3 层 VPN 的 ES 隧道

在 PE 路由器上配置 ES 隧道接口

要在 PE 路由器上配置 ES 隧道接口，请包括以下 unit 语句：

您可以在以下层次结构级别中包含此语句：

• [edit interfaces interface-name]

• [edit logical-systems logical-system-name interfaces interface-name]

默认情况下，隧道目标地址假定在默认互联网路由表 inet.0 中。对于使用手动安全关联 （SA） 的 IPsec 隧道，如果隧道目标地址不在默认 inet.0 路由表中，则需要指定哪些路由表，以便通过配置 routing-instance 语句来搜索隧道目标地址。如果在路由实例下也配置了隧道封装接口，情况就是如此。

您可以在以下层次结构级别中包含以下语句：

• [edit interfaces interface-name]

• [edit logical-systems logical-system-name interfaces interface-name]

  注意：

  对于使用动态 SA 的 IPsec 隧道，隧道目标地址必须位于默认互联网路由表 inet.0 中。

要完成 ES 隧道接口配置，请在适当的路由实例下包括 interface ES 接口的语句：

您可以在以下层次结构级别中包含此语句：

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]

在 CE 路由器上配置 ES 隧道接口

要在 CE 路由器上配置 ES 隧道接口，请包括以下 unit 语句：

您可以在以下层次结构级别中包含此语句：

• [edit interfaces interface-name]

• [edit logical-systems logical-system-name interfaces interface-name]

在路由器 PE1 上配置 IPsec

在路由器 PE1 上配置 IP 安全 （IPsec）：

在未封装接口的情况下配置路由实例

您可以在路由器 PE1 上配置具有或不使用封装接口的路由实例（t3-0/1/3 在此示例中）。以下部分介绍如何在没有路由实例的情况下配置路由实例：

• 在路由器 PE1 上配置路由实例
• 在路由器 PE1 上配置 ES 隧道接口
• 配置 ES 隧道的封装接口

使用封装接口配置路由实例

如果在路由实例下配置了隧道封装接口 t3-0/1/3，则需要在接口定义下指定路由实例名称。系统使用此路由实例使用手动安全关联搜索 IPsec 隧道的隧道目标地址。

以下部分介绍如何使用封装接口配置路由实例：

• 在路由器 PE1 上配置路由实例
• 在路由器 PE1 上配置 ES 隧道接口
• 在路由器 PE1 上配置封装接口

在路由器 CE1 上配置 ES 隧道接口

在路由器 CE1 上配置 ES 隧道接口：

在路由器 CE1 上配置 IPsec

在路由器 CE1 上配置 IPsec：