MGRE
使用模拟器:GNS3
要求:
(1)R5为ISP
(2)R1/R2/R3之间建立MGRE环境
(3)R4与R1/R2/R3的tunnel之间建立EIGRP环境(公网所在R5与其他路由器只连接口不能在ERGRP环境内)
(4)为了保障安全性,R1和R5之间运用CHAP认证,R5为主认证方
(5)R4可以正常访问R5的环回地址
一:路由器基本配置:
1 Router>enable
2 Router#config
3 Router(config)#no ip domain-lookup (关闭域名解析)
4 Router(config)#line console 0
5 Router(config-line)#logg synchronous (开启日至同步)
6 Router(config-line)#exec-timeout 0 0 (永不超时)
7 Router(config)#hostname xxxx (给路由器改名)
二:地址划分(合理即可)
R4的loopback 1的地址为 :172.16,1.024
R5的loopback 1的地址为 :5.5.5.5/24
R2的loopback 1的地址为 :2.2.2.2/24
R3的loopback 1的地址为 :3.3.3.3/24
R4的s1/0接口的的地址为 :192.168.1.1/24
R1的s1/0接口的的地址为 :192.168.1.2/24
R1的s1/1接口的的地址为 :15.1.1.1/24
R5的s1/0接口的的地址为 :15.1.1.2/24
R5的s1/1接口的的地址为 :25.1.1.2/24
R5的s1/2接口的的地址为 :35.1.1.2/24
R2的s1/0接口的的地址为 :25.1.1.1/24
R3的s1/0接口的的地址为 :35.1.1.1/24
三:进行ISP环境配置:
1、R1(config)#ip router 0.0.0.0 0.0.0.0 15.1.1.2
2、R2(config)#ip router 0.0.0.0 0.0.0.0 25.1.1.2
3、R3(config)#ip router 0.0.0.0 0.0.0.0 35.1.1.2
配置完成后用R1/R2/R3访问R5的loopback 1 来验证ISP环境
四:R1/R2/R3上进行配置MGRE环境: (隧道必须建立在公网环境通的情况下)
中心站点的配置:
R1(config)#int tunnel 0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#tunnel source 15.1.1.1
R1(config-if)# tunnel mode gre multipoint
R1(config-if)#ip nhrp map multicast dynamic 让他成为NHRP的服务器
R1(config-if)#ip nhrp network-id 100 所有的站点必须处于同一个ID内
multicast 让本设备在目标地址为组播或广播时,将流量基于表中所有的目标单独发送一次;
分支站点的配置:
R2(config-if)#interface tunnel 0
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#tunnel source s1/0
R2(config-if)#tunnel mode gre multipoint
R2(config-if)#ip nhrp nhs 10.1.1.1 定义NHRP的server,此处必须为tunnel口地址(相当于数据报道的地方)
R2(config-if)#ip nhrp map 10.1.1.1 15.1.1.1 映射tunnel的公网地址
R2(config-if)#ip nhrp network 100 (ID必须一样)
R3:(R3同R2配置一样,虚地址不一样)
NBMA:多路访问,在同一个网段内节点数量不做限制,但是当目标ip地址为组播或广播地址时,流量必须逐一发送到每个节点;
若希望分支节点可以以组播或广播地址为目标ip,那么需要定义流量的具体目标
R2(config-if)#ip nhrp map multicast 15.1.1.1 (开启伪广播,MGRE不能进行广播,由于EIGRP是组播更新,所以要开启伪广播)
五:R4与R1/R2/R3之间的tunnel建立EIGRP:
R4配置:
R4(config)#router eigrp 90
R4(config-router)#no auto-summary
R4(config-router)#network 172.16.1.0
R4(config-router)#network 192.168.1.0
R4(config-router)#exit
R1配置:
R1(config)#router eigrp 90
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.0.0.0
R1(config-router)#exit
R2配置:
R2(config)#router eigrp 90
R2(config-router)#no auto-summary
R2(config-router)#network 2.2.2.0
R2(config-router)#network 10.0.0.0
R2(config-router)#exit
R3配置:
R3(config)#router eigrp 90
R3(config-router)#no auto-summary
R3(config-router)#network 3.3.3.0
R3(config-router)#network 10.0.0.0
R3(config-router)#exit
六:因为R5为ISP,内网上网需要通过NAT技术,R1上做NAT指向ISP
R1给R4下发缺省:
R1(config)#int s1/1
R1(config-if)#ip summary-address eigrp 90 0.0.0.0 0.0.0.0
配置NAT:
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 1 permit 172.16.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 int s1/1 overload
R1(config)#int s1/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#int s1/0
R1(config-if)#ip nat inside
R1(config-if)#exit
七:为了链路的安全,在R1R-R5的链路上使用ppp封装,并且开启CHAP认证:
修改接口封装:
R1(config)#interface s1/1
R1(config-if)#encapsulation ppp
R5(config)#interface s1/1
R5(config-if)#encapsulation ppp
注:有两种认证方式:
1、基于主机名:
主认证方:
R5(config)#int s1/1
R5(config-if)#encapsulation ppp
R5(config-if)#ppp chap authentication chap
R5(config-if)#ppp chap passwd 123
R5(config-if)#exit
被认证方:
R1(config)#int s1/1
R1(config)#encapsulate ppp
R1(config)#ppp chap hostname R1
R1(config)#ppp chap passwd 123
R1(config)#exit
2、不基于主机名:
主认证方:
R5(config)#int s1/1
R5(config-if)#ppp authentication chap
R5(config-if)#username CCNA passwd 123(CCNA为主机名,123为密码)
被认证方:
R1(config)#interface s1/1
R5(config-if)#ppp chap passwd 123
R5(config-if)#ppp chap hostname CCNA