大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解(十) --用GRE隧道建立VP

1、大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解（十） -用GRE隧道建立VPN使網(wǎng)絡(luò)互通 大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解（十）                                 -用GRE隧道建立臨時(shí)隧道使網(wǎng)絡(luò)互通 實(shí)驗(yàn)背景：通過大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解-用Cisco路由

2、器和預(yù)共享密鑰建立多條 IPSec VPN實(shí)驗(yàn)，我們可以在模擬公網(wǎng)上建立一條安全的虛擬隧道使不同站點(diǎn)之間能夠互相通信，可是有的時(shí)候因?yàn)槟撤N原因（端口斷掉或者線路被黑客破壞等等）造成VPN隧道失效，斷開了站點(diǎn)之間安全的隧道通信，由于VPN排錯(cuò)的復(fù)雜性并不那么容易讓網(wǎng)絡(luò)及時(shí)的互通，這對(duì)于一個(gè)不間斷通信的企業(yè)來說無疑是一種致命的打擊，而且，如果長時(shí)間得不到解決對(duì)企業(yè)會(huì)造成更加嚴(yán)重的損失；于此同時(shí)，我們網(wǎng)絡(luò)管理員的地位也會(huì)在企業(yè)中降低。但是，這種問題并不是得不到解決，在眾多的技術(shù)里，Tunnel通道配置的簡單性便能夠很好地解決這一點(diǎn)。 實(shí)驗(yàn)?zāi)康模?、 運(yùn)用OSPF多區(qū)域路由協(xié)議配置“模擬公網(wǎng)

3、”使公網(wǎng)互通。2、 在兩端配置Tunnel隧道，并運(yùn)行RIP v2路由協(xié)議在公網(wǎng)上建立一條Tunnel隧道使私網(wǎng)之間互通。3、 認(rèn)識(shí)Tunnel通道使用的意義。 實(shí)驗(yàn)環(huán)境：本實(shí)驗(yàn)采用DynamipsGUI_2.8_CN模擬器，IOS選用 c3640-js-mz.124-10.bin，在真機(jī)上也可以實(shí)現(xiàn)。 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌涸囼?yàn)步驟：一、 用OSPF多區(qū)域路由協(xié)議模擬公網(wǎng)在這一系列課程中，好幾個(gè)實(shí)驗(yàn)（VPN實(shí)驗(yàn)，NAT實(shí)驗(yàn)，幀中繼實(shí)驗(yàn)）為了體現(xiàn)出實(shí)驗(yàn)環(huán)境的真實(shí)性，都使用了“模擬公網(wǎng)”，相當(dāng)于我們?nèi)粘g覽的互聯(lián)網(wǎng)絡(luò)，在配置私網(wǎng)的時(shí)候是不知道公網(wǎng)的存在，做實(shí)驗(yàn)的時(shí)候必須想到這一點(diǎn)，所

4、以只需要在路由的出口上配置一條默認(rèn)路由即可。而且模擬公網(wǎng)的時(shí)候基本都使用的是OSPF多區(qū)域路由協(xié)議模擬多個(gè)區(qū)域，在實(shí)際當(dāng)中也許使用其它路由協(xié)議（EIGRP,RIP等等）進(jìn)行網(wǎng)絡(luò)互聯(lián)，但這些都不是我們配置私網(wǎng)所要考慮的，我們只需要當(dāng)他們是末梢網(wǎng)絡(luò)就可以了，也就是說在出口路由器上配置一條默認(rèn)路由指向公網(wǎng)就可以了。R2和R3網(wǎng)絡(luò)參數(shù)的具體配置：配置這一塊的時(shí)候，注意IP地址的子網(wǎng)掩碼是標(biāo)準(zhǔn)的還是可變長的，配置完成之后，一定要激活才行，好多實(shí)驗(yàn)做不通都是因?yàn)橥思せ疃丝谠斐傻摹?#160;R2和R3的OSPF多區(qū)域路由協(xié)議的具體配置：配置多區(qū)域路由協(xié)議的時(shí)候，一定要記住自己使用的路由進(jìn)程號(hào)，以便在修改

5、的時(shí)候能夠方便的進(jìn)入，其次在宣告多區(qū)域的時(shí)候，注意網(wǎng)段所對(duì)應(yīng)的區(qū)域，以及語句的語法表示形式（子網(wǎng)掩碼是用反碼表示的） 配置完成之后，一定要測(cè)試一下公網(wǎng)的連通性，可以使用show ip route進(jìn)行測(cè)試。如果所配置的網(wǎng)段都在一個(gè)區(qū)域里，最好配置一兩個(gè)回環(huán)地址模擬多個(gè)區(qū)域，看是否能夠?qū)W習(xí)到非直連的路有條目。否則，所有的配置完成之后，測(cè)試網(wǎng)絡(luò)不通，可能就是“模擬公網(wǎng)”配置的問題。 二、 配置總部和分部的具體網(wǎng)絡(luò)參數(shù)R1和R2的具體配置：配置私網(wǎng)一定要記住自己是不知道公網(wǎng)的配置的，有些同學(xué)忽略了這一點(diǎn)，想不來公網(wǎng)的環(huán)境，所以也配置了同樣的路由協(xié)議，結(jié)果測(cè)試網(wǎng)絡(luò)通了，覺得實(shí)驗(yàn)成功了

6、，其實(shí)并沒有達(dá)到實(shí)驗(yàn)的要求，僅僅只是做到了一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)的胡同而已，配置完基本參數(shù)之后，一定要在出外網(wǎng)的路由器上（可能不止一臺(tái)路由器）宣告一條默認(rèn)路由出去，下一跳指向自己的出外網(wǎng)的接口上就可以了。（當(dāng)然，也可以指向R2或者R3的直連接口的IP地址上，但這樣配置已經(jīng)失去了模擬公網(wǎng)的意義） 三、 配置總部和分部之間臨時(shí)的tunnel隧道R1和R4的具體配置:在配置tunnel隧道之前一定要搞清楚tunnel隧道是在同一個(gè)網(wǎng)段的，其次配置的時(shí)候要保證隧道的編號(hào)一樣，這里選用了tunnel 0，可以使用“tunnel ？”查看能夠配置多少個(gè)tunnel隧道，tunnel隧道配置完IP地址之

7、后馬上就UP起來了，是不需要激活的，但是為了保險(xiǎn)期間也可以再次激活。解釋幾個(gè)參數(shù)：Tunnel source E0/0 指向本段tunnel的實(shí)際物理出口（可以寫端口標(biāo)號(hào)，也可以寫IP地址，寫端口標(biāo)號(hào)不容易出問題）Tunnel key 123456 設(shè)置tunnel 的密碼為123456（為了進(jìn)一步提高通道的安全性，可以設(shè)置一個(gè)密碼，但這相對(duì)于VPN的安全性而言小了很多，所以它只是臨時(shí)配置讓網(wǎng)絡(luò)通信而已，一旦網(wǎng)絡(luò)互通，就刪除這些配置，或者shutdown掉所配置的tunnel端口。配置完成之后，就相當(dāng)于出外網(wǎng)實(shí)際的物理接口不存在一樣，讓tunnel替代掉了，而且中間的公網(wǎng)可以理解成一條通路，也

8、就是說R1和R4之間用tunnel通道相連，所以要配置在同一個(gè)網(wǎng)段中。 四、 啟用RIP v2協(xié)議讓全網(wǎng)互通現(xiàn)在就可以在R1和R4之間配置RIP v2協(xié)議，并關(guān)閉路由自動(dòng)匯總功能，否則，不標(biāo)準(zhǔn)的網(wǎng)段就匯總成標(biāo)準(zhǔn)網(wǎng)段了，宣告網(wǎng)段的時(shí)候可不敢宣告實(shí)際出外網(wǎng)的接口網(wǎng)段，就當(dāng)tunnel直連的網(wǎng)段替換掉了實(shí)際的物理網(wǎng)段。 配置完成之后，使用show ip route檢測(cè)一下R1或者R4，看是否學(xué)習(xí)到了相應(yīng)的路由條目（也可以使用其它路由協(xié)議，如OSPF或者IGRP,EIGRP）而且還應(yīng)該有一條默認(rèn)路由指出去。如果沒有學(xué)習(xí)到的路由條目，可以使用show interface tunnel 0進(jìn)行排錯(cuò)。 配置客戶端PC1和PC2的IP地址和網(wǎng)關(guān)（注意書寫格式 ip ip-address default-gateway /網(wǎng)