In diesem Dokument wird beschrieben, wie ein redundantes VPN-Failover konfiguriert wird, wenn ein Remote-Standort seine VPN 3000 Concentrator- oder Internetverbindung verliert. In diesem Beispiel wird davon ausgegangen, dass das Unternehmensnetzwerk hinter dem VPN 3030B Open Shortest Path First (OSPF) als Standard-Routing-Protokoll verwendet.
Hinweis: Wenn Sie Routing-Protokolle neu verteilen, können Sie eine Routing-Schleife bilden, die im Netzwerk Probleme verursachen kann. In diesem Beispiel wird OSPF verwendet, es ist jedoch nicht das einzige Routing-Protokoll, das verwendet werden kann.
Ziel dieses Beispiels ist es, dass das Netzwerk 192.168.1.0 den roten Tunnel (unter normalen Betriebsbedingungen) verwendet, der im Abschnitt "Netzwerkdiagramm" dargestellt ist, um 192.168.3.x zu erreichen. Wenn der Tunnel, VPN Concentrator oder ISP ausfällt, wird das Netzwerk 192.168.3.0 über ein dynamisches Routing-Protokoll über den grünen Tunnel empfangen. Außerdem gehen Verbindungen zum Standort 192.168.3.0 nicht verloren. Sobald das Problem behoben ist, kehrt der Datenverkehr automatisch zum roten Tunnel zurück.
Hinweis: RIP verfügt über einen dreiminütigen Aging-Timer, bevor eine neue Route über eine ungültige Route akzeptiert werden kann. Gehen Sie außerdem davon aus, dass die Tunnel erstellt wurden und der Datenverkehr zwischen den Peers weitergeleitet werden kann.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco Router 3620 und 3640
Cisco VPN 3080 Concentrator - Version: Cisco Systems, Inc./VPN 3000 Concentrator Version 4.7
Cisco VPN 3060 Concentrator - Version: Cisco Systems, Inc./VPN 3000 Concentrator-Serie Version 4.7
Cisco VPN 3030 Concentrator - Version: Cisco Systems, Inc./VPN 3000 Concentrator-Serie Version 4.7
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Die blauen Bindestriche weisen darauf hin, dass OSPF von VPN 3030b auf RTR-3640 und RTR-3620 aktiviert ist.
Die grünen Bindestriche weisen darauf hin, dass RIPv2 vom privaten VPN 3060a auf RTR-3620, RTR-3640 und vom privaten VPN 3030b aktiviert ist.
RIPv2 ist auch in den roten und grünen VPN-Tunneln aktiviert, da die Netzwerkerkennung aktiviert ist. Die Aktivierung von RIP auf der privaten VPN 3080-Schnittstelle ist nicht erforderlich. Es gibt außerdem kein RIP im Netzwerk 192.168.4.x, da alle Routen von OSPF über diese Verbindung abgefragt werden.
Hinweis: PCs in den Netzwerken 192.168.2.x und 192.168.3.x müssen über ihre Standard-Gateways verfügen, die auf die Router und nicht auf die VPN Concentrators verweisen. Lassen Sie die Router entscheiden, wohin die Pakete weitergeleitet werden sollen.
In diesem Dokument werden folgende Router-Konfigurationen verwendet:
Router 3620 |
---|
rtr-3620#write terminal Building configuration... Current configuration : 873 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3620 ! ip subnet-zero ! interface Ethernet1/0 ip address 192.168.3.2 255.255.255.0 half-duplex ! interface Ethernet1/1 ip address 192.168.4.2 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- To pass the routes learned through RIP into the OSPF process, !--- use the redistribute command. !--- To prevent a routing loop, block the 192.168.1.0 network !--- from entering the OSPF process. It should only be learned !--- through the RIP process. No two different routing processes !--- exchange information unless you implicitly use the !--- redistribute command. !--- The 192.168.1.x network is learned through OSPF from the !--- 192.168.2.x side. However, since the admin distance is changed, !--- it is not installed into the table !--- because RIP has an administrative distance of 120, !--- and all of the OSPF distances are 130. redistribute rip subnets route-map block192.168.1.0 !--- To enable the OSPF process for the interfaces that are included !--- in the 192.168.x.x networks: network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.1 !--- to an admin distance of 130. distance 130 192.168.4.1 0.0.0.0 ! !--- To enable RIP on the Ethernet 1/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.3.0 ! ip classless ! ! access-list 1 deny 192.168.1.0 0.0.0.255 access-list 1 permit any route-map block192.168.1.0 permit 10 match ip address 1 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
Router 3640 |
---|
rtr-3640#write terminal Building configuration... Current configuration : 1129 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3640 ! ip subnet-zero ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 192.168.4.1 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- Use this command to push RIP learned routes into OSPF. !--- You need this when the VPN 3060a or the connection drops and !--- the 192.168.3.0 route needs to be injected into the OSPF backbone. redistribute rip subnets !--- Place all 192.168.x.x networks into area 0. network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.2 !--- to an admin distance of 130. distance 130 192.168.4.2 0.0.0.0 ! !--- To enable RIP on the Ethernet 0/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.2.0 ! ip classless ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
Wählen Sie Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN aus. Da die automatische Netzwerkanalyse verwendet wird, müssen die Listen der lokalen und Remote-Netzwerke nicht ausgefüllt werden.
Hinweis: VPN Concentrators, auf denen die Software-Version 3.1 oder früher ausgeführt wird, verfügen über ein Kontrollkästchen für die automatische Erkennung. Die Softwareversion 3.5 (verwendet auf dem VPN 3080) verwendet ein Dropdown-Menü, wie das hier abgebildete.
Wählen Sie Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN aus. Da die automatische Netzwerkanalyse verwendet wird, müssen die Listen der lokalen und Remote-Netzwerke nicht ausgefüllt werden.
Hinweis: VPN Concentrators, auf denen die Software-Version 3.1 oder früher ausgeführt wird, verfügen über ein Kontrollkästchen für die automatische Erkennung. Die Softwareversion 3.5 (verwendet auf dem VPN 3080) verwendet ein Dropdown-Menü, wie das hier abgebildete.
Wählen Sie Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN aus.
Hinweis: Auf dem VPN 3060 ist ein Kontrollkästchen für die automatische Netzwerkerkennung anstelle des Dropdown-Menüs wie in der Softwareversion 3.5 und höher vorhanden.
Wählen Sie Configuration > Interfaces > Private > RIP aus. Ändern Sie das Dropdown-Menü in RIPv2 Only, und klicken Sie auf Apply. Wählen Sie anschließend Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN aus.
Hinweis: Der Standardwert ist "outbound RIP" (Ausgehendes RIP) und ist für die private Schnittstelle deaktiviert.
Wählen Sie Configuration > Tunneling and Security > IPSec > LAN-to-LAN aus.
Befolgen Sie die zuvor in diesem Dokument für den VPN 3060a Concentrator aufgeführten Schritte.
Wählen Sie Configuration > System > IP Routing > OSPF aus, und geben Sie die Router-ID ein.
rtr-3640#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.4.2 1 FULL/DR 00:00:39 192.168.4.2 Ethernet0/1 !--- For troubleshooting purposes, it helps to make the router ID the !--- IP address of the private interface. 192.168.2.1 1 FULL/BDR 00:00:36 192.168.2.1 Ethernet0/0
Die Bereichs-ID muss mit der ID auf dem Kabel übereinstimmen. Da der Bereich in diesem Beispiel 0 ist, wird er durch 0.0.0.0 dargestellt. Aktivieren Sie außerdem das Kontrollkästchen Enable OSPF, und klicken Sie auf Apply.
Stellen Sie sicher, dass die OSPF-Timer mit denen des Routers übereinstimmen. Um die Router-Timer zu überprüfen, verwenden Sie den Befehl show ip ospf interface <Schnittstellenname>.
rtr-3640#show ip ospf interface ethernet 0/0 Ethernet0/0 is up, line protocol is up Internet Address 192.168.2.2/24, Area 0 Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.4.1, Interface address 192.168.2.2 Backup Designated router (ID) 192.168.2.1, Interface address 192.168.2.1 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:05 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 2 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.2.1 (Backup Designated Router) Suppress hello for 0 neighbor(s)
Weitere Informationen zu OSPF finden Sie unter RFC 1247.
Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.
Diese Befehlsausgabe zeigt genaue Routing-Tabellen an.
rtr-3620#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area Gateway of last resort is not set 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:11, Ethernet1/0 C 192.168.4.0/24 is directly connected, Ethernet1/1 !--- The 192.168.1.x network is learned from the !--- VPN 3060a Concentrator. R 192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:11, Ethernet1/0 !--- The 192.168.3.x network traverses the 192.168.4.x network !--- to get to the 192.168.2.x network. O 192.168.2.0/24 [130/20] via 192.168.4.1, 00:01:07, Ethernet1/1 C 192.168.3.0/24 is directly connected, Ethernet1/0 rtr-3640#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area Gateway of last resort is not set 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.2.1, 00:00:23, Ethernet0/0 C 192.168.4.0/24 is directly connected, Ethernet0/1 !--- The 192.168.1.x network is learned from the !--- VPN 3030b Concentrator. R 192.168.1.0/24 [120/2] via 192.168.2.1, 00:00:23, Ethernet0/0 C 192.168.2.0/24 is directly connected, Ethernet0/0 !--- The 192.168.2.x network traverses the 192.168.4.x network !--- to get to the 192.168.3.x network. !--- This is an example of perfect symmetrical routing. O 192.168.3.0/24 [130/20] via 192.168.4.2, 00:00:58, Ethernet0/1
Dies ist unter normalen Umständen die VPN 3080 Concentrator-Routing-Tabelle.
Die Netzwerke 192.168.2.x und 192.168.3.x werden jeweils über die VPN-Tunnel 172.18.124.132 und 172.18.124.131 gelernt. Das Netzwerk 192.168.4.x wird über den Tunnel 172.18.124.132 erfasst, da die OSPF-Meldungen des Routers in die Routing-Tabelle des VPN 3030b-Konzentrators eingefügt werden. Anschließend kündigt die Routing-Tabelle den Remote-VPN-Peers das Netzwerk an.
Dies ist die VPN 3030b Concentrator-Routing-Tabelle unter normalen Umständen.
In der roten Box wird hervorgehoben, dass das Netzwerk 192.168.1.x vom VPN-Tunnel erkannt wurde. In der blauen Box wird hervorgehoben, dass die Netzwerke 192.168.3.x und 192.168.4.x durch den OSPF-Core-Prozess gelernt werden.
Dies ist die VPN 3060a Concentrator-Routing-Tabelle unter normalen Umständen.
Das Netzwerk 192.168.1.x ist hier das einzige Netzwerk, das über den VPN-Tunnel erreichbar ist. Es gibt kein 192.168.2.0-Netzwerk, da kein Prozess (z. B. RIP) diese Route durchläuft. Es geht nichts verloren, solange die PCs im Netzwerk 192.168.3.x ihr Standard-Gateway nicht auf den VPN Concentrator verweisen. Sie können jederzeit eine statische Route hinzufügen, wenn Sie dies möchten. In diesem Beispiel muss der VPN Concentrator selbst jedoch nicht auf das Netzwerk 192.168.2.0 zugreifen.
Dies ist ein simulierter Fehler in der Konfiguration. Wenn Sie den Filter von der öffentlichen Schnittstelle entfernen, wird der VPN-Tunnel geschlossen. Dadurch fällt auch die Route für die 192.168.1.0, die durch den Tunnel gelernt wurde, ab. Das Entfernen der Route durch den RIP-Prozess dauert etwa drei Minuten. Aus diesem Grund kann es zu Ausfällen von bis zu drei Minuten kommen, bis sich die Route von selbst beendet.
Nach Ablauf der RIP-Route sieht die neue Routing-Tabelle auf den Routern ähnlich aus:
rtr-3620#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.18.0.0/24 is subnetted, 1 subnets R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:05, Ethernet1/0 C 192.168.4.0/24 is directly connected, Ethernet1/1 !--- Now the 192.168.1.0 route is learned properly !--- through the OSPF backbone. O E2 192.168.1.0/24 [130/20] via 192.168.4.1, 00:00:05, Ethernet1/1 O 192.168.2.0/24 [130/20] via 192.168.4.1, 19:55:48, Ethernet1/1 C 192.168.3.0/24 is directly connected, Ethernet1/0
Wenn Sie vergessen haben, die Admin-Distanzänderung auf 130 hinzuzufügen, können Sie diese Ausgabe möglicherweise sehen. Hinweis: Beide VPN-Tunnel sind aktiv.
Hinweis: Dies ist die nicht grafische Benutzeroberfläche (GUI) der Routing-Tabelle.
Monitor -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 10 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 2 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 10 9
Um zum Netzwerk 192.168.3.0 zu gelangen, muss die Route über 172.18.124.131 verlaufen. Die Routing-Tabelle auf RTR-3620 zeigt jedoch Folgendes:
rtr-3620#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.18.0.0/24 is subnetted, 1 subnets O E2 172.18.124.0 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1 C 192.168.4.0/24 is directly connected, Ethernet1/1 !--- This is an example of asymmetric routing. O E2 192.168.1.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1 O 192.168.2.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1 C 192.168.3.0/24 is directly connected, Ethernet1/0
Um zum Netzwerk 192.168.1.0 zurückzukehren, muss die Route über das Backbone-Netzwerk 192.168.4.x verlaufen.
Der Datenverkehr funktioniert weiterhin, da die automatische Erkennung die richtigen SA-Informationen (Security Association, Sicherheitszuordnung) auf dem VPN 3030b Concentrator generiert. Beispiele:
Routing -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 28 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 20 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 28 9
Obwohl in der Routing-Tabelle angegeben ist, dass der Peer 172.18.124.131 sein sollte, wird der tatsächliche SA (Datenverkehrsfluss) über den VPN 3030b Concentrator unter 172.18.124.132 geleitet. Die SA-Tabelle hat Vorrang vor der Routing-Tabelle. Eine genaue Betrachtung der Routing-Tabelle und der SA-Tabelle auf dem VPN 3060a Concentrator zeigt, dass der Datenverkehr nicht in die richtige Richtung fließt.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
10-Dec-2001 |
Erstveröffentlichung |