前提条件:

设备已配置loopback口,控制器可通过loopback口管理设备

实现注意事项:

1、需要先通过ipsec打通CPE到VPE loopback地址,ipsec配置步骤需要提前
2、ipsec policy下增加reverse-route dynamic命令,用于自动生成到VPE loopback地址静态路由
3、ipsec policy名称使用wan接口上已有的配置名称,Sequence number不能相同。接口上的ipsec policy名称在添加设备时读取

ipsec acl配置(改造点,现在有流程为CPE和VPE的WAN口地址,需要改为loopback地址)

  1. acl advanced name connection-nzy_cpe-14_vpe14
  2.  rule 5 permit ip source 14.14.14.14 0 destination 15.15.15.15 0

ipsec transform-set配置(改造点,名称使用读取上来的ipsec名称)

  1. ipsec transform-set connection-nzy_cpe-14_vpe14
  2.  esp encryption-algorithm aes-cbc-128
  3.  esp authentication-algorithm sha1

ike keychain配置(改造点,名称使用读取上来的ipsec名称)

  1. ike keychain connection-nzy_cpe-14_vpe14
  2.  pre-shared-key address 172.171.15.24 255.255.255.0 key simple admin

ike profile配置(改造点,名称使用读取上来的ipsec名称)

  1. ike profile connection-nzy_cpe-14_vpe14
  2.  keychain connection-nzy_cpe-14_vpe14
  3.  dpd interval 10 periodic
  4.  match remote identity address 172.171.15.24 255.255.255.0

ipsec policy配置(改造点,名称使用读取上来的ipsec名称,增加reverse-route dynamic配置)

  1. ipsec policy connection-nzy_cpe-14_vpe14 100 isakmp
  2.  transform-set connection-nzy_cpe-14_vpe14
  3.  security acl name connection-nzy_cpe-14_vpe14
  4.  remote-address 172.171.15.24
  5.  ike-profile connection-nzy_cpe-14_vpe14
  6.  sa trigger-mode auto
  7.  reverse-route dynamic

vxlan tunnel配置(改造点,使用CPE和VPE loopback地址作为源目的地址)

  1. interface Tunnel1 mode vxlan
  2.  source 14.14.14.14
  3.  destination 15.15.15.15