Configuración del Ruteo Redundante en el Concentrador VPN 3000
Contenido
Introducción
Este documento describe cómo configurar un failover VPN redundante si un sitio remoto pierde su concentrador VPN 3000 o la conectividad a Internet. En este ejemplo, suponga que la red corporativa ubicada detrás de VPN 3030B utiliza OSPF (Open Shortest Path First) como su protocolo de ruteo predeterminado.
Nota: Cuando redistribuye entre protocolos de ruteo, puede formar un loop de ruteo que puede causar problemas en la red. OSPF se utiliza en este ejemplo, pero no es el único protocolo de ruteo que se puede utilizar.
El objetivo de este ejemplo es hacer que la red 192.168.1.0 utilice el túnel rojo (en circunstancias de funcionamiento normales), representado en la sección Diagrama de red, para alcanzar 192.168.3.x. Si el túnel, el concentrador VPN o el ISP caen, la red 192.168.3.0 se aprende a través de un protocolo de ruteo dinámico sobre el túnel verde. Además, la conectividad no se pierde en el sitio 192.168.3.0. Una vez resuelto el problema, el tráfico vuelve automáticamente al túnel rojo.
Nota: RIP tiene un temporizador de vencimiento de tres minutos antes de permitir que se acepte una nueva ruta sobre una ruta no válida. Además, suponga que se crean los túneles y que el tráfico puede pasar entre los pares.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
-
Routers 3620 y 3640 de Cisco
-
Concentrador Cisco VPN 3080 - Versión: Cisco Systems, Inc./VPN 3000 Concentrator Versión 4.7
-
Concentrador Cisco VPN 3060 - Versión: Cisco Systems, Inc./VPN 3000 Concentrator Series Versión 4.7
-
Concentrador Cisco VPN 3030 - Versión: Cisco Systems, Inc./VPN 3000 Concentrator Series Versión 4.7
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Convenciones
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Configurar
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Para encontrar información adicional sobre los comandos utilizados en este documento, utilice la Command Lookup Tool (sólo para clientes registrados) .
Diagrama de la red
En este documento, se utiliza esta configuración de red:
Los guiones azules indican que OSPF está habilitado desde VPN 3030b hasta RTR-3640 y RTR-3620.
Los guiones verdes indican que RIPv2 está habilitado desde VPN privada 3060a a RTR-3620, RTR-3640 y VPN privada 3030b.
RIPv2 también está habilitado en los túneles VPN rojo y verde porque la detección de red está habilitada. No es necesario habilitar RIP en la interfaz privada VPN 3080. Tampoco hay RIP en la red 192.168.4.x porque OSPF aprende todas las rutas a través de este link.
Nota: Los PC en las redes 192.168.2.x y 192.168.3.x necesitan tener sus gateways predeterminados apuntando a los routers y no a los Concentradores VPN. Permita que los routers decidan dónde rutear los paquetes.
Configuración del router
Este documento utiliza estas configuraciones de router:
| Router 3620 |
|---|
rtr-3620#write terminal Building configuration... Current configuration : 873 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3620 ! ip subnet-zero ! interface Ethernet1/0 ip address 192.168.3.2 255.255.255.0 half-duplex ! interface Ethernet1/1 ip address 192.168.4.2 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- To pass the routes learned through RIP into the OSPF process, !--- use the redistribute command. !--- To prevent a routing loop, block the 192.168.1.0 network !--- from entering the OSPF process. It should only be learned !--- through the RIP process. No two different routing processes !--- exchange information unless you implicitly use the !--- redistribute command. !--- The 192.168.1.x network is learned through OSPF from the !--- 192.168.2.x side. However, since the admin distance is changed, !--- it is not installed into the table !--- because RIP has an administrative distance of 120, !--- and all of the OSPF distances are 130. redistribute rip subnets route-map block192.168.1.0 !--- To enable the OSPF process for the interfaces that are included !--- in the 192.168.x.x networks: network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.1 !--- to an admin distance of 130. distance 130 192.168.4.1 0.0.0.0 ! !--- To enable RIP on the Ethernet 1/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.3.0 ! ip classless ! ! access-list 1 deny 192.168.1.0 0.0.0.255 access-list 1 permit any route-map block192.168.1.0 permit 10 match ip address 1 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
| Router 3640 |
|---|
rtr-3640#write terminal Building configuration... Current configuration : 1129 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3640 ! ip subnet-zero ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 192.168.4.1 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- Use this command to push RIP learned routes into OSPF. !--- You need this when the VPN 3060a or the connection drops and !--- the 192.168.3.0 route needs to be injected into the OSPF backbone. redistribute rip subnets !--- Place all 192.168.x.x networks into area 0. network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.2 !--- to an admin distance of 130. distance 130 192.168.4.2 0.0.0.0 ! !--- To enable RIP on the Ethernet 0/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.2.0 ! ip classless ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
Configuración del concentrador de la VPN 3080
VPN de LAN a LAN 3080 a VPN 3030b
Seleccione Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN. Dado que se utiliza Network Autodiscovery, no es necesario rellenar las listas de redes locales y remotas.
Nota: Los Concentradores VPN que ejecutan la versión de software 3.1 y anteriores tienen una casilla de verificación para la detección automática. La versión 3.5 del software (utilizada en el VPN 3080) utiliza un menú desplegable, como el que se muestra aquí.
VPN de LAN a LAN 3080 a VPN 3060a
Seleccione Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN. Dado que se utiliza Network Autodiscovery, no es necesario rellenar las listas de redes locales y remotas.
Nota: Los Concentradores VPN que ejecutan la versión de software 3.1 y anteriores tienen una casilla de verificación para la detección automática. La versión 3.5 del software (utilizada en el VPN 3080) utiliza un menú desplegable, como el que se muestra aquí.
Configuración del concentrador VPN 3060a
VPN de LAN a LAN 3060a a VPN 3080
Seleccione Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN.
Nota: Hay una casilla de verificación en el VPN 3060 para Network Autodiscovery en lugar del menú desplegable como en la versión de software 3.5 y posterior.
Habilite RIP para pasar las rutas aprendidas por el túnel al router VPN 3620
Seleccione Configuration > Interfaces > Private > RIP. Cambie el menú desplegable a RIPv2 Only y haga clic en Apply. A continuación, seleccione Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN.
Nota: El valor predeterminado es RIP de salida y está desactivado para la interfaz privada.
Configuración del concentrador VPN 3030b
VPN de LAN a LAN 3030b a VPN 3080
Seleccione Configuration > Tunneling and Security > IPSec > LAN-to-LAN.
Habilite RIP para pasar las rutas aprendidas por el túnel al router VPN 3640
Siga los pasos enumerados anteriormente en este documento para el concentrador VPN 3060a.
Habilite OSPF para pasar las rutas aprendidas de la estructura básica al concentrador VPN 3030b
Seleccione Configuration > System > IP Routing > OSPF e ingrese el ID del router.
rtr-3640#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.4.2 1 FULL/DR 00:00:39 192.168.4.2 Ethernet0/1 !--- For troubleshooting purposes, it helps to make the router ID the !--- IP address of the private interface. 192.168.2.1 1 FULL/BDR 00:00:36 192.168.2.1 Ethernet0/0
El ID de área debe coincidir con el ID del cable. Dado que el área en este ejemplo es 0, está representada por 0.0.0.0. Además, marque la casilla Enable OSPF y haga clic en Apply.
Asegúrese de que los temporizadores OSPF coincidan con los del router. Para verificar los temporizadores de los routers, utilice el comando show ip ospf interface <nombre de interfaz>.
rtr-3640#show ip ospf interface ethernet 0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.2.2/24, Area 0
Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 192.168.2.2
Backup Designated router (ID) 192.168.2.1, Interface address 192.168.2.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:05
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.2.1 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
Para obtener más información sobre OSPF, consulte RFC 1247
.
Verificación
En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.
La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.
Este resultado de comando muestra tablas de ruteo precisas.
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:11, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- The 192.168.1.x network is learned from the !--- VPN 3060a Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:11, Ethernet1/0
!--- The 192.168.3.x network traverses the 192.168.4.x network !--- to get to the 192.168.2.x network.
O 192.168.2.0/24 [130/20] via 192.168.4.1, 00:01:07, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
rtr-3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.4.0/24 is directly connected, Ethernet0/1
!--- The 192.168.1.x network is learned from the !--- VPN 3030b Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.2.0/24 is directly connected, Ethernet0/0
!--- The 192.168.2.x network traverses the 192.168.4.x network !--- to get to the 192.168.3.x network. !--- This is an example of perfect symmetrical routing.
O 192.168.3.0/24 [130/20] via 192.168.4.2, 00:00:58, Ethernet0/1
Esta es la tabla de ruteo del concentrador VPN 3080 en circunstancias normales.
Las redes 192.168.2.x y 192.168.3.x se aprenden a través de los túneles VPN 172.18.124.132 y 172.18.124.131, respectivamente. La red 192.168.4.x se aprende a través del túnel 172.18.124.132 porque los anuncios OSPF del router se colocan en la tabla de ruteo del Concentrador VPN 3030b. Luego, la tabla de ruteo anuncia la red a los pares VPN remotos.
Esta es la tabla de ruteo del concentrador VPN 3030b en circunstancias normales.
El cuadro rojo resalta que la red 192.168.1.x se aprende del túnel VPN. El cuadro azul resalta que las redes 192.168.3.x y 192.168.4.x se aprenden a través del proceso OSPF de núcleo.
Esta es la tabla de ruteo del concentrador VPN 3060a en circunstancias normales.
La red 192.168.1.x es la única red aquí, y se puede alcanzar a través del túnel VPN. No hay ninguna red 192.168.2.0, ya que ningún proceso (como RIP) pasa por esa ruta. No se pierde nada mientras las PC de la red 192.168.3.x no señalen su gateway predeterminado al concentrador VPN. Siempre puede agregar una ruta estática si así lo desea. Sin embargo, para este ejemplo, el concentrador VPN en sí no necesita alcanzar la red 192.168.2.0.
Troubleshoot
Falla simulada
Este es un fallo simulado en la configuración. Si quita el filtro a la interfaz pública, el túnel VPN se descarta. Esto hace que la ruta para el 192.168.1.0 aprendido a través del túnel también se descarte. El proceso RIP tarda aproximadamente tres minutos en purgar la ruta. Por lo tanto, es posible que tenga una interrupción de tres minutos hasta que la ruta se agote.
Una vez que caduca la ruta RIP, la nueva tabla de enrutamiento de los routers aparece de forma similar a la siguiente:
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:05, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- Now the 192.168.1.0 route is learned properly !--- through the OSPF backbone.
O E2 192.168.1.0/24 [130/20] via 192.168.4.1, 00:00:05, Ethernet1/1
O 192.168.2.0/24 [130/20] via 192.168.4.1, 19:55:48, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
Qué Puede Salir Mal?
Si olvida agregar el cambio de distancia de administración a 130, es posible que pueda ver este resultado. Tenga en cuenta que ambos túneles VPN están activos.
Concentrador VPN 3080
Nota: Ésta es la versión de la interfaz de usuario (GUI) no gráfica de la tabla de routing.
Monitor -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 10 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 2 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 10 9
Para llegar a la red 192.168.3.0, la ruta debe pasar por 172.18.124.131. Sin embargo, la tabla de ruteo en el RTR-3620 muestra:
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
O E2 172.18.124.0 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- This is an example of asymmetric routing.
O E2 192.168.1.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
O 192.168.2.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
Para volver a la red 192.168.1.0, la ruta debe pasar a través de la red troncal 192.168.4.x.
El tráfico aún funciona desde que el autodiscovery genera la información de asociación de seguridad (SA) adecuada en el concentrador VPN 3030b. Por ejemplo:
Routing -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 28 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 20 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 28 9
Aunque la tabla de ruteo indica que el par debe ser 172.18.124.131, el SA real (flujo de tráfico) se realiza a través del concentrador VPN 3030b en 172.18.124.132. La tabla SA tiene prioridad sobre la tabla de rutas. Solo un examen detallado de la tabla de rutas y la tabla SA en el concentrador VPN 3060a muestra que el tráfico no fluye en la dirección correcta.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
10-Dec-2001 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)