Konfigurieren von redundantem Routing auf dem VPN 3000 Concentrator

Download-Optionen

PDF (828.9 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (736.6 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (1.6 MB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:14. Januar 2008

Dokument-ID:13354

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Konfigurieren

Netzwerkdiagramm

Router-Konfigurationen

Konfiguration des VPN 3080 Concentrator

VPN 3060a Concentrator-Konfiguration

VPN 3030b Concentrator-Konfiguration

Überprüfung

Fehlerbehebung

Simulierter Fehler

Was kann schiefgehen?

Zugehörige Informationen

Einleitung

In diesem Dokument wird beschrieben, wie ein redundantes VPN-Failover konfiguriert wird, wenn ein Remote-Standort seine VPN 3000 Concentrator- oder Internetverbindung verliert. In diesem Beispiel wird davon ausgegangen, dass das Unternehmensnetzwerk hinter dem VPN 3030B Open Shortest Path First (OSPF) als Standard-Routing-Protokoll verwendet.

Hinweis: Wenn Sie Routing-Protokolle neu verteilen, können Sie eine Routing-Schleife bilden, die im Netzwerk Probleme verursachen kann. In diesem Beispiel wird OSPF verwendet, es ist jedoch nicht das einzige Routing-Protokoll, das verwendet werden kann.

Ziel dieses Beispiels ist es, dass das Netzwerk 192.168.1.0 den roten Tunnel (unter normalen Betriebsbedingungen) verwendet, der im Abschnitt "Netzwerkdiagramm" dargestellt ist, um 192.168.3.x zu erreichen. Wenn der Tunnel, VPN Concentrator oder ISP ausfällt, wird das Netzwerk 192.168.3.0 über ein dynamisches Routing-Protokoll über den grünen Tunnel empfangen. Außerdem gehen Verbindungen zum Standort 192.168.3.0 nicht verloren. Sobald das Problem behoben ist, kehrt der Datenverkehr automatisch zum roten Tunnel zurück.

Hinweis: RIP verfügt über einen dreiminütigen Aging-Timer, bevor eine neue Route über eine ungültige Route akzeptiert werden kann. Gehen Sie außerdem davon aus, dass die Tunnel erstellt wurden und der Datenverkehr zwischen den Peers weitergeleitet werden kann.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

Cisco Router 3620 und 3640
Cisco VPN 3080 Concentrator - Version: Cisco Systems, Inc./VPN 3000 Concentrator Version 4.7
Cisco VPN 3060 Concentrator - Version: Cisco Systems, Inc./VPN 3000 Concentrator-Serie Version 4.7
Cisco VPN 3030 Concentrator - Version: Cisco Systems, Inc./VPN 3000 Concentrator-Serie Version 4.7

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Die blauen Bindestriche weisen darauf hin, dass OSPF von VPN 3030b auf RTR-3640 und RTR-3620 aktiviert ist.

Die grünen Bindestriche weisen darauf hin, dass RIPv2 vom privaten VPN 3060a auf RTR-3620, RTR-3640 und vom privaten VPN 3030b aktiviert ist.

RIPv2 ist auch in den roten und grünen VPN-Tunneln aktiviert, da die Netzwerkerkennung aktiviert ist. Die Aktivierung von RIP auf der privaten VPN 3080-Schnittstelle ist nicht erforderlich. Es gibt außerdem kein RIP im Netzwerk 192.168.4.x, da alle Routen von OSPF über diese Verbindung abgefragt werden.

Hinweis: PCs in den Netzwerken 192.168.2.x und 192.168.3.x müssen über ihre Standard-Gateways verfügen, die auf die Router und nicht auf die VPN Concentrators verweisen. Lassen Sie die Router entscheiden, wohin die Pakete weitergeleitet werden sollen.

Router-Konfigurationen

In diesem Dokument werden folgende Router-Konfigurationen verwendet:

Router 3620
Router 3640

Router 3620
rtr-3620#write terminal Building configuration... Current configuration : 873 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3620 ! ip subnet-zero ! interface Ethernet1/0 ip address 192.168.3.2 255.255.255.0 half-duplex ! interface Ethernet1/1 ip address 192.168.4.2 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- To pass the routes learned through RIP into the OSPF process, !--- use the redistribute command. !--- To prevent a routing loop, block the 192.168.1.0 network !--- from entering the OSPF process. It should only be learned !--- through the RIP process. No two different routing processes !--- exchange information unless you implicitly use the !--- redistribute command. !--- The 192.168.1.x network is learned through OSPF from the !--- 192.168.2.x side. However, since the admin distance is changed, !--- it is not installed into the table !--- because RIP has an administrative distance of 120, !--- and all of the OSPF distances are 130. redistribute rip subnets route-map block192.168.1.0 !--- To enable the OSPF process for the interfaces that are included !--- in the 192.168.x.x networks: network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.1 !--- to an admin distance of 130. distance 130 192.168.4.1 0.0.0.0 ! !--- To enable RIP on the Ethernet 1/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.3.0 ! ip classless ! ! access-list 1 deny 192.168.1.0 0.0.0.255 access-list 1 permit any route-map block192.168.1.0 permit 10 match ip address 1 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end

Router 3620

rtr-3620#write  terminal
Building configuration...

Current configuration : 873 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname rtr-3620
!
ip subnet-zero
!
interface Ethernet1/0
 ip address 192.168.3.2 255.255.255.0
 half-duplex
!
interface Ethernet1/1
 ip address 192.168.4.2 255.255.255.0
 half-duplex
!
router ospf 1
 log-adjacency-changes

!--- To pass the routes learned through RIP into the OSPF process, !--- use the redistribute command. !--- To prevent a routing loop, block the 192.168.1.0 network !--- from entering the OSPF process. It should only be learned !--- through the RIP process. No two different routing processes !--- exchange information unless you implicitly use the !--- redistribute command. !--- The 192.168.1.x network is learned through OSPF from the !--- 192.168.2.x side. However, since the admin distance is changed, !--- it is not installed into the table !--- because RIP has an administrative distance of 120, !--- and all of the OSPF distances are 130.

 redistribute rip subnets route-map block192.168.1.0

!--- To enable the OSPF process for the interfaces that are included !--- in the 192.168.x.x networks:

 network 192.168.0.0 0.0.255.255 area 0

!--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.1 !--- to an admin distance of 130.

 distance 130 192.168.4.1 0.0.0.0
!

!--- To enable RIP on the Ethernet 1/0 interface and set it to !--- use version 2:

router rip
 version 2
 network 192.168.3.0
!
ip classless
!
!
access-list 1 deny   192.168.1.0 0.0.0.255
access-list 1 permit any
route-map block192.168.1.0 permit 10
 match ip address 1
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

Router 3640
rtr-3640#write terminal Building configuration... Current configuration : 1129 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3640 ! ip subnet-zero ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 192.168.4.1 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- Use this command to push RIP learned routes into OSPF. !--- You need this when the VPN 3060a or the connection drops and !--- the 192.168.3.0 route needs to be injected into the OSPF backbone. redistribute rip subnets !--- Place all 192.168.x.x networks into area 0. network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.2 !--- to an admin distance of 130. distance 130 192.168.4.2 0.0.0.0 ! !--- To enable RIP on the Ethernet 0/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.2.0 ! ip classless ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end

Router 3640

rtr-3640#write terminal
Building configuration...

Current configuration : 1129 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname rtr-3640
!
ip subnet-zero
!
interface Ethernet0/0
 ip address 192.168.2.2 255.255.255.0
 half-duplex
!
interface Ethernet0/1
 ip address 192.168.4.1 255.255.255.0
 half-duplex
!
router ospf 1
 log-adjacency-changes

!--- Use this command to push RIP learned routes into OSPF. !--- You need this when the VPN 3060a or the connection drops and !--- the 192.168.3.0 route needs to be injected into the OSPF backbone.

 redistribute rip subnets

!--- Place all 192.168.x.x networks into area 0.

 network 192.168.0.0 0.0.255.255 area 0

!--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.2 !--- to an admin distance of 130.

 distance 130 192.168.4.2 0.0.0.0
!

!--- To enable RIP on the Ethernet 0/0 interface and set it to !--- use version 2:

router rip
 version 2
 network 192.168.2.0
!
ip classless
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

Konfiguration des VPN 3080 Concentrator

LAN-zu-LAN VPN 3080 zu VPN 3030b

Wählen Sie Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN aus. Da die automatische Netzwerkanalyse verwendet wird, müssen die Listen der lokalen und Remote-Netzwerke nicht ausgefüllt werden.

Hinweis: VPN Concentrators, auf denen die Software-Version 3.1 oder früher ausgeführt wird, verfügen über ein Kontrollkästchen für die automatische Erkennung. Die Softwareversion 3.5 (verwendet auf dem VPN 3080) verwendet ein Dropdown-Menü, wie das hier abgebildete.

LAN-zu-LAN VPN 3080 zu VPN 3060a

VPN 3060a Concentrator-Konfiguration

LAN-zu-LAN VPN 3060a zu VPN 3080

Wählen Sie Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN aus.

Hinweis: Auf dem VPN 3060 ist ein Kontrollkästchen für die automatische Netzwerkerkennung anstelle des Dropdown-Menüs wie in der Softwareversion 3.5 und höher vorhanden.

Aktivieren von RIP zum Übergeben der vom Tunnel ermittelten Routen an den VPN 3620-Router

Wählen Sie Configuration > Interfaces > Private > RIP aus. Ändern Sie das Dropdown-Menü in RIPv2 Only, und klicken Sie auf Apply. Wählen Sie anschließend Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN aus.

Hinweis: Der Standardwert ist "outbound RIP" (Ausgehendes RIP) und ist für die private Schnittstelle deaktiviert.

VPN 3030b Concentrator-Konfiguration

LAN-zu-LAN VPN 3030b zu VPN 3080

Wählen Sie Configuration > Tunneling and Security > IPSec > LAN-to-LAN aus.

Aktivieren von RIP zum Übergeben der vom Tunnel ermittelten Routen an den VPN 3640-Router

Befolgen Sie die zuvor in diesem Dokument für den VPN 3060a Concentrator aufgeführten Schritte.

OSPF kann die vom Backbone erlernten Routen an den VPN 3030b Concentrator weiterleiten

Wählen Sie Configuration > System > IP Routing > OSPF aus, und geben Sie die Router-ID ein.

rtr-3640#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

192.168.4.2       1   FULL/DR         00:00:39    192.168.4.2     Ethernet0/1

!--- For troubleshooting purposes, it helps to make the router ID the !--- IP address of the private interface.

192.168.2.1       1   FULL/BDR        00:00:36    192.168.2.1     Ethernet0/0

Die Bereichs-ID muss mit der ID auf dem Kabel übereinstimmen. Da der Bereich in diesem Beispiel 0 ist, wird er durch 0.0.0.0 dargestellt. Aktivieren Sie außerdem das Kontrollkästchen Enable OSPF, und klicken Sie auf Apply.

Stellen Sie sicher, dass die OSPF-Timer mit denen des Routers übereinstimmen. Um die Router-Timer zu überprüfen, verwenden Sie den Befehl show ip ospf interface <Schnittstellenname>.

rtr-3640#show ip ospf interface ethernet 0/0
Ethernet0/0 is up, line protocol is up 
  Internet Address 192.168.2.2/24, Area 0 
  Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 10
  Transmit Delay is 1 sec, State DR, Priority 1 
  Designated Router (ID) 192.168.4.1, Interface address 192.168.2.2
  Backup Designated router (ID) 192.168.2.1, Interface address 192.168.2.1
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:05
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 2
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 1, Adjacent neighbor count is 1 
    Adjacent with neighbor 192.168.2.1  (Backup Designated Router)
Suppress hello for 0 neighbor(s)

Weitere Informationen zu OSPF finden Sie unter RFC 1247.

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.

Diese Befehlsausgabe zeigt genaue Routing-Tabellen an.

rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

Gateway of last resort is not set

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.3.1, 00:00:11, Ethernet1/0
C    192.168.4.0/24 is directly connected, Ethernet1/1

!--- The 192.168.1.x network is learned from the !--- VPN 3060a Concentrator.

R    192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:11, Ethernet1/0

!--- The 192.168.3.x network traverses the 192.168.4.x network !--- to get to the 192.168.2.x network.

O    192.168.2.0/24 [130/20] via 192.168.4.1, 00:01:07, Ethernet1/1
C    192.168.3.0/24 is directly connected, Ethernet1/0

rtr-3640#show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

Gateway of last resort is not set
 
     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.2.1, 00:00:23, Ethernet0/0
C    192.168.4.0/24 is directly connected, Ethernet0/1

!--- The 192.168.1.x network is learned from the !--- VPN 3030b Concentrator.

R    192.168.1.0/24 [120/2] via 192.168.2.1, 00:00:23, Ethernet0/0
C    192.168.2.0/24 is directly connected, Ethernet0/0

!--- The 192.168.2.x network traverses the 192.168.4.x network !--- to get to the 192.168.3.x network. !--- This is an example of perfect symmetrical routing.

O    192.168.3.0/24 [130/20] via 192.168.4.2, 00:00:58, Ethernet0/1

Dies ist unter normalen Umständen die VPN 3080 Concentrator-Routing-Tabelle.

Die Netzwerke 192.168.2.x und 192.168.3.x werden jeweils über die VPN-Tunnel 172.18.124.132 und 172.18.124.131 gelernt. Das Netzwerk 192.168.4.x wird über den Tunnel 172.18.124.132 erfasst, da die OSPF-Meldungen des Routers in die Routing-Tabelle des VPN 3030b-Konzentrators eingefügt werden. Anschließend kündigt die Routing-Tabelle den Remote-VPN-Peers das Netzwerk an.

Dies ist die VPN 3030b Concentrator-Routing-Tabelle unter normalen Umständen.

In der roten Box wird hervorgehoben, dass das Netzwerk 192.168.1.x vom VPN-Tunnel erkannt wurde. In der blauen Box wird hervorgehoben, dass die Netzwerke 192.168.3.x und 192.168.4.x durch den OSPF-Core-Prozess gelernt werden.

Dies ist die VPN 3060a Concentrator-Routing-Tabelle unter normalen Umständen.

Das Netzwerk 192.168.1.x ist hier das einzige Netzwerk, das über den VPN-Tunnel erreichbar ist. Es gibt kein 192.168.2.0-Netzwerk, da kein Prozess (z. B. RIP) diese Route durchläuft. Es geht nichts verloren, solange die PCs im Netzwerk 192.168.3.x ihr Standard-Gateway nicht auf den VPN Concentrator verweisen. Sie können jederzeit eine statische Route hinzufügen, wenn Sie dies möchten. In diesem Beispiel muss der VPN Concentrator selbst jedoch nicht auf das Netzwerk 192.168.2.0 zugreifen.

Fehlerbehebung

Simulierter Fehler

Dies ist ein simulierter Fehler in der Konfiguration. Wenn Sie den Filter von der öffentlichen Schnittstelle entfernen, wird der VPN-Tunnel geschlossen. Dadurch fällt auch die Route für die 192.168.1.0, die durch den Tunnel gelernt wurde, ab. Das Entfernen der Route durch den RIP-Prozess dauert etwa drei Minuten. Aus diesem Grund kann es zu Ausfällen von bis zu drei Minuten kommen, bis sich die Route von selbst beendet.

Nach Ablauf der RIP-Route sieht die neue Routing-Tabelle auf den Routern ähnlich aus:

rtr-3620#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.3.1, 00:00:05, Ethernet1/0
C    192.168.4.0/24 is directly connected, Ethernet1/1

!--- Now the 192.168.1.0 route is learned properly !--- through the OSPF backbone.

O E2 192.168.1.0/24 [130/20] via 192.168.4.1, 00:00:05, Ethernet1/1
O    192.168.2.0/24 [130/20] via 192.168.4.1, 19:55:48, Ethernet1/1
C    192.168.3.0/24 is directly connected, Ethernet1/0

Was kann schiefgehen?

Wenn Sie vergessen haben, die Admin-Distanzänderung auf 130 hinzuzufügen, können Sie diese Ausgabe möglicherweise sehen. Hinweis: Beide VPN-Tunnel sind aktiv.

VPN 3080 Concentrator

Hinweis: Dies ist die nicht grafische Benutzeroberfläche (GUI) der Routing-Tabelle.

Monitor -> 1

Routing Table
-------------

Number of Routes: 6

   IP Address         Mask          Next Hop    Intf Protocol Age Metric
------------------------------------------------------------------------
0.0.0.0         0.0.0.0         172.18.124.1       2 Default    0      1
172.18.124.0    255.255.255.0   0.0.0.0            2 Local      0      1
192.168.1.0     255.255.255.0   0.0.0.0            1 Local      0      1
192.168.2.0     255.255.255.0   172.18.124.132     2 RIP       10      2
192.168.3.0     255.255.255.0   172.18.124.131     2 RIP        2      2
192.168.4.0     255.255.255.0   172.18.124.132     2 RIP       10      9

Um zum Netzwerk 192.168.3.0 zu gelangen, muss die Route über 172.18.124.131 verlaufen. Die Routing-Tabelle auf RTR-3620 zeigt jedoch Folgendes:

rtr-3620#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     172.18.0.0/24 is subnetted, 1 subnets
O E2    172.18.124.0 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C    192.168.4.0/24 is directly connected, Ethernet1/1

!--- This is an example of asymmetric routing. 

O E2 192.168.1.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
O    192.168.2.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C    192.168.3.0/24 is directly connected, Ethernet1/0

Um zum Netzwerk 192.168.1.0 zurückzukehren, muss die Route über das Backbone-Netzwerk 192.168.4.x verlaufen.

Der Datenverkehr funktioniert weiterhin, da die automatische Erkennung die richtigen SA-Informationen (Security Association, Sicherheitszuordnung) auf dem VPN 3030b Concentrator generiert. Beispiele:

Routing -> 1

Routing Table

-------------
Number of Routes: 6
   IP Address         Mask          Next Hop    Intf Protocol Age Metric

------------------------------------------------------------------------
0.0.0.0         0.0.0.0         172.18.124.1       2 Default    0      1
172.18.124.0    255.255.255.0   0.0.0.0            2 Local      0      1
192.168.1.0     255.255.255.0   0.0.0.0            1 Local      0      1
192.168.2.0     255.255.255.0   172.18.124.132     2 RIP       28      2
192.168.3.0     255.255.255.0   172.18.124.131     2 RIP       20      2
192.168.4.0     255.255.255.0   172.18.124.132     2 RIP       28      9

Obwohl in der Routing-Tabelle angegeben ist, dass der Peer 172.18.124.131 sein sollte, wird der tatsächliche SA (Datenverkehrsfluss) über den VPN 3030b Concentrator unter 172.18.124.132 geleitet. Die SA-Tabelle hat Vorrang vor der Routing-Tabelle. Eine genaue Betrachtung der Routing-Tabelle und der SA-Tabelle auf dem VPN 3060a Concentrator zeigt, dass der Datenverkehr nicht in die richtige Richtung fließt.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	10-Dec-2001	Erstveröffentlichung

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)