Configuration du routage redondant sur le concentrateur VPN 3000
Table des matières
Introduction
Ce document décrit comment configurer un basculement VPN redondant si un site distant perd son concentrateur VPN 3000 ou la connectivité Internet. Dans cet exemple, supposons que le réseau d'entreprise situé derrière le VPN 3030B utilise Open Shortest Path First (OSPF) comme protocole de routage par défaut.
Remarque : lorsque vous redistribuez entre des protocoles de routage, vous pouvez former une boucle de routage qui peut causer des problèmes sur le réseau. OSPF est utilisé dans cet exemple, mais ce n'est pas le seul protocole de routage qui peut être utilisé.
L'objectif de cet exemple est de faire en sorte que le réseau 192.168.1.0 utilise le tunnel rouge (dans des conditions de fonctionnement normales), représenté dans la section Network Diagram, pour atteindre 192.168.3.x. Si le tunnel, le concentrateur VPN ou le FAI est abandonné, le réseau 192.168.3.0 est appris via un protocole de routage dynamique sur le tunnel vert. En outre, la connectivité n'est pas perdue pour le site 192.168.3.0. Une fois le problème résolu, le trafic revient automatiquement au tunnel rouge.
Remarque : le protocole RIP dispose d'un compteur d'obsolescence de trois minutes avant d'autoriser l'acceptation d'une nouvelle route sur une route non valide. Supposons également que les tunnels sont créés et que le trafic peut passer entre les homologues.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
Routeurs Cisco 3620 et 3640
-
Concentrateur Cisco VPN 3080 - Version : Cisco Systems, Inc./Concentrateur VPN 3000 Version 4.7
-
Concentrateur Cisco VPN 3060 - Version : Cisco Systems, Inc./Gamme de concentrateurs VPN 3000 Version 4.7
-
Concentrateur Cisco VPN 3030 - Version : Cisco Systems, Inc./Gamme de concentrateurs VPN 3000 Version 4.7
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Configurer
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Pour en savoir plus sur les commandes utilisées dans le présent document, utilisez l’outil de recherche de commandes (clients inscrits seulement).
Diagramme du réseau
Ce document utilise la configuration réseau suivante :
Les tirets bleus indiquent que le protocole OSPF est activé du VPN 3030b aux RTR-3640 et RTR-3620.
Les tirets verts indiquent que RIPv2 est activé du VPN privé 3060a au RTR-3620, au RTR-3640 et au VPN privé 3030b.
RIPv2 est également activé sur les tunnels VPN rouge et vert, car la découverte de réseau est activée. Il n'est pas nécessaire d'activer le protocole RIP sur l'interface privée VPN 3080. Il n'y a pas non plus de RIP sur le réseau 192.168.4.x car toutes les routes sont apprises par OSPF sur cette liaison.
Remarque : les PC des réseaux 192.168.2.x et 192.168.3.x doivent avoir leurs passerelles par défaut pointant vers les routeurs et non vers les concentrateurs VPN. Laissez les routeurs décider de l’emplacement d’acheminement des paquets.
Configurations des routeurs
Ce document utilise ces configurations de routeur :
| Routeur 3620 |
|---|
rtr-3620#write terminal Building configuration... Current configuration : 873 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3620 ! ip subnet-zero ! interface Ethernet1/0 ip address 192.168.3.2 255.255.255.0 half-duplex ! interface Ethernet1/1 ip address 192.168.4.2 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- To pass the routes learned through RIP into the OSPF process, !--- use the redistribute command. !--- To prevent a routing loop, block the 192.168.1.0 network !--- from entering the OSPF process. It should only be learned !--- through the RIP process. No two different routing processes !--- exchange information unless you implicitly use the !--- redistribute command. !--- The 192.168.1.x network is learned through OSPF from the !--- 192.168.2.x side. However, since the admin distance is changed, !--- it is not installed into the table !--- because RIP has an administrative distance of 120, !--- and all of the OSPF distances are 130. redistribute rip subnets route-map block192.168.1.0 !--- To enable the OSPF process for the interfaces that are included !--- in the 192.168.x.x networks: network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.1 !--- to an admin distance of 130. distance 130 192.168.4.1 0.0.0.0 ! !--- To enable RIP on the Ethernet 1/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.3.0 ! ip classless ! ! access-list 1 deny 192.168.1.0 0.0.0.255 access-list 1 permit any route-map block192.168.1.0 permit 10 match ip address 1 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
| Routeur 3640 |
|---|
rtr-3640#write terminal Building configuration... Current configuration : 1129 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname rtr-3640 ! ip subnet-zero ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 192.168.4.1 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes !--- Use this command to push RIP learned routes into OSPF. !--- You need this when the VPN 3060a or the connection drops and !--- the 192.168.3.0 route needs to be injected into the OSPF backbone. redistribute rip subnets !--- Place all 192.168.x.x networks into area 0. network 192.168.0.0 0.0.255.255 area 0 !--- Since RIP's default admin distance is 120 and OSPF's is 110, !--- make RIP a preferable metric for communications !--- over the "backup" network. !--- Change any learned OSPF routes from neighbor 192.168.4.2 !--- to an admin distance of 130. distance 130 192.168.4.2 0.0.0.0 ! !--- To enable RIP on the Ethernet 0/0 interface and set it to !--- use version 2: router rip version 2 network 192.168.2.0 ! ip classless ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end |
Configuration du concentrateur VPN 3080
VPN LAN à LAN 3080 à VPN 3030b
Sélectionnez Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN. La découverte automatique de réseau étant utilisée, il n'est pas nécessaire de remplir les listes de réseaux locaux et distants.
Remarque : les concentrateurs VPN qui exécutent les versions 3.1 et antérieures du logiciel ont une case à cocher pour la détection automatique. La version logicielle 3.5 (utilisée sur le VPN 3080) utilise un menu déroulant, tel que celui illustré ici.
VPN LAN à LAN 3080 à VPN 3060a
Sélectionnez Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN. La découverte automatique de réseau étant utilisée, il n'est pas nécessaire de remplir les listes de réseaux locaux et distants.
Remarque : les concentrateurs VPN qui exécutent les versions 3.1 et antérieures du logiciel ont une case à cocher pour la détection automatique. La version logicielle 3.5 (utilisée sur le VPN 3080) utilise un menu déroulant, tel que celui illustré ici.
Configuration du concentrateur VPN 3060a
VPN LAN à LAN 3060a à VPN 3080
Sélectionnez Configuration > Tunneling and Security > IPSec > IPSec LAN-to-LAN.
Remarque : il existe une case à cocher sur le VPN 3060 pour la découverte automatique du réseau au lieu du menu déroulant comme dans la version logicielle 3.5 et ultérieure.
Activer le protocole RIP pour transmettre les routes apprises par le tunnel au routeur VPN 3620
Sélectionnez Configuration > Interfaces > Private > RIP. Dans le menu déroulant, sélectionnez RIPv2 Only, puis cliquez sur Apply. Sélectionnez ensuite Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN.
Remarque : la valeur par défaut est outbound RIP et elle est désactivée pour l'interface privée.
Configuration du concentrateur VPN 3030b
VPN LAN à LAN 3030b à VPN 3080
Sélectionnez Configuration > Tunneling and Security > IPSec > LAN-to-LAN.
Activer le protocole RIP pour transmettre les routes apprises par le tunnel au routeur VPN 3640
Suivez les étapes énumérées précédemment dans ce document pour le concentrateur VPN 3060a.
Permettre au protocole OSPF de transmettre les routes apprises par le backbone au concentrateur VPN 3030b
Sélectionnez Configuration > System > IP Routing > OSPF et entrez l'ID de routeur.
rtr-3640#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.4.2 1 FULL/DR 00:00:39 192.168.4.2 Ethernet0/1 !--- For troubleshooting purposes, it helps to make the router ID the !--- IP address of the private interface. 192.168.2.1 1 FULL/BDR 00:00:36 192.168.2.1 Ethernet0/0
L'ID de zone doit correspondre à l'ID sur le fil. Comme la zone de cet exemple est 0, elle est représentée par 0.0.0.0. Cochez également la case Enable OSPF et cliquez sur Apply.
Assurez-vous que vos minuteurs OSPF correspondent à ceux du routeur. Pour vérifier les compteurs des routeurs, utilisez la commande show ip ospf interface <nom interface>.
rtr-3640#show ip ospf interface ethernet 0/0
Ethernet0/0 is up, line protocol is up
Internet Address 192.168.2.2/24, Area 0
Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 192.168.2.2
Backup Designated router (ID) 192.168.2.1, Interface address 192.168.2.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:05
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.2.1 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
Pour plus d'informations sur OSPF, référez-vous à RFC 1247
.
Vérifier
Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.
Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.
Cette sortie de commande affiche des tables de routage précises.
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:11, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- The 192.168.1.x network is learned from the !--- VPN 3060a Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:11, Ethernet1/0
!--- The 192.168.3.x network traverses the 192.168.4.x network !--- to get to the 192.168.2.x network.
O 192.168.2.0/24 [130/20] via 192.168.4.1, 00:01:07, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
rtr-3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.4.0/24 is directly connected, Ethernet0/1
!--- The 192.168.1.x network is learned from the !--- VPN 3030b Concentrator.
R 192.168.1.0/24 [120/2] via 192.168.2.1, 00:00:23, Ethernet0/0
C 192.168.2.0/24 is directly connected, Ethernet0/0
!--- The 192.168.2.x network traverses the 192.168.4.x network !--- to get to the 192.168.3.x network. !--- This is an example of perfect symmetrical routing.
O 192.168.3.0/24 [130/20] via 192.168.4.2, 00:00:58, Ethernet0/1
Il s'agit de la table de routage du concentrateur VPN 3080 dans des circonstances normales.
Les réseaux 192.168.2.x et 192.168.3.x sont tous deux appris via les tunnels VPN 172.18.124.132 et 172.18.124.131, respectivement. Le réseau 192.168.4.x est appris via le tunnel 172.18.124.132 car les annonces OSPF du routeur sont placées dans la table de routage du concentrateur VPN 3030b. Ensuite, la table de routage annonce le réseau aux homologues VPN distants.
Il s'agit de la table de routage du concentrateur VPN 3030b dans des circonstances normales.
La zone rouge indique que le réseau 192.168.1.x est acquis à partir du tunnel VPN. La zone bleue indique que les réseaux 192.168.3.x et 192.168.4.x sont acquis via le processus OSPF principal.
Il s'agit de la table de routage du concentrateur VPN 3060a dans des circonstances normales.
Le réseau 192.168.1.x est le seul réseau ici, et il peut être atteint via le tunnel VPN. Il n’existe pas de réseau 192.168.2.0, car aucun processus (tel que le protocole RIP) ne passe par cette route. Il n'y a rien de perdu tant que les PC sur le réseau 192.168.3.x ne pointent pas leur passerelle par défaut vers le concentrateur VPN. Vous pouvez toujours ajouter une route statique si vous le souhaitez. Cependant, pour cet exemple, le concentrateur VPN lui-même n'a pas besoin d'atteindre le réseau 192.168.2.0.
Dépannage
Défaillance simulée
Il s'agit d'une erreur simulée dans la configuration. Si vous supprimez le filtre sur l'interface publique, le tunnel VPN est abandonné. Cela entraîne également l'abandon de la route pour 192.168.1.0 apprise via le tunnel. Il faut environ trois minutes au processus RIP pour purger la route. Par conséquent, vous pouvez potentiellement avoir une panne de trois minutes jusqu'à ce que la route expire.
Une fois la route RIP expirée, la nouvelle table de routage sur les routeurs apparaît comme suit :
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
R 172.18.124.0 [120/1] via 192.168.3.1, 00:00:05, Ethernet1/0
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- Now the 192.168.1.0 route is learned properly !--- through the OSPF backbone.
O E2 192.168.1.0/24 [130/20] via 192.168.4.1, 00:00:05, Ethernet1/1
O 192.168.2.0/24 [130/20] via 192.168.4.1, 19:55:48, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
Qu'Est-Ce Qui Peut Aller Mal ?
Si vous oubliez d'ajouter le changement de distance admin à 130, alors vous pouvez voir ce résultat. Notez que les deux tunnels VPN sont actifs.
Concentrateur VPN 3080
Remarque : il s'agit de la version de la table de routage qui n'est pas une interface utilisateur graphique.
Monitor -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 10 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 2 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 10 9
Pour accéder au réseau 192.168.3.0, la route doit passer par 172.18.124.131. Cependant, la table de routage du routeur RTR-3620 indique :
rtr-3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.18.0.0/24 is subnetted, 1 subnets
O E2 172.18.124.0 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.4.0/24 is directly connected, Ethernet1/1
!--- This is an example of asymmetric routing.
O E2 192.168.1.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
O 192.168.2.0/24 [110/20] via 192.168.4.1, 00:03:16, Ethernet1/1
C 192.168.3.0/24 is directly connected, Ethernet1/0
Pour revenir au réseau 192.168.1.0, la route doit passer par le réseau fédérateur 192.168.4.x.
Le trafic fonctionne toujours puisque la détection automatique génère les informations d'association de sécurité appropriées sur le concentrateur VPN 3030b. Exemple :
Routing -> 1 Routing Table ------------- Number of Routes: 6 IP Address Mask Next Hop Intf Protocol Age Metric ------------------------------------------------------------------------ 0.0.0.0 0.0.0.0 172.18.124.1 2 Default 0 1 172.18.124.0 255.255.255.0 0.0.0.0 2 Local 0 1 192.168.1.0 255.255.255.0 0.0.0.0 1 Local 0 1 192.168.2.0 255.255.255.0 172.18.124.132 2 RIP 28 2 192.168.3.0 255.255.255.0 172.18.124.131 2 RIP 20 2 192.168.4.0 255.255.255.0 172.18.124.132 2 RIP 28 9
Bien que la table de routage indique que l'homologue doit être 172.18.124.131, le SA réel (flux de trafic) passe par le concentrateur VPN 3030b à l'adresse 172.18.124.132. La table SA est prioritaire sur la table de routage. Seul un examen attentif de la table de routage et de la table SA sur le concentrateur VPN 3060a montre que le trafic ne circule pas dans la bonne direction.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
10-Dec-2001 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)