Segurança e VPN : Negociação IPSec/Protocolos IKE

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (12 Novembro 2015) | Feedback


Índice


Introdução

Este documento explica como configurar o GRE sobre o roteamento do IPsec através de local de hub para vários locais remotos. O Cisco 7206 Router é o roteador de site central, a que todos os locais restantes conectam com o IPsec. O Cisco 2610, os 3620, e os 3640 Router são os roteadores remotos. Todos os locais podem alcançar a rede principal atrás do Cisco 7206 e todos locais remotos restantes através do túnel ao local principal, com as atualizações de roteamento que ocorrem automaticamente através do Enhanced Interior Gateway Routing Protocol (EIGRP).

Pré-requisitos

Pré-requisitos

Este documento foi desenvolvido e testado com uso das versões de software e hardware abaixo.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 7206 Router que executa o Software Release 12.3(1) IK9S de Cisco IOS�

  • Cisco IOS Software Release 12.3(1) running IK9S do Cisco 2621XM Router

  • Cisco IOS Software Release 12.3(1) running IK9S do Cisco 3640 Router

  • Cisco IOS Software Release 12.3(1) running IK9S do Cisco 3640 Router

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/17868/multiroute-01.gif

Configurar

Esse processo o orienta durante a configuração de um túnel de IPSec para rotear por um hub e vários locais remotos. O processo é separado nestas três etapas preliminares.

Configurar os túneis GRE

Siga estas etapas para configurar os túneis GRE:

  1. Crie um túnel GRE de cada local remoto ao escritório principal. Configure uma interface de túnel no roteador Cisco 7206 para cada estação remota.

    interface Tunnel0
     ip address 192.168.16.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.10
    !
    interface Tunnel1
     ip address 192.168.46.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.40
    !
    interface Tunnel2
     ip address 192.168.26.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.20

    A origem de túnel para cada túnel é a interface FastEthernet1/0 ou a interface que é a conexão de Internet. O destino do túnel é o endereço IP da interface de Internet do roteador remoto. Cada túnel deve ter um endereço IP de Um ou Mais Servidores Cisco ICM NT em um diferente, sub-rede não utilizada.

  2. Configurar os túneis GRE no Cisco 2610, nos 3620, e nos 3640 Router. As configurações são similares ao Cisco 7206 Router.

    Cisco 2610 Router

    interface Tunnel0
     ip address 192.168.16.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    Cisco 3620 Router

    interface Tunnel0
     ip address 192.168.26.1 255.255.255.0
     tunnel source Ethernet1/0
     tunnel destination 14.36.88.6

    Cisco 3640 Router

    interface Tunnel0
     ip address 192.168.46.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    Cada roteador remoto usa sua interface local que conecta ao Internet como o origem de túnel. Os roteadores remotos correspondem aos endereços IP de destino na configuração do roteador Cisco 7206. O endereço IP de destino de túnel para cada roteador remoto corresponde ao endereço IP de Um ou Mais Servidores Cisco ICM NT da relação do Cisco 7206 Router que conecta ao Internet. O endereço IP da interface de túnel corresponde a um endereço IP na mesma sub-rede da interface de túnel do roteador Cisco 7206.

  3. Assegure-se de que cada roteador remoto possa sibilar o endereço IP de Um ou Mais Servidores Cisco ICM NT do destino de túnel e da interface de túnel correspondente do roteador principal.

    Também, assegure-se de que cada roteador seja processo de ping do roteador de site central.

    Cisco 2610 Router

    vpn2610#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
    vpn2610#ping 192.168.16.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.16.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/12 ms
    vpn2610#

    Cisco 3620 Router

    vpn3620#ping 14.38.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.38.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3620#ping 192.168.26.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.26.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms
    vpn3620#

    Cisco 3640 Router

    vpn3640#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3640#ping 192.168.46.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.46.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms
    vpn3640#

    Nota: Se não todo o Roteadores pode sibilar o roteador central (do hub), pesquisa defeitos cada conexão como necessário usando estas diretrizes.

    • Pode o roteador remoto sibilar o roteador de hub do IP do público ao IP do público?

    • Há algum dispositivo que obstrui o GRE entre os dois Roteadores? (Firewall, lista de acesso no roteador)

    • O que os comandos show interface mostram para a interface de túnel?

Configurar a criptografia para os túneis GRE

Termine estas etapas para configurar a criptografia para os túneis GRE:

  1. Se os túneis GRE vêm acima, continue com criptografia. Primeiramente, crie Listas de acesso para definir o tráfego para a criptografia.

    As Listas de acesso permitem o tráfego do endereço IP local em cada roteador ao endereço IP de Um ou Mais Servidores Cisco ICM NT no extremo oposto. Use o comando show version para exibir a versão de software que o Cache Engine está executando.

    7206:
    access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
    access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
    access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
    
    2610:
    access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
    
    3620:
    access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
    
    3640:
    access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
  2. Configurar uma política do Internet Security Association and Key Management Protocol (ISAKMP), uma chave ISAKMP, e um IPsec transforma o grupo.

    A política ISAKMP, a chave e o comando transform-set ipsec devem corresponder nos dois lados de um único túnel. Não todos os túneis têm que usar a mesma política, chave, ou transforme o grupo. Neste exemplo, todos os túneis usam a mesma política, chave, e transformam o grupo para a simplicidade.

    Cisco 7206 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 2610 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 3620 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 3640 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport
  3. Configurar o crypto map. O site central tem um número de seqüência separado para cada conexão.

    Cisco 7206 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.38.88.40
     set transform-set strong
     match address 130
    crypto map vpn 20 ipsec-isakmp
     set peer 14.38.88.20
     set transform-set strong
     match address 140
    crypto map vpn 30 ipsec-isakmp
     set peer 14.38.88.10
     set transform-set strong
     match address 150

    Cisco 2610 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 120

    Cisco 3620 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 110

    Cisco 3640 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 100
  4. Aplique o crypto map. O mapa é aplicado às interfaces do tunel e física por onde saem os pacotes.

    Cisco 7206 Router

    interface Tunnel0
     crypto map vpn
    interface Tunnel1
     crypto map vpn
    interface Tunnel2
     crypto map vpn
    interface FastEthernet1/0
     crypto map vpn

    Cisco 2610 Router

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

    Cisco 3620 Router

    interface Tunnel0
     crypto map vpn
    interface Ethernet1/0
     crypto map vpn

    Cisco 3640 Router

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

Configurar o protocolo de roteamento

Para configurar o protocolo de roteamento, configurar todos os locais com o número de sistema autônomo e instruir o protocolo de roteamento (EIGRP) para compartilhar de rotas. Somente redes que estejam incluídas nas instruções de rede são compartilhadas com os outros roteadores pelo Routing Protocol. O número de sistema autônomo deve combinar em todo o Roteadores que participa na partilha das rotas. Neste exemplo, as redes que podem ser resumidas em uma instrução de rede são usadas para a simplicidade.

Cisco 7206 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 2610 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 3620 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 3640 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Configurações de exemplo

Este documento usa estes exemplos de configurações:

Cisco 7206 Router
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sec-7206
!
aaa new-model
aaa authentication ppp default local
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip cef
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
!
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0        
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.38.88.40
 set transform-set strong 
 match address 130
crypto map vpn 20 ipsec-isakmp   
 set peer 14.38.88.20
 set transform-set strong 
 match address 140
crypto map vpn 30 ipsec-isakmp   
 set peer 14.38.88.10
 set transform-set strong 
 match address 150
!
!
!
!
!
!
interface Tunnel0
 ip address 192.168.16.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.10
 crypto map vpn
!
interface Tunnel1
 ip address 192.168.46.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.40
 crypto map vpn
!
interface Tunnel2
 ip address 192.168.26.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.20
 crypto map vpn
!
interface FastEthernet0/0
 no ip address
 no ip mroute-cache
 shutdown
 media-type MII
 half-duplex
!
interface FastEthernet1/0
 ip address 14.36.88.6 255.255.0.0
 no ip mroute-cache
 half-duplex
 crypto map vpn
!
interface Virtual-Template1
 ip unnumbered FastEthernet1/0
 peer default ip address pool test
 ppp authentication ms-chap
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip local pool test 10.0.7.1 10.0.7.254
ip default-gateway 14.36.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 14.36.1.1
no ip http server
!
access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
radius-server host 172.18.124.197 auth-port 1645 acct-port 
1646 key cisco123
radius-server retransmit 3
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

sec-7206#

Cisco 2610 Router
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2610
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 120
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.10.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.16.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.10 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface Ethernet0/1
 ip address dhcp
 half-duplex
!
interface Serial1/0
 no ip address
 shutdown
!
interface Serial1/1
 no ip address
 shutdown
!
interface Serial1/2
 no ip address
 shutdown
!
interface Serial1/3
 no ip address
 shutdown
!
interface Serial1/4
 no ip address
 shutdown
!
interface Serial1/5
 no ip address
 shutdown
!
interface Serial1/6
 no ip address
 shutdown
!
interface Serial1/7
 no ip address
 shutdown
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
line vty 5 15
 login
!
end

vpn2610#

Cisco 3620 Router
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3620
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 110
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.20.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.26.1 255.255.255.0
 tunnel source Ethernet1/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet1/0
 ip address 14.38.88.20 255.255.0.0
 half-duplex
 crypto map vpn
!
interface TokenRing1/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

vpn3620#

Cisco 3640 Router
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 100
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.40.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.46.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.40 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Ethernet0/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/0
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/2
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/3
 no ip address
 shutdown
 half-duplex
!
interface Ethernet3/0
 no ip address
 shutdown
 half-duplex
!
interface TokenRing3/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

vpn3640# 

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • mostre a rota IP — Use este comando assegurar-se de que as rotas sejam instruídas com o protocolo de roteamento.

Cisco 7206 Router

sec-7206#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.36.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel1
D    192.168.10.0/24 [90/297372416] via 192.168.16.1, 05:53:23, Tunnel0
D    192.168.40.0/24 [90/297372416] via 192.168.46.1, 05:53:23, Tunnel1
C    192.168.26.0/24 is directly connected, Tunnel2
D    192.168.20.0/24 [90/297372416] via 192.168.26.1, 05:53:21, Tunnel2
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.36.0.0 is directly connected, FastEthernet1/0
S*   0.0.0.0/0 [1/0] via 14.36.1.1
sec-7206#

Cisco 2610 Router

vpn2610#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
C    192.168.10.0/24 is directly connected, Loopback0
D    192.168.40.0/24 [90/310172416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.26.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.16.2, 05:53:53, Tunnel0
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn2610#

Cisco 3620 Router

vpn3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.40.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
C    192.168.26.0/24 is directly connected, Tunnel0
C    192.168.20.0/24 is directly connected, Loopback0
D    192.168.16.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet1/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3620#

Cisco 3640 Router

vpn3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.46.2, 05:54:32, Tunnel0
C    192.168.40.0/24 is directly connected, Loopback0
D    192.168.26.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.46.2, 05:54:30, Tunnel0
D    192.168.16.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3640#

Nota: Com um cartão do adaptador dos Serviços integrados (ISA) no Cisco 7206 Router, o Cisco Express Forwarding (CEF) pode ter que ser desabilitado para que as atualizações de roteamento passem.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 17868