تكوين التوجيه المتكرر على مركز VPN 3000
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين تجاوز فشل الشبكة الخاصة الظاهرية (VPN) المكررة إذا فقد موقع بعيد مركز VPN 3000 أو الاتصال بالإنترنت الخاص به. في هذا المثال، لنفترض أن شبكة الشركة الموجودة خلف شبكة VPN 3030B تستخدم بروتوكول فتح أقصر مسار أولا (OSPF) كبروتوكول توجيه افتراضي لها.
ملاحظة: عند إعادة التوزيع بين بروتوكولات التوجيه، يمكنك تكوين حلقة توجيه قد تتسبب في حدوث مشكلة على الشبكة. يتم إستخدام OSPF في هذا المثال، ولكنه ليس بروتوكول التوجيه الوحيد الذي يمكن إستخدامه.
الهدف من هذا المثال هو أن تستخدم شبكة 192.168.1.0 النفق الأحمر (في ظروف التشغيل العادية)، كما هو موضح في قسم رسم بياني للشبكة، للوصول إلى 192.168.3.x. إذا كان النفق أو مركز الشبكة الخاصة الظاهرية (VPN) أو نقاط ISP تسقط، فسيتم تعلم شبكة 192.168.3.0 عبر بروتوكول توجيه ديناميكي عبر النفق الأخضر. كما أن إمكانية الاتصال لم تفقد في الموقع 192.168.3.0. ما إن حللت الإصدار، الحركة مرور تلقائيا رجعت إلى النفق الأحمر.
ملاحظة: يحتوي بروتوكول معلومات التوجيه (RIP) على مؤقت تأخر لمدة ثلاث دقائق قبل أن يسمح بقبول مسار جديد عبر مسار غير صالح. افترض أيضا ان الانفاق تنشأ وأن حركة المرور يمكن ان تمر بين النظراء.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
الموجهات من Cisco طراز 3620 و 3640
-
مركز Cisco VPN 3080 - الإصدار: Cisco Systems، Inc./VPN 3000 Concentrator، الإصدار 4.7
-
مركز Cisco VPN 3060 - الإصدار: Cisco Systems، Inc./VPN 3000 Concentrator Series، الإصدار 4.7
-
مركز Cisco VPN 3030 - الإصدار: Cisco Systems، Inc./VPN 3000 Concentrator Series، الإصدار 4.7
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.
التكوين
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط).
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
تشير الشرطات الزرقاء إلى تمكين OSPF من VPN 3030b إلى RTR-3640 و RTR-3620.
تشير الشرطات الخضراء إلى أنه يتم تمكين RIPv2 من الشبكة الخاصة VPN 3060a إلى RTR-3620 و RTR-3640 و VPN الخاصة 3030b.
كما يتم تمكين RIPv2 على أنفاق الشبكة الخاصة الظاهرية (VPN) الحمراء والخضراء نظرا لتمكين اكتشاف الشبكة. ليس ضروري أن يمكن RIP على ال VPN 3080 خاص قارن. لا يوجد أيضا بروتوكول معلومات التوجيه (RIP) على شبكة 192.168.4.x لأن جميع المسارات يتم التعرف عليها بواسطة OSPF عبر هذا الارتباط.
ملاحظة: تحتاج أجهزة الكمبيوتر الموجودة على شبكتي 192.168.2.x و 192.168.3.x إلى أن تكون لها بواباتها الافتراضية التي تشير إلى الموجهات وليس إلى مركزات الشبكات الخاصة الظاهرية (VPN). السماح للموجهات بتحديد مكان توجيه الحزم.
تكوينات الموجه
يستخدم هذا المستند تكوينات الموجه التالية:
| الموجه 3620 |
|---|
rtr-3620#write terminal Building configuration... Current configuration : 873 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3620 ! ip subnet-zero ! interface Ethernet1/0 ip address 192.168.3.2 255.255.255.0 half-duplex ! interface Ethernet1/1 ip address 192.168.4.2 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- To pass the routes learned through RIP into the OSPF process, !--- use the redistribute command. !--- To prevent a routing loop, block the 192.168.1.0 network !--- from entering the OSPF process. It should only be learned !--- through the RIP process. No two different routing processes !--- exchange information unless you implicitly use the !--- redistribute command. !--- The 192.168.1.x network is learned through OSPF from the !--- 192.168.2.x side. However, since the admin distance is changed, !--- it is not installed into the table !--- because RIP has an administrative distance of 120, !--- and all of the OSPF distances are 130. redistribute rip subnets route-map block192.168.1.0 !--- To enable the OSPF process for the interfaces that are included !--- in the 192.168.x.x networks: network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.1 !--- to an admin distance of 130. distance 130 192.168.4.1 0.0.0.0 ! !--- To enable RIP on the Ethernet 1/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.3.0 ! ip classless ! ! access-list 1 deny 192.168.1.0 0.0.0.255 access-list 1 permit any route-map block192.168.1.0 permit 10 match ip address 1 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
| الموجه 3640 |
|---|
rtr-3640#write terminal Building configuration... Current configuration : 1129 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3640 ! ip subnet-zero ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 192.168.4.1 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- Use this command to push RIP learned routes into OSPF. !--- You need this when the VPN 3060a or the connection drops and !--- the 192.168.3.0 route needs to be injected into the OSPF backbone. redistribute rip subnets !--- Place all 192.168.x.x networks into area 0. network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.2 !--- to an admin distance of 130. distance 130 192.168.4.2 0.0.0.0 ! !--- To enable RIP on the Ethernet 0/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.2.0 ! ip classless ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
تكوين مركز VPN 3080
شبكة VPN 3080 إلى VPN 3030b لشبكة LAN-to-LAN
حدد التكوين > الاتصال النفقي والأمان > IPSec > IPSec LAN-to-LAN. منذ إستخدام الاكتشاف التلقائي للشبكة، لا توجد حاجة لتعبئة قوائم الشبكة المحلية والبعيدة.
ملاحظة: تحتوي تركيزات الشبكة الخاصة الظاهرية (VPN) التي تشغل الإصدار 3.1 من البرنامج والإصدارات الأقدم على خانة إختيار للاكتشاف التلقائي. يستخدم إصدار البرنامج 3.5 (المستخدم على الشبكة الخاصة الظاهرية (VPN) 3080) قائمة منسدلة، مثل القائمة الموضحة هنا.
شبكة VPN 3080 إلى VPN 3060a من LAN-to-LAN
حدد التكوين > الاتصال النفقي والأمان > IPSec > IPSec LAN-to-LAN. منذ إستخدام الاكتشاف التلقائي للشبكة، لا توجد حاجة لتعبئة قوائم الشبكة المحلية والبعيدة.
ملاحظة: تحتوي تركيزات الشبكة الخاصة الظاهرية (VPN) التي تشغل الإصدار 3.1 من البرنامج والإصدارات الأقدم على خانة إختيار للاكتشاف التلقائي. يستخدم إصدار البرنامج 3.5 (المستخدم على الشبكة الخاصة الظاهرية (VPN) 3080) قائمة منسدلة، مثل القائمة الموضحة هنا.
تكوين مركز VPN 3060A
شبكة VPN 3060a إلى VPN 3080 من LAN إلى LAN
حدد التكوين > الاتصال النفقي والأمان > IPSec > IPSec LAN-to-LAN.
ملاحظة: هناك خانة إختيار على شبكة VPN 3060 للاكتشاف التلقائي للشبكة بدلا من القائمة المنسدلة كما هو الحال في إصدار البرنامج 3.5 والإصدارات الأحدث.
قم بتمكين RIP من تمرير المسارات التي تم التعرف عليها عبر النفق إلى موجه VPN 3620
حدد تشكيل > واجهات > خاص > RIP. قم بتغيير القائمة المنسدلة إلى RIPv2 فقط وانقر تطبيق. ثم حدد التكوين > النظام > بروتوكولات الاتصال النفقي > IPSec > الشبكة المحلية (LAN) إلى الشبكة المحلية (LAN).
ملاحظة: الافتراضي هو RIP الصادر، وهو معطل للواجهة الخاصة.
تكوين مركز VPN 3030B
شبكة VPN من LAN إلى LAN طراز 3030b إلى VPN 3080
حدد التكوين > الاتصال النفقي والأمان > IPSec > الشبكة المحلية (LAN) إلى الشبكة المحلية (LAN).
قم بتمكين RIP من تمرير المسارات التي تم التعرف عليها عبر النفق إلى موجه VPN 3640
اتبع الخطوات المذكورة سابقا في هذا المستند لمحرك VPN 3060A.
تمكين OSPF من تمرير المسارات التي تم التعرف عليها عبر العمود الفقري إلى مركز VPN 3030B
حدد تكوين > نظام > توجيه IP > OSPF وأدخل معرف الموجه.
rtr-3640#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.4.2 1 FULL/DR 00:00:39 192.168.4.2 Ethernet0/1 !--- For troubleshooting purposes, it helps to make the router ID the !--- IP address of the private interface. 192.168.2.1 1 FULL/BDR 00:00:36 192.168.2.1 Ethernet0/0
يجب أن يتطابق معرف المنطقة مع معرف السلك. بما أن المساحة في هذا المثال هي 0، فإنها تمثل ب 0.0.0.0. حدد أيضا مربع تمكين OSPF وانقر تطبيق.
تأكد من تطابق مؤقتات OSPF مع تلك الخاصة بالموجه. للتحقق من وحدات توقيت الموجهات، أستخدم الأمر show ip ospf interface <interface name>.
rtr-3640#show ip ospf interface ethernet 0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.2.2/24, Area 0
Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 192.168.2.2
Backup Designated router (ID) 192.168.2.1, Interface address 192.168.2.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:05
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.2.1 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
لمزيد من المعلومات حول OSPF، ارجع إلى RFC 1247
.
التحقق من الصحة
يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.
يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.
تعرض مخرجات الأمر هذه جداول توجيه دقيقة.
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:11, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- The 192.168.1.x network is learned from the !--- VPN 3060a Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:11, Ethernet1/0
!--- The 192.168.3.x network traverses the 192.168.4.x network !--- to get to the 192.168.2.x network.
O 192.168.2.0/24 [130/20] via 192.168.4.1, 00:01:07, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
rtr-3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.4.0/24 is directly connected, Ethernet0/1
!--- The 192.168.1.x network is learned from the !--- VPN 3030b Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.2.0/24 is directly connected, Ethernet0/0
!--- The 192.168.2.x network traverses the 192.168.4.x network !--- to get to the 192.168.3.x network. !--- This is an example of perfect symmetrical routing.
O 192.168.3.0/24 [130/20] via 192.168.4.2, 00:00:58, Ethernet0/1
هذا هو جدول توجيه مركز VPN 3080 في الظروف العادية.
يتم تعلم الشبكات 192.168.2.x و 192.168.3.x من خلال أنفاق الشبكة الخاصة الظاهرية (VPN) أرقام 172.18.124.132 و 172.18.124.131 على التوالي. يتم تعلم شبكة 192.168.4.x من خلال نفق 172.18.124.132 لأن إعلانات OSPF الخاصة بالموجه يتم وضعها في جدول توجيه مركز VPN 3030b. ثم يعلن جدول التوجيه عن خروج الشبكة إلى أقران شبكات VPN البعيدة.
هذا هو جدول توجيه مركز VPN 3030B في الظروف العادية.
يسلط المربع الأحمر الضوء على أنه قد تم تعلم شبكة 192.168.1.x من نفق الشبكة الخاصة الظاهرية (VPN). يسلط المربع الأزرق الضوء على أنه يتم التعرف على الشبكات 192.168.3.x و 192.168.4.x من خلال عملية OSPF الأساسية.
هذا هو جدول توجيه مركز VPN 3060A في الظروف العادية.
الشبكة 192.168.1.x هي الشبكة الوحيدة هنا، ويمكن الوصول إليها من خلال نفق VPN. لا توجد شبكة 192.168.2.0 نظرا لعدم مرور أي عملية (مثل RIP) على هذا المسار. لا يوجد شيء مفقود ما دامت أجهزة الكمبيوتر على شبكة 192.168.3.x لا تشير إلى العبارة الافتراضية الخاصة بها إلى مركز الشبكة الخاصة الظاهرية (VPN). يمكنك دائما إضافة مسار ثابت إذا أخترت. ومع ذلك، على سبيل المثال، لا يحتاج مركز الشبكة الخاصة الظاهرية (VPN) نفسه إلى الوصول إلى شبكة 192.168.2.0.
استكشاف الأخطاء وإصلاحها
صدع محاكي
هذا خطأ محاكاة في التكوين. إن يزيل أنت المرشح إلى القارن عام، بعد ذلك ال VPN نفق يسقط. وهذا يتسبب أيضا في إنزال المسار ل 192.168.1.0 الذي تم تعلمه عبر النفق. تحتاج عملية مجموعة إعادة التوجيه السريع (RIP) إلى حوالي ثلاث دقائق لتطهير الطريق. وبالتالي، من المحتمل أن يكون لديك انقطاع لمدة ثلاث دقائق حتى يعرض المسار نفسه للأعلى.
بمجرد انتهاء صلاحية مسار بروتوكول معلومات التوجيه (RIP)، يظهر جدول التوجيه الجديد على الموجهات مشابها لهذا:
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:05, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- Now the 192.168.1.0 route is learned properly !--- through the OSPF backbone.
O E2 192.168.1.0/24 [130/20] via 192.168.4.1, 00:00:05, Ethernet1/1
O 192.168.2.0/24 [130/20] via 192.168.4.1, 19:55:48, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
ما الذي يمكن أن يحدث بشكل خاطئ؟
إذا نسيت إضافة تغيير مسافة المسؤول إلى 130، يمكنك عندئذ رؤية هذا الإخراج. لاحظ أن كلا النفقي عبر الشبكة الخاصة الظاهرية (VPN) قيد التشغيل.
مركز VPN 3080
ملاحظة: هذا هو إصدار واجهة المستخدم (GUI) غير الرسومية لجدول التوجيه.
Monitor -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 10 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 2 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 10 9
للوصول إلى شبكة 192.168.3.0، يجب أن يمر المسار عبر 172.18.124.131. ومع ذلك، يوضح جدول التوجيه على RTR-3620:
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
O E2 172.18.124.0 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- This is an example of asymmetric routing.
O E2 192.168.1.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
O 192.168.2.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
للعودة إلى شبكة 192.168.1.0، يجب أن يمر المسار عبر الشبكة الأساسية 192.168.4.x.
لا تزال حركة المرور تعمل منذ أن يعمل الاكتشاف التلقائي على إنشاء معلومات اقتران الأمان المناسب (SA) على مركز VPN 3030B. على سبيل المثال:
Routing -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 28 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 20 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 28 9
على الرغم من أن جدول التوجيه يقول إن النظير يجب أن يكون 172.18.124.131، فإن SA (تدفق حركة المرور) الفعلي هو من خلال مركز VPN 3030b على 172.18.124.132. يعطي جدول SA الأولوية على جدول المسار. لا يظهر إلا الفحص الدقيق لجدول المسار وجدول SA على مركز VPN 3060A أن حركة المرور لا تتدفق في الإتجاه الصحيح.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
10-Dec-2001 |
الإصدار الأولي |
التعليقات