FAQ:AR2200,IPSec VPN总部多出口接入,IPSec VPN时,如何动态获取分支私网路由

发布时间:  2014-12-02 浏览次数:  471 下载次数:  0
问题描述
版本信息:AR2200 V200R003C01SPC900
1.单出口情况下,总部接入多个分支时,不用考虑分支的私网路由,所有的私网间流量,只需要通过默认路由转发,在出口上进行IPSec封装即可。
2.多出口情况下,总部接入多个分支时,要考虑选路问题,此时需要获取各个分支的私网路由,传统方法可通过配置静态路由解决,单如果分支数量过多,配置会相当繁琐,而且每次有新分支加入,都需要在总部添加新的静态路由,不便于后期维护。
解决方案
路由注入可以很好的解决分支路由学习的问题。
下面是路由注入的说明:
路由注入功能有静态和动态两种:
使能静态路由注入功能时:路由注入功能生成的静态路由配置后立即添加到本地,并且静态路由不随隧道状态变化而变更。
使能动态路由注入功能时:如果IPSec隧道Up,路由注入功能生成的静态路由可以添加到本地;如果IPSec隧道Down,生成的静态路由可以从本地删除。
路由注入的配置方法:
在ipsec策略视图或者IPSec策略模板视图下配置:route inject static/dynamic即可
配置路由注入后,查看路由表:
[Huawei]dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 16       Routes : 16      

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   Static  60   0          RD   1.1.1.2         GigabitEthernet0/0/1
    192.168.1.0/24  Direct  0    0           D   192.168.1.1     GigabitEthernet0/0/0
    192.168.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
    192.168.2.0/24  Unr     60   0           D   2.1.1.2         GigabitEthernet0/0/1
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
可以看到生成了一条协议标识为UNR的路由,该路由即通过IPSec动态注入生成

END