用于第 3 层 VPN 的 ES 隧道

在 PE 路由器上配置 ES 隧道接口

要在 PE 路由器上配置 ES 隧道接口，请添加 unit 语句：

您可以在以下层级包含此语句：

• [edit interfaces interface-name]

• [edit logical-systems logical-system-name interfaces interface-name]

默认情况下，假定隧道目标地址位于默认互联网路由表 inet.0 中。对于使用手动安全关联 （SA） 的 IPsec 隧道，如果隧道目的地址不在默认的 inet.0 路由表中，则需要通过配置 routing-instance语句来指定要搜索隧道目的地址的路由表。如果隧道封装接口也是在路由实例下配置的，则会出现这种情况。

您可以在以下层级包含这些语句：

• [edit interfaces interface-name]

• [edit logical-systems logical-system-name interfaces interface-name]

  注意：

  对于使用动态 SA 的 IPsec 隧道，隧道目标地址必须位于默认互联网路由表 inet.0 中。

要完成 ES 隧道接口配置，请在相应的路由实例下包含 interface ES 接口的语句：

您可以在以下层级包含此语句：

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]

在 CE 路由器上配置 ES 隧道接口

要在 CE 路由器上配置 ES 隧道接口，请添加 unit 语句：

您可以在以下层级包含此语句：

• [edit interfaces interface-name]

• [edit logical-systems logical-system-name interfaces interface-name]

在路由器 PE1 上配置 IPsec

在路由器 PE1 上配置 IP 安全 （IPsec）：

配置不使用封装接口的路由实例

您可以在路由器 PE1 上配置路由实例，使用或不使用封装接口（t3-0/1/3 在本例中为 ）。以下部分介绍如何在没有它的情况下配置路由实例：

• 在路由器 PE1 上配置路由实例
• 在路由器 PE1 上配置 ES 隧道接口
• 配置ES隧道的封装接口

使用封装接口配置路由实例

如果路由实例下也配置了隧道封装接口 t3-0/1/3、，则需要在接口定义下指定路由实例名称。系统使用此路由实例，通过手动安全关联搜索 IPsec 隧道的隧道目的地址。

以下章节说明如何使用封装接口配置路由实例：

• 在路由器 PE1 上配置路由实例
• 在路由器 PE1 上配置 ES 隧道接口
• 在路由器 PE1 上配置封装接口

在路由器 CE1 上配置 ES 隧道接口

在路由器 CE1 上配置 ES 隧道接口：

在路由器 CE1 上配置 IPsec

在路由器 CE1 上配置 IPsec：