技术支持文档中心路由器接入路由器AR100&200配置调测配置指南

AR100, AR120, AR150, AR160, AR200, AR300, AR1200, AR2200, AR3200, AR3600 V200R010 配置指南-VPN(命令行)

本文档针对VPN特性,从配置过程和配置举例两方面对特性进行介绍。

配置VPN与Internet互联

配置VPN与Internet互联

一般VPN内的用户只能相互通信,不能与Internet用户通信,也不能接入Internet。如果VPN的各个Site需要访问Internet,需要配置VPN与Internet互联。

前置任务

配置流程

该配置过程给出在PE侧实现VPN与Internet互联,步骤1、步骤2、步骤3之间无严格配置顺序。

操作步骤

  1. CE上配置静态路由
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-number [ nexthop-address ] | nexthop-address } [ preference preference | tag tag ] * [ description text ],配置到公网目的地址的静态路由。

      参数ip-address可以配置成公网目的IP地址,也可以配置成全零0.0.0.0(即配置缺省路由,其掩码也为全零)。出接口为与PE相连的接口;下一跳为PE上与本CE相连的接口的IP地址。

      如果CE与PE之间用以太网相连,则必须指定下一跳IP地址。

  2. PE上配置到Internet的私网静态路由
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip route-static vpn-instance vpn-source-name destination-address { mask | mask-length } nexthop-address public [ preference preference | tag tag ] * [ description text ],配置从VPN用户到Internet的静态路由,并指定下一跳的地址为公网地址。
  3. PE上配置到VPN用户的静态路由
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-number [ nexthop-address ] | vpn-instance vpn-instance-name nexthop-address | nexthop-address } [ preference preference | tag tag ] * [ description text ],配置从公网到VPN用户的静态路由(下一跳为私网地址)。

      如果CE与PE之间用以太网相连,则必须指定下一跳。

    3. 将该静态路由发布到Internet上。

      具体步骤请参见《Huawei AR系列接入路由器 配置指南-IP路由》。以PE和Internet间使用OSPF协议为例,步骤如下:

      1. 执行命令system-view,进入系统视图。
      2. 执行命令ospf [ process-id ],进入OSPF视图。
      3. 执行命令import-route static,引入静态路由。

检查配置结果

  • 使用display ip routing-table vpn-instance vpn-instance-name命令在PE上查看VPN路由表,可发现VPN路由表中有到CE及公网目的设备的路由。
  • 使用display ip routing-table命令在CE上及公网目的设备上查看路由表,可发现CE上有到公网目的设备的路由,公网目的设备也有到CE的路由。
  • 使用ping命令检查CE与公网目的设备之间的互通性,CE和公网目的设备之间可以互相Ping通。