|
|
华为交换机上的 vpn-instance 是一种虚拟化技术,在物理设备上创建多个VPN实例,每个VPN实例拥有独立的接口、路由表和路由协议进程等, 对应的思科交换机上是 vrf
例如华为上配置
interface GigabitEthernet1/0/1
port link-mode route
ip binding vpn-instance Test
ip address 192.168.22.33 255.255.255.255.0
思科上配置:
interface GigabitEthernet1/0/1
port link-mode route
ip vrp forwarding Test
ip address 192.168.22.33 255.255.255.255.0
设置vpn-instance有什么作用?
例如某个交换机上运行了多个不同的业务,例如核心交换机上运行xx重要业务,但同时某个接口又和另一台业务的交换机进行互联(比如管理口和带外交换机互联)
我们不想让不同的业务互相干扰,我们就可以把某个端口设置成 vpn-instance,VPN-instance实例拥有独立的接口(可以是多个接口)、路由表和路由协议进程等
例如我们添加一条路由: ip route-static vpn-instance Test 192.168.25.10 255.255.255.255 192.168.22.254
这条路由只有 vpn-instance Test实例才有效, 对这个交换机上其他的端口都无效。
如果交换机上执行 ip route-static 192.168.25.10 255.255.255.255 192.168.22.254 而这条命令是对交换机上的非vpn-instantce Test实例端口才有效,对Gi1/0/1端口是无效的。
因为 vpn-instance实例是虚拟出来的一个独立的业务, 你可以理解为 vpn-instance Test是这个交换机上虚拟的一个虚拟机,这个虚拟机独立运行,和主体(这台交换机)没有关系,网段、路由等等都独立运行,互不相干。
再继续举例:
interface GigabitEthernet1/0/1
port link-mode route
ip binding vpn-instance Test
ip address 192.168.22.33 255.255.255.255.0
在交换机上 直接运行 Ping 192.168.22.33 你发现不通, 因为端口Gi1/0/1被放在了 vpn-instance Test 实例中,这个实例(相当于一个独立的虚拟机)和这个交换机独立运行,互不相干,
vpn-instance Test实例中设置了ip 192.168.22.33 , 你在交换机上Ping是不通的,这就相当于这台交换机是一台交换机, vpn-instance Test是另一台独立的交换机, 你在另一台交换机上设置了ip 192.168.22.33 , 你在这台交换机上ping ,肯定不通啊。
你如果想对vpn-instance实例操作,必须加上 vpn-instance ,例如 ping -vpn-instance Test 192.168.22.33 在vpn实例Test中ping
ip route-static vpn-instance Test 192.168.25.10 255.255.255.255 192.168.22.254 在 vpn实例Test中添加路由
acl number 2100
rule 1 permit source 192.168.25.10 0
rule 2 permit vpn-instance Test source 192.168.25.10 0
上面两条命令的意义是不同的, rule1 是对交换机上的普通端口设置规则, rule 2 是在 vpn-instance Test 实例中设置规则, rule 1 和 rule 2相当于是在两台交换机上设置规则。
|
|
|手机版|小黑屋|电脑计算机论坛
( 京ICP备2022023538号-1 )
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡