HCIP项目：GRE及MGRE应用综合实验项目

一、项目目的

本实验旨在通过构建 GRE 及 MGRE 综合网络环境，掌握 VPN 隧道技术在复杂网络中的应用。具体目标包括：熟练配置 GRE 点对点隧道与 MGRE 星型隧道，实现不同子网的私有网络互联；掌握 PPP 协议的 PAP、CHAP 认证及 HDLC 封装，保障链路层数据传输的安全性与兼容性；通过 RIP 路由协议实现私有网络全网可达，并验证私有 IP 通过隧道访问公网的可行性。通过实验深化对 VPN 技术、链路层协议及路由协议协同工作的理解，提升复杂网络环境的设计与部署能力。

二、项目背景

随着企业分支机构地理分散化，跨地域私有网络互联需求日益增长。GRE 与 MGRE 作为常用 VPN 技术，可在公网中构建加密隧道，实现私有数据安全传输。实际场景中，不同链路可能采用 PPP（含认证）或 HDLC 封装，且需通过动态路由协议保障全网可达。本实验模拟真实网络环境，以 R5 作为公网 ISP，R1-R4 为私有网络设备，通过配置不同隧道与链路协议，解决跨网通信、认证加密及私有 IP 访问公网等问题，为企业多分支网络设计提供技术验证。

三、项目拓扑

四、项目需求

1、R5为ISP，只能进行IP地址配置，其所有地址均配为公有IP地址；

2、R1和R5间使用PPP的PAP认证，R5为主认证方；

R2与R5之间使用ppp的CHAP认证，R5为主认证方

R3与R5之间使用HDLc封装；

3、R1、R2、R3构建一个MGRE环境，R1为中心站点，R1、R4间为点到点的GRE；

4、整个私有网络基本RIP全网可达；

5、所有PC设置私有IP为源IP，可以访问R5环回。

五、项目思路

1、依据划分的网段，为所有 PC 及路由器接口配置 IP 地址；

2、为 R1 与 R5 配置 PPP 的 PAP 认证，以 R5 作为主认证方；

3、为 R2 与 R5 配置 PPP 的 CHAP 认证，以 R5 作为主认证方；

4、配置 R3 与 R5 之间采用 HDLC 封装；

5、在 R1 至 R5 上配置默认路由，实现公网互通；

6、在 R1 与 R4 之间建立点对点的 GRE 隧道；

7、将 R1、R2、R3 搭建为 MGRE 环境，以 R1 作为中心站点；

8、配置 RIP 协议以传递私网路由。

六、项目步骤

6.1 为所有PC机以及路由器接口配置IP地址

（1）PC机

自行手动添加

（2）路由器接口

R1:

$R1$ int g0/0/0

$R1-GigabitEthernet0/0/0$ ip add 192.168.1.254 24

$R1-GigabitEthernet0/0/0$ int s4/0/0

$R1-Serial4/0/0$ ip add 15.1.1.1 24
R2:

$R2$ int g0/0/0

$R2-GigabitEthernet0/0/0$ ip add 192.168.2.254 24

$R2-GigabitEthernet0/0/0$ int s4/0/0

$R2-Serial4/0/0$ ip add 25.1.1.1 24
R3:

$R3$ int g0/0/0

$R3-GigabitEthernet0/0/0$ ip add 192.168.3.254 24

$R3-GigabitEthernet0/0/0$ int s4/0/0

$R3-Serial4/0/0$ ip add 35.1.1.1 24
R4:

$R4$ int g0/0/1

$R4-GigabitEthernet0/0/1$ ip add 192.168.4.254 24

$R4-GigabitEthernet0/0/1$ int g0/0/0

$R4-GigabitEthernet0/0/0$ ip add 45.1.1.1 24
R5:

$R5$ int g0/0/0

$R5-GigabitEthernet0/0/0$ ip add 45.1.1.2 24

$R5-GigabitEthernet0/0/0$ int s4/0/1

$R5-Serial4/0/1$ ip add 15.1.1.2 24

$R5-Serial4/0/1$ int s3/0/1

$R5-Serial3/0/1$ ip add 25.1.1.2 24

$R5-Serial3/0/1$ int s4/0/0

$R5-Serial4/0/0$ ip add 35.1.1.2 24
R5环回口：

$R5$ int l0

$R5-LoopBack0$ ip add 5.5.5.1 24

6.2 R1和R5间使用PPP的PAP认证，R5为主认证方

R5:

$R5$ aaa

$R5-aaa$ local-user wangdaye password cipher 123321

Info: Add a new user.

$R5-aaa$ local-user wangdaye service-type ppp

$R5$ int s4/0/1

$R5-Serial4/0/1$ ppp authentication-mode PAP

$R5-Serial4/0/1$ link-protocol ppp
R1:

$R1$ int s4/0/0

$R1-Serial4/0/0$ ppp pap local-user wangdaye password cipher 123321

6.3 R2与R5之间使用ppp的CHAP认证，R5为主认证方

R2:

$R2$ int s4/0/0

$R2-Serial4/0/0$ ppp pap local-user 123 password cipher 123321

6.4 配置R3与R5之间使用HDLC封装

R3:

$R3$ int s4/0/0

$R3-Serial4/0/0$ link-protocol HDLC
R5:

$R5$ int s4/0/0

$R5-Serial4/0/0$ link-protocol HDLC

6.5 在R1~R5上配置默认路由使公网互通

R1:

$R1$ ip route-static 0.0.0.0 0 15.1.1.2

R2:

$R2$ ip route-static 0.0.0.0 0 25.1.1.2

R3:

$R3$ ip route-static 0.0.0.0 0 35.1.1.2

R5:

$R4$ ip route-static 0.0.0.0 0 45.1.1.2

6.6 建立R1、R4间点到点的GRE

（1）在R1上创建Tunnel口，模式为GRE，源地址和目的地址为本端公网地址和对端公网地址

$R1$ int tunnel0/0/0

$R1-Tunnel0/0/0$ tunnel-protocol gre

$R1-Tunnel0/0/0$ ip add 10.1.1.1 24

$R1-Tunnel0/0/0$ source 15.1.1.1

$R1-Tunnel0/0/0$ destination 45.1.1.1
（2）在R4上创建Tunnel口，模式为GRE，源地址和目的地址为本端公网地址和对端公网地址

$R4$ int tunnel0/0/0

$R4-Tunnel0/0/0$ tunnel-protocol gre

$R4-Tunnel0/0/0$ ip add 10.1.1.2 24

$R4-Tunnel0/0/0$ source 45.1.1.1

$R4-Tunnel0/0/0$ destination 15.1.1.1

6.7 将R1、R2、R3构建一个MGRE环境，R1为中心站点

（1）配置总部与分部之间的隧道-MGRE VPN

R1:

$R1$ int tunnel0/0/1

$R1-Tunnel0/0/1$ tunnel-protocol gre p2mp

$R1-Tunnel0/0/1$ ip add 10.1.2.1 24

$R1-Tunnel0/0/1$ source 15.1.1.1
R2:

$R2$ int tunnel0/0/1

$R2-Tunnel0/0/1$ tunnel-protocol gre p2mp

$R2-Tunnel0/0/1$ ip add 10.1.2.2 24

$R2-Tunnel0/0/1$ source 25.1.1.1
R3:

$R3$ int tunnel0/0/1

$R3-Tunnel0/0/1$ tunnel-protocol gre p2mp

$R3-Tunnel0/0/1$ ip add 10.1.2.3 24

$R3-Tunnel0/0/1$ source 35.1.1.1

(2)NHRP的配置

中心站点配置：

R1:

$R1$ int tunnel0/0/1

$R1-Tunnel0/0/1$ nhrp network-id 100

分支站点配置：

R2：

$R2$ int tunnel 0/0/1

$R2-Tunnel0/0/1$ nhrp network-id 100

$R2-Tunnel0/0/1$ nhrp entry 10.1.2.1 15.1.1.1 register

R3:

$R3$ int tunnel0/0/1

$R3-Tunnel0/0/1$ nhrp network-id 100

$R3-Tunnel0/0/1$ nhrp entry 10.1.2.1 15.1.1.1

6.8 配置rip来传递私网路由

R1:

$R1$ rip 1

$R1-rip-1$ undo summary

$R1-rip-1$ version 2

$R1-rip-1$ network 192.168.1.0

$R1-rip-1$ network 10.0.0.0

R2:

$R2$ rip 1

$R2-rip-1$ undo summary

$R2-rip-1$ version 2

$R2-rip-1$ network 192.168.2.0

$R2-rip-1$ network 10.0.0.0

R3:

$R3$ rip 1

$R3-rip-1$ undo summary

$R3-rip-1$ version 2

$R3-rip-1$ network 192.168.4.0

$R3-rip-1$ network 10.0.0.0

R4:

$R4$ rip 1

$R4-rip-1$ undo summary

$R4-rip-1$ version 2

$R4-rip-1$ network 192.168.4.0

$R4-rip-1$ network 10.0.0.0
在中心上开启伪广播：

$R1$ int tunnel0/0/1

$R1-Tunnel0/0/1$ nhrp entry multicast dynamic
关闭RIP的水平分割机制：

$R1-Tunnel0/0/1$ undo rip split-horizon

$R2-Tunnel0/0/1$ undo rip split-horizon

$R3-Tunnel0/0/1$ undo rip split-horizon

七、项目结果

八、项目总结

本实验成功构建了 GRE 及 MGRE 综合网络：R5 作为 ISP 配置公网 IP，R1 与 R5 通过 PAP 认证、R2 与 R5 通过 CHAP 认证，R3 与 R5 采用 HDLC 封装，实现链路层安全与兼容；R1-R3 搭建 MGRE 星型环境，R1 与 R4 建立点对点 GRE 隧道，结合 RIP 协议实现私有网络全网可达；所有 PC 以私有 IP 为源，通过隧道成功访问 R5 环回。实验验证了 GRE/MGRE 隧道的跨网互联能力、PPP 认证的安全性及路由协议的有效性，为复杂网络中 VPN 技术的整合应用提供了实践参考。