网络类型之GRE和MGRE和NHRP

GRE-通用路由封装

是一种简单的三层VPN封装技术，属于虚拟的点到点网络类型

优点：支持IP 网络作为承载网络、支持多种协议、支持IP 组播，配置简单，容易布署。

缺点：缺少保护功能，不能执行如认证、加密、以及数据完整性检查这些任务。

VPN---虚拟专用网络两个网络穿越中间网络直接通讯

GRE报文格式

乘客协议：报文封装之前所属的协议称为乘客协议

封装协议： 用来封装乘客协议的协议称为封装协议，这里的GRE便是一个封装协议

传输协议：负责对封装后的报文进行转发的协议称为传输协议 不同于传输层协议

GRE封装和解封装过程

• 设备从私网接口收到数据包后，先检查报文头部的ip地址，查找路由表，如果是隧道接口，则将该报文转发给隧道模块处理
• 隧道模块根据乘客协议和当前GRE隧道配置，对报文进行GRE封装
• 隧道模块给报文添加新的传输协议，该协议的源为隧道源，目为隧道目
• 最后，设备根据新的ip头部查表进行转发
• 接收端收到报文后，先分析最外层的ip头部，如果协议字段类型值为47（GRE协议号），会将该数据部分交给GRE模块处理，GRE模块去除最外层的ip头部，根据GRE报文头部的乘客协议内容，交给对应模块处理

实验：

配置接口ip（这里省略）

配置默认路由

[r1]ip route-static 0.0.0.0 0 12.1.1.2

[r3]ip route-static 0.0.0.0 0 23.1.1.1

测试公网之间的通信

私网之间不能ping通，因为运营商R2路由表没有私网

在R1和R3之间做隧道接口

配置GRE后，还要在本地路由补充去私网的路由

测试私网连通性，并抓包

MGRE---多点GRE属于NBMA网路类型

NBMA网络，仅有伪广播

Hub-spoke架构--中心到节点架构

NHRP---下一跳解析协议

在所有的tunnel接口上运行NHRP，并且手动配置NHRP-Sever

spoke分支点通信：分支点向NHRP-Sever进行查询，NHRP-Sever给出应答，分支通过NHRP-Sever给的tunnel地址和物理地址通信，所有的设备最终都要学习到达MGRE网络中所有的用户的tunnel地址和物理地址的映射关系

MGRE实验：

实验背景：A公司扩建到拥有两个子公司，要搭三个VPN，若是n个公式，则要搭建[n（n-1）]/2个VPN，不符合实际情况-----引出点对多点（实质也是点对点）

配置接口ip和配缺省（此处省略）

Hub中心节点配置和spoke节点配置

Hub中心节点：R1

spoke节点配置：R3，R4

注意：source后面必须写接口

[r1]display nhrp peer all----查看nhrp映射表

在本地补充路由

[r1]ip route-static 192.168.3.0 24 10.1.1.2
[r1]ip route-static 192.168.3.0 24 10.1.1.3

[r3]ip route-static 192.168.1.0 24 10.1.1.1
[r3]ip route-static 192.168.3.0 24 10.1.1.3

[r4]ip route-static 192.168.1.0 24 10.1.1.1
[r4]ip route-static 192.168.2.0 24 10.1.1.2

测试tunnel连通性

MGRE环境下的RIP网络搭建

基于上一个实验相同，但是不在本地配静态

[r1-rip-100]ver 2
[r1-rip-100]net 192.168.1.0
[r1-rip-100]net 10.0.0.0

[r3-rip-100]ver 2
[r3-rip-100]net 192.168.2.0
[r3-rip-100]net 10.0.0.0

[r4-rip-100]ver 2
[r4-rip-100]net 192.168.3.0
[r4-rip-100]net 10.0.0.0

MGRE环境下是点到点通讯，不支持组播（广播），R1无法通过发广播让分支学习路由，所有要开启伪广播

[r1-Tunnel0/0/0]nhrp entry multicast dynamic 

学习成功！再查看分支的路由表

只学习到R1的路由，原因：水平分割-->从tunnel口学到路由不能从该口转发

关闭水平分割

[r1-Tunnel0/0/0]undo rip split-horizon 

再次查看分支路由表

学习成功！

测试连通性

综合实验

实验要求：

1.R5为ISP，只能进行IP地址配置;其所有地址均配为公有IP地址。

2.R1和R5间使用PPP的PAP认证，R5为主认证方；

R2于R5之间使用ppp的chap认证，R5为主认证方；

R3于R5之间使用HDLC封装。

3.R1/R2/R3构建一个MGRE环境，R1为中心站点，R1、R4间为点到点的GRE。

4.整个私有网络基于RIP全网可达。

5.所有Pc设置私有IP为源IP，可以访问R5环回。
 

配置接口ip和pc（此处省略）

配置缺省

[r1]ip route-static 0.0.0.0 0 12.1.1.2

[r2]ip route-static 0.0.0.0 0 24.1.1.2

[r3]ip route-static 0.0.0.0 0 23.1.1.2

[r4]ip route-static 0.0.0.0 0 14.1.1.2

测试公网之间连通性

R1和R5间使用PPP的PAP认证，R5为主认证方

[r5-Serial4/0/0]ppp authentication-mode pap 

[r5-Serial4/0/0]aaa

[r5-aaa]local-user hcie password cipher huawei

[r5-aaa]local-user hcie service-type ppp 

[r1-Serial4/0/0]ppp pap local-user hcie password cipher huawei

R2于R5之间使用ppp的chap认证，R5为主认证方

[r5-aaa]int s4/0/1
[r5-Serial4/0/1]ppp authentication-mode chap
[r5-Serial4/0/1]ppp chap user hcia
[r5-Serial4/0/1]aaa
[r5-aaa]local-user hcia password cipher huawei
Info: Add a new user.
[r5-aaa]local-user hcia service-type ppp

[r2]int s4/0/0
[r2-Serial4/0/0]ppp chap user hcia
[r2-Serial4/0/0]aaa
[r2-aaa]local-user hcia password cipher huawei
Info: Add a new user. 
[r2-aaa]local-user hcia service-type ppp

R3于R5之间使用HDLC封装

[r3-Serial4/0/0]link-protocol hdlc 
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]
:y

[r5-Serial3/0/0]link-protocol hdlc 
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]
:y

R1、R4间为点到点的GRE

R1/R2/R3构建一个MGRE环境，R1为中心站点

整个私有网络基于RIP全网可达

[r1-rip-100]dis this
[V200R003C00]
#
rip 100
 version 2
 network 192.168.1.0
 network 10.0.0.0
 network 11.0.0.0
#
return

[r2-rip-100]dis this
[V200R003C00]
#
rip 100
 version 2
 network 192.168.4.0
 network 11.0.0.0
#
return

[r3-rip-100]dis this
[V200R003C00]
#
rip 100
 version 2
 network 192.168.3.0
 network 11.0.0.0
#
return
 

[r4-rip-100]dis this
[V200R003C00]
#
rip 100
 version 2
 network 192.168.2.0
 network 10.0.0.0
#
return
 

测试连通性

所有Pc设置私有IP为源IP，可以访问R5环回

[r3-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  
 rule 5 permit source 192.168.3.0 0.0.0.255 
#
return

[r3-Serial4/0/0]nat outbound 2000

其余相同做法

测试连通性