配置VPN与Internet互联
一般VPN内的用户只能相互通信,不能与Internet用户通信,也不能接入Internet。如果VPN的各个Site需要访问Internet,需要配置VPN与Internet互联。
前置任务
配置流程
该配置过程给出在PE侧实现VPN与Internet互联,步骤1、步骤2、步骤3之间无严格配置顺序。
操作步骤
- CE上配置静态路由
- 执行命令system-view,进入系统视图。
- 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-number [ nexthop-address ] | nexthop-address } [ preference preference | tag tag ] * [ description text ],配置到公网目的地址的静态路由。参数ip-address可以配置成公网目的IP地址,也可以配置成全零0.0.0.0(即配置缺省路由,其掩码也为全零)。出接口为与PE相连的接口;下一跳为PE上与本CE相连的接口的IP地址。 说明:如果CE与PE之间用以太网相连,则必须指定下一跳IP地址。
- 执行命令commit,提交配置。
- PE上配置到Internet的私网静态路由
- 执行命令system-view,进入系统视图。
- 执行命令ip route-static vpn-instance vpn-source-name destination-address { mask | mask-length } nexthop-address public [ preference preference | tag tag ] * [ description text ],配置从VPN用户到Internet的静态路由,并指定下一跳的地址为公网地址。
- 执行命令commit,提交配置。
- PE上配置到VPN用户的静态路由
- 执行命令system-view,进入系统视图。
- 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-number [ nexthop-address ] | vpn-instance vpn-instance-name nexthop-address | nexthop-address } [ preference preference | tag tag ] * [ description text ],配置从公网到VPN用户的静态路由(下一跳为私网地址)。 说明:如果CE与PE之间用以太网相连,则必须指定下一跳。
- 将该静态路由发布到Internet上。具体步骤请参见《CloudEngine 8800, 7800, 6800, 5800系列交换机 配置指南-IP路由》。以PE和Internet间使用OSPF协议为例,步骤如下:
- 执行命令system-view,进入系统视图。
- 执行命令ospf [ process-id ],进入OSPF视图。
- 执行命令import-route static,引入静态路由。
- 执行命令commit,提交配置。
检查配置结果
- 使用display ip routing-table vpn-instance vpn-instance-name命令在PE上查看VPN路由表,可发现VPN路由表中有到CE及公网目的设备的路由。
- 使用display ip routing-table命令在CE上及公网目的设备上查看路由表,可发现CE上有到公网目的设备的路由,公网目的设备也有到CE的路由。
- 使用ping命令检查CE与公网目的设备之间的互通性,CE和公网目的设备之间可以互相Ping通。
