Segurança e VPN : Negociação IPSec/Protocolos IKE

Exemplo de Configuração de GRE sobre IPSec com EIGRP para Rotear por um Hub e Vários Sites Remotos

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (14 Janeiro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Pré-requisitos
      Componentes Utilizados
      Convenções
      Diagrama de Rede
Configuração
      Configuração dos Túneis GRE
      Configuração da Criptografia para os Túneis GRE
      Configuração do Protocolo de Roteamento
Exemplos de Configurações
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento explica como configurar o roteamento de GRE sobre IPsec através de um site de hub para vários sites remotos. O Cisco 7206 Router é o roteador central ao qual todos os demais sites se conectam via IPSec. Os Cisco 2610, 3620 e 3640 Routers são os roteadores remotos. Todos os sites são capazes de chegar até a rede principal por trás do Cisco 7206 e a todos os demais sites remotos por meio do túnel para o site principal, e as atualizações de roteamento ocorrem automaticamente via Enhanced Interior Gateway Routing Protocol (EIGRP).

Pré-requisitos

Pré-requisitos

Este documento foi desenvolvido e testado com uso das versões de software e hardware abaixo.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 7206 Router com Cisco IOS® Software Release 12.3(1) IK9S

  • Cisco 2621XM Router com Cisco IOS Software Release 12.3(1) IK9S

  • Cisco 3640 Router com Cisco IOS Software Release 12.3(1) IK9S

  • Cisco 3640 Router com Cisco IOS Software Release 12.3(1) IK9S

As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documentos, consulte as Convenções de Dicas Técnicas da Cisco.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

multirout.gif

Configuração

Este processo orienta você durante a configuração de um túnel IPSec para rotear por um hub e vários sites remotos. O processo é separado nos três passos principais a seguir.

Configuração dos Túneis GRE

Execute estes passos para configurar os túneis GRE.

  1. Crie um túnel GRE de cada site remoto para o escritório principal. Configure uma interface de túnel no Cisco 7206 Router para cada site remoto.

    interface Tunnel0
     ip address 192.168.16.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.10
    !
    interface Tunnel1
     ip address 192.168.46.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.40
    !
    interface Tunnel2
     ip address 192.168.26.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.20

    A origem do túnel para cada túnel é a interface FastEthernet1/0 ou a interface que é a conexão com a Internet. O destino do túnel é o endereço IP da interface de Internet do roteador remoto. Cada túnel deve possuir um endereço IP em uma sub-rede diferente não utilizada.

  2. Configure os túneis GRE nos Cisco 2610, 3620 e 3640 Routers. As configurações são semelhantes às do Cisco 7206 Router.

    Cisco 2610 Router

    interface Tunnel0
     ip address 192.168.16.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    Cisco 3620 Router

    interface Tunnel0
     ip address 192.168.26.1 255.255.255.0
     tunnel source Ethernet1/0
     tunnel destination 14.36.88.6

    Cisco 3640 Router

    interface Tunnel0
     ip address 192.168.46.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    Cada roteador remoto usa sua interface local conectada à Internet como a origem do túnel. Os roteadores remotos correspondem aos endereços IP de destino do túnel na configuração do Cisco 7206 Router. O endereço IP de destino do túnel para cada roteador remoto corresponde ao endereço IP da interface do Cisco 7206 Router conectada à Internet. O endereço IP da interface do túnel corresponde a um endereço IP na mesma sub-rede da interface do túnel do Cisco 7206 Router.

  3. Certifique-se de que cada roteador remoto possa enviar pings para o endereço IP de destino do túnel e para a interface do túnel correspondente do roteador principal.

    Certifique-se também que cada roteador possa ser alcançado por pings do roteador do site central.

    Cisco 2610 Router

    vpn2610#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
    vpn2610#ping 192.168.16.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.16.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/12 ms
    vpn2610#

    Cisco 3620 Router

    vpn3620#ping 14.38.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.38.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3620#ping 192.168.26.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.26.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms
    vpn3620#

    Cisco 3640 Router

    vpn3640#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3640#ping 192.168.46.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.46.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms
    vpn3640#

    Nota: Se nem todos os roteadores puderem enviar um ping para o roteador central (hub), faça o troubleshooting de cada conexão conforme o necessário usando estas diretrizes.

    • O roteador remoto pode enviar pings para o roteador hub de IP público para IP público?

    • Há algum dispositivo bloqueando o GRE entre os dois roteadores? (firewall, lista de acesso no roteador)

    • O que o comandos show interface mostra para a interface do túnel?

Configuração da Criptografia para os Túneis GRE

Execute estes passos para configurar a criptografia para os túneis GRE:

  1. Se os túneis GRE forem ativados, prossiga com a criptografia. Antes de mais nada, crie listas de acesso para definir o tráfego que será criptografado.

    As listas de acesso permitem o tráfego do endereço IP local em cada roteador para o endereço IP na extremidade oposta. Use o comando show version para exibir a versão de software que o Cache Engine está executando.

    7206:
    access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
    access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
    access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
    
    2610:
    access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
    
    3620:
    access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
    
    3640:
    access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
  2. Configure uma política do Internet Security Association and Key Management Protocol (ISAKMP), uma chave ISAKMP e um conjunto de transformação de IPSec.

    A política de ISAKMP, a chave e o conjunto de transformação de IPSec devem coincidir em ambos os lados de um mesmo túnel. Nem todos os túneis precisam usar as mesmas política e chave ou o mesmo conjunto de transformação. Neste exemplo, todos os túneis usam os mesmos valores por questões de simplicidade.

    Cisco 7206 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 2610 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 3620 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 3640 Router

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport
  3. Configure o mapa de criptografia. O site central possui um número de sequência separado para cada conexão.

    Cisco 7206 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.38.88.40
     set transform-set strong
     match address 130
    crypto map vpn 20 ipsec-isakmp
     set peer 14.38.88.20
     set transform-set strong
     match address 140
    crypto map vpn 30 ipsec-isakmp
     set peer 14.38.88.10
     set transform-set strong
     match address 150

    Cisco 2610 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 120

    Cisco 3620 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 110

    Cisco 3640 Router

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 100
  4. Aplique o mapa de criptografia. O mapa deve ser aplicado às interfaces do túnel e à interface física da qual os pacotes saem.

    Cisco 7206 Router

    interface Tunnel0
     crypto map vpn
    interface Tunnel1
     crypto map vpn
    interface Tunnel2
     crypto map vpn
    interface FastEthernet1/0
     crypto map vpn

    Cisco 2610 Router

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

    Cisco 3620 Router

    interface Tunnel0
     crypto map vpn
    interface Ethernet1/0
     crypto map vpn

    Cisco 3640 Router

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

Configuração do Protocolo de Roteamento

Para configurar o protocolo de roteamento, configure todos os sites com o número de sistema autônomo e instrua o protocolo de roteamento (EIGRP) a compartilhar rotas. Somente as redes que estão incluídas nas instruções de rede são compartilhadas com os outros roteadores pelo protocolo de roteamento. O número de sistema autônomo deve coincidir em todos os roteadores que participam do compartilhamento de rotas. Neste exemplo, redes que podem ser resumidas em uma instrução de rede são usadas por questões de simplicidade.

Cisco 7206 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 2610 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 3620 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 3640 Router

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Exemplos de Configurações

Este documento usa estes exemplos de configurações:

Cisco 7206 Router

no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sec-7206
!
aaa new-model
aaa authentication ppp default local
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip cef
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Grupo de VPDN L2TP padrão
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
!
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
 mode transport
!
crypto map vpn 10 ipsec-isakmp
 set peer 14.38.88.40
 set transform-set strong
 match address 130
crypto map vpn 20 ipsec-isakmp
 set peer 14.38.88.20
 set transform-set strong
 match address 140
crypto map vpn 30 ipsec-isakmp
 set peer 14.38.88.10
 set transform-set strong
 match address 150
!
!
!
!
!
!
interface Tunnel0
 ip address 192.168.16.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.10
 crypto map vpn
!
interface Tunnel1
 ip address 192.168.46.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.40
 crypto map vpn
!
interface Tunnel2
 ip address 192.168.26.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.20
 crypto map vpn
!
interface FastEthernet0/0
 no ip address
 no ip mroute-cache
 shutdown
 media-type MII
 half-duplex
!
interface FastEthernet1/0
 ip address 14.36.88.6 255.255.0.0
 no ip mroute-cache
 half-duplex
 crypto map vpn
!
interface Virtual-Template1
 ip unnumbered FastEthernet1/0
 peer default ip address pool test
 ppp authentication ms-chap
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip local pool test 10.0.7.1 10.0.7.254
ip default-gateway 14.36.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 14.36.1.1
no ip http server
!
access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
radius-server host 172.18.124.197 auth-port 1645 acct-port
1646 key cisco123
radius-server retransmit 3
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

sec-7206#

Cisco 2610 Router

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2610
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
 mode transport
!
crypto map vpn 10 ipsec-isakmp
 set peer 14.36.88.6
 set transform-set strong
 match address 120
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.10.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.16.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.10 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface Ethernet0/1
 ip address dhcp
 half-duplex
!
interface Serial1/0
 no ip address
 shutdown
!
interface Serial1/1
 no ip address
 shutdown
!
interface Serial1/2
 no ip address
 shutdown
!
interface Serial1/3
 no ip address
 shutdown
!
interface Serial1/4
 no ip address
 shutdown
!
interface Serial1/5
 no ip address
 shutdown
!
interface Serial1/6
 no ip address
 shutdown
!
interface Serial1/7
 no ip address
 shutdown
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
line vty 5 15
 login
!
end

vpn2610#

Cisco 3620 Router

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3620
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
 mode transport
!
crypto map vpn 10 ipsec-isakmp
 set peer 14.36.88.6
 set transform-set strong
 match address 110
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.20.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.26.1 255.255.255.0
 tunnel source Ethernet1/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet1/0
 ip address 14.38.88.20 255.255.0.0
 half-duplex
 crypto map vpn
!
interface TokenRing1/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

vpn3620#

Cisco 3640 Router

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
 mode transport
!
crypto map vpn 10 ipsec-isakmp
 set peer 14.36.88.6
 set transform-set strong
 match address 100
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.40.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.46.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.40 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Ethernet0/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/0
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/2
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/3
 no ip address
 shutdown
 half-duplex
!
interface Ethernet3/0
 no ip address
 shutdown
 half-duplex
!
interface TokenRing3/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

vpn3640# 

Verificação

Esta seção fornece informações que você pode usar para verificar se sua configuração está funcionando adequadamente.

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

  • show ip route — Use este comando para garantir que as rotas foram aprendida pelo protocolo de roteamento.

Cisco 7206 Router

sec-7206#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.36.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel1
D    192.168.10.0/24 [90/297372416] via 192.168.16.1, 05:53:23, Tunnel0
D    192.168.40.0/24 [90/297372416] via 192.168.46.1, 05:53:23, Tunnel1
C    192.168.26.0/24 is directly connected, Tunnel2
D    192.168.20.0/24 [90/297372416] via 192.168.26.1, 05:53:21, Tunnel2
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.36.0.0 is directly connected, FastEthernet1/0
S*   0.0.0.0/0 [1/0] via 14.36.1.1
sec-7206#

Cisco 2610 Router

vpn2610#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
C    192.168.10.0/24 is directly connected, Loopback0
D    192.168.40.0/24 [90/310172416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.26.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.16.2, 05:53:53, Tunnel0
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn2610#

Cisco 3620 Router

vpn3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.40.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
C    192.168.26.0/24 is directly connected, Tunnel0
C    192.168.20.0/24 is directly connected, Loopback0
D    192.168.16.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet1/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3620#

Cisco 3640 Router

vpn3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.46.2, 05:54:32, Tunnel0
C    192.168.40.0/24 is directly connected, Loopback0
D    192.168.26.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.46.2, 05:54:30, Tunnel0
D    192.168.16.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3640#

Nota: Se houver uma placa Integrated Services Adapter (ISA) no Cisco 7206 Router, talvez o Cisco Express Forwarding (CEF) precise ser desabilitado para que as atualizações de roteamento possam ser transmitidas.

Troubleshooting

No momento, não existem informações disponíveis específicas sobre troubleshooting para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 17868