Redundante routing configureren op de VPN 3000 Concentrator
Inhoud
Inleiding
Dit document beschrijft hoe u een redundante VPN-failover kunt configureren als een externe site zijn VPN 3000 Concentrator of internetverbinding verliest. In dit voorbeeld wordt ervan uitgegaan dat het bedrijfsnetwerk achter VPN 3030B eerst Open Shortest Path (OSPF) gebruikt als standaardrouteringsprotocol.
Opmerking: wanneer u de verdeling tussen routeringsprotocollen herverdeelt, kunt u een routerlijn vormen die problemen kan veroorzaken op het netwerk. OSPF wordt gebruikt in dit voorbeeld, maar het is niet het enige routeringsprotocol dat kan worden gebruikt.
Het doel van dit voorbeeld is om het 192.168.1.0 netwerk de rode tunnel (onder normale bedrijfsomstandigheden) te laten gebruiken, zoals afgebeeld in het gedeelte Network Diagram, om 192.168.3.x te bereiken. Als de tunnel, VPN Concentrator of ISP daalt, wordt het 192.168.3.0-netwerk geleerd via een dynamisch routeringsprotocol via de groene tunnel. Ook, is de connectiviteit niet verloren aan de 192.168.3.0 plaats. Wanneer het probleem is opgelost, keert het verkeer automatisch terug naar de rode tunnel.
Opmerking: RIP heeft een verouderingstimer van drie minuten voordat een nieuwe route kan worden geaccepteerd over een ongeldige route. Ook, veronderstel dat de tunnels worden gecreëerd en dat het verkeer tussen de edelen kan overgaan.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
-
Cisco-routers 3620 en 3640
-
Cisco VPN 3080 Concentrator - versie: Cisco Systems, Inc./VPN 3000 Concentrator versie 4.7
-
Cisco VPN 3060 Concentrator - versie: Cisco Systems, Inc./VPN 3000 Concentrator Series versie 4.7
-
Cisco VPN 3030 Concentrator - versie: Cisco Systems, Inc./VPN 3000 Concentrator Series versie 4.7
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Configureren
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in dit document worden gebruikt.
Netwerkdiagram
Het netwerk in dit document is als volgt opgebouwd:
De blauwe streepjes geven aan dat OSPF is ingeschakeld van VPN 3030b naar RTR-3640 en RTR-3620.
De groene streepjes wijzen erop dat RIPv2 van privé VPN 3060a aan RTR-3620, RTR-3640, en privé VPN 3030b wordt toegelaten.
RIPv2 is ook ingeschakeld voor de rode en groene VPN-tunnels omdat netwerkdetectie is ingeschakeld. Het is niet nodig om RIP op de privé-interface van VPN 3080 in te schakelen. Er is ook geen RIP op het 192.168.4.x netwerk omdat alle routes door OSPF over deze verbinding worden geleerd.
Opmerking: voor pc's in de 192.168.2.x- en 192.168.3.x-netwerken is het nodig dat hun standaardgateways naar de routers wijzen en niet naar de VPN-concentrators. Sta de routers toe om te beslissen waar de pakketten moeten worden geleid.
Routerconfiguraties
Dit document gebruikt deze routerconfiguraties:
| Router 3620 |
|---|
rtr-3620#write terminal Building configuration... Current configuration : 873 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3620 ! ip subnet-zero ! interface Ethernet1/0 ip address 192.168.3.2 255.255.255.0 half-duplex ! interface Ethernet1/1 ip address 192.168.4.2 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- To pass the routes learned through RIP into the OSPF process, !--- use the redistribute command. !--- To prevent a routing loop, block the 192.168.1.0 network !--- from entering the OSPF process. It should only be learned !--- through the RIP process. No two different routing processes !--- exchange information unless you implicitly use the !--- redistribute command. !--- The 192.168.1.x network is learned through OSPF from the !--- 192.168.2.x side. However, since the admin distance is changed, !--- it is not installed into the table !--- because RIP has an administrative distance of 120, !--- and all of the OSPF distances are 130. redistribute rip subnets route-map block192.168.1.0 !--- To enable the OSPF process for the interfaces that are included !--- in the 192.168.x.x networks: network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.1 !--- to an admin distance of 130. distance 130 192.168.4.1 0.0.0.0 ! !--- To enable RIP on the Ethernet 1/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.3.0 ! ip classless ! ! access-list 1 deny 192.168.1.0 0.0.0.255 access-list 1 permit any route-map block192.168.1.0 permit 10 match ip address 1 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
| Router 3640 |
|---|
rtr-3640#write terminal Building configuration... Current configuration : 1129 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3640 ! ip subnet-zero ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 192.168.4.1 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- Use this command to push RIP learned routes into OSPF. !--- You need this when the VPN 3060a or the connection drops and !--- the 192.168.3.0 route needs to be injected into the OSPF backbone. redistribute rip subnets !--- Place all 192.168.x.x networks into area 0. network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.2 !--- to an admin distance of 130. distance 130 192.168.4.2 0.0.0.0 ! !--- To enable RIP on the Ethernet 0/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.2.0 ! ip classless ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
VPN 3800 concentratorconfiguratie
LAN-to-LAN VPN 3080 naar VPN 3030b
Selecteer Configuratie > Tunneling en beveiliging > IPSec > IPSec LAN-to-LAN. Aangezien Network Autodiscovery wordt gebruikt, hoeven de lokale en externe netwerklijsten niet te worden ingevuld.
Opmerking: VPN Concentrators die softwareversie 3.1 en eerder uitvoeren, hebben een aanvinkvakje voor automatische detectie. Software versie 3.5 (gebruikt op VPN 3080) gebruikt een uitrolmenu, zoals het hier weergegeven menu.
LAN-to-LAN VPN 3080 naar VPN 3060a
Selecteer Configuratie > Tunneling en beveiliging > IPSec > IPSec LAN-to-LAN. Aangezien Network Autodiscovery wordt gebruikt, hoeven de lokale en externe netwerklijsten niet te worden ingevuld.
Opmerking: VPN Concentrators die softwareversie 3.1 en eerder uitvoeren, hebben een aanvinkvakje voor automatische detectie. Software versie 3.5 (gebruikt op VPN 3080) gebruikt een uitrolmenu, zoals het hier weergegeven menu.
VPN 3060a concentratie configuratie
LAN-to-LAN VPN 3060a naar VPN 3080
Selecteer Configuratie > Tunneling en beveiliging > IPSec > IPSec LAN-to-LAN.
Opmerking: er is een selectievakje op VPN 3060 voor Network Autodiscovery in plaats van het vervolgkeuzemenu zoals in softwareversie 3.5 en hoger.
Laat RIP toe om de tunnelgeleerde routers tot VPN 3620 router over te gaan
Selecteer Configuratie > Interfaces > Privé > RIP. Wijzig het vervolgkeuzemenu in Alleen RIPv2 en klik op Toepassen. Selecteer vervolgens Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN.
Opmerking: de standaardinstelling is uitgaande RIP en is uitgeschakeld voor de privé-interface.
VPN 3030b concentratie configuratie
LAN-to-LAN VPN 3030b naar VPN 3080
Selecteer Configuratie > Tunneling en beveiliging > IPSec > LAN-to-LAN.
Laat RIP toe om de tunnelgeleerde routers tot VPN 3640 router over te gaan
Volg de stappen die eerder in dit document zijn vermeld voor VPN 3060a Concentrator.
OSPF inschakelen om de backbone-geleerde routers door te geven aan de VPN 3030b-concentrator
Selecteer Configuratie > Systeem > IP-routing > OSPF en voer de router-ID in.
rtr-3640#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.4.2 1 FULL/DR 00:00:39 192.168.4.2 Ethernet0/1 !--- For troubleshooting purposes, it helps to make the router ID the !--- IP address of the private interface. 192.168.2.1 1 FULL/BDR 00:00:36 192.168.2.1 Ethernet0/0
De gebied-ID moet overeenkomen met de id op de draad. Aangezien het gebied in dit voorbeeld 0 is, wordt het weergegeven door 0.0.0.0. Selecteer ook het vakje OSPF inschakelen en klik op Toepassen.
Zorg ervoor dat uw OSPF-timers overeenkomen met die van de router. Om de routertimers te verifiëren, gebruik het showip ospf interface <interfacenaam> bevel.
rtr-3640#show ip ospf interface ethernet 0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.2.2/24, Area 0
Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 192.168.2.2
Backup Designated router (ID) 192.168.2.1, Interface address 192.168.2.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:05
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.2.1 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
Raadpleeg voor meer informatie over OSPF RFC 1247
.
Verifiëren
Deze sectie bevat informatie die u kunt gebruiken om te controleren of uw configuratie correct werkt.
Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.
Deze opdrachtoutput laat accurate routingtabellen zien.
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:11, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- The 192.168.1.x network is learned from the !--- VPN 3060a Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:11, Ethernet1/0
!--- The 192.168.3.x network traverses the 192.168.4.x network !--- to get to the 192.168.2.x network.
O 192.168.2.0/24 [130/20] via 192.168.4.1, 00:01:07, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
rtr-3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.4.0/24 is directly connected, Ethernet0/1
!--- The 192.168.1.x network is learned from the !--- VPN 3030b Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.2.0/24 is directly connected, Ethernet0/0
!--- The 192.168.2.x network traverses the 192.168.4.x network !--- to get to the 192.168.3.x network. !--- This is an example of perfect symmetrical routing.
O 192.168.3.0/24 [130/20] via 192.168.4.2, 00:00:58, Ethernet0/1
Dit is de VPN 3080 Concentrator-routeringstabel onder normale omstandigheden.
Netwerken 192.168.2.x en 192.168.3.x worden beide geleerd via de VPN-tunnels 172.18.124.132 en 172.18.124.131. Het 192.168.4.x netwerk wordt geleerd door de 172.18.124.132 tunnel omdat de OSPF-advertenties van de router worden geplaatst in de routertabel van de VPN 3030b Concentrator. Vervolgens wordt het netwerk geadverteerd met de externe VPN-peers.
Dit is de VPN 3030b Concentrator-routeringstabel onder normale omstandigheden.
De rode doos benadrukt dat het 192.168.1.x netwerk van de VPN-tunnel wordt geleerd. De blauwe doos benadrukt dat de netwerken 192.168.3.x en 192.168.4.x door het kernOSPF proces worden geleerd.
Dit is de VPN 3060a Concentrator-routeringstabel onder normale omstandigheden.
Network 192.168.1.x is hier het enige netwerk en kan worden bereikt via de VPN-tunnel. Er is geen 192.168.2.0 netwerk aangezien geen proces (zoals RIP) langs die route overgaat. Er is niets verloren zolang de PCs op het 192.168.3.x netwerk hun standaardgateway niet naar de VPN Concentrator richten. U kunt altijd een statische route toevoegen als u kiest. Bij dit voorbeeld hoeft de VPN Concentrator zelf het 192.168.2.0-netwerk echter niet te bereiken.
Problemen oplossen
Simulatiefout
Dit is een gesimuleerde fout in de configuratie. Als u het filter verwijdert naar de openbare interface, dan daalt de VPN-tunnel. Hierdoor daalt ook de route voor de 192.168.1.0 die door de tunnel is geleerd. Het duurt ongeveer drie minuten voor het RIP-proces om de route te verwijderen. Daarom kunt u een onderbreking van drie minuten tot de routetijden zelf uit hebben.
Zodra de RIP-route verloopt, lijkt de nieuwe routertabel op de routers op dit punt:
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:05, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- Now the 192.168.1.0 route is learned properly !--- through the OSPF backbone.
O E2 192.168.1.0/24 [130/20] via 192.168.4.1, 00:00:05, Ethernet1/1
O 192.168.2.0/24 [130/20] via 192.168.4.1, 19:55:48, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
Wat kan er fout gaan?
Als u vergeet om in de admin afstand verandering aan 130 toe te voegen, dan kunt u mogelijk deze output zien. Merk op dat beide VPN-tunnels omhoog zijn.
VPN 3080 concentrator
Opmerking: dit is de niet-grafische gebruikersinterface (GUI)-versie van de routeringstabel.
Monitor -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 10 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 2 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 10 9
Om het 192.168.3.0 netwerk te bereiken, moet de route door 172.18.124.131. De routeringstabel op RTR-3620 toont echter:
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
O E2 172.18.124.0 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- This is an example of asymmetric routing.
O E2 192.168.1.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
O 192.168.2.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
Om terug te gaan naar het 192.168.1.0 netwerk, moet de route door het backbone 192.168.4.x netwerk.
Het verkeer werkt nog steeds omdat de automatische detectie de juiste security associatie (SA) informatie over de VPN 3030b Concentrator genereert. Voorbeeld:
Routing -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 28 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 20 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 28 9
Alhoewel de routeringstabel zegt dat de peer 172.18.124.131 zou moeten zijn, is de daadwerkelijke SA (verkeersstroom) door de VPN 3030b Concentrator op 172.18.124.132. De SA-tabel heeft voorrang op de routetabel. Alleen een nauwkeurig onderzoek van de routetabel en de SA-tabel op de VPN 3060a Concentrator laat zien dat het verkeer niet in de juiste richting stroomt.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
10-Dec-2001 |
Eerste vrijgave |
Feedback