Cum se completează rutele dinamice prin introducerea unui traseu de întoarcere

Funcția de intrare în rută (RRI) este utilizată pentru a popula tabela de rutare a routerului intern utilizând OSPF sau RIP pentru clienții VPN aflați la distanță sau sesiuni LAN-LAN. Funcția RRI este disponibilă în versiunea 3.5 și versiunile ulterioare ale hub-urilor din seria VPN 3000 (3005-3080). În clientul hardware VPN 3002, funcția RRI nu este implementată, deoarece acest dispozitiv este considerat un client VPN și nu un concentrator VPN. Rutele RRI pot face publicitate numai concentratorilor VPN. Pentru a face ca rutele de extindere a rețelei să revină la hub-ul VPN principal, clientul hardware VPN 3002 ar trebui să utilizeze versiunea 3.5 sau o versiune ulterioară.

Nu există cerințe speciale pentru acest document.

Informațiile conținute în acest document se referă la următoarele versiuni software și hardware:

Concentratorul Cisco VPN 3000 cu versiunea software 3.5

Cisco 2514 Router care rulează Cisco IOS® Software Release 12.2.3

Clientul hardware Cisco VPN 3002 cu versiunea software-ului 3.5 sau mai mare

Informațiile prezentate în acest document au fost obținute de la dispozitive care funcționează într-un mediu de laborator special. Toate dispozitivele descrise în acest document au fost lansate cu o configurație curată (standard). În rețeaua de lucru, trebuie să studiați impactul potențial al tuturor echipelor înainte de a le utiliza.

Există patru moduri de a utiliza RRI:

Traseele incluse sunt definițiile rețelelor LAN LAN la distanță. (Aceasta poate fi o singură rețea sau o listă de rețele.)).

RRI oferă o rută de captare pentru bazele de VPN client.

Această secțiune conține informații despre configurarea funcțiilor descrise în acest document.

Următoarea schemă de rețea este utilizată în acest document:

Clientul RRI poate fi utilizat în toate clientul VPN se conectează la concentrator VPN. Pentru a configura log RRI client-side în configurare> System> rutare IP> Reverse Injection Route (Configurare> Sistem> IP-rutare> Reverse Route Injection), apoi selectați Client Reverse calea de injectare (Adăugarea unui traseu inversă la client).

Pentru a configura RRI să extindă rețeaua la VPN client 3002, conectați în Configuration> System> rutare IP> Reverse calea de injectare (Configurare> System> IP-rutare> Reverse Traseu Adăugarea) și selectați Extindere rețea inversă calea de injectare (Adăugarea unui traseu inversă pentru extinderea rețelei).

Această sesiune între rețelele locale (LAN-LAN) la o petrecere la distanță 172.18.124.133, îmbrățișând rețea LAN 192.168.6.0/24 de rețea. În definiția LAN-LAN (selectați Configurare> System> Protocoale de tunelare> IPSec> LAN-to-LAN> Routing [Configurare> Sistem> Protocoale de tunelare> IPSec> LAN-LAN> Routing]), rețea de detectare rețea automată este utilizată în loc de liste.

Pentru a efectua setările legate de RRI, accesați Configurare> Sistem> Protocoale de tunelare> IPSec (configurare> System> Protocoale de tunelare> IPSec) rute .Pentru sunt definite în sesiunea LAN-LAN, lăsat moștenire OSPF sau procesul RIP, selectați de identificare LAN -LAN și folosind meniul drop-down în câmpul de rutare (Routing) setați Injection rută inversă (Adăugarea traseu inversă) .Pentru a salva setările, faceți clic pe butonul Apply (Aplicare).

Notă: Atunci când definiția LAN-LAN intenționează să utilizeze un RRI, Concentratorul VPN 3000 face publicitate rețelelor la distanță (o singură rețea sau o listă de rețea), astfel încât routerul încorporat să fie în afara rețelei de la distanță. Pentru informații despre tabela de rutare, consultați Verificarea / testarea căii de retur într-o sesiune între rețelele locale.

Rutele de urmărire sunt utilizate ca substitut pentru rutele către rețelele de la distanță și bazinele de clienți VPN. De exemplu, dacă partea de la distanță a VPN se află în fața rețelei 192.168.2.0/24, această rețea va fi vizibilă numai pentru rețeaua LAN în mai multe situații:

Puteți utiliza descoperirea automată a rețelei. Cu toate acestea, în acest caz, rețeaua 192.168.2.0/24 este plasată în rețeaua locală numai dacă există un tunel VPN activ. Pe scurt, rețeaua locală nu poate porni tunelul, deoarece nu are informații despre rutarea rețelei la distanță. Odată ce rețeaua de la distanță 192.168.2.0 creează un tunel, acesta trece prin rețea prin funcția de descoperire automată și apoi o introduce în procesul de rutare. Rețineți că acest lucru se aplică numai protocolului RIP; Protocolul OSPF nu poate fi utilizat în acest caz.

Această secțiune conține informații care vă ajută să vă asigurați că configurația funcționează corect.

Notă: RIP are un cronometru de așteptare de trei minute. Chiar dacă sesiunea LAN-LAN este terminată, ar trebui să dureze aproximativ trei minute pentru a termina efectiv ruta.

Mai jos este un tabel al traseelor ​​ruterului:

Deoarece 192.168.6.0/24 este utilizat în lista de rețele LAN LAN la distanță, aceste informații sunt transferate procesului de rutare. Dacă există o listă de rețele 192.168.6.x. 7.x și .8.x (toate rețelele / 24), tabela de rutare a routerului va avea următorul aspect:

În acest exemplu, 192.168.2.0 este o rețea de înlocuire la distanță. În mod prestabilit, tabela de rutare de pe ruterul intern, după ce a activat grupul de trasee de captare, este după cum urmează:

Rețineți că router-ul 172.18.124.0 este de fapt în afara rețelei deschise de interfață VPN Concentrator 3000. Dacă nu este nevoie să memoreze traseul printr-o interfață privată VPN Hub, adăugați o rută statică sau filtru traseu, reinscriptibile / blocarea traseului memorat.

Mai jos sunt valorile pentru acest exemplu:

192.168.15.0 este modul de extensie a rețelei pentru hub-ul VPN 3002.

192.168.6.0 este rețeaua pentru sesiunea LAN-LAN.

192.168.2.0 - traseu de captură.

192.168.3.1 - ruta efectuată de client.

Verificați că rutele sunt afișate în tabelul de rutare din hub-ul VPN local. Puteți verifica acest lucru în secțiunea Monitorizare> Tabel de rutare.

Rutele stocate cu RRI vor fi afișate ca trasee statice de la capătul din față (interfața # 2). În acest exemplu, acestea sunt următoarele rute:

Pentru această configurație, în prezent nu există informații despre depanare.