VPN实例与非VPN实例间双向流量互访
- 1关注
- 0收藏,159浏览
问题描述:
单台 H3C S5800 交换机上通过VLANIF 三层接口(而非物理三层接口)实现 VPN 实例(VRF)网段与全局路由表(非 VPN 实例)网段的双向流量互访,给出具体配置脚本。
- 2025-12-26提问
- 举报
-
(0)
最佳答案
你好可以参考一下这个
以下列拓扑(图1)所示,SW1、SW2、SW3级联,其中SW1、SW3为普通CE设备,SW2为MCE交换机。
SW2与SW1互联虚接口属于vpn-instance实例12中,SW2与SW3互联虚接口不属于任何vpn-instance实例。
用户希望实现属于VPN实例12中的业务,能够与非VPN实例的业务进行互访。及设备采用(图2)中所示的相关地址配置后,属于VPN实例12的SW1 1.1.1.1/32网段 能够与 非VPN实例的SW3 3.3.3.3/32网段进行通信。
(1)SW1、SW2、SW3根据(图2)中的相关IP地址进行配置部署。
(2)SW1配置去往3.3.3.3/32网段的静态路由;SW3配置去往1.1.1.1/32网段的静态路由
SW1配置
#
ip route-static 3.3.3.3 32 12.1.1.2
#
SW3配置
#
ip route-static 1.1.1.1 32 23.1.1.2
#
(3)SW2在实例12中配置去往1.1.1.1/32网段的静态路由;在非实例中配置去往3.3.3.3/32网段的静态路由
SW2配置
#
interface Vlan-interface12
ip binding vpn-instance 12
ip address 12.1.1.2 255.255.255.0
#
interface Vlan-interface23
ip address 23.1.1.2 255.255.255.0
#
ip route-static vpn-instance 12 1.1.1.1 32 vpn-instance 12 12.1.1.1
ip route-static 3.3.3.3 32 23.1.1.3
#
(4)SW2在非实例路由表中增加去往1.1.1.1/32网段,下一跳为实例12中CE接口地址的静态路由
SW2配置
#
ip route-static 1.1.1.1 32 vpn-instance 12 12.1.1.1
#
(5)SW2在实例12路由表中增加去往3.3.3.3/32网段,下一跳为非实例中CE接口地址的静态路由
SW2配置
#
ip route-static vpn-instance 12 3.3.3.3 32 23.1.1.3
#
(6)在添加静态路由后,观察此时SW2路由表。
<SW2>display ip routing-table 1.1.1.1 //非vpn实例路由表中去往1.1.1.1/32网段路由下一跳正常。
Summary count : 1
Destination/Mask Proto Pre Cost NextHop Interface
1.1.1.1/32 Static 60 0 12.1.1.1 Vlan12
<SW2>display ip routing-table vpn-instance 12 3.3.3.3 //vpn实例12路由表中去往3.3.3.3网段路由为空,静态路由未生效。
<SW2>
(7)SW2在vpn实例12路由表中添加了去往3.3.3.3网段路由配置,增加public参数。
SW2配置
#
ip route-static vpn-instance 12 3.3.3.3 32 23.1.1.3 public
#
<SW2>display ip routing-table vpn-instance 12 3.3.3.3 //增加public后,相关静态路由生效。
Summary count : 1
Destination/Mask Proto Pre Cost NextHop Interface
3.3.3.3/32 Static 60 0 23.1.1.3 Vlan23
(8)在SW1、SW3上互ping测试正常,及VPN实例业务与非VPN实例业务可以互通。
<SW1>ping -a 1.1.1.1 3.3.3.3
Ping 3.3.3.3 (3.3.3.3) from 1.1.1.1: 56 data bytes, press CTRL_C to break
56 bytes from 3.3.3.3: icmp_seq=0 ttl=254 time=2.357 ms
56 bytes from 3.3.3.3: icmp_seq=1 ttl=254 time=1.536 ms
56 bytes from 3.3.3.3: icmp_seq=2 ttl=254 time=2.060 ms
56 bytes from 3.3.3.3: icmp_seq=3 ttl=254 time=1.743 ms
56 bytes from 3.3.3.3: icmp_seq=4 ttl=254 time=1.815 ms
--- Ping statistics for 3.3.3.3 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.536/1.902/2.357/0.282 ms
<SW3>ping -a 3.3.3.3 1.1.1.1
Ping 1.1.1.1 (1.1.1.1) from 3.3.3.3: 56 data bytes, press CTRL_C to break
56 bytes from 1.1.1.1: icmp_seq=0 ttl=254 time=2.568 ms
56 bytes from 1.1.1.1: icmp_seq=1 ttl=254 time=1.729 ms
56 bytes from 1.1.1.1: icmp_seq=2 ttl=254 time=2.024 ms
56 bytes from 1.1.1.1: icmp_seq=3 ttl=254 time=1.951 ms
56 bytes from 1.1.1.1: icmp_seq=4 ttl=254 time=1.859 ms
--- Ping statistics for 1.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.729/2.026/2.568/0.288 ms
总结:
在VPN实例路由表中添加去往非VPN实例网段,及下一跳为公共路由表(非VPN实例路由表)下一跳CE地址的静态路由时,请添加public参数,已保证相关路由能够生效。
- 2025-12-27回答
- 评论(2)
- 举报
-
(0)
你这例子是三台交换机,我说的是单台交换机如何实现
- 2025-12-26回答
- 评论(1)
- 举报
-
(0)
没权限看
没权限看
让我这个方法试试
- 2025-12-27回答
- 评论(1)
- 举报
-
(0)
都没有复制路由的命令,软件版本:7.1.045, Release 7125P05
都没有复制路由的命令,软件版本:7.1.045, Release 7125P05
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
单台就参考第二个兄弟说的用路由泄露去实现route-replicate