Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Reverse Route Injection
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 248 KB | Inglés (7 Noviembre 2007) | Comentarios

Contenidos

Reverse Route Injection

Encontrar la información de la característica

Contenido

Prerrequisitos de Reverse Route Injection

Restricciones de Reverse Route Injection

Información sobre Reverse Route Injection

Reverse Route Injection

Mejoras en Reverse Route Injection de Cisco IOS Release 12.4(15)T

Métrica de la Distancia de RRI

Opción de Gateway

Soporte de RRI en los Perfiles de IPsec

Cambios de Configuración de la Opción de Etiqueta

Comando show crypto route

Cómo Configurar Reverse Route Injection

Configurar el RRI bajo las correspondencias de criptografía estática para las versiones del Cisco IOS antes de 12.4(15)T

Configurar el RRI bajo plantilla del mapa dinámico para las versiones del Cisco IOS antes de 12.4(15)T

Configurar el RRI con las mejoras bajo una correspondencia de criptografía estática para las versiones del Cisco IOS Release 12.4(15)T y Posterior

Configurar el RRI con las mejoras bajo plantilla del mapa dinámico para las versiones del Cisco IOS Release 12.4(15)T y Posterior

Ejemplos de Configuración de Reverse Route Injection

Configuración de RRI antes de Cisco IOS Release 12.3(14)T: Ejemplos

Configuración del RRI Cuando Existen ACLs de Criptografía: Ejemplo:

Configuración de RRI cuando se Crean Dos Rutas, Una para el Extremo Remoto y Otra para Repetición de Ruta: Ejemplo:

Configuración de RRI con Mejoras Añadidas en Cisco IOS Release 12.3(14)T: Ejemplos

Configuración del RRI Cuando Existen ACLs de Criptografía: Ejemplo:

Configuración de RRI con Etiquetas de Ruta: Ejemplo:

Configuración de RRI para una Ruta al Proxy Remoto a través de un Siguiente Salto Definido por el Usuario: Ejemplo:

Configuración de RRI con Mejoras Añadidas en Cisco IOS Release 12.4(15)T: Ejemplos

Configuración de una Métrica de Distancia RRI bajo un Crypto Map: Ejemplo:

Configuración de RRI con Etiquetas de Ruta: Ejemplo:

Salida de los Comandos debug y show para una Configuración de Métrica de Distancia RRI bajo un Crypto Map: Ejemplo:

Configuración de una Métrica de Distancia RRI para una VTI: Ejemplo:

Salida del Comando debug and show para una Configuración de Métrica RRI que Tiene un VTI: Ejemplo:

Salida del Comando show crypto route: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para el Reverse Route Injection


Reverse Route Injection


Primera publicación: De agosto el 16 de 2001
Última actualización: 5 de abril de 2011

Reverse Route Injection (RRI) es la capacidad de las rutas estáticas de insertarse automáticamente en el proceso de ruteo de las redes y hosts protegidos por un extremo de túnel remoto. Estos hosts y redes protegidos se conocen como identidades proxy remotas.

Cada ruta se crea en función de la red y máscara de proxy remoto, con el siguiente salto a esta red como extremo del túnel remoto. Usando el router remoto de la red privada virtual (VPN) como el siguiente salto, se fuerza el paso del tráfico por el proceso de crypto para la encripción.

Las mejoras al comportamiento predeterminado del RRI, a la adición de un valor de la etiqueta de la ruta, y a las mejoras a cómo se configura el RRI fueron agregadas a la característica del Reverse Route Injection en el Cisco IOS Release 12.3(14)T.

Una mejora fue agregada en el Cisco IOS Release 12.4(15)T que permite que una distancia métrica sea fijada para las rutas que son creadas por un proceso VPN de modo que la ruta aprendido en un router pueda tomar dinámicamente la precedencia sobre una Static ruta localmente configurada.

Encontrar la información de la característica

Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del Reverse Route Injection”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del Software Cisco IOS XE. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos de Reverse Route Injection

Restricciones de Reverse Route Injection

Información sobre Reverse Route Injection

Cómo Configurar Reverse Route Injection

Ejemplos de Configuración de Reverse Route Injection

Referencias adicionales

Información de la característica para el Reverse Route Injection, página 26

Prerrequisitos de Reverse Route Injection

El Routing IP debe ser habilitado y las Static rutas deben ser redistribuidas si se van los Dynamic Routing Protocol a ser utilizados para propagar las Static rutas generado por RRI.

Restricciones de Reverse Route Injection

Si el RRI se aplica a una correspondencia de criptografía, esa correspondencia debe ser única a una interfaz en el router. Es decir la misma correspondencia de criptografía no se puede aplicar a las interfaces múltiples. Si más de una correspondencia de criptografía se aplica a las interfaces múltiples, las rutas no se pueden limpiar correctamente. Si las interfaces múltiples requieren una correspondencia de criptografía, cada uno debe utilizar una correspondencia únicamente definida. Esta restricción se aplica solamente al RRI antes del Cisco IOS Release 12.3(14)T.

Para las correspondencias de criptografía estática, las rutas están siempre presentes si el RRI se configura en una correspondencia de criptografía aplicada. En el Cisco IOS Release 12.3(14)T, el comportamiento predeterminado — de las rutas siempre que están presentes para una correlación estática — no se aplicará a menos que static la palabra clave se agregue reverse-route al comando.

Información sobre Reverse Route Injection

Reverse Route Injection

Mejoras en Reverse Route Injection de Cisco IOS Release 12.4(15)T

Reverse Route Injection

El RRI es la capacidad para que las Static rutas sean insertadas automáticamente en el proceso de ruteo para esas redes y los hosts que son protegidos por un punto final del túnel remoto. Estos hosts y redes protegidos se conocen como identidades proxy remotas.

Cada ruta se crea en función de la red y máscara de proxy remoto, con el siguiente salto a esta red como extremo del túnel remoto. Usando el VPN Router remoto como el salto siguiente, el tráfico es forzado con el proceso criptográfico que se cifrará.

Después de que la Static ruta se cree en el VPN Router, esta información se propaga a los dispositivos ascendentes, permitiendo que determinen el VPN Router apropiado a las cuales enviar el tráfico de vuelta para mantener el estado del IPSec fluye. El poder determinar el VPN Router apropiado es determinado útil si utilizan al Routers múltiple VPN en un sitio para proporcionar el Equilibrio de carga o la Conmutación por falla o si los dispositivos VPN remotos no son accesibles vía una ruta predeterminado. Las rutas se crean en la tabla de Global Routing o la tabla apropiada de la expedición de la ruta virtual (VRF).

El RRI se aplica sobre una base por-crypto de la correspondencia, si éste está vía una correspondencia de criptografía estática o una plantilla de la correspondencia cifrada dinámica. El comportamiento predeterminado para los dos tipos de la correspondencia es como sigue:

En el caso de una correspondencia cifrada dinámica, las rutas se crean sobre el establecimiento exitoso de las asociaciones de seguridad IPSec (SA) para esos proxys remotos. El salto siguiente de nuevo a esos proxys remotos está vía el VPN Router remoto cuyo direccionamiento es docto y aplicado durante la creación de la plantilla de la correspondencia cifrada dinámica. Se borran las rutas después de que se borren los SA. En el Cisco IOS Release 12.3(14)T, la creación de las rutas en base de los proxys de la fuente del IPSec en las correspondencias de criptografía estática fue agregada. Este comportamiento se convirtió en el comportamiento predeterminado en las correlaciones estáticas y reemplazó la creación de las rutas en base del ACL de criptografía (véase el punto negro siguiente).

Para las correspondencias de criptografía estática, las rutas se crean en base de la información de destino definida en la lista de acceso crypto. El salto siguiente se toma de la primera sentencia de peer determinada que se asocia a la correspondencia de criptografía. Si en cualquier momento, quitan el RRI, al par, o la lista de acceso de la correspondencia de criptografía, las rutas serán borradas. Este comportamiento cambia con la adición de las mejoras RRI, como se explica en las secciones abajo.

Mejoras en Reverse Route Injection de Cisco IOS Release 12.4(15)T

Métrica de la Distancia de RRI

Opción de Gateway

Soporte de RRI en los Perfiles de IPsec

Cambios de Configuración de la Opción de Etiqueta

Comando show crypto route

Métrica de la Distancia de RRI

Una Static ruta se crea generalmente teniendo una distancia administrativa de 1, así que significa que las Static rutas tienen siempre precedencia en la tabla de ruteo. En algunos escenarios, sin embargo, se requiere que las rutas aprendido toman dinámicamente la precedencia sobre las Static rutas, con la Static ruta que es utilizada en ausencia dinámicamente de una ruta aprendido. La adición set reverse-route distance del comando bajo una correspondencia de criptografía o perfil de ipsec permite que usted especifique una diversa distancia métrica para las rutas creado por VPN de modo que esas rutas sean en efecto solamente si una ruta dinámica o favorecida llega a ser inasequible.

Opción de Gateway

Esta opción de gateway RRI es relevante a la correspondencia de criptografía solamente.

Esta opción permite configurar los saltos siguientes o gateways únicos para los puntos finales remotos del túnel. La opción es idéntica a la manera reverse-route remote-peer {ip-address} el comando trabajado antes del Cisco IOS Release 12.3(14)T en eso que dos rutas se crean para cada túnel VPN. La primera ruta está a la subred destino-protegida vía el punto final del túnel remoto. La segunda ruta especifica el salto siguiente que se tomará para alcanzar este punto final del túnel. Esta opción de gateway RRI permite que los trayectos predeterminados específicos sean especificados para los grupos específicos de conexiones VPN en las Plataformas que soportan las operaciones de búsqueda de la ruta recurrente.


Observeen y posterior las versiones 12.4(15)T, gateway la opción de palabra clave substituye reverse-route remote-peer el comando (sin ip-address). Debido a los cambios al Cisco Express Forwarding (CEF), una interfaz como Next-Hop no puede ser utilizada sin también agregar un IP Address de Next Hop.


Soporte de RRI en los Perfiles de IPsec

El RRI estaba previamente disponible para las configuraciones de la correspondencia de criptografía solamente. El Cisco IOS Release 12.4(15)T introduce el soporte para las opciones relevantes RRI en los perfiles de ipsec que se utilizan predominante para las interfaces del túnel virtuales. En las interfaces del túnel, solamente la distancia métrica y las opciones de la etiqueta son útiles con la capacidad genérica RRI.


Notano es necesario habilitar específicamente el RRI en las interfaces virtuales dinámicas para los clientes VPN fáciles. El soporte de la ruta se habilita por abandono. Es necesario especificar los valores métricos de la etiqueta o de la distancia si se requieren éstos.


Cambios de Configuración de la Opción de Etiqueta

La opción de la etiqueta fue introducida en 12.3(14)T para las correspondencias de criptografía. Esta opción ahora se soporta con los perfiles de ipsec bajo set reverse-route tag sintaxis de los comandos. set reverse-route tag El comando está también disponible bajo la correspondencia de criptografía para la uniformidad aunque soporten reverse-route tag al comando legacy no más.

Comando show crypto route

show crypto route El comando visualiza las rutas que se crean con el IPSec vía RRI o las interfaces del túnel virtuales fáciles VPN (VTIs). Las rutas se visualizan en una tabla. Para ver la salida de muestra para show crypto route el comando, vea el “comando route crypto de la demostración hecho salir: Sección Ejemplo".

Cómo Configurar Reverse Route Injection

Configurar el RRI bajo las correspondencias de criptografía estática para las versiones del Cisco IOS antes de 12.4(15)T

Configurar el RRI bajo plantilla del mapa dinámico para las versiones del Cisco IOS antes de 12.4(15)T

Configurar el RRI con las mejoras bajo una correspondencia de criptografía estática para las versiones del Cisco IOS Release 12.4(15)T y Posterior

Configurar el RRI con las mejoras bajo plantilla del mapa dinámico para las versiones del Cisco IOS Release 12.4(15)T y Posterior

Configurar el RRI bajo las correspondencias de criptografía estática para las versiones del Cisco IOS antes de 12.4(15)T

Para configurar el RRI bajo una correspondencia de criptografía estática para el Cisco IOS Software antes de la versión 12.4(15)T, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto map {map-name} {seq-name} ipsec-isakmp

4.reverse-route [static | tag tag-id []static | remote-peer []static | remote-peer ip-address []static]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map {map-name} {seq-name} ipsec-isakmp

Example:

Router (config)# crypto map mymap 1 ipsec-isakmp

Crea o modifica una entrada de crypto map e ingresa en el modo de configuración del crypto map.

Paso 4 

reverse-route [static | tag tag-id [static] | remote-peer [static] | remote-peer ip-address [static]]

Example:

Router (config-crypto-map)# reverse-route remote peer 10.1.1.1

Crea información de proxy de origen para una entrada de crypto map.

Configurar el RRI bajo plantilla del mapa dinámico para las versiones del Cisco IOS antes de 12.4(15)T

Para configurar el RRI bajo plantilla del mapa dinámico para el Cisco IOS Software antes de la versión 12.4(15)T, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto dynamic-map dynamic-map-name dynamic-seq-name

4.reverse-route [static | tag tag-id []static | remote-peer []static | remote-peer ip-address []static]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto dynamic-map dynamic-map-name dynamic-seq-name

Example:

Router (config)# crypto dynamic-map mymap 1

Crea una entrada de crypto map dinámica e ingresa en el modo del comando de configuración crypto map.

Paso 4 

reverse-route [static | tag tag-id [static] | remote-peer [static] | remote-peer ip-address [static]]

Example:

Router (config-crypto-map)# reverse-route remote peer 10.1.1.1

Crea información de proxy de origen para una entrada de crypto map.

Configurar el RRI con las mejoras bajo una correspondencia de criptografía estática para las versiones del Cisco IOS Release 12.4(15)T y Posterior

Para configurar el RRI con las mejoras bajo una correspondencia de criptografía estática (para las versiones del Cisco IOS Release 12.4(15)T y Posterior), realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto map map-name seq-name ipsec-isakmp

4.reverse-route [static | remote-peer ip-address []gateway del []static]

5.set reverse-route [distance number | tag tag-id]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map map-name seq-name ipsec-isakmp

Example:

Router (config)# crypto map mymap 1 ipsec-isakmp

Crea o modifica una entrada de crypto map e ingresa en el modo de configuración del crypto map.

Paso 4 

reverse-route [static | remote-peer ip-address [gateway] [static]]

Example:

Router (config-crypto-map)# reverse-route

Crea información de proxy de origen para una entrada de crypto map.

Observe gateway la palabra clave puede ser agregado para habilitar las funciones duales de la ruta para el soporte del default gateway.

Paso 5 

set reverse-route [distance number | tag tag-id]

Example:

Router (config-crypto-map)# set reverse-route distance 20

Especifica una métrica de distancia que se va a utilizar o un valor de etiqueta que se va a asociar con estas rutas.

Configurar el RRI con las mejoras bajo plantilla del mapa dinámico para las versiones del Cisco IOS Release 12.4(15)T y Posterior

Para configurar el RRI con las mejoras bajo plantilla del mapa dinámico (para las versiones del Cisco IOS Release 12.4(15)T y Posterior), realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto dynamic-map dynamic-map-name dynamic-seq-name

4.reverse-route [static | remote-peer ip-address []gateway del []static]

5.set reverse-route [distance number | tag tag-id]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto dynamic-map dynamic-map-name dynamic-seq-name

Example:

Router (config)# crypto dynamic-map mymap 1

Crea una entrada de crypto map dinámica e ingresa en el modo del comando de configuración crypto map.

Paso 4 

reverse-route [static | remote-peer ip-address [gateway] [static]]

Example:

Router (config-crypto-map)# reverse-route remote peer 10.1.1.1 gateway

Crea información de proxy de origen para una entrada de crypto map.

Paso 5 

set reverse-route [distance number | tag tag-id]

Example:

Router (config-crypto-map)# set reverse-route distance 20

Especifica una métrica de distancia que se va a utilizar o un valor de etiqueta que se va a asociar con estas rutas.

Para configurar una distancia RRI métrica bajo perfil de ipsec para las versiones del Cisco IOS Release 12.4(15)T y Posterior, realice los pasos siguientes:

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto ipsec profile name

4.set reverse-route [distance number | tag tag-id]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ipsec profile name

Example:

Router (config)# crypto ipsec profile myprofile

Crea o modifica un perfil de ipsec y ingresa al modo de configuración del perfil de ipsec.

Paso 4 

set reverse-route [distance number | tag tag-id]

Example:

Router (config-crypto-profile)# set reverse-route distance 20

Define una distancia métrica para cada Static ruta o marca una ruta creada reversa de la inyección con etiqueta de la ruta (RRI-).

distance — Define una distancia métrica para cada Static ruta.

tag — Fija un valor de la etiqueta que se pueda utilizar como valor de la “coincidencia” para la distribución que controla usando los mapa del ruta.

Para visualizar las rutas que se crean con el IPSec vía RRI o VPN fácil VTIs, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. show crypto route

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show crypto route

Example:

Router# show crypto route

Rutas de las visualizaciones que se crean con el IPSec vía RRI o VPN fácil VTIs.

Para observar el comportamiento del RRI y su relación a la creación y a la cancelacíon IPSec SA, usted puede utilizar debug crypto ipsec el comando (véase la referencia del comando Debug del Cisco IOS.

Ejemplos de Configuración de Reverse Route Injection

Configuración de RRI antes de Cisco IOS Release 12.3(14)T: Ejemplos

Configuración de RRI con Mejoras Añadidas en Cisco IOS Release 12.3(14)T: Ejemplos

Configuración de RRI con Mejoras Añadidas en Cisco IOS Release 12.4(15)T: Ejemplos

Configuración de RRI antes de Cisco IOS Release 12.3(14)T: Ejemplos

Configuración del RRI Cuando Existen ACLs de Criptografía: Ejemplo:

Configuración de RRI cuando se Crean Dos Rutas, Una para el Extremo Remoto y Otra para Repetición de Ruta: Ejemplo:

Configuración del RRI Cuando Existen ACLs de Criptografía: Ejemplo:

El siguiente ejemplo muestra que todos los gatewayes de VPN remotos conectan con el router vía 192.168.0.3. El RRI se agrega en la correspondencia de criptografía estática, que crea las rutas en base de la red de origen y del netmask de la fuente que se definen en el Access Control List crypto (ACL):

crypto map mymap 1 ipsec-isakmp
 set peer 10.1.1.1
 reverse-route
 set transform-set esp-3des-sha
 match address 102

Interface FastEthernet 0/0
 ip address 192.168.0.2 255.255.255.0
 standby name group1
 standby ip 192.168.0.3
 crypto map mymap redundancy group1

access-list 102 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.255.255

En las versiones del Cisco IOS Release 12.3(14)T y Posterior, porque la correlación estática para conservar este mismo comportamiento de crear las rutas en base del contenido crypto ACL, static se requiere la palabra clave, es decir reverse-route static.


Observe reverse-route el comando en esta situación crea las rutas que son análogas a los comandos siguientes del comando line interface(cli) de la Static ruta (ip route):

Punto final del túnel remoto

ip route 10.1.1.1 255.255.255.255 192.168.1.1

VPNSM

ruta de IP 10.1.1.1 255.255.255.255 vlan0.1


Configuración de RRI cuando se Crean Dos Rutas, Una para el Extremo Remoto y Otra para Repetición de Ruta: Ejemplo:

En el siguiente ejemplo, dos rutas se crean, una para el punto final remoto y una para la repetición de la ruta al punto final remoto vía la interfaz en la cual se configura la correspondencia de criptografía:

reverse-route remote-peer

Configuración de RRI con Mejoras Añadidas en Cisco IOS Release 12.3(14)T: Ejemplos

Configuración del RRI Cuando Existen ACLs de Criptografía: Ejemplo:

Configuración de RRI con Etiquetas de Ruta: Ejemplo:

Configuración de RRI para una Ruta al Proxy Remoto a través de un Siguiente Salto Definido por el Usuario: Ejemplo:

Configuración del RRI Cuando Existen ACLs de Criptografía: Ejemplo:

El siguiente ejemplo muestra que el RRI se ha configurado para una situación en la cual hay ACL existentes:

crypto map mymap 1 ipsec-isakmp
   set peer 172.17.11.1
   reverse-route static
   set transform-set esp-3des-sha
   match address 101

access-list 101 permit ip 192.168.1.0 0.0.0.255 172.17.11.0 0.0.0.255

Configuración de RRI con Etiquetas de Ruta: Ejemplo:

El siguiente ejemplo muestra cómo se pueden etiquetar las rutas creadas por RRI con un número de etiqueta y después ser utilizadas por un proceso de ruteo para redistribuir esas rutas etiquetadas a través de un route map:

crypto dynamic-map ospf-clients 1
 reverse-route tag 5

router ospf 109
 redistribute rip route-map rip-to-ospf

route-map rip-to-ospf permit
 match tag 5
 set metric 5
 set metric-type type1

Router# show ip eigrp topology

P 10.81.7.48/29, 1 successors, FD is 2588160, tag is 5
     via 192.168.82.25 (2588160/2585600), FastEthernet0/1

Configuración de RRI para una Ruta al Proxy Remoto a través de un Siguiente Salto Definido por el Usuario: Ejemplo:

Observeesta opción es aplicable solamente a las correspondencias de criptografía.

El ejemplo anterior muestra que una ruta se ha creado al proxy remoto vía un salto siguiente definido por el usario. Este salto siguiente no debe requerir las operaciones de búsqueda de la ruta recurrente a menos que recurse a una ruta predeterminado.

reverse-route remote-peer 10.4.4.4

El ejemplo anterior rinde el siguiente antes del Cisco IOS Release 12.3(14)T:

10.0.0.0/24 via 10.1.1.1 (in the VRF table if VRFs are configured)
10.1.1.1/32 via 10.4.4.4 (in the global route table)

Y este resultado ocurre con las mejoras RRI:

10.0.0.0/24 via 10.4.4.4 (in the VRF table if VRFs are configured, otherwise in the global 
table)

Configuración de RRI con Mejoras Añadidas en Cisco IOS Release 12.4(15)T: Ejemplos

Configuración de una Métrica de Distancia RRI bajo un Crypto Map: Ejemplo:

Configuración de RRI con Etiquetas de Ruta: Ejemplo:

Salida de los Comandos debug y show para una Configuración de Métrica de Distancia RRI bajo un Crypto Map: Ejemplo:

Configuración de una Métrica de Distancia RRI para una VTI: Ejemplo:

Salida del Comando debug and show para una Configuración de Métrica RRI que Tiene un VTI: Ejemplo:

Salida del Comando show crypto route: Ejemplo:

Configuración de una Métrica de Distancia RRI bajo un Crypto Map: Ejemplo:

La configuración siguiente muestra un servidor y una configuración del cliente para los cuales una distancia RRI métrica se ha fijado bajo una correspondencia de criptografía:

Servidor

crypto dynamic-map mymap
 set security-association lifetime seconds 300
 set transform-set 3dessha 
 set isakmp-profile profile1
 set reverse-route distance 20
 reverse-route

Cliente

crypto ipsec client ezvpn ez
 connect auto
 group cisco key cisco
 mode client
 peer 10.0.0.119
 username XXX password XXX
 xauth userid mode local

Configuración de RRI con Etiquetas de Ruta: Ejemplo:

El siguiente ejemplo muestra cómo se pueden etiquetar las rutas creadas por RRI con un número de etiqueta y después ser utilizadas por un proceso de ruteo para redistribuir esas rutas etiquetadas a través de un route map:

crypto dynamic-map ospf-clients 1
 set reverse-route tag 5

router ospf 109
 redistribute rip route-map rip-to-ospf

route-map rip-to-ospf permit
 match tag 5
 set metric 5
 set metric-type type1

Router# show ip eigrp topology

P 10.81.7.48/29, 1 successors, FD is 2588160, tag is 5
  via 192.168.82.25 (2588160/2585600), FastEthernet0/1

Salida de los Comandos debug y show para una Configuración de Métrica de Distancia RRI bajo un Crypto Map: Ejemplo:

Los siguientes están debug y show salida de comando para una configuración métrica de la distancia RRI bajo una correspondencia de criptografía en un servidor:

Router# debug crypto ipsec

00:23:37: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 10.0.0.119, remote= 10.0.0.14, 
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4), 
    remote_proxy= 192.168.6.1/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel), 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
00:23:37: IPSEC(key_engine): got a queue event with 1 KMI message(s)
00:23:37: IPSEC(rte_mgr): VPN Route Event create routes for peer or rekeying for
 10.0.0.128
00:23:37: IPSEC(rte_mgr): VPN Route Refcount 1 FastEthernet0/0
00:23:37: IPSEC(rte_mgr): VPN Route Added 192.168.6.1 255.255.255.255 via 10.0.0.14 in IP 
DEFAULT TABLE with tag 0 distance 20
00:23:37: IPSEC(policy_db_add_ident): src 0.0.0.0, dest 192.168.6.1, dest_port 0

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.0.0.14 to network 0.0.0.0

C    192.200.200.0/24 is directly connected, Loopback0
     10.20.20.20/24 is subnetted, 1 subnets
C       10.30.30.30 is directly connected, Loopback4
C    192.168.5.0/24 is directly connected, Loopback3
     10.20.20.20/24 is subnetted, 2 subnets
S       10.3.1.0 [1/0] via 10.0.0.113
C       10.20.20.20 is directly connected, FastEthernet0/0
     192.168.6.0/32 is subnetted, 1 subnets
S       192.168.6.1 [20/0] via 10.0.0.14
C    192.168.3.0/24 is directly connected, Loopback2
     10.15.0.0/24 is subnetted, 1 subnets
C       10.15.0.0 is directly connected, Loopback6
S*   0.0.0.0/0 [1/0] via 10.0.0.14

Configuración de una Métrica de Distancia RRI para una VTI: Ejemplo:

La configuración siguiente muestra un servidor y una configuración del cliente en los cuales una distancia RRI métrica se ha fijado para un VTI:

Configuración del servidor

crypto isakmp profile profile1
 keyring mykeyring
 match identity group cisco
 client authentication list authenlist
 isakmp authorization list autholist
 client configuration address respond
 virtual-template 1
crypto ipsec profile vi
 set transform-set 3dessha 
 set reverse-route distance 20
 set isakmp-profile profile1
!
interface Virtual-Template1 type tunnel
 ip unnumbered
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vi

Configuración del Cliente

crypto ipsec client ezvpn ez
 connect auto
 group cisco key cisco
 mode client
 peer 10.0.0.119
 username XXX password XXX
 virtual-interface 1

Salida del Comando debug and show para una Configuración de Métrica RRI que Tiene un VTI: Ejemplo:

Los siguientes son debug y show salida de comando para una configuración métrica RRI para un VTI en un servidor:

Router# debug crypto ipsec

00:47:56: IPSEC(key_engine): got a queue event with 1 KMI message(s)
00:47:56: Crypto mapdb : proxy_match
        src addr     : 0.0.0.0
        dst addr     : 192.168.6.1
        protocol     : 0
        src port     : 0
        dst port     : 0
00:47:56: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same pro
xies and peer 10.0.0.14
00:47:56: IPSEC(rte_mgr): VPN Route Event create routes for peer or rekeying for
 10.0.0.14
00:47:56: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
00:47:56: IPSEC(rte_mgr): VPN Route Added 192.168.6.1 255.255.255.255 via Virtua
l-Access2 in IP DEFAULT TABLE with tag 0 distance 20
00:47:56: IPSEC(policy_db_add_ident): src 0.0.0.0, dest 192.168.6.1, dest_port 0

00:47:56: IPSEC(create_sa): sa created,
  (sa) sa_dest= 10.0.0.110, sa_proto= 50, 
    sa_spi= 0x19E1175C(434181980), 
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 87
00:47:56: IPSEC(create_sa): sa created,
  (sa) sa_dest= 10.0.0.14, sa_proto= 50, 
    sa_spi= 0xADC90C5(182227141), 
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 88
00:47:56: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, chang
ed state to up
00:47:56: IPSEC(key_engine): got a queue event with 1 KMI message(s)
00:47:56: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
00:47:56: IPSEC(key_engine_enable_outbound): enable SA with spi 182227141/50 
00:47:56: IPSEC(update_current_outbound_sa): updated peer 10.0.0.14 current outb
ound sa to SPI ADC90C5

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.0.0.14 to network 0.0.0.0

C    192.200.200.0/24 is directly connected, Loopback0
     10.20.20.20/24 is subnetted, 1 subnets
C       10.30.30.30 is directly connected, Loopback4
C    192.168.5.0/24 is directly connected, Loopback3
     10.20.20.20/24 is subnetted, 2 subnets
S       10.3.1.0 [1/0] via 10.0.0.113
C       10.20.20.20 is directly connected, FastEthernet0/0
     192.168.6.0/32 is subnetted, 1 subnets
S       192.168.6.1 [20/0] via 0.0.0.0, Virtual-Access2
C    192.168.3.0/24 is directly connected, Loopback2
     10.15.0.0/24 is subnetted, 1 subnets
C       10.15.0.0 is directly connected, Loopback6
S*   0.0.0.0/0 [1/0] via 10.0.0.14

Salida del Comando show crypto route: Ejemplo:

El ejemplo del producto siguiente visualiza las rutas, en una tabla, que se crean con el IPSec vía RRI o VPN fácil VTIs:

Router# show crypto route

VPN Routing Table: Shows RRI and VTI created routes
Codes: RRI - Reverse-Route, VTI- Virtual Tunnel Interface
        S - Static Map ACLs

Routes created in table GLOBAL DEFAULT
192.168.6.2/255.255.255.255 [0/0] via 10.0.0.133
                                on Virtual-Access3 RRI  
10.1.1.0/255.255.255.0 [10/0] via Virtual-Access2 VTI
192.168.6.1/255.255.255.255 [0/0] via Virtual-Access2 VTI

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con las mejoras del Reverse Route Injection.

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de la Seguridad de Cisco IOS

Referencia de Comandos de Seguridad de Cisco IOS

Otros comandos cisco ios

El Cisco IOS domina el comando list


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para el Reverse Route Injection

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 1 para el Reverse Route Injection 

Nombre de la función
Versiones
Información sobre la Función

Reverse Route Injection

12.1(9)E
12.2(8)T
12.2(8)YE

Reverse Route Injection (RRI) es la capacidad de las rutas estáticas de insertarse automáticamente en el proceso de ruteo de las redes y hosts protegidos por un extremo de túnel remoto. Estos hosts y redes protegidos se conocen como identidades proxy remotas.

Cada ruta se crea en función de la red y máscara de proxy remoto, con el siguiente salto a esta red como extremo del túnel remoto. Usando el router remoto de la red privada virtual (VPN) como el siguiente salto, se fuerza el paso del tráfico por el proceso de crypto para la encripción.

Las secciones siguientes proporcionan información acerca de esta función:

sección "Reverse Route Injection"

Los siguientes comandos fueron introducidos o modificados por esta característica: reverse-route.

Invierta las opciones del peer remoto de la ruta

12.2(13)T
12.2(14)S

Una mejora fue agregada al RRI para permitir que usted especifique una interfaz o que la dirija como el salto siguiente explícito al dispositivo VPN remoto. Estas funciones permiten que el reemplazar de una ruta predeterminado dirija correctamente los paquetes encriptados salientes.

Las secciones siguientes proporcionan la información sobre las opciones del peer remoto:

“Mejoras al Reverse Route Injection en la sección del Cisco IOS Release el 12.4(15)T".

Mejoras del Reverse Route Injection

12.3(14)T
12.2(33)SRA
12.2(33)SXH

Las mejoras siguientes fueron agregadas a la característica del Reverse Route Injection:

El comportamiento predeterminado de las correspondencias de criptografía estática será lo mismo que el de las correspondencias cifradas dinámicas a menos que reverse-route se utilicen el comando static y la palabra clave.

Un valor de la etiqueta de la ruta fue agregado para cualquier ruta que se cree usando el RRI.

El RRI se puede configurar en la misma correspondencia de criptografía que se aplica a las interfaces del router múltiple.

El RRI configurado con reverse-route remote-peer {ip-address} el comando, la palabra clave, y el argumento creará una ruta en vez de dos.

Las secciones siguientes proporcionan la información sobre las mejoras del Reverse Route Injection:

sección "Reverse Route Injection"

“Configurando el RRI bajo las correspondencias de criptografía estática para las versiones del Cisco IOS antes de la sección del 12.4(15)T"

“Configurando el RRI con las mejoras bajo una correspondencia de criptografía estática para el Cisco IOS Release 12.4(15)T y Posterior libera” la sección

“Configurando el RRI cuando existe el ACL de criptografía: Sección del ejemplo”

“Configurando el RRI con las etiquetas de la ruta: Sección del ejemplo”

“Configurando el RRI para una ruta al proxy remoto vía un salto siguiente definido por el usario: Sección del ejemplo”

El siguiente comando fue modificado por estas mejoras de las características: reverse-route.

Opción de Gateway

12.4(15)T

Esta opción permite configurar los saltos siguientes o gateways únicos para los puntos finales remotos del túnel.

La sección siguiente proporciona la información sobre la opción de gateway:

Sección de la “opción de gateway”

Métrica de la Distancia de RRI

12.4(15)T

Esta mejora permite que usted defina una distancia métrica para cada Static ruta.

Las secciones siguientes proporcionan la información sobre la mejora métrica de la distancia RRI.

“Sección métrica de la distancia RRI”

“Configurando una distancia RRI métrica bajo una correspondencia de criptografía: Sección del ejemplo”

“comando debug and show hecho salir para una configuración métrica RRI que tiene un VTI: Sección del ejemplo”

Los siguientes comandos fueron introducidos o modificados por esta característica: reverse-route set reverse-route.

show crypto route Comando

12.4(15)T

Este comando visualiza las rutas que se crean con el IPSec vía RRI o VPN fácil VTIs.

Soporte de RRI en los Perfiles de IPsec

12.4(15)T

Esta característica proporciona el soporte para las opciones relevantes RRI en los perfiles de ipsec que son utilizados predominante por VTIs.

La sección siguiente proporciona la información sobre el soporte para el RRI en la característica de los perfiles de ipsec:

“Soporte para el RRI en sección de los perfiles de ipsec”

Cambios de Configuración de la Opción de Etiqueta

12.4(15)T

La opción de la etiqueta ahora se soporta con los perfiles de ipsec bajo set reverse-route tag comando.

La sección siguiente proporciona la información sobre esta mejora de las características:

“Sección de los cambios de configuración de la opción de la etiqueta”