convert/d8ca3d0de72675dd71955bd8fc501147.png)
![](https://img-blog.csdnimg.cn/img_convert/31f34440ba0466ac6b4e9ddbde8a8aa3.png)
r4和r3只要ping一下互相的tunnel口就可以在nhrp邻居表里面看到所有的三个邻居了,上图没有显示,因为没有ping通。
配置路由协议
[Huawei]rip 1
[Huawei-rip-1]version 2
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 192.168.4.0
上面这个代码块是r1的rip配置,其他的就不列举了。
值得一提的是因为rip里面的水平分割所以r2的环回网段和r3的环回网段不能ping通
5.认证
[Huawei-Serial2/0/0]link-protocol hdlc
上面是hdlc认证,两边都要配置
[Huawei]aaa
[Huawei-aaa]local-user li privilege level 15 password cipher 123456
Info: Add a new user.
[Huawei-aaa]local-user li service-type ppp
[Huawei-aaa]in s1/0/1
[Huawei-Serial1/0/1]ppp authentication-mode pap
上面是pap认证的主认证方
[Huawei-Serial2/0/0]ppp pap local-user li password cipher 123456
上面是pap认证的被认证方
[Huawei]aaa
[Huawei-aaa]local-user dong privilege level 15 password cipher 123789
Info: Add a new user.
[Huawei-aaa]local-user dong service-type ppp
[Huawei-aaa]in s2/0/0
[Huawei-Serial2/0/0]ppp authentication-mode chap
上面是chap认证的主认证方
[Huawei]in s2/0/0
[Huawei-Serial2/0/0]ppp chap user dong
[Huawei-Serial2/0/0]ppp chap password cipher 123789
上面是chap认证的被认证方
切记:身份认证必须在两个人建立连接之前认证,否则不会认证。