如何使用反向路由注入填充動態路由
目錄
簡介
反向路由注入(RRI)用於為遠端VPN客戶端或LAN到LAN會話填充運行開放最短路徑優先(OSPF)協定或路由資訊協定(RIP)的內部路由器的路由表。RRI被引入到VPN 3000集中器系列(3005 - 3080)3.5及更高版本中。RRI不包括在VPN 3002硬體客戶端中,因為它被視為VPN客戶端而不是VPN集中器。只有VPN集中器可以通告RRI路由。VPN 3002硬體客戶端必須運行代碼的3.5版或更高版本,才能將網路擴展路由重新注入到主VPN集中器。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
軟體版本3.5的Cisco VPN 3000 Concentrator
-
運行Cisco IOS®軟體版本12.2.3的Cisco 2514路由器
-
軟體版本為3.5或更高版本的Cisco VPN 3002硬體客戶端
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
背景資訊
可以使用RRI的方式有四種:
-
VPN軟體客戶端將分配的IP地址注入為主機路由。
-
VPN 3002硬體客戶端使用網路擴展模式(NEM)連線,並注入其受保護的網路地址。(請注意,在埠地址轉換(PAT)模式下的VPN 3002硬體客戶端被視為VPN客戶端。)
-
LAN到LAN遠端網路定義是注入路由。(這可以是單個網路或網路清單。)
-
RRI為VPN客戶端池提供抑制路由。
使用RRI時,可以使用RIP或OSPF通告這些路由。使用早期版本的VPN集中器代碼,LAN到LAN會話可以使用網路自動發現。但是,此過程只能使用RIP作為其通告路由協定。
注意:RRI不能用於虛擬路由器冗餘協定(VRRP),因為主伺服器和備份伺服器都通告RRI路由。這可能會導致路由問題。註冊客戶可在Cisco錯誤ID CSCdw30156(僅限註冊客戶)中獲得有關此問題的更多詳細資訊。
設定
本節提供用於設定本文件中所述功能的資訊。
註:使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。
網路圖表
本檔案會使用以下網路設定:
組態
本檔案會使用以下設定:
| 路由器配置 |
|---|
2514-b#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IK8OS-L), Version 12.2(3), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2001 by cisco Systems, Inc. Compiled Wed 18-Jul-01 20:14 by pwade Image text-base: 0x0306B450, data-base: 0x00001000 2514-b#write terminal Building configuration... Current configuration : 561 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 2514-b ! ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 ! interface Ethernet0 ip address 192.168.1.10 255.255.255.0 ! interface Ethernet1 no ip address shutdown ! router rip version 2 network 192.168.1.0 ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.1 ip http server ! line con 0 line aux 0 line vty 0 4 ! end |
使用RIPv2的VPN 3000集中器配置
為了通告RRI獲知的路由,您必須在本地VPN集中器的專用介面(網路圖中的VPN 3030b表示)上啟用出站RIP(至少)。 網路自動發現要求同時啟用入站和出站RIP。客戶端RRI可用於連線到VPN集中器的所有VPN客戶端(例如VPN、第2層隧道協定(L2TP)、點對點隧道協定(PPTP)等)。
客戶端反向路由注入
客戶端RRI可用於連線到VPN集中器的所有VPN客戶端。若要配置客戶端RRI,請轉到Configuration > System > IP Routing > Reverse Route Injection,然後選擇Client Reverse Route Injection選項。
注意:VPN集中器定義了組和使用者,並且客戶端池為192.168.3.1 - 192.168.3.254。有關路由表詳細資訊,請參閱驗證/測試RIPv2。
網路擴展RRI(僅限NEM中的VPN 3002客戶端)
要為VPN 3002客戶端配置網路擴展RRI,請轉至Configuration > System > IP Routing > Reverse Route Injection,然後選擇Network Extension Reverse Route Injection選項。
注意:VPN 3002客戶端必須運行3.5或更高版本的代碼才能使網路擴展RRI正常工作。有關路由表資訊,請參閱驗證/測試NEM RRI。
LAN到LAN網路自動探索
這是一個LAN到LAN會話,其遠端對等體為172.18.124.133,覆蓋本地LAN上的網路192.168.6.0/24。在LAN到LAN定義中(選擇Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN > Routing),使用網路自動發現而不是網路清單。
注意:請記住,使用網路自動發現時,只有RIP可用於通告遠端網路地址。在這種情況下,將使用普通自動發現而不是RRI。有關路由表資訊,請參閱驗證/測試LAN到LAN網路自動發現。
LAN到LAN網路RRI
若要針對RRI進行設定,請前往Configuration > System > Tunneling Protocols > IPSec。在LAN到LAN定義中,使用下拉選單將Routing欄位設定為Reverse Route Injection,以便將LAN到LAN會話中定義的路由傳遞到RIP或OSPF進程。按一下Apply儲存設定。
注意:當LAN到LAN定義設定為使用RRI時,VPN 3000集中器將通告遠端網路(單個網路或網路清單),以便內部路由器遠離遠端網路。有關路由表資訊,請參閱驗證/測試LAN到LAN網路RRI。
要在CLI模式下配置,請參閱驗證路由是否正確,以便將遠端LAN到LAN VPN網路的資訊注入運行網路的OSPF。
抑制路由
保留路由用作到遠端網路或VPN客戶端池的路由的佔位符。例如,如果遠端VPN對等體位於192.168.2.0/24網路的前面,則本地LAN只能通過幾種方法檢視該網路:
-
內部路由器(例如路由器配置示例中的2514-b)具有指向VPN集中器專用地址的192.168.2.0/24靜態路由。如果您不想運行RRI或VPN集中器不支援此功能,則這是可接受的解決方案。
-
您可以使用網路自動發現。但是,這只會在VPN隧道啟動時將網路192.168.2.0/24推入本地網路。簡而言之,本地網路無法啟動隧道,因為它不知道遠端網路的路由。192.168.2.0遠端網路啟動隧道後,它會通過該網路自動發現,然後將它注入路由進程。請記住,這僅適用於RIP;在這種情況下,不能使用OSPF。
-
使用地址池抑制路由始終通告定義的網路,以便在隧道不存在時,本地網路和遠端網路都可以啟動隧道。
要配置地址池抑制路由,請轉到Configuration > System > IP Routing > Reverse Route Injection並輸入地址池,如下所示。有關路由表資訊,請參閱驗證/測試抑制路由。
將OSPF用於RRI
若要使用OSPF,請轉到Configuration > System > IP Routing > OSPF,然後輸入Router ID(IP地址)。 選擇Autonomous System和Enabled的選項。請注意,要將RRI路由推入OSPF表,您需要將VPN 3000集中器上的OSPF進程設定為自治系統。
有關路由表資訊,請參閱使用RRI驗證/測試OSPF。
驗證
本節提供的資訊可用於確認您的組態是否正常運作。
輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。
驗證/測試RIPv2
VPN客戶端連線之前的路由表
VPN集中器定義了一個組和使用者,以及一個客戶端池192.168.3.1 - 192.168.3.254。
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
C 192.168.1.0/24 is directly connected, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
VPN客戶端連線期間的路由表
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:21, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
192.168.3.0/32 is subnetted, 1 subnets
R 192.168.3.1 [120/1] via 192.168.1.5, 00:00:21, Ethernet0
!--- 192.168.3.1 is the client-assigned IP address !--- for the newly connected VPN Client.
S* 0.0.0.0/0 [1/0] via 192.168.1.1
連線兩個客戶端時的路由表
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
192.168.3.0/32 is subnetted, 2 subnets
R 192.168.3.2 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
R 192.168.3.1 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
為每個VPN客戶端新增主機路由後,在路由表上更容易使用192.168.3.0/24的抑制路由。換句話說,它成為使用客戶端RRI的250個主機路由與一條網路抑制路由之間的選擇。
以下是顯示抑制路由用法的範例:
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:13, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
192.168.3.0/24 is subnetted, 1 subnets
R 192.168.3.0 [120/1] via 192.168.1.5, 00:00:14, Ethernet0
!--- There is one entry for the 192.168.3.x network, !--- rather than 1 for each host for the VPN pool.
S* 0.0.0.0/0 [1/0] via 192.168.1.1
驗證/測試NEM RRI
路由器的路由表如下:
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
R 192.168.15.0/24 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
!--- This is the network behind the VPN 3002 Client.
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
驗證/測試LAN到LAN網路自動發現
LAN到LAN連線之前的路由表(網路自動發現)
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:07, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
LAN到LAN(網路自動發現)期間的路由表(內部路由器)
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:04, Ethernet0
R 192.168.6.0/24 [120/2] via 192.168.1.5, 00:00:04, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
注意:RIP有一個三分鐘的抑制計時器。即使LAN到LAN作業階段已捨棄,路由仍需要約三分鐘時間實際逾時。
驗證/測試LAN到LAN網路RRI
路由器的路由表如下:
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:11, Ethernet0
R 192.168.6.0/24 [120/1] via 192.168.1.5, 00:00:11, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
由於192.168.6.0/24在LAN到LAN遠端網路清單中使用,因此此資訊會傳遞給路由進程。如果有包含192.168.6.x、.7.x和。8.x(全部為/24)的網路清單,則路由器的路由表將如下所示:
R 192.168.8.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
R 192.168.6.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
R 192.168.7.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
...
驗證/測試抑制路由
在本示例中,192.168.2.0是您要用作佔位符的遠端網路。預設情況下,啟用抑制池後內部路由器上的路由表顯示:
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
R 192.168.2.0/24 [120/1] via 192.168.1.5, 00:00:06, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
請注意,172.18.124.0路由實際上是VPN 3000集中器的外部公共介面網路。如果不希望通過VPN集中器的專用介面學習此路由,請新增靜態路由或路由過濾器以重寫/阻止此學習路由。
使用指向位於192.168.1.1的公司防火牆的靜態路由現在將路由表顯示為使用ip route 172.18.124.0 255.255.255.0 192.168.1.1,如下所示:
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
172.18.0.0/24 is subnetted, 1 subnets
S 172.18.124.0 [1/0] via 192.168.1.1
C 192.168.1.0/24 is directly connected, Ethernet0
R 192.168.2.0/24 [120/1] via 192.168.1.5, 00:00:28, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
使用RRI驗證/測試OSPF
2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
O E2 192.168.15.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0
O E2 192.168.6.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
O E2 192.168.2.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0
192.168.3.0/32 is subnetted, 1 subnets
O E2 192.168.3.1 [110/20] via 192.168.1.5, 00:00:08, Ethernet0
S* 0.0.0.0/0 [1/0] via 192.168.1.1
以下是此範例的值:
-
192.168.15.0是VPN 3002集中器的網路擴展模式。
-
192.168.6.0是LAN到LAN會話的網路。
-
192.168.2.0是抑制路由。
-
192.168.3.1是客戶端注入的路由。
驗證VPN集中器中的路由表資訊
確保路由顯示在本地VPN集中器的路由表中。若要檢查這一點,請轉到Monitoring > Routing Table。
您可以看到通過RRI獲知的路由是公共介面(介面#2)的靜態路由。 在此示例中,路由是:
-
抑制路由192.168.2.0顯示下一跳是公共介面IP地址172.18.124.132的下一跳。
-
分配了192.168.3.1地址的VPN客戶端具有到公共網路(172.18.124.1)上VPN集中器的預設網關的下一跳。
-
位於192.168.6.0的LAN到LAN連線顯示其對等體地址172.18.124.133,在網路擴展模式下的VPN 3002集中器也同樣如此。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
02-Feb-2006 |
初始版本 |
意見