實驗拓撲

實驗需求

1、R5為ISP，只能進行IP地址配置，其所有地址均配為公有IP地址；

2、R1和R5間使用PPP的PAP認證，R5為主認證方；

? ? ?R2與R5之間使用ppp的CHAP認證，R5為主認證方；

? ? ?R3與R5之間使用HDLC封裝；

3、R1、R2、R3構建一個MGRE環境，R1為中心站點，R1、R4間為點到點的GRE；

4、整個私有網絡基本RIP全網可達；

5、所有PC設置私有IP為源IP，可以訪問R5環回,達到全網通。

實驗思路

1、按照拓撲劃分的網段配置路由接口IP地址,以及主機的IP地址（主機IP地址自行配置）。

2、完成R1和R5之間的PAP認證，R5為主認證方。

3、完成R2與R5之間的chap認證，R5為主認證方

4、完成R3與R5之間為HDLC封裝。

5、在出口設備配置缺省路由,保證公網通

6、完成R1與R4為點到點GRE

7、完成R1/2/3構建MGRE，R1為中心站點

8、配置RIP.，實現宣告直連網段

9、私用網段配置NAT。

10、所有PC設置私有IP為源IP，可以訪問R5環回。

實驗步驟

1、按照拓撲劃分的網段配置路由接口IP地址,以及主機的IP地址（主機IP地址自行配置）。

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1]int Serial 4/0/0
[R1-Serial4/0/0]ip add 15.1.1.1 24[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[R2]int Serial 4/0/0
[R2-Serial4/0/0]ip add 25.1.1.2 24
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.3.254 24
[R3]int Serial 4/0/0
[R3-Serial4/0/0]ip add 35.1.1.3 24[R4]int g0/0/1
[R4-GigabitEthernet0/0/1]ip add 192.168.4.254 24
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ip add 45.1.1.4 24[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 45.1.1.5 24
[ISP]int Serial 4/0/1
[ISP-Serial4/0/1]ip add 15.1.1.5 24
[ISP-Serial4/0/1]int Serial 3/0/1
[ISP-Serial3/0/1]ip add 25.1.1.5 24
[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]ip add 35.1.1.5 24
[ISP]int l0
[ISP-LoopBack0]ip add 5.5.5.5 24

2、完成R1和R5之間的PAP認證，R5為主認證方。

所以需要在 R5上創建用于驗證的用戶，且pap認證方式會明文傳遞用戶名和密碼。

主認證方：

[ISP]aaa
[ISP-aaa]local-user zhangdaye privilege level 15 password cipher wdy12345
[ISP-aaa]local-user zhangdaye service-type ppp
[ISP]int Serial 4/0/1 ??連接被認證方的端口
[ISP-Serial4/0/1]ppp authentication-mode pap

被認證方

[R1]int Serial 4/0/0 ????
[R1-Serial4/0/0]ppp pap local-user zhangdaye password cipher zdy12345

測試：關閉在開啟 R1 和 R5 的 PPP 鏈路，檢查驗證是否能夠通過。

3、完成R2與R5之間的chap認證，R5為主認證方

所以需要在R5上創建用于驗證的用戶，且chap認證方式會密文傳遞用戶名和密碼。

主認證方：

[ISP]aaa
[ISP-aaa]local-user wangdaye privilege level 15 password cipher wdy12345
[ISP-aaa]local-user wangdaye service-type ppp
[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]ppp authentication-mode chap

被認證方：

[R2]int Serial 4/0/0
[R2-Serial4/0/0]ppp chap user wangdaye
[R2-Serial4/0/0]ppp chap password cipher wdy12345

測試：關閉在開啟 R2 和 R5 的 PPP 鏈路，檢查驗證是否能夠通過。完成R3與R5之間為HDLC封裝。

?

4、完成R3與R5之間為HDLC封裝。

高級鏈路控制協議，這種封裝技術，可以理解為就是在二層實施了介子訪問控制工作

[R3]int Serial 4/0/0
[R3-Serial4/0/0]link-protocol hdlc ?//修改二層封裝
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]link-protocol hdlc
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y

5、在出口設備配置缺省路由,保證公網通

[R1]ip route-static 0.0.0.0 0 15.1.1.5
[R2]ip route-static 0.0.0.0 0 25.1.1.5
[R3]ip route-static 0.0.0.0 0 35.1.1.5
[R4]ip route-static 0.0.0.0 0 45.1.1.5

6、完成R1與R4為點到點GRE

分析：GRE，一種簡單的VPN技術，屬于點到點網絡類型，讓兩個網絡穿越中間網絡來直接通訊，邏輯的在兩個網絡間建立了一條新的點到點直連鏈路。

[R1]interface Tunnel0/0/0
[R1-Tunnel0/0/0]ip address 10.1.1.1 24 建立隧道接口IP地址
[R1-Tunnel0/0/0]tunnel-protocol gre
[R1-Tunnel0/0/0]source 15.1.1.1
[R1-Tunnel0/0/0]destination 45.1.1.4[R4]interface Tunnel 0/0/0
[R4-Tunnel0/0/0]ip add 10.1.1.2 24 ??建立隧道接口IP地址
[R4-Tunnel0/0/0]tunnel-protocol gre
[R4-Tunnel0/0/0]source 45.1.1.4
[R4-Tunnel0/0/0]destination 15.1.1.1

7、完成R1/2/3構建MGRE，R1為中心站點

分析：若將多個節點使用普通GRE連接起來，將配置大量的網段和路由信息，且所有節點為固定IP地址；而MGRE-多點GRE ，實現多個節點構建為一個網段；結構為中心到站點結構；站點可以基于NHRP實現ip地址不固定，主動到固定IP的中心站點注冊；中心成MAP映射—tunnel口IP與公有ip地址的對應；

若分支到分支，那么將在中心站點下載map來實現直接通訊。

配置思路：

1.將拓撲圖轉化為MGRE圖

2. 創建Tunnel接口并配置IP

3. 選擇MGRE點到多點的封裝類型

4. 中心站點的源IP寫固定的，分支站點寫出接口

5. 中心站點要開啟偽廣播，分支站點要向中心站點注冊

6. 設置NHRP的工作id

中心站點的配置

[R1]interface Tunnel 0/0/1 ????//創建隧道接口
[R1-Tunnel0/0/1]ip address 10.1.2.1 24 ???//隧道接口ip地址
[R1-Tunnel0/0/1]tunnel-protocol gre p2mp //定義該隧道為多點gre隧道
[R1-Tunnel0/0/1]source 15.1.1.1 ??//該隧道加封裝的報頭源IP
//地址通過NHRP協議來獲取加封裝的目標IP地址
[R1-Tunnel0/0/1]nhrp entry multicast dynamic //本地成為NHRP服務端，開啟偽廣播，為RIP做準備。
[R1-Tunnel0/0/1]nhrp network-id 100 ?//NHRP的工作編號，該網段所有設備必須在同一id

分支站點的配置：

[R2]interface Tunnel 0/0/1
[R2-Tunnel0/0/1]ip address 10.1.2.2 24
[R2-Tunnel0/0/1]tunnel-protocol gre p2mp
//加封裝的源IP地址，為本地的隧道實際通過接口的IP地址，填寫接口編號，而不是接口IP，原因在于該接口IP地址可變 ???
[R2-Tunnel0/0/1]source serial 4/0/0
//加封裝的目標ip地址，需要到NHRP中心站點獲取
[R2-Tunnel0/0/1]nhrp entry 10.1.2.1 15.1.1.1 register
[R2-Tunnel0/0/1]nhrp network-id 100[R3]interface Tunnel 0/0/1
[R3-Tunnel0/0/1]ip add 10.1.2.3 24
[R3-Tunnel0/0/1]tunnel-protocol gre p2mp
[R3-Tunnel0/0/1]source Serial 4/0/0
[R3-Tunnel0/0/1]nhrp network-id 100
[R3-Tunnel0/0/1]nhrp entry 10.1.2.1 15.1.1.1 register

測試：dis nhrp peer all 查看分支站點注冊結果

8、配置RIP.，實現宣告直連網段

分析：這里能不能也宣告公網地址呢？多宣告多知道些路由不是更好嗎？公網的地址不能被私網學到，宣告了也沒用

[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]undo summary
[R1-rip-1]network 192.168.1.0
[R1-rip-1]network 10.0.0.0[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.2.0
[R2-rip-1]network 10.0.0.0
[R2-rip-1]undo summary[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]undo summary
[R3-rip-1]network 192.168.3.0
[R3-rip-1]network 10.0.0.0[R4]rip 1
[R4-rip-1]version 2
[R4-rip-1]undo summary
[R4-rip-1]network 192.168.4.0
[R4-rip-1]network 10.0.0.0

配完后發現R2和R3的路由條目不全 原因是RIP的水平分割（從一個接口收到的路由，不從這個接口傳出去），故關閉中心接口的水平分割機制

[R1]int Tunnel 0/0/1
[R1-Tunnel0/0/1]undo rip split-horizon

查看RIP路由表學習情況

9、私用網段配置NAT。

[R1]acl 2000
[R1-acl-basic-2000]rule ?permit source 192.168.1.0 0.0.0.255
[R1]int Serial 4/0/0
[R1-Serial4/0/0]nat outbound 2000[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R2]int Serial 4/0/0
[R2-Serial4/0/0]nat outbound 2000[R3]acl 2000
[R3-acl-basic-2000]rule permit source 192.168.3.0 0.0.0.255
[R3]int Serial 4/0/0
[R3-Serial4/0/0]nat outbound 2000[R4]acl 2000
[R4-acl-basic-2000]rule permit source 192.168.4.0 0.0.0.255
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]nat outbound 2000

10、所有PC設置私有IP為源IP，可以訪問R5環回。

11、測試全網通