可以通外网,但是vpn-instance相互隔离不成功
- 0关注
- 0收藏,126浏览
问题描述:
实例可以通外网,但相互隔离不成功,路由要怎么写才可以?
组网及组网描述:
外网配置:
int g0/0
ip ad 100.64.1.1 24
quit
int l 0
ip ad 1.1.1.1 32
quit
出口路由配置:
int g0/0
ip ad 100.64.1.2 24
quit
int g0/1
ip ad 172.16.1.1 30
quit
ip route-static 0.0.0.0 0 100.64.1.1
ip route-static 192.168.10.0 24 172.16.1.2
ip route-static 192.168.20.0 24 172.16.1.2
核心交换机配置:
vlan 10
port GigabitEthernet 1/0/2
quit
vlan 20
port GigabitEthernet 1/0/3
quit
ip vpn-instance vrf10
quit
ip vpn-instance vrf20
quit
int vlan 10
ip binding vpn-instance vrf10
ip ad 192.168.10.1 24
quit
int vlan 20
ip binding vpn-instance vrf20
ip ad 192.168.20.1 24
quit
int g1/0/1
port link-mode route
y
ip ad 172.16.1.2 30
quit
ip route-static 0.0.0.0 0 172.16.1.1
ip route-static vpn-instance vrf10 0.0.0.0 0 172.16.1.1 public
ip route-static vpn-instance vrf20 0.0.0.0 0 172.16.1.1 public
ip route-static 192.168.10.0 24 vpn-instance vrf10
ip route-static 192.168.20.0 24 vpn-instance vrf20
最佳答案
当前配置存在的主要问题
- 路由表隔离但转发未隔离:核心交换机为vrf10/vrf20配置了独立的默认路由,但从出口路由器返回的流量(目的地址为192.168.10.0/24或192.168.20.0/24)到达G1/0/1接口时,因该接口属于全局路由表,无法直接进入对应的VPN实例。
- 缺少NAT转换:出口路由器没有配置NAT,VPN实例的私有地址无法在公网路由,导致外网回程流量无法返回。
- 静态路由配置冗余:核心交换机上为vrf10/vrf20配置的到达192.168.10.0/24和192.168.20.0/24的静态路由是多余的(这两个网段是直连的)。
解决方案
步骤一:在核心交换机上配置策略路由,将回程流量导入正确的VPN实例
# 创建ACL匹配两个VPN实例的网段
acl advanced 3000
rule 0 permit ip destination 192.168.10.0 0.0.0.255
rule 5 permit ip destination 192.168.20.0 0.0.0.255
#
# 创建策略路由,将匹配的流量重定向到对应的VPN实例
policy-based-route to-vpn permit node 10
if-match acl 3000
apply access-vpn vrf10 # 将去往vrf10网段的流量导入vrf10
#
policy-based-route to-vpn permit node 20
if-match acl 3000
apply access-vpn vrf20 # 将去往vrf20网段的流量导入vrf20
#
# 在连接出口路由器的接口入方向应用策略路由
interface GigabitEthernet1/0/1
ip policy-based-route to-vpn步骤二:在出口路由器上配置NAT,使VPN实例能访问外网
# 创建ACL匹配两个VPN实例的网段
acl advanced 2000
rule 0 permit ip source 192.168.10.0 0.0.0.255
rule 5 permit ip source 192.168.20.0 0.0.0.255
#
# 在外网接口出方向应用NAT
interface GigabitEthernet0/0
nat outbound 2000步骤三:清理冗余的静态路由配置
# 删除VPN实例内指向自身直连网段的静态路由
undo ip route-static vpn-instance vrf10 192.168.10.0 24
undo ip route-static vpn-instance vrf20 192.168.20.0 24验证与测试
- 验证VPN实例隔离:分别从VLAN 10和VLAN 20下的终端互相ping对方的IP地址(如192.168.10.x与192.168.20.x),应该不通。
- 验证外网访问:在两个VPN实例的终端上ping外网地址(如8.8.8.8),应该通。
- 检查路由表:
# 在核心交换机上查看各VPN实例路由表 display ip routing-table vpn-instance vrf10 display ip routing-table vpn-instance vrf20 # 查看策略路由应用情况 display ip policy-based-route
配置要点说明
- 策略路由是关键:它根据目的地址将入站流量重定向到对应的VPN实例路由表,解决回程流量无法进入正确VPN实例的问题。
- NAT必须配置:出口路由器上的NAT将VPN实例的私有地址转换为公网地址,确保外网流量能正常返回。
- 路由表独立:每个VPN实例有自己的默认路由,确保出站流量能正确送达出口路由器。
替代方案(如需更高扩展性)
- 核心交换机与出口路由器之间创建Dot1q子接口,每个子接口绑定一个VPN实例。
- 出口路由器对应配置子接口,并在每个子接口上配置NAT或路由。
- 此方案更标准,但需要调整现有IP地址规划。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论