基于BGP/MPLS VPN的宽带IP教育城域网路由策略

　　（3）. 两个6509上的路由表中包括以下内容：

　　Cernet一6509：

　　① VPN－Cernet内部路由，从Cernet－12012学到，指向Cernet一12012上VPN-Cernet对应端口；

　　② VPN－163内部路由，从Cernet－12012学到，指向Cernet－12012上163-Cernet对应端口；

　　③ Cernet外部路由，静态指定，指向Cernet外部接口；

　　④ 缺省路由：指向Cernet外部接口（当163-6509发生故障时起作用）。

　　163—6509：

　　① VPN－Cernet内部路由，从163－12012学到，指向163－12012上VPN－Cernet对应端口；

　　② VPN－163内部路由，从163－12012学到，指向163－12012上163－Cernet对应端口；

　　③ Cernet外部路由，从163－12012学到，指向163－12012上VPN－Cernet对应端口；

　　④ 缺省路由：指向163　PIX　inside接口。

　　当VPN-163访问VPN－Cernet时将会首先到达163－6509，由于163－6509知道VPN－Cernet的路由，故该访问将通过163－6509到达VPN－Cernet。需要注意的是这里要在这两个VPN连接端口间做NAT（VPN－163－>VPN－Cernet），本工程中是在163－6509的两个子端口间做地址转换。由于Cernet－6509是作为内部访问的一个备份机，需要在其上做出相同的配置。

　　在163－6509／Cernet－6509和VPN－Cernet相接的端口上（outside），定义以下access－List：

　　ip access－list extend Cernet－to—163 VPN

　　permit 　ip　＜any＞ ＜VPN－163 nat pool ip address＞

　　permit 　ip　＜any＞ ＜VPN－163内部开放的IP＞

　　permit 　ip　<any＞ ＜在163－6509上静态映射的IP＞

　　permit 　ip　……

　　原因是路由器上的 NAT和 PIX不同，PIX如果没有定义static，outside,就不能访问 inside；路由器上没有security的概念，只要有路由，outside都能访问inside网络。不加访问控制列表无法进行控制。