两个vpn实例间静态打通

没问题，可以写网段，掩码改一下行了。

可以看下这个案例：

一、组网拓扑

防火墙下接两个内网设备，两个内网设备处于不同vpn实例，通过配置vpn实例需要两个内网设备都能正常访问外网，并且能正常互访。

三、实验过程

内网1的配置：

#

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 ip address 192.168.2.1 255.255.255.0

#

 ip route-static 0.0.0.0 0 192.168.2.2

#

防火墙的配置：

#

ip vpn-instance 1                                  //创建vpn实例1

#

ip vpn-instance 2                                   //创建vpn实例2

#

interface GigabitEthernet1/0/0

 port link-mode route

 combo enable copper

 ip binding vpn-instance 1                            //接口绑定vpn实例1

 ip address 192.168.2.2 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode route

 combo enable copper

 ip binding vpn-instance 2                           //接口绑定vpn实例1

 ip address 192.168.4.2 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 combo enable copper

 ip address 1.1.1.2 255.255.255.0

 nat outbound

#

security-zone name Trust

 import interface GigabitEthernet1/0/0

 import interface GigabitEthernet1/0/1

#

security-zone name Untrust

 import interface GigabitEthernet1/0/2

#

ip route-static 0.0.0.0 0 1.1.1.1                                     //配置缺省路由

 ip route-static 192.168.2.0 24 vpn-instance 1 192.168.2.1            

 //配置指向vpn实例1的回程路由

 ip route-static 192.168.4.0 24 vpn-instance 2 192.168.4.1

//配置指向vpn实例2的回程路由

 ip route-static vpn-instance 1 0.0.0.0 0 1.1.1.1 public

//配置vpn实例1上外网时的缺省路由

 ip route-static vpn-instance 1 192.168.4.0 24 vpn-instance 2 192.168.4.1

//配置两个vpn实例互通的路由

 ip route-static vpn-instance 2 0.0.0.0 0 1.1.1.1 public

//配置vpn实例2上外网时的缺省路由

 ip route-static vpn-instance 2 192.168.2.0 24 vpn-instance 1 192.168.2.1

//配置两个vpn实例互通的路由

#