大型企业网络配置系列课程详解(十) --用GRE隧道建立VP

1、大型企业网络配置系列课程详解（十） -用GRE隧道建立VPN使网络互通 大型企业网络配置系列课程详解（十）                                 -用GRE隧道建立临时隧道使网络互通 实验背景：通过大型企业网络配置系列课程详解-用Cisco路由

2、器和预共享密钥建立多条 IPSec VPN实验，我们可以在模拟公网上建立一条安全的虚拟隧道使不同站点之间能够互相通信，可是有的时候因为某种原因（端口断掉或者线路被黑客破坏等等）造成VPN隧道失效，断开了站点之间安全的隧道通信，由于VPN排错的复杂性并不那么容易让网络及时的互通，这对于一个不间断通信的企业来说无疑是一种致命的打击，而且，如果长时间得不到解决对企业会造成更加严重的损失；于此同时，我们网络管理员的地位也会在企业中降低。但是，这种问题并不是得不到解决，在众多的技术里，Tunnel通道配置的简单性便能够很好地解决这一点。 实验目的：1、 运用OSPF多区域路由协议配置“模拟公网

3、”使公网互通。2、 在两端配置Tunnel隧道，并运行RIP v2路由协议在公网上建立一条Tunnel隧道使私网之间互通。3、 认识Tunnel通道使用的意义。 实验环境：本实验采用DynamipsGUI_2.8_CN模拟器，IOS选用 c3640-js-mz.124-10.bin，在真机上也可以实现。 实验网络拓扑：试验步骤：一、 用OSPF多区域路由协议模拟公网在这一系列课程中，好几个实验（VPN实验，NAT实验，帧中继实验）为了体现出实验环境的真实性，都使用了“模拟公网”，相当于我们日常浏览的互联网络，在配置私网的时候是不知道公网的存在，做实验的时候必须想到这一点，所

4、以只需要在路由的出口上配置一条默认路由即可。而且模拟公网的时候基本都使用的是OSPF多区域路由协议模拟多个区域，在实际当中也许使用其它路由协议（EIGRP,RIP等等）进行网络互联，但这些都不是我们配置私网所要考虑的，我们只需要当他们是末梢网络就可以了，也就是说在出口路由器上配置一条默认路由指向公网就可以了。R2和R3网络参数的具体配置：配置这一块的时候，注意IP地址的子网掩码是标准的还是可变长的，配置完成之后，一定要激活才行，好多实验做不通都是因为忘了激活端口造成的。 R2和R3的OSPF多区域路由协议的具体配置：配置多区域路由协议的时候，一定要记住自己使用的路由进程号，以便在修改

5、的时候能够方便的进入，其次在宣告多区域的时候，注意网段所对应的区域，以及语句的语法表示形式（子网掩码是用反码表示的） 配置完成之后，一定要测试一下公网的连通性，可以使用show ip route进行测试。如果所配置的网段都在一个区域里，最好配置一两个回环地址模拟多个区域，看是否能够学习到非直连的路有条目。否则，所有的配置完成之后，测试网络不通，可能就是“模拟公网”配置的问题。 二、 配置总部和分部的具体网络参数R1和R2的具体配置：配置私网一定要记住自己是不知道公网的配置的，有些同学忽略了这一点，想不来公网的环境，所以也配置了同样的路由协议，结果测试网络通了，觉得实验成功了

6、，其实并没有达到实验的要求，仅仅只是做到了一个企业内部网络的胡同而已，配置完基本参数之后，一定要在出外网的路由器上（可能不止一台路由器）宣告一条默认路由出去，下一跳指向自己的出外网的接口上就可以了。（当然，也可以指向R2或者R3的直连接口的IP地址上，但这样配置已经失去了模拟公网的意义） 三、 配置总部和分部之间临时的tunnel隧道R1和R4的具体配置:在配置tunnel隧道之前一定要搞清楚tunnel隧道是在同一个网段的，其次配置的时候要保证隧道的编号一样，这里选用了tunnel 0，可以使用“tunnel ？”查看能够配置多少个tunnel隧道，tunnel隧道配置完IP地址之

7、后马上就UP起来了，是不需要激活的，但是为了保险期间也可以再次激活。解释几个参数：Tunnel source E0/0 指向本段tunnel的实际物理出口（可以写端口标号，也可以写IP地址，写端口标号不容易出问题）Tunnel key 123456 设置tunnel 的密码为123456（为了进一步提高通道的安全性，可以设置一个密码，但这相对于VPN的安全性而言小了很多，所以它只是临时配置让网络通信而已，一旦网络互通，就删除这些配置，或者shutdown掉所配置的tunnel端口。配置完成之后，就相当于出外网实际的物理接口不存在一样，让tunnel替代掉了，而且中间的公网可以理解成一条通路，也

8、就是说R1和R4之间用tunnel通道相连，所以要配置在同一个网段中。 四、 启用RIP v2协议让全网互通现在就可以在R1和R4之间配置RIP v2协议，并关闭路由自动汇总功能，否则，不标准的网段就汇总成标准网段了，宣告网段的时候可不敢宣告实际出外网的接口网段，就当tunnel直连的网段替换掉了实际的物理网段。 配置完成之后，使用show ip route检测一下R1或者R4，看是否学习到了相应的路由条目（也可以使用其它路由协议，如OSPF或者IGRP,EIGRP）而且还应该有一条默认路由指出去。如果没有学习到的路由条目，可以使用show interface tunnel 0进行排错。 配置客户端PC1和PC2的IP地址和网关（注意书写格式 ip ip-address default-gateway /网