大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解十-用GRE隧道建立VP

大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解（十） --用GRE隧道建立VPN使網(wǎng)絡(luò)互通大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解（十）--用GRE隧道建立臨時隧道使網(wǎng)絡(luò)互通實驗背景通過《大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解--用Cisco路由器和預(yù)共享密鑰建立多條IPSecVPN》實驗，我們可以在模擬公網(wǎng)上建立一條安全的虛擬隧道使不同站點之間能夠互相通信，可是有的時候因為某種原因（端口斷掉或者線路被黑客破壞等等）造成VPN隧道失效，斷開了站點之間安全的隧道通信，由于 VPN排錯的復(fù)雜性并不那么容易讓網(wǎng)絡(luò)及時的互通，這對于一個不間斷通信的企業(yè)來說無疑是一種致命的打擊，而且，如果長時間得不到解決對企業(yè)會造成更加嚴(yán)重的損失；于此同時，我們網(wǎng)絡(luò)管理員的地位也會在企業(yè)中降低。但是，這種問題并不是得不到解決，在眾多的技術(shù)里，Tunnel通道配置的簡單性便能夠很好地解決這一點。實驗?zāi)康?1、 運用OSPF多區(qū)域路由協(xié)議配置模擬公網(wǎng)”使公網(wǎng)互通。2、在兩端配置Tunnel隧道，并運行RIPv2路由協(xié)議在公網(wǎng)上建立一條Tunnel隧道使私網(wǎng)之間互通。3、認(rèn)識Tunnel通道使用的意義實驗環(huán)境:本實驗采用DynamipsGUI_2.8_CN模擬器，IOS選用c3640-js-mz.124-10.bin,在真機上也可以實現(xiàn)。實驗網(wǎng)絡(luò)拓?fù)?

試驗步驟:用OSPF多區(qū)域路由協(xié)議模擬公網(wǎng)在這一系列課程中，好幾個實驗（VPN實驗，NAT實驗，幀中繼實驗）為了體現(xiàn)出實驗環(huán)境的真實性，都使用了模擬公網(wǎng)”相當(dāng)于我們?nèi)粘g覽的互聯(lián)網(wǎng)絡(luò)，在配置私網(wǎng)的時候是不知道公網(wǎng)的存在，做實驗的時候必須想到這一點，所以只需要在路由的出口上配置一條默認(rèn)路由即可。而且模擬公網(wǎng)的時候基本都使用的是OSPF多區(qū)域路由協(xié)議模擬多個區(qū)域，在實際當(dāng)中也許使用其它路由協(xié)議（EIGRP,RIP等等）進行網(wǎng)絡(luò)互聯(lián)，但這些都不是我們配置私網(wǎng)所要考慮的，我們只需要當(dāng)他們是末梢網(wǎng)絡(luò)就可以了，也就是說在出口路由器上配置一條默認(rèn)路由指向公網(wǎng)就可以了。R2和R3網(wǎng)絡(luò)參數(shù)的具體配置：配置這一塊的時候，注意 IP地址的子網(wǎng)掩碼是標(biāo)準(zhǔn)的還是可變長的，配置完成之后，一定要激活才行，好多實驗做不通都是因為忘了激活端口造成的。M"J iftflr?iiMlE*htcnnfinupu'l.1pmi; B-ajibpBrINtsulwiI.hRKcwn#ir翥i上，ft". 呂飾和KJ<emFi-b>ffintarFac*?観嚼KKceafIniit>l?i??》川出!*KKEMififfl-if)■■凰i.1 hEiP QOfnR2和R3的OSPF多區(qū)域路由協(xié)議的具體配置：配置多區(qū)域路由協(xié)議的時候，一定要記住自己使用的路由進程號，以便在修改的時候能夠方便的進入，其次在宣告多

區(qū)域的時候，注意網(wǎng)段所對應(yīng)的區(qū)域，以及語句的語法表示形式（子網(wǎng)掩碼是用反碼表示的）H2<conFigHutHr>Rnetu?rli10.0.B.B 1RSCconfigiH?Lcer>BHetii*arli20衛(wèi)丄.0 Bigp^HlAir>hKttconfi*>*|Hout?pobH?McanifIt.miti-r>Bn*tnph2V.Wm3Ccorut-rout?r)Bn*tworkM.H.0.0Ct;tinfI^p—riint■:r>■?■$i.配置完成之后，一定要測試一下公網(wǎng)的連通性，可以使用 showiproute進行測試。如果所配置的網(wǎng)段都在一個區(qū)域里，最好配置一兩個回環(huán)地址模擬多個區(qū)域，看是否能夠?qū)W習(xí)到非直連的路有條目。否則，所有的配置完成之后，測試網(wǎng)絡(luò)不通，可能就是模擬公網(wǎng)”配置的問題。配置總部和分部的具體網(wǎng)絡(luò)參數(shù)R1和R2的具體配置：配置私網(wǎng)一定要記住自己是不知道公網(wǎng)的配置的，有些同學(xué)忽略了這一點，想不來公網(wǎng)的環(huán)境，所以也配置了同樣的路由協(xié)議，結(jié)果測試網(wǎng)絡(luò)通了，覺得實驗成功了，其實并沒有達到實驗的要求，僅僅只是做到了一個企業(yè)內(nèi)部網(wǎng)絡(luò)的胡同而已，配置完基本參數(shù)之后，一定要在出外網(wǎng)的路由器上（可能不止一臺路由器）宣告一條默認(rèn)路由出去，下一跳指向自己的出外網(wǎng)的接口上就可以了。（當(dāng)然，也可以指向R2或者R3的直連接口的IP地址上，但這樣配置已經(jīng)失去了模擬公網(wǎng)的意義）RiCvHfitmccmviRlCCMtsRiCvHfitmccmviRlCCMtsHCcMfIHliMKchIhIR1iiR-KcMfiif>ll?iIf?ilwttoirfn-If>I*>HInitvr-fteiri■粒**11盯WjuLrlr*?sx192r16H,Ir1itXlh>V9YktlidwwnIf>H*-UJHKCMf1ra-tile

JHKCMf1ra-tile三、配置總部和分部之間臨時的tunnel隧道R1和R4的具體配置：在配置tunnel隧道之前一定要搞清楚tunnel隧道是在同一個網(wǎng)段的，其次配置的時候要保證隧道的編號一樣，這里選用了tunnel0,可以使用“tunne？”查看能夠配置多少個tunnel隧道，tunnel隧道配置完IP地址之后馬上就UP起來了，是不需要激活的，但是為了保險期間也可以再次激活。解釋幾個參數(shù)：TunnelsourceE0/0指向本段tunnel的實際物理出口（可以寫端口標(biāo)號，也可以寫IP地址，寫端口標(biāo)號不容易出問題）IP地址（注意：這些地Tunneldestination30.0.0.2IP地址（注意：這些地址在網(wǎng)絡(luò)中使用的是公網(wǎng)IP地址，具有唯一性）Tunnelkey123456設(shè)置tunnel的密碼為123456（為了進一步提高通道的安全性，可以設(shè)置一個密碼，但這相對于VPN的安全性而言小了很多，所以它只是臨時配置讓網(wǎng)絡(luò)通信而已，一旦網(wǎng)絡(luò)互通，就刪除這些配置，或者 shutdown掉所配置的tunnel端口。配置完成之后，就相當(dāng)于出外網(wǎng)實際的物理接口不存在一樣，讓 tunnel替代掉了,而且中間的公網(wǎng)可以理解成一條通路，也就是說 R1和R4之間用tunnel通道相連，所以要配置在同一個網(wǎng)段中。HI if>■intrrfK4 1HIF*IIwl-r 1HH?|刪?1刪,匸勺叫勺，工Nli(￡?nfin-If hfemtdounI<|1-f unii*1忌比u冋;申 *Mllirif umne1 -1ELnatloikJII.ft.2H1'Cwnf 1f31Atamuh*l卜4￥ISJinhlW!EfcphlW!Efcp|,omoblogS1ck>.cOTni,MlCSwnlipInri<￡*hiiioi>j四、啟用RIPv2協(xié)議讓全網(wǎng)互通現(xiàn)在就可以在R1和R4之間配置RIPv2協(xié)議，并關(guān)閉路由自動匯總功能，否則,不標(biāo)準(zhǔn)的網(wǎng)段就匯總成標(biāo)準(zhǔn)網(wǎng)段了，宣告網(wǎng)段的時候可不敢宣告實際出外網(wǎng)的接口網(wǎng)段，就當(dāng)tunnel直連的網(wǎng)段替換掉了實際的物理網(wǎng)段。R1(confRtCeonftiyi-PQiute ion2ItlCeonfigi-r?utiFr^inatuorlcJ9241血?-1j佛J<1Cronfigihnutar>irietuork'R1Ceorifiq-rauter>Nnii把"郵事砒沁齡甲M ig-reutflrwitiHCEonfig^HruLiCerripR4(ronfigj^autei?>ttuerainn2ig?u.ter>ttiriet**orikR4Ciconfig-roiltrr>*nctuork■IWLIfW?IHH??(R4Cconf Aiitn-aiinrenirjiIMCcvrFiff-nwiter>B?xiC 配置完成之后，使用showiproute檢測一下R1或者R4，看是否學(xué)習(xí)到了相應(yīng)的路由條目（也可以使用其它路由協(xié)議，如OSPF或者IGRP,EIGRP）而且還應(yīng)該有一條默認(rèn)路由指出去。如果沒有學(xué)習(xí)到的路由條目，可以使用showinterfacetunnelC如果沒有學(xué)習(xí)到的路由條目，可以使用showinterfacetunnelC進行排錯。L ?■ilkHiVEiv dMIWiaL ?■ilkHiVEiv dMIWia鼻-**7斗漏■社"■札 |址酗*.R 10^*11■山JtV-lM>.lNi-￡b■HiMilfc.E Lidln?tl-y孔tihtflwlMM**■ ?.氛?l^Lhidlnet1> 毆旨存《■訝*RlttnlnvIpfhAvELfMKtAd,? ■airpH ■KF?-tl<9F.FR-EICHP 4-?FF+14-OiFPHd(H7FMU l*1.WMIJI*■!■UEftytialf1II017V?F-m*1+EVH3FF |A.■mi-it-u ml-i*-ia iwaja-iti-tliITinii?# * tMdI4m:bdh?r?i4krPpir-KiteIt■'-KlM_P=plrLvdLcdwwi ri4■!It:twuiiaimnttMMJ配置客戶端PC1和PC2的IP地址和網(wǎng)關(guān)（注意書寫格式ipip-addressdefaultgateway網(wǎng)絡(luò)位數(shù)）

配置完成之后就可以在客戶端進行測試了，使用PC1pingPC2,也就是在私網(wǎng)之間的互ping，理論上可以ping通，然后ping模擬公網(wǎng)的IP地址，理論上是ping不通，這也證實了模擬公網(wǎng)對于tunnel隧道來說只是提供了一條物理鏈路。iu<LmlIMtIU^IriktrrL￡f■■■L丄I1H-■丄?■札T特.?itim .ftMH■%rqr2￥1m-2U!U.MW■: