MGRE实验

序号 要求
1 R5为ISP,仅配公有IP;R1-R4为私有网络
2 认证与封装: - R1-R5:PPP PAP(R5主认证) - R2-R5:PPP CHAP(R5主认证) - R3-R5:HDLC封装
3 VPN隧道: - R1/R2/R3:MGRE(R1中心) - R1-R4:GRE点到点
4 路由:私有网络用RIP,全网可达
5 访问:PC以私有IP为源,可访问R5环回(5.5.5.5/24)
R1(私有网段网关)
复制代码
# 进入系统视图并命名  
<Huawei>system-view  
[Huawei]sysname R1  

# 配置G0/0/0(连接PC1)  
[R1]interface GigabitEthernet 0/0/0  
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24  
[R1-GigabitEthernet0/0/0]quit  

# 配置S4/0/0(连接R5,公网)  
[R1]interface Serial 4/0/0  
[R1-Serial4/0/0]ip address 15.1.1.1 24  
[R1-Serial4/0/0]quit  

# 查看接口状态(对应图片2)  
[R1]display ip interface brief

验证结果(图片2)

  • G0/0/0:192.168.1.254/24(UP/UP)

  • S4/0/0:15.1.1.1/24(UP/UP)

R2(私有网段网关)
复制代码
<Huawei>system-view  
[Huawei]sysname R2  

# 配置G0/0/0(连接PC2)  
[R2]interface GigabitEthernet 0/0/0  
[R2-GigabitEthernet0/0/0]ip address 192.168.2.254 24  
[R2-GigabitEthernet0/0/0]quit  

# 配置S4/0/0(连接R5,公网)  
[R2]interface Serial 4/0/0  
[R2-Serial4/0/0]ip address 25.1.1.2 24  
[R2-Serial4/0/0]quit
R3(私有网段网关)
复制代码
<Huawei>system-view  
[Huawei]sysname R3  

# 配置G0/0/0(连接PC3)  
[R3]interface GigabitEthernet 0/0/0  
[R3-GigabitEthernet0/0/0]ip address 192.168.3.254 24  
[R3-GigabitEthernet0/0/0]quit  

# 配置S4/0/0(连接R5,公网,HDLC封装)  
[R3]interface Serial 4/0/0  
[R3-Serial4/0/0]ip address 35.1.1.3 24  
[R3-Serial4/0/0]link-protocol hdlc  # HDLC封装(需求3)  
[R3-Serial4/0/0]quit
R4(私有网段网关,连接R1 via GRE)
复制代码
<Huawei>system-view  
[Huawei]sysname R4  

# 配置G0/0/0(连接R5,公网)  
[R4]interface GigabitEthernet 0/0/0  
[R4-GigabitEthernet0/0/0]ip address 45.1.1.4 24  
[R4-GigabitEthernet0/0/0]quit  

# 配置G0/0/1(连接PC4,私有网段)  
[R4]interface GigabitEthernet 0/0/1  
[R4-GigabitEthernet0/0/1]ip address 192.168.4.254 24  
[R4-GigabitEthernet0/0/1]quit
R5(ISP,公有IP)
复制代码
<Huawei>system-view  
[Huawei]sysname R5  

# 配置G0/0/0(连接R4,公网)  
[R5]interface GigabitEthernet 0/0/0  
[R5-GigabitEthernet0/0/0]ip address 45.1.1.5 24  
[R5-GigabitEthernet0/0/0]quit  

# 配置S4/0/0(连接R3,公网,HDLC封装)  
[R5]interface Serial 4/0/0  
[R5-Serial4/0/0]ip address 35.1.1.5 24  
[R5-Serial4/0/0]link-protocol hdlc  # HDLC封装(需求3)  
[R5-Serial4/0/0]quit  

# 配置S4/0/1(连接R1,公网,PAP认证)  
[R5]interface Serial 4/0/1  
[R5-Serial4/0/1]ip address 15.1.1.5 24  
[R5-Serial4/0/1]quit  

# 配置S3/0/1(连接R2,公网,CHAP认证)  
[R5]interface Serial 3/0/1  
[R5-Serial3/0/1]ip address 25.1.1.5 24  
[R5-Serial3/0/1]quit  

# 配置环回口(R5环回,需被访问)  
[R5]interface LoopBack 0  
[R5-LoopBack0]ip address 5.5.5.5 24  
[R5-LoopBack0]quit  

# 查看接口状态(对应图片9)  
[R5]display ip interface brief

2. 公网缺省路由(实现公网互通)

所有私有设备(R1-R4)需配置默认路由指向ISP(R5)对应接口IP。

R1(对应图片10)
复制代码
[R1]ip route-static 0.0.0.0 0 15.1.1.5  # 下一跳R5的S4/0/1(15.1.1.5)
R2
复制代码
[R2]ip route-static 0.0.0.0 0 25.1.1.5  # 下一跳R5的S3/0/1(25.1.1.5)
R3
复制代码
[R3]ip route-static 0.0.0.0 0 35.1.1.5  # 下一跳R5的S4/0/0(35.1.1.5)
R4
复制代码
[R4]ip route-static 0.0.0.0 0 45.1.1.5  # 下一跳R5的G0/0/0(45.1.1.5)

3. PPP认证配置(R5为主认证方)

(1)R1-R5:PPP PAP认证(R5主认证)
复制代码
# R5(主认证方):创建本地用户,配置PAP认证  
[R5]aaa  
[R5-aaa]local-user R1 password cipher 123456  # 用户名R1,密码123456  
[R5-aaa]local-user R1 service-type ppp  
[R5-aaa]quit  

[R5]interface Serial 4/0/1  # R5连接R1的接口  
[R5-Serial4/0/1]ppp authentication-mode pap  # 启用PAP认证  
[R5-Serial4/0/1]quit  

# R1(被认证方):配置PAP用户名密码  
[R1]interface Serial 4/0/0  
[R1-Serial4/0/0]ppp pap local-user R1 password cipher 123456  
[R1-Serial4/0/0]quit
(2)R2-R5:PPP CHAP认证(R5主认证)
复制代码
# R5(主认证方):创建本地用户,配置CHAP认证  
[R5]aaa  
[R5-aaa]local-user R2 password cipher 654321  # 用户名R2,密码654321  
[R5-aaa]local-user R2 service-type ppp  
[R5-aaa]quit  

[R5]interface Serial 3/0/1  # R5连接R2的接口  
[R5-Serial3/0/1]ppp authentication-mode chap  # 启用CHAP认证  
[R5-Serial3/0/1]quit  

# R2(被认证方):配置CHAP用户名密码  
[R2]interface Serial 4/0/0  
[R2-Serial4/0/0]ppp chap user R2  
[R2-Serial4/0/0]ppp chap password cipher 654321  
[R2-Serial4/0/0]quit

4. VPN隧道配置(MGRE+GRE)

(1)MGRE环境(R1为中心,R2/R3为分支)
复制代码
# R1(中心站点):创建隧道接口,配置P2MP模式  
[R1]interface Tunnel 0/0/0  
[R1-Tunnel0/0/0]ip address 10.1.1.1 24  # 隧道IP  
[R1-Tunnel0/0/0]tunnel-protocol gre p2mp  # P2MP模式(MGRE)  
[R1-Tunnel0/0/0]source Serial 4/0/0  # 源接口(S4/0/0,公网IP 15.1.1.1)  
[R1-Tunnel0/0/0]nhrp entry multicast dynamic  # 开启伪广播(关键!)  
[R1-Tunnel0/0/0]nhrp network-id 100  # NHRP域ID(分支需一致)  
[R1-Tunnel0/0/0]quit  

# R2(分支):创建隧道接口,注册到中心  
[R2]interface Tunnel 0/0/0  
[R2-Tunnel0/0/0]ip address 10.1.1.2 24  
[R2-Tunnel0/0/0]tunnel-protocol gre p2mp  
[R2-Tunnel0/0/0]source Serial 4/0/0  # 源接口(S4/0/0,公网IP 25.1.1.2)  
[R2-Tunnel0/0/0]nhrp network-id 100  # 同中心NHRP域ID  
[R2-Tunnel0/0/0]nhrp entry 10.1.1.1 15.1.1.1 register  # 注册到中心(中心隧道IP+公网IP)  
[R2-Tunnel0/0/0]quit  

# R3(分支):创建隧道接口,注册到中心  
[R3]interface Tunnel 0/0/0  
[R3-Tunnel0/0/0]ip address 10.1.1.3 24  
[R3-Tunnel0/0/0]tunnel-protocol gre p2mp  
[R3-Tunnel0/0/0]source Serial 4/0/0  # 源接口(S4/0/0,公网IP 35.1.1.3)  
[R3-Tunnel0/0/0]nhrp network-id 100  
[R3-Tunnel0/0/0]nhrp entry 10.1.1.1 15.1.1.1 register  
[R3-Tunnel0/0/0]quit

验证NHRP注册(R1执行)

复制代码
[R1]display nhrp peer all  # 应显示R2(10.1.1.2)、R3(10.1.1.3)已注册
(2)GRE点到点隧道(R1-R4)
复制代码
# R1:创建GRE隧道  
[R1]interface Tunnel 0/0/1  
[R1-Tunnel0/0/1]ip address 20.1.1.1 24  
[R1-Tunnel0/0/1]tunnel-protocol gre  
[R1-Tunnel0/0/1]source Serial 4/0/0  # 源(R1公网IP 15.1.1.1)  
[R1-Tunnel0/0/1]destination 45.1.1.4  # 目的(R4公网IP 45.1.1.4)  
[R1-Tunnel0/0/1]quit  

# R4:创建GRE隧道  
[R4]interface Tunnel 0/0/0  
[R4-Tunnel0/0/0]ip address 20.1.1.2 24  
[R4-Tunnel0/0/0]tunnel-protocol gre  
[R4-Tunnel0/0/0]source GigabitEthernet 0/0/0  # 源(R4公网IP 45.1.1.4)  
[R4-Tunnel0/0/0]destination 15.1.1.1  # 目的(R1公网IP 15.1.1.1)  
[R4-Tunnel0/0/0]quit

5. 私有网络RIP路由配置(全网可达)

所有私有网段(192.168.1.0/24、192.168.2.0/24、192.168.3.0/24、192.168.4.0/24)及隧道网段(10.1.1.0/24、20.1.1.0/24)需宣告到RIP。

R1(MGRE中心+RIP宣告)
复制代码
[R1]rip 1  # 启动RIP进程1  
[R1-rip-1]version 2  # 版本2(支持无类路由)  
[R1-rip-1]undo summary  # 关闭自动汇总  
[R1-rip-1]network 192.168.1.0  # 宣告PC1网段  
[R1-rip-1]network 10.1.1.0  # 宣告MGRE隧道网段  
[R1-rip-1]network 20.1.1.0  # 宣告GRE隧道网段  
[R1-rip-1]quit
R2(MGRE分支+RIP宣告)
复制代码
[R2]rip 1  
[R2-rip-1]version 2  
[R2-rip-1]undo summary  
[R2-rip-1]network 192.168.2.0  # PC2网段  
[R2-rip-1]network 10.1.1.0  # MGRE隧道网段  
[R2-rip-1]quit
R3(MGRE分支+RIP宣告)
复制代码
[R3]rip 1  
[R3-rip-1]version 2  
[R3-rip-1]undo summary  
[R3-rip-1]network 192.168.3.0  # PC3网段  
[R3-rip-1]network 10.1.1.0  # MGRE隧道网段  
[R3-rip-1]quit
R4(GRE分支+RIP宣告)
复制代码
[R4]rip 1  
[R4-rip-1]version 2  
[R4-rip-1]undo summary  
[R4-rip-1]network 192.168.4.0  # PC4网段  
[R4-rip-1]network 20.1.1.0  # GRE隧道网段  
[R4-rip-1]quit

6. NAT配置(PC访问R5环回)

在R1/R2/R3/R4的公网接口配置NAT,将私有IP转换为公网IP访问R5环回(5.5.5.5)。

R1(示例)
复制代码
# 创建ACL匹配私有网段  
[R1]acl 2000  
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255  # PC1网段  
[R1-acl-basic-2000]quit  

# 在公网接口(S4/0/0)应用NAT Outbound  
[R1]interface Serial 4/0/0  
[R1-Serial4/0/0]nat outbound 2000  
[R1-Serial4/0/0]quit

三、验证与排错指南

1. 关键验证命令

复制代码
# 查看PPP认证状态(R1/R2)  
display interface Serial 4/0/0  # 协议状态应为"UP (PPP)"  

# 查看MGRE隧道状态(R1)  
display nhrp peer all  # 分支应显示"Registered"  

# 查看RIP路由表(所有设备)  
display ip routing-table protocol rip  

# 测试PC访问R5环回(PC1执行)  
ping 5.5.5.5 -source 192.168.1.1  # 源IP为私有IP

2. 常见故障排查

故障现象 可能原因 解决方案
PPP认证失败 用户名/密码错误、认证模式不匹配 检查AAA用户配置、接口ppp authentication-mode
MGRE分支无法互通 未开启伪广播(nhrp entry multicast dynamic) 中心站点添加该命令
RIP路由缺失 未宣告隧道网段、水平分割未关闭 宣告隧道IP,MGRE接口关闭水平分割(可选)
PC无法访问R5环回 NAT ACL未匹配私有网段 检查ACL规则是否包含PC网段

四、实验总结

本实验通过 PPP认证(PAP/CHAP)+ HDLC封装 ​ 实现公网安全互联,通过 MGRE(中心-分支)+ GRE(点到点) ​ 构建VPN隧道,结合 RIP路由 ​ 实现私有网络互通,最终通过 NAT​ 允许PC以私有IP访问公网。核心在于理解VPN隧道的封装逻辑、NHRP的动态注册机制,以及路由协议在隧道环境中的适配。

相关推荐
RisunJan4 小时前
Linux命令-rlogin(远程登录)
linux·运维
深圳恒讯5 小时前
菲律宾云服务器与传统VPS的架构差异
运维·服务器·架构
蓝天下的守望者5 小时前
svt_apb_if里的宏定义问题
运维·服务器·数据库
小林ixn5 小时前
从“玩具工具”到“跨语言利器”:MCP 协议实战解析
运维·服务器·网络
小顿的企业观察6 小时前
中企出海战略规划,正在从“走出去”转向“走进去”
大数据·运维·人工智能·产品运营·制造
数智化转型推荐官6 小时前
2026统一身份管理系统五大发展趋势解读
java·运维·微服务
看菜鸡互6 小时前
探索用 SlideML 让大模型生成 PPT 的实验方法
java·运维
2603_954708317 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
其实防守也摸鱼7 小时前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
liguojun20258 小时前
篮球馆自动计时收费系统:从规则配置到自动结算的全流程拆解
java·大数据·运维·人工智能·物联网·1024程序员节