MGRE实验:
一、拓扑图如下:
要求:
1、R5为ISP只能配置IP地址
2、R1--R3间建立MGRE环境,且使用EIGRP来学习各自环回
3、R4可以正常访问R5的环回
4、R1与R5进行chap认证,R5为主认证方(不基于主机名)
接口信息如图所示:
R5只进行地址配置:
环回地址为5.5.5.5/24
s1/1接口为15.1.1.2/24
s1/2接口为52.1.1.1/24
s1/3接口为53.1.1.1/24
R1 s1/0接口为41.1.1.2/24
S1/1接口为15.1.1.1/24
环回地址为1.1.1.1/24
R2 s1/2接口为52.1.1.2/24
环回地址为2.2.2.2/24
R3 s1/3接口为53.1.1.2/24
环回地址为3.3.3.3/24
(R1,R2,R3的环回地址用来模拟内网)
二、建立公网环境
R1,R2,R3分别写缺省指向R5(ISP)
三、R1,R2,R3建立隧道(隧道必须建立在公网环境通的情况下)
具体命令如下
R1,中心站点
R1(config)#int tunnel 0 //进入隧道接口
R1(config-if)#ip add 100.1.1.1 255.255.255.0 //配置隧道口地址
R1(config-if)#tunnel source 15.1.1.1 //指明隧道源
R1(config-if)# tunnel mode gre multipoint //定义隧道模式为多点模式
R1(config-if)#ip nhrp map multicast dynamic //定义R1nhcp为服务器
R1(config-if)#ip nhrp network-id 100 //指定ID,所有的隧道站点必须在同一ID
分支站点,R2:
R2(config-if)#interface tunnel 0
R2(config-if)#ip address 100.1.1.2 255.255.255.0
R2(config-if)#tunnel source s1/2
R2(config-if)#tunnel mode gre multipoint
R2(config-if)#ip nhrp nhs 100.1.1.1 //定义NHRP的server,此处必须为tunnel口地址(相当于数据报道的地方)
R2(config-if)#ip nhrp map 100.1.1.1 52.1.1.2 映射tunnel的公网地址
R2(config-if)#ip nhrp network 100 (ID必须一样)
R2(config-if)#ip nhrp map multicast 15.1.1.1 (开启伪广播,MGRE不能进行广播,由于EIGRP是组播更新,所以要开启伪广播)
R3:
R3(config-if)#interface tunnel 0
R3(config-if)#ip address 100.1.1.3 255.255.255.0
R3(config-if)#tunnel source s1/3
R3(config-if)#tunnel mode gre multipoint
R3(config-if)#ip nhrp nhs 100.1.1.1
R3(config-if)#ip nhrp map 100.1.1.1 53.1.1.2 映射tunnel的公网地址
R3(config-if)#ip nhrp network 100 (ID必须一样)
R3(config-if)#ip nhrp map multicast 15.1.1.1
测试隧道
四、写NAT
R1(config)#access-list 1 permit 41.1.1.0 0.0.0.255
R1(config)#access-list 1 permit 4.4.4.0 0.0.0.255
R1(config)#ip nat inside source list 1 int s1/1 overload
R1(config)#int s1/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#int s1/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 41.1.1.2
五、R4与R1/R2/R3之间的tunnel建立EIGRP:
R4:
R4(config)#router eigrp 90
R4(config-router)#no auto-summary
R4(config-router)#network 4.4.4.0
R4(config-router)#network 41.1.1.0
R1:
R1(config)#router eigrp 90
R1(config-router)#no auto-summary
R1(config-router)#network 41.1.1.0
R1(config-router)#network 100.0.0.0
R2:
R2(config)#router eigrp 90
R2(config-router)#no auto-summary
R2(config-router)#network 2.2.2.0
R2(config-router)#network 100.0.0.0
R3:
R3(config)#router eigrp 90
R3(config-router)#net 3.3.3.0
R3(config-router)#net 100.0.0.0
六、为了链路的安全,在R1R-R5的链路上使用ppp封装,并且开启CHAP认证:
修改接口封装:
R1(config)#interface s1/1
R1(config-if)#encapsulation ppp
R5(config)#interface s1/1
R5(config-if)#encapsulation ppp
注:有两种认证方式:
1、基于主机名:
主认证方:
R5(config)#int s1/1
R5(config-if)#encapsulation ppp
R5(config-if)#ppp chap authentication chap
R5(config-if)#ppp chap passwd 123
R5(config-if)#exit
被认证方:
R1(config)#int s1/1
R1(config)#encapsulate ppp
R1(config)#ppp chap hostname R1
R1(config)#ppp chap passwd 123
R1(config)#exit
2、不基于主机名:
主认证方:
R5(config)#int s1/1
R5(config-if)#ppp authentication chap
R5(config-if)#username CCNA passwd 123(CCNP为主机名,123为密码)
被认证方:
R1(config)#interface s1/1
R5(config-if)#ppp chap passwd 123
R5(config-if)#ppp chap hostname CCNP