Reverse Route Injection (RRI) viene utilizzato per popolare la tabella di routing di un router interno che esegue il protocollo Open Shortest Path First (OSPF) o il protocollo RIP (Routing Information Protocol) per client VPN remoti o sessioni LAN-LAN. RRI è stato introdotto nelle versioni 3.5 e successive della serie VPN 3000 Concentrator (3005 - 3080). RRI non è incluso nel client hardware VPN 3002 poiché viene considerato come client VPN e non come concentratore VPN. Solo i concentratori VPN possono annunciare route RRI. Il client hardware VPN 3002 deve eseguire le versioni 3.5 o successive del codice per reinserire le route di estensione di rete nel concentratore VPN principale.
Nessun requisito specifico previsto per questo documento.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Cisco VPN 3000 Concentrator con software versione 3.5
Router Cisco 2514 con software Cisco IOS® versione 12.2.3
Cisco VPN 3002 Hardware Client con software versione 3.5 o successive
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
È possibile utilizzare RRI in quattro modi:
I client software VPN inseriscono il proprio indirizzo IP assegnato come percorsi host.
Un client hardware VPN 3002 si connette utilizzando la modalità di estensione della rete (NEM, Network Extension Mode) e inserisce il proprio indirizzo di rete protetto. Si noti che un client hardware VPN 3002 in modalità PAT (Port Address Translation) viene trattato come un client VPN.
Le definizioni di rete remota da LAN a LAN sono le route inserite. (Può trattarsi di una singola rete o di un elenco di reti.)
RRI fornisce una route di blocco per i pool di client VPN.
Quando si utilizza RRI, è possibile utilizzare RIP o OSPF per annunciare queste route. Nelle versioni precedenti del codice VPN Concentrator, le sessioni da LAN a LAN possono utilizzare l'individuazione automatica della rete. Tuttavia, questo processo può utilizzare RIP solo come protocollo di routing per la pubblicità.
Nota: non è possibile utilizzare RRI con il protocollo VRRP (Virtual Router Redundancy Protocol) perché sia il server master che il server di backup annunciano le route RRI. Ciò può causare problemi di routing. Per ulteriori informazioni su questo problema, consultare l'ID bug Cisco CSCdw30156 (solo utenti registrati).
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).
Nel documento viene usata questa impostazione di rete:
Nel documento vengono usate queste configurazioni:
Configurazione router |
---|
2514-b#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IK8OS-L), Version 12.2(3), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2001 by cisco Systems, Inc. Compiled Wed 18-Jul-01 20:14 by pwade Image text-base: 0x0306B450, data-base: 0x00001000 2514-b#write terminal Building configuration... Current configuration : 561 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 2514-b ! ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 ! interface Ethernet0 ip address 192.168.1.10 255.255.255.0 ! interface Ethernet1 no ip address shutdown ! router rip version 2 network 192.168.1.0 ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.1 ip http server ! line con 0 line aux 0 line vty 0 4 ! end |
Per annunciare le route individuate da RRI, è necessario che sia abilitato almeno RIP in uscita sull'interfaccia privata del concentratore VPN locale (rappresentato da VPN 3030b nel diagramma della rete). Per l'individuazione automatica della rete è necessario che sia abilitato RIP in ingresso che RIP in uscita. RRI del client può essere utilizzato su tutti i client VPN che si connettono a VPN Concentrator, ad esempio VPN, Layer 2 Tunnel Protocol (L2TP), Point-to-Point Tunneling Protocol (PPTP) e così via.
RRI client può essere utilizzato su tutti i client VPN che si connettono a VPN Concentrator. Per configurare l'RRI del client, selezionare Configurazione > Sistema > Instradamento IP > Inversione instradamento (Reverse Route Injection) e selezionare l'opzione Client Reverse Route Injection.
Nota: VPN Concentrator ha un gruppo e un utente definiti, oltre a un pool di client di 192.168.3.1 - 192.168.3.254. Vedere Verify / Test RIPv2 per ulteriori informazioni sulla tabella di routing.
Per configurare l'RRI dell'estensione di rete per il client VPN 3002, andare a Configurazione > Sistema > Routing IP > Reverse Route Injection e selezionare l'opzione per Network Extension Reverse Route Injection.
Nota: il client VPN 3002 deve eseguire il codice 3.5 o versioni successive per consentire il funzionamento dell'RRI dell'estensione di rete. Per informazioni sulla tabella di routing, vedere Verify / Test NEM RRI.
Questa è una sessione LAN-to-LAN con un peer remoto di 172.18.124.133 che copre la rete 192.168.6.0/24 sulla LAN locale. Nella definizione da LAN a LAN, (selezionare Configurazione > Sistema > Protocolli di tunneling > IPSec > Da LAN a LAN > Routing), viene utilizzato il rilevamento automatico della rete anziché gli elenchi delle reti.
Nota: tenere presente che solo RIP può essere utilizzato per annunciare l'indirizzo di rete remoto quando si utilizza l'individuazione automatica della rete. In questo caso, al posto di RRI viene utilizzata la normale individuazione automatica. Per informazioni sulla tabella di routing, vedere Verifica/test dell'individuazione automatica delle reti LAN-LAN.
Per configurare RRI, selezionare Configurazione > Sistema > Protocolli di tunneling > IPSec. Nella definizione da LAN a LAN, utilizzare il menu a discesa per impostare il campo Routing su Reverse Route Injection in modo che le route definite nella sessione da LAN a LAN vengano passate al processo RIP o OSPF. Fare clic su Applica per salvare l'impostazione.
Nota: quando la definizione da LAN a LAN è impostata per l'utilizzo di RRI, il concentratore VPN 3000 annuncia le reti remote (rete singola o elenco di reti) in modo che il router interno sia lontano dalla rete remota. Per informazioni sulla tabella di routing, vedere Verifica/test dell'RRI di rete da LAN a LAN.
Per la configurazione in modalità CLI, fare riferimento a Verifica della correttezza del routing per l'inserimento delle informazioni delle reti VPN da LAN a LAN remote nella rete OSPF in esecuzione.
Le route di attesa vengono utilizzate come segnaposto per le route verso reti remote o pool di client VPN. Ad esempio, se un peer VPN remoto fronteggia la rete 192.168.2.0/24, la LAN locale è in grado di rilevare solo alcuni modi:
Il router interno (ad esempio, 2514-b nella configurazione del router di esempio) dispone di un percorso statico per 192.168.2.0/24 che punta all'indirizzo privato del concentratore VPN. Si tratta di una soluzione accettabile se non si desidera eseguire RRI o se VPN Concentrator non supporta questa funzionalità.
È possibile utilizzare l'individuazione automatica della rete. Tuttavia, in questo modo la rete 192.168.2.0/24 viene inserita nella rete locale solo quando il tunnel VPN è attivo. In breve, la rete locale non può avviare il tunnel poiché non ha alcuna conoscenza del routing della rete remota. Quando la rete remota 192.168.2.0 richiama il tunnel, passa la rete attraverso il rilevamento automatico e la inserisce nel processo di routing. Tenere presente che ciò vale solo per RIP; Impossibile utilizzare OSPF in questo caso.
L'utilizzo delle route di blocco del pool di indirizzi annuncia sempre le reti definite in modo che sia la rete locale che quella remota possano attivare il tunnel se questo non esiste.
Per configurare le route bloccate nel pool di indirizzi, selezionare Configurazione > Sistema > Routing IP > Reverse Route Injection e immettere il pool di indirizzi, come mostrato di seguito. Per informazioni sulla tabella di routing, vedere Verifica/Test delle route di attesa.
Per utilizzare OSPF, selezionare Configuration > System > IP Routing > OSPF, quindi immettere l'ID del router (indirizzo IP). Selezionare le opzioni per Sistema autonomo e Abilitato. Notare che per inserire le route RRI nella tabella OSPF, è necessario che il processo OSPF sul concentratore VPN 3000 sia un sistema autonomo.
Per informazioni sulla tabella di routing, vedere Verify / Test OSPF With RRI.
Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.
Lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare l'OIT per visualizzare un'analisi dell'output del comando show.
VPN Concentrator ha un gruppo definito dall'utente e un pool di client pari a 192.168.3.1 - 192.168.3.254.
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 C 192.168.1.0/24 is directly connected, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:21, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 192.168.3.0/32 is subnetted, 1 subnets R 192.168.3.1 [120/1] via 192.168.1.5, 00:00:21, Ethernet0 !--- 192.168.3.1 is the client-assigned IP address !--- for the newly connected VPN Client. S* 0.0.0.0/0 [1/0] via 192.168.1.1
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 192.168.3.0/32 is subnetted, 2 subnets R 192.168.3.2 [120/1] via 192.168.1.5, 00:00:05, Ethernet0 R 192.168.3.1 [120/1] via 192.168.1.5, 00:00:05, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
Con l'aggiunta di route host per ogni client VPN, sulla tabella di routing potrebbe essere più semplice utilizzare una route di attesa per 192.168.3.0/24. In altre parole, diventa una scelta tra 250 route host che utilizzano RRI client e una route di attesa di rete.
Di seguito è riportato un esempio che mostra l'utilizzo di una route di attesa:
Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:13, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 192.168.3.0/24 is subnetted, 1 subnets R 192.168.3.0 [120/1] via 192.168.1.5, 00:00:14, Ethernet0 !--- There is one entry for the 192.168.3.x network, !--- rather than 1 for each host for the VPN pool. S* 0.0.0.0/0 [1/0] via 192.168.1.1
Di seguito è riportata la tabella di routing del router:
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 R 192.168.15.0/24 [120/1] via 192.168.1.5, 00:00:05, Ethernet0 !--- This is the network behind the VPN 3002 Client. 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:07, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:04, Ethernet0 R 192.168.6.0/24 [120/2] via 192.168.1.5, 00:00:04, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
Nota: RIP dispone di un timer di attesa di tre minuti. Anche se la sessione da LAN a LAN è interrotta, il tempo necessario per il completamento del percorso è di circa tre minuti.
Di seguito è riportata la tabella di routing del router:
Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:11, Ethernet0 R 192.168.6.0/24 [120/1] via 192.168.1.5, 00:00:11, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
Poiché nell'elenco delle reti remote da LAN a LAN è stato usato 192.168.6.0/24, queste informazioni vengono passate al processo di routing. Se l'elenco delle reti contiene 192.168.6.x, .7.x e .8.x (tutte le /24), la tabella di routing del router avrà il seguente aspetto:
R 192.168.8.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:02, Ethernet0 R 192.168.6.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0 R 192.168.7.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1 ...
Nell'esempio, 192.168.2.0 è la rete remota che si desidera utilizzare come segnaposto. Per impostazione predefinita, la tabella di routing sul router interno dopo aver abilitato il pool di blocchi mostra:
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 R 192.168.2.0/24 [120/1] via 192.168.1.5, 00:00:06, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
Il percorso 172.18.124.0 è in realtà la rete di interfaccia pubblica esterna del concentratore VPN 3000. Se non si desidera che la route venga appresa tramite l'interfaccia privata del concentratore VPN, aggiungere una route statica o un filtro di route per riscrivere o bloccare la route appresa.
Se si utilizza un percorso statico che punta al firewall aziendale alla posizione 192.168.1.1, la tabella di routing mostrerà che l'indirizzo ip 172.18.124.0 255.255.255.0 192.168.1.1 è stato utilizzato, come mostrato di seguito:
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.18.0.0/24 is subnetted, 1 subnets S 172.18.124.0 [1/0] via 192.168.1.1 C 192.168.1.0/24 is directly connected, Ethernet0 R 192.168.2.0/24 [120/1] via 192.168.1.5, 00:00:28, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
2514-b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 O E2 192.168.15.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0 O E2 192.168.6.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0 C 192.168.1.0/24 is directly connected, Ethernet0 O E2 192.168.2.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0 192.168.3.0/32 is subnetted, 1 subnets O E2 192.168.3.1 [110/20] via 192.168.1.5, 00:00:08, Ethernet0 S* 0.0.0.0/0 [1/0] via 192.168.1.1
Di seguito sono riportati i valori per questo esempio:
192.168.15.0 è la modalità di estensione di rete per VPN 3002 Concentrator.
192.168.6.0 è la rete della sessione LAN-LAN.
192.168.2.0 è un percorso di attesa.
192.168.3.1 è un percorso iniettato dal client.
Verificare che le route vengano visualizzate nella tabella di routing nel concentratore VPN locale. Per verificare questa condizione, passare a Monitoraggio > Tabella di routing.
È possibile visualizzare le route apprese tramite RRI come route statiche dell'interfaccia pubblica (interfaccia 2). In questo esempio, le route sono:
La route 192.168.2.0 indica che l'hop successivo è quello dell'indirizzo IP dell'interfaccia pubblica, 172.18.124.132.
Il client VPN a cui è stato assegnato l'indirizzo 192.168.3.1 ha l'hop successivo al gateway predefinito per il concentratore VPN sulla rete pubblica (172.18.124.1).
La connessione LAN a LAN all'indirizzo 192.168.6.0 mostra l'indirizzo peer di 172.18.124.133, e lo stesso vale per VPN 3002 Concentrator in modalità di estensione della rete.
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
02-Feb-2006 |
Versione iniziale |