求教mpls vpn 上外网设置

bylijinnan

网上搜到这么一段话：

“为了能让MPLS VPN客户可以访问Internet，有很多方法可以实现，比如采用Separate (Sub)interface的方式，或者采用Route Leaking和NAT的方式。
Separate (Sub)interface这种方式主要的原理就是在CE与PE之间再做出一条单独的非VRF的链路，CE通过这条链路去访问Internet，技术难度不大，但是需要投入额外的一些费用。”

能举个实例具体说说这是怎么配置的吗？
谢谢！

bylijinnan

Separate (Sub)interface ------CE与PE之间再做出一条单独的非VRF的链路
这种方式是说CE和PE之间有两条线路 吗，一条是vpn，一条是上公网？
如果是，那公网路由怎么走呢？
（vpn的ce和pe之间采用默认路由：ce已有ip route 0.0.0.0 0.0.0.0 a.b.c.d---a.b.c.d为pe地址）

Jeff.

嗯，像你的这种方法也是可以搞定的，其实你可以在CE---PE之间创建一条tunnel，然后让internet流量走tunnel就可以了，具体的配置：
PE：

r1(config)#int tunnel 0
r1(config-if)#ip address 50.1.1.1 255.255.255.0
r1(config-if)#tunnel source 14.1.1.1
r1(config-if)#tunnel destination 14.1.1.4
r1(config-if)#tunnel vrf vpn1 /配置了到CE的Tunnel之后，还必须将该Tunnel放到VRF中
r1(config-if)#exit

r1(config)#ip route 10.1.1.0 255.255.255.0 tunnel 0 /配置到CE内部网络的路由都走tunnel

CE:
r4(config)#int tunnel 0
r4(config-if)#ip address 50.1.1.4 255.255.255.0
r4(config-if)#tunnel source 14.1.1.4
r4(config-if)#tunnel destination 14.1.1.1

r4(config)#ip route 0.0.0.0 0.0.0.0 tunnel 0/指定CE所有的路由都从Tunnel发给PE

Jeff.

另外还有NAT 路由泄露的方式都可以达到目的，都比较简单，此外上传一篇路由泄露的文档让你看看：

bylijinnan

回复 3 # Jeff. 的帖子


ce的f1/0端口的ip是14.1.1.4还是50.1.1.4呢
r4(config)#ip route 0.0.0.0 0.0.0.0 tunnel 0/指定CE所有的路由都从Tunnel发给PE
——这样的话，pe如何区分哪些是vpn流量哪些是internet流量呢


另外：
如果pe和ce之间是走静态路由的，比如这样：
pe：ip route vrf WORD 192.168.0.0 255.255.0.0 12.1.1.2
ce:  ip route 0.0.0.0 0.0.0.0 12.1.1.1
然后在pe-ce之间拉一条非vrf线路实现上公网，路由该如何配置呢


谢谢你

jiachao

JEFF，强。  楼主，不知看到了没，若还有疑问，继续跟帖问答。

bylijinnan

回复 6 # jiachao 的帖子

看到了~~很热心
非常感谢

task

回复 5 # bylijinnan 的帖子

ce的f1/0端口的ip是14.1.1.4还是50.1.1.4呢

50.1.1.4的地址是CE上tunnel0的IP地址。
14.1.1.4的地址是CE上的F1/0口地址。

jeff兄，PE上的配置，好像还少了一条到internet的默认路由吧？


Searching...

Jeff.

回复 8 # task 的帖子

暂时没有考虑出去的，只是考虑CE--PE之间

Jeff.

回复 5 # bylijinnan 的帖子

在PE上为VRF配置默认路由:

r1(config)#ip route vrf vpn10.0.0.0 0.0.0.0 x.x.x.x global 这样就可以转发了...x.x.x.x为访问internet的那条线的下一跳