VPN

VPN — 是虚拟专用网络
通俗地说，就是通过虚拟的手段，将两个独立的网络，穿越一个公共网络进行连接，实现点到点专线的效果（可以理解为：一个分公司通过公网和总公司建立点到点的专线连接）

现实中，不通过VPN技术也可以实现点到点专线连接的效果，最简单直接的就是接个网线，将两家公司的网络直接连接起来。

那么，既然可以通过连线实现网络的连接，为什么要大费周章地搞个VPN技术，既然有VPN，就有其出现的意义，最大的意义就是 ------ 省钱
试想一下，两个公司用线连，那么线要多长，成本更是高，而VPN是通过公网作为一个虚拟的线，来实现连接，成本远远降低。

介绍完VPN，那么就来说说VPN技术

VPN技术包括了两个技术 ———— GRE和MGRE

GRE

GRE ------ 通用路由封装
这是一个标准的VPN技术，从一个私网访问另一个私网时，可以通过这个技术创建一个虚拟的tunnel接口，对方私网对应的也要创建一个虚拟的tunnel接口，当你访问对方私网时会从该tunnel接口出，此时它会在ipv4报头前再封装一个三层报头（该报头表明源目IP地址，如下图显示，表示源IP source 12.1.1.1/24 到目标IP destination 23.1.1.2/24），使该包能够顺利发送到对方的私网，对方私网收到包后，拆开报头，会发现里面还有一个三层报头，这个才是真正的三层报头，用来访问对方私网 ------ 这就达到了私网的虚拟点对点的连接

注意：tunnel接口是虚拟的，实际上出的口还是实际的口如g0/0/0或e0/0/0等实际的接口，只不过当路由器检测到该IP要走tunnel接口时，会在其前面再加一个封装再从实际口出，而检测到其他口则不会加三层报头，直接从实际接口出

看上图，配置GRE的步骤如下：

1、创建隧道接口 --- interface Tunnel 0/0/0

2、配置IP ---ip address 192.168.3.1 24

3、用GRE封装该接口 --- tunnel-protocol gre

4、表明源目IP --- source 12.1.1.1​				destination 23.1.1.2

5、给R2写路由 --- ip route-static 192.168.2.0 24 192.168.3.2​				告知R2去访问私网R3走192.168.3.2过

6、给R3写回来的路由，与R2写法一样，也可以用出接口表示 --- ip route-static 192.168.1.0 24 Tunnel 0/0/0

注意：上图中12.1.1.1和23.1.1.2都是固定的，要用到企业级宽带
也就是说每有一个公司加入连接，那么每个公司都要给加入的那个公司发一条直连，这样的话，直连的线会成指数增加，而且每条线都是企业级的宽带
企业级宽带就是接口固定
家庭版宽带就是接口不固定，会不断变动

那么既然说到直连会成指数增加，就说明费用会很高
为了解决费用高这个问题，也就有了MGRE

MGRE

MGRE — 多点GRE — 是GRE的一种扩展配置；归类于虚拟的NBMA网络
NBMA–非广播型多路访问
BMA — 广播型多路访问 – 在一个网段内可以放置多个物理节点，同时该范围内可以实施广播洪泛机制；以太网技术典型的BMA网络
相较于GRE：

​ MGRE不需要两两间的IP都固定，只需要一个中心站点的IP固定即可，而其他IP不用固定，也就是说，只要一条企业级宽带，其他用家庭版宽带也行，费用大大降低，但是这个得用到NHRP协议

NHRP — 下一跳发现协议

​ 对MGRE的作用 — 由于只有中心站点是固定的，那么其他的站点每天都会变，而NHRP协议就是让其他站点每天开机后，就向中心站点发送自己今天的IP，即使中心站点实时了解并记录其他站点的IP，并绘成一个表，以便能够正常通讯

​ 而其他站点可以到中心站点下载IP表，使其他站点可以不通过中心站点也能自行访问其他站点，例如下图：
假设AR1是中心站点，那么正常来说，AR3访问AR4要通过中心站点，因为AR3不知道AR4的路由，但是AR3到AR1那下载IP表后，就可以直接访问AR4，不用经过AR1

具体的配置可以看我的另外一个博客：

HCIP的mgre实验这个是上图实验的具体配置解析

这个是简单的MGRE配置信息：

1、interface Tunnel 0/0/0 创建隧道接口

2、ip address 192.168.4.1 24 隧道接口ip地址

3、tunnel-protocol gre p2mp  定义该隧道为多点gre隧道

4、source 14.1.1.1 该隧道加封装的报头源ip地址通过NHRP协议来获取加封装的目标ip地址

5、nhrp entry multicast dynamic  本地成为NHRP服务端

6、nhrp network-id 100 NHRP的工作编号，该网段所有设备必须在同一id

分支站点：

1、interface Tunnel 0/0/0

2、ip address 192.168.4.2 24

3、tunnel-protocol gre p2mp加封装的源ip地址，为本地的隧道实际通过接口的ip地址，填写接口编号，而不是接口ip，原因在于该接口ip地址可变

4、source GigabitEthernet 0/0/0加封装的目标ip地址，需要到NHRP中心站点获取

5、nhrp entry 192.168.4.1 14.1.1.1 register

6、nhrp network-id 100 将各站点包括中心站点分配到100组中