MGRE实验 - 技术栈

序号	要求
1	R5为ISP，仅配公有IP；R1-R4为私有网络
2	认证与封装： - R1-R5：PPP PAP（R5主认证） - R2-R5：PPP CHAP（R5主认证） - R3-R5：HDLC封装
3	VPN隧道： - R1/R2/R3：MGRE（R1中心） - R1-R4：GRE点到点
4	路由：私有网络用RIP，全网可达
5	访问：PC以私有IP为源，可访问R5环回（5.5.5.5/24）

R1（私有网段网关）

复制代码

# 进入系统视图并命名  
<Huawei>system-view  
[Huawei]sysname R1  

# 配置G0/0/0（连接PC1）  
[R1]interface GigabitEthernet 0/0/0  
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24  
[R1-GigabitEthernet0/0/0]quit  

# 配置S4/0/0（连接R5，公网）  
[R1]interface Serial 4/0/0  
[R1-Serial4/0/0]ip address 15.1.1.1 24  
[R1-Serial4/0/0]quit  

# 查看接口状态（对应图片2）  
[R1]display ip interface brief

验证结果（图片2）：

G0/0/0：192.168.1.254/24（UP/UP）
S4/0/0：15.1.1.1/24（UP/UP）

R2（私有网段网关）

复制代码

<Huawei>system-view  
[Huawei]sysname R2  

# 配置G0/0/0（连接PC2）  
[R2]interface GigabitEthernet 0/0/0  
[R2-GigabitEthernet0/0/0]ip address 192.168.2.254 24  
[R2-GigabitEthernet0/0/0]quit  

# 配置S4/0/0（连接R5，公网）  
[R2]interface Serial 4/0/0  
[R2-Serial4/0/0]ip address 25.1.1.2 24  
[R2-Serial4/0/0]quit

R3（私有网段网关）

复制代码

<Huawei>system-view  
[Huawei]sysname R3  

# 配置G0/0/0（连接PC3）  
[R3]interface GigabitEthernet 0/0/0  
[R3-GigabitEthernet0/0/0]ip address 192.168.3.254 24  
[R3-GigabitEthernet0/0/0]quit  

# 配置S4/0/0（连接R5，公网，HDLC封装）  
[R3]interface Serial 4/0/0  
[R3-Serial4/0/0]ip address 35.1.1.3 24  
[R3-Serial4/0/0]link-protocol hdlc  # HDLC封装（需求3）  
[R3-Serial4/0/0]quit

R4（私有网段网关，连接R1 via GRE）

复制代码

<Huawei>system-view  
[Huawei]sysname R4  

# 配置G0/0/0（连接R5，公网）  
[R4]interface GigabitEthernet 0/0/0  
[R4-GigabitEthernet0/0/0]ip address 45.1.1.4 24  
[R4-GigabitEthernet0/0/0]quit  

# 配置G0/0/1（连接PC4，私有网段）  
[R4]interface GigabitEthernet 0/0/1  
[R4-GigabitEthernet0/0/1]ip address 192.168.4.254 24  
[R4-GigabitEthernet0/0/1]quit

R5（ISP，公有IP）

复制代码

<Huawei>system-view  
[Huawei]sysname R5  

# 配置G0/0/0（连接R4，公网）  
[R5]interface GigabitEthernet 0/0/0  
[R5-GigabitEthernet0/0/0]ip address 45.1.1.5 24  
[R5-GigabitEthernet0/0/0]quit  

# 配置S4/0/0（连接R3，公网，HDLC封装）  
[R5]interface Serial 4/0/0  
[R5-Serial4/0/0]ip address 35.1.1.5 24  
[R5-Serial4/0/0]link-protocol hdlc  # HDLC封装（需求3）  
[R5-Serial4/0/0]quit  

# 配置S4/0/1（连接R1，公网，PAP认证）  
[R5]interface Serial 4/0/1  
[R5-Serial4/0/1]ip address 15.1.1.5 24  
[R5-Serial4/0/1]quit  

# 配置S3/0/1（连接R2，公网，CHAP认证）  
[R5]interface Serial 3/0/1  
[R5-Serial3/0/1]ip address 25.1.1.5 24  
[R5-Serial3/0/1]quit  

# 配置环回口（R5环回，需被访问）  
[R5]interface LoopBack 0  
[R5-LoopBack0]ip address 5.5.5.5 24  
[R5-LoopBack0]quit  

# 查看接口状态（对应图片9）  
[R5]display ip interface brief

2. 公网缺省路由（实现公网互通）

所有私有设备（R1-R4）需配置默认路由指向ISP（R5）对应接口IP。

R1（对应图片10）

复制代码

[R1]ip route-static 0.0.0.0 0 15.1.1.5  # 下一跳R5的S4/0/1（15.1.1.5）

R2

复制代码

[R2]ip route-static 0.0.0.0 0 25.1.1.5  # 下一跳R5的S3/0/1（25.1.1.5）

R3

复制代码

[R3]ip route-static 0.0.0.0 0 35.1.1.5  # 下一跳R5的S4/0/0（35.1.1.5）

R4

复制代码

[R4]ip route-static 0.0.0.0 0 45.1.1.5  # 下一跳R5的G0/0/0（45.1.1.5）

3. PPP认证配置（R5为主认证方）

（1）R1-R5：PPP PAP认证（R5主认证）

复制代码

# R5（主认证方）：创建本地用户，配置PAP认证  
[R5]aaa  
[R5-aaa]local-user R1 password cipher 123456  # 用户名R1，密码123456  
[R5-aaa]local-user R1 service-type ppp  
[R5-aaa]quit  

[R5]interface Serial 4/0/1  # R5连接R1的接口  
[R5-Serial4/0/1]ppp authentication-mode pap  # 启用PAP认证  
[R5-Serial4/0/1]quit  

# R1（被认证方）：配置PAP用户名密码  
[R1]interface Serial 4/0/0  
[R1-Serial4/0/0]ppp pap local-user R1 password cipher 123456  
[R1-Serial4/0/0]quit

（2）R2-R5：PPP CHAP认证（R5主认证）

复制代码

# R5（主认证方）：创建本地用户，配置CHAP认证  
[R5]aaa  
[R5-aaa]local-user R2 password cipher 654321  # 用户名R2，密码654321  
[R5-aaa]local-user R2 service-type ppp  
[R5-aaa]quit  

[R5]interface Serial 3/0/1  # R5连接R2的接口  
[R5-Serial3/0/1]ppp authentication-mode chap  # 启用CHAP认证  
[R5-Serial3/0/1]quit  

# R2（被认证方）：配置CHAP用户名密码  
[R2]interface Serial 4/0/0  
[R2-Serial4/0/0]ppp chap user R2  
[R2-Serial4/0/0]ppp chap password cipher 654321  
[R2-Serial4/0/0]quit

4. VPN隧道配置（MGRE+GRE）

（1）MGRE环境（R1为中心，R2/R3为分支）

复制代码

# R1（中心站点）：创建隧道接口，配置P2MP模式  
[R1]interface Tunnel 0/0/0  
[R1-Tunnel0/0/0]ip address 10.1.1.1 24  # 隧道IP  
[R1-Tunnel0/0/0]tunnel-protocol gre p2mp  # P2MP模式（MGRE）  
[R1-Tunnel0/0/0]source Serial 4/0/0  # 源接口（S4/0/0，公网IP 15.1.1.1）  
[R1-Tunnel0/0/0]nhrp entry multicast dynamic  # 开启伪广播（关键！）  
[R1-Tunnel0/0/0]nhrp network-id 100  # NHRP域ID（分支需一致）  
[R1-Tunnel0/0/0]quit  

# R2（分支）：创建隧道接口，注册到中心  
[R2]interface Tunnel 0/0/0  
[R2-Tunnel0/0/0]ip address 10.1.1.2 24  
[R2-Tunnel0/0/0]tunnel-protocol gre p2mp  
[R2-Tunnel0/0/0]source Serial 4/0/0  # 源接口（S4/0/0，公网IP 25.1.1.2）  
[R2-Tunnel0/0/0]nhrp network-id 100  # 同中心NHRP域ID  
[R2-Tunnel0/0/0]nhrp entry 10.1.1.1 15.1.1.1 register  # 注册到中心（中心隧道IP+公网IP）  
[R2-Tunnel0/0/0]quit  

# R3（分支）：创建隧道接口，注册到中心  
[R3]interface Tunnel 0/0/0  
[R3-Tunnel0/0/0]ip address 10.1.1.3 24  
[R3-Tunnel0/0/0]tunnel-protocol gre p2mp  
[R3-Tunnel0/0/0]source Serial 4/0/0  # 源接口（S4/0/0，公网IP 35.1.1.3）  
[R3-Tunnel0/0/0]nhrp network-id 100  
[R3-Tunnel0/0/0]nhrp entry 10.1.1.1 15.1.1.1 register  
[R3-Tunnel0/0/0]quit

验证NHRP注册（R1执行）：

复制代码

[R1]display nhrp peer all  # 应显示R2（10.1.1.2）、R3（10.1.1.3）已注册

（2）GRE点到点隧道（R1-R4）

复制代码

# R1：创建GRE隧道  
[R1]interface Tunnel 0/0/1  
[R1-Tunnel0/0/1]ip address 20.1.1.1 24  
[R1-Tunnel0/0/1]tunnel-protocol gre  
[R1-Tunnel0/0/1]source Serial 4/0/0  # 源（R1公网IP 15.1.1.1）  
[R1-Tunnel0/0/1]destination 45.1.1.4  # 目的（R4公网IP 45.1.1.4）  
[R1-Tunnel0/0/1]quit  

# R4：创建GRE隧道  
[R4]interface Tunnel 0/0/0  
[R4-Tunnel0/0/0]ip address 20.1.1.2 24  
[R4-Tunnel0/0/0]tunnel-protocol gre  
[R4-Tunnel0/0/0]source GigabitEthernet 0/0/0  # 源（R4公网IP 45.1.1.4）  
[R4-Tunnel0/0/0]destination 15.1.1.1  # 目的（R1公网IP 15.1.1.1）  
[R4-Tunnel0/0/0]quit

5. 私有网络RIP路由配置（全网可达）

所有私有网段（192.168.1.0/24、192.168.2.0/24、192.168.3.0/24、192.168.4.0/24）及隧道网段（10.1.1.0/24、20.1.1.0/24）需宣告到RIP。

R1（MGRE中心+RIP宣告）

复制代码

[R1]rip 1  # 启动RIP进程1  
[R1-rip-1]version 2  # 版本2（支持无类路由）  
[R1-rip-1]undo summary  # 关闭自动汇总  
[R1-rip-1]network 192.168.1.0  # 宣告PC1网段  
[R1-rip-1]network 10.1.1.0  # 宣告MGRE隧道网段  
[R1-rip-1]network 20.1.1.0  # 宣告GRE隧道网段  
[R1-rip-1]quit

R2（MGRE分支+RIP宣告）

复制代码

[R2]rip 1  
[R2-rip-1]version 2  
[R2-rip-1]undo summary  
[R2-rip-1]network 192.168.2.0  # PC2网段  
[R2-rip-1]network 10.1.1.0  # MGRE隧道网段  
[R2-rip-1]quit

R3（MGRE分支+RIP宣告）

复制代码

[R3]rip 1  
[R3-rip-1]version 2  
[R3-rip-1]undo summary  
[R3-rip-1]network 192.168.3.0  # PC3网段  
[R3-rip-1]network 10.1.1.0  # MGRE隧道网段  
[R3-rip-1]quit

R4（GRE分支+RIP宣告）

复制代码

[R4]rip 1  
[R4-rip-1]version 2  
[R4-rip-1]undo summary  
[R4-rip-1]network 192.168.4.0  # PC4网段  
[R4-rip-1]network 20.1.1.0  # GRE隧道网段  
[R4-rip-1]quit

6. NAT配置（PC访问R5环回）

在R1/R2/R3/R4的公网接口配置NAT，将私有IP转换为公网IP访问R5环回（5.5.5.5）。

R1（示例）

复制代码

# 创建ACL匹配私有网段  
[R1]acl 2000  
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255  # PC1网段  
[R1-acl-basic-2000]quit  

# 在公网接口（S4/0/0）应用NAT Outbound  
[R1]interface Serial 4/0/0  
[R1-Serial4/0/0]nat outbound 2000  
[R1-Serial4/0/0]quit

三、验证与排错指南

1. 关键验证命令

复制代码

# 查看PPP认证状态（R1/R2）  
display interface Serial 4/0/0  # 协议状态应为"UP (PPP)"  

# 查看MGRE隧道状态（R1）  
display nhrp peer all  # 分支应显示"Registered"  

# 查看RIP路由表（所有设备）  
display ip routing-table protocol rip  

# 测试PC访问R5环回（PC1执行）  
ping 5.5.5.5 -source 192.168.1.1  # 源IP为私有IP

2. 常见故障排查

故障现象	可能原因	解决方案
PPP认证失败	用户名/密码错误、认证模式不匹配	检查AAA用户配置、接口ppp authentication-mode
MGRE分支无法互通	未开启伪广播（nhrp entry multicast dynamic）	中心站点添加该命令
RIP路由缺失	未宣告隧道网段、水平分割未关闭	宣告隧道IP，MGRE接口关闭水平分割（可选）
PC无法访问R5环回	NAT ACL未匹配私有网段	检查ACL规则是否包含PC网段

四、实验总结

本实验通过 PPP认证（PAP/CHAP）+ HDLC封装 实现公网安全互联，通过 MGRE（中心-分支）+ GRE（点到点） 构建VPN隧道，结合 RIP路由 实现私有网络互通，最终通过 NAT 允许PC以私有IP访问公网。核心在于理解VPN隧道的封装逻辑、NHRP的动态注册机制，以及路由协议在隧道环境中的适配。