实验拓扑:
实验目的:1.北京SRX550和上海SRX340建立ipsec vpn。
2.SRX防火墙和EX交换机ospf互联。
3.北京的10.5.30.0网段通过vpn访问上海10.15.230.0网段。
实验过程:
SRX550建立和SRX340的ipsec vpn:
SRX550和EX2200建立ospf:
3.不做任何配置的话,此时北京的vlan30是无法访问公网的,我们查看EX2200路由:
4.发现2200没有学习到550的默认路由:
查看550上的默认路由:
5.Junos中:The default export policy for OSPF is to reject all routes。所以我们需要配置和应用策略去覆盖默认策略:
同理550上也学习不到2200的vlan30的路由,需要在2200上做相同的操作,将本地路由通过ospf宣告给550。
6.查看SRX550和EX2200的路由表:
550:
2200:
此时,2200通过ospf从550上学习到了公网和对端vpn的路由。
7.测试北京的vlan30访问上海vlan230:
ping:
session:
测试成功。
后续还可以拓展实验:比如北京和上海之间连接专线全网跑ospf;公网和内网做vpn的主备;结合vrrp和HA做全网冗余等。
