深圳市ip 城域网组网方案
八、 VPN 的 Internet 接入
8.1
VPN Internet 网关
每一个 VPN 到 Internet 的接口都是通过设置该 VPN 的一台路由器作为 Gateway 路由器来完成, Gateway 路由器有两个 logical interface 连接到 PE 上,其中一个 interface 上跑 IPv4 的 traffic ,另一个 interface 上跑 VPN 的 traffic 。
和 Gateway 路由连接的 PE 路由器发起一个 default route 到该 Gateway 路由器。因为一般 VPN 都采用保留 IP 地址块,所以在 Gateway 路由器上需要运行 NAT 功能。
参见下图的连接方式:
下面的 configuration 以电信 PE 7507 路由器为例,说明 PE 和 Gateway 路由器的连接配置:
PE Router (M-DX-7507-A):
ip vrf education
rd 65001:101
route-target export 65001:101
route-target import 65001:101
interface gigabitethernet 5/0
interface gigabitethernet 5/0.1
encapsulation dot1q 1
ip address 1.1.1 .1 255.255.255.252
interface gigabitethernet 5/0.2
encapsulation dot1q 2
ip address 2.2.2 .1 255.255.255.252
ip vrf forwarding education
Internet Gateway CE Router:
interface gigabitethernet 0/0
interface gigabitethernet 0/0.1
encapsulation dot1q 1
ip address 1.1.1 .2 255.255.255.252
ip nat outside
interface gigabitethernet 0/0.2
Encapsulation dot1q 2
Ip address 2.2.2 .2 255.255.255.252
Ip nat inside
ip route 0.0.0 .0 0.0.0.0 1.1.1.1
逻辑上,这样配置后的网络连接结构如下图所示:
