Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Протокол GRE over IPSec с использованием EIGRP для маршрутизации через концентратор, а также пример конфигурации группы удаленных узлов

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (11 августа 2008) | Английский (12 ноября 2015) | Отзыв


Содержание


Введение

В этом документе описана настройка функции маршрутизации GRE over IPSec через концентратор к группе удаленных узлов. Cisco 7206 представляет собой маршрутизатор центрального узла, к которому через IPSec подключены остальные узлы. Cisco 2610, 3620 и 3640 – удаленные маршрутизаторы. Все узлы имеют возможность доступа к основной сети, расположенной за Cisco 7206 и всеми остальными удаленными узлами, через туннель, направленный к основному узлу, используя автоматическое обновление маршрутизации с помощью усовершенствованного протокола внутренней маршрутизации между шлюзами (EIGRP).

Предварительные условия

Предварительные условия

При разработке и проверке этого документа использовались следующие версии программного и аппаратного обеспечения.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Маршрутизатор Cisco 7206 рабочая Cisco Выпуск ПО IOS� 12.3 (1) IK9S

  • Маршрутизатор Cisco 2621XM, использующий программное обеспечение Cisco IOS версии 12.3(1) IK9S

  • Маршрутизатор Cisco 3640, использующий программное обеспечение Cisco IOS версии 12.3(1) IK9S

  • Маршрутизатор Cisco 3640, использующий программное обеспечение Cisco IOS версии 12.3(1) IK9S

Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/17868/multiroute-01.gif

Настройка

В этом документе описана настройка туннеля IPSec для процесса маршрутизации через концентратор и группу удаленных узлов. Весь процесс разделен на три основных этапа.

Настройка туннелей протокола GRE

Для настройки туннелей протокола GRE выполните следующие действия:

  1. Создайте туннель протокола GRE из каждого удаленного узла в главный офис. Установите интерфейс туннеля на маршрутизаторе Cisco 7206 для каждого удаленного узла.

    interface Tunnel0
     ip address 192.168.16.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.10
    !
    interface Tunnel1
     ip address 192.168.46.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.40
    !
    interface Tunnel2
     ip address 192.168.26.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.20

    Источником туннельного соединения для каждого из туннелей является интерфейс FastEthernet1/0 или другой интерфейс Интернет-соединения. Адресатом туннеля является IP-адрес Интернет-интерфейса удаленного маршрутизатора. Каждый туннель должен иметь IP-адрес в другой, незадействованной подсети.

  2. Установите туннели протокола GRE на маршрутизаторах Cisco 2610, 3620 и 3640. Все конфигурации идентичны установленным на маршрутизаторе Cisco 7206.

    Маршрутизатор Cisco 2610

    interface Tunnel0
     ip address 192.168.16.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    Маршрутизатор Cisco 3620

    interface Tunnel0
     ip address 192.168.26.1 255.255.255.0
     tunnel source Ethernet1/0
     tunnel destination 14.36.88.6

    Маршрутизатор Cisco 3640

    interface Tunnel0
     ip address 192.168.46.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    Каждый из удаленных маршрутизаторов использует свой локальный интерфейс, подключенный к Интернету в качестве туннельного источника. Удаленные маршрутизаторы соответствуют туннельным IP-адресам назначения в конфигурации маршрутизатора Cisco 7206. Туннельный IP-адрес назначения для каждого удаленного маршрутизатора соотносится с IP-адресом интерфейса маршрутизатора Cisco 7206, подключенного к сети Интернет. IP-адрес туннельного интерфейса соотносится с IP-адресом в той же подсети, что и туннельный интерфейс маршрутизатора Cisco 7206.

  3. Проверьте (с помощью запроса ICMP-эхо), что каждый удаленный маршрутизатор может иметь доступ к IP-адресу туннеля назначения, а также к соответствующему туннельному интерфейсу главного маршрутизатора.

    Таким же образом проверьте, что каждый маршрутизатор доступен из маршрутизатора центрального узла.

    Маршрутизатор Cisco 2610

    vpn2610#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
    vpn2610#ping 192.168.16.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.16.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/12 ms
    vpn2610#

    Маршрутизатор Cisco 3620

    vpn3620#ping 14.38.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.38.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3620#ping 192.168.26.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.26.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms
    vpn3620#

    Маршрутизатор Cisco 3640

    vpn3640#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3640#ping 192.168.46.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.46.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms
    vpn3640#

    Примечание: Если не все маршрутизаторы могут пропинговать центральное (концентратор) маршрутизатор, устраните неполадки каждого соединения по мере необходимости с помощью этих рекомендаций.

    • Может ли удаленный маршрутизатор передавать запрос "ICMP-эхо" на маршрутизатор концентратора с общедоступного IP-адреса на общедоступный IP-адрес?

    • Имеются ли какие-нибудь устройства, блокирующие протокол GRE между двумя маршрутизаторами? (Межсетевой экран, список доступа на маршрутизаторе)

    • Что отображает команда show interface для туннельного интерфейса?

Настройка шифрования туннелей протокола GRE

Для настройки шифрования туннелей протокола GRE выполните следующие действия:

  1. Если туннели протокола GRE функционируют, выполните шифрование. Сначала создайте список доступа для определения трафика шифрования.

    Список доступа разрешает передачу трафика из локального IP-адреса на каждом маршрутизаторе на IP-адрес на противоположном конце. Используйте команду show version для отображения версии программного обеспечения, под управлением которого функционирует Cache Engine.

    7206:
    access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
    access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
    access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
    
    2610:
    access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
    
    3620:
    access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
    
    3640:
    access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
  2. Настройте политику ассоциации межсетевой безопасности и протокола управления ключами (ISAKMP), ключ ISAKMP и набор преобразований IPSec.

    Политика ISAKMP, ключ и набор преобразований IPSec должны быть идентичны на обеих сторонах отдельного туннеля. Не во всех туннелях должна использоваться одинаковая политика, ключ или набор преобразований. В данном примере для простоты во всех туннелях используется одинаковая политика, ключ и набор преобразований.

    Маршрутизатор Cisco 7206

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Маршрутизатор Cisco 2610

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Маршрутизатор Cisco 3620

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Маршрутизатор Cisco 3640

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport
  3. Настройте криптографическую карту. На центральном узле каждому соединению присваивается отдельный порядковый номер.

    Маршрутизатор Cisco 7206

    crypto map vpn 10 ipsec-isakmp
     set peer 14.38.88.40
     set transform-set strong
     match address 130
    crypto map vpn 20 ipsec-isakmp
     set peer 14.38.88.20
     set transform-set strong
     match address 140
    crypto map vpn 30 ipsec-isakmp
     set peer 14.38.88.10
     set transform-set strong
     match address 150

    Маршрутизатор Cisco 2610

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 120

    Маршрутизатор Cisco 3620

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 110

    Маршрутизатор Cisco 3640

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 100
  4. Примените криптографическую карту. Эту карту следует применить к интерфейсу туннеля и к физическому интерфейсу, из которого пересылаются пакеты.

    Маршрутизатор Cisco 7206

    interface Tunnel0
     crypto map vpn
    interface Tunnel1
     crypto map vpn
    interface Tunnel2
     crypto map vpn
    interface FastEthernet1/0
     crypto map vpn

    Маршрутизатор Cisco 2610

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

    Маршрутизатор Cisco 3620

    interface Tunnel0
     crypto map vpn
    interface Ethernet1/0
     crypto map vpn

    Маршрутизатор Cisco 3640

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

Настройка протокола маршрутизации

Для настройки протокола маршрутизации назначьте всем узлам номер автономной системы и запрограммируйте протокол маршрутизации (EIGRP) на разделение маршрутизаторов. Только сети, включенные в сетевые операторы, используются протоколом маршрутизации совместно с другими маршрутизаторами. Номер автономной системы должен соответствовать всем маршрутизаторам, совместно использующим маршрутизаторы. В данном примере для простоты используются сети, которые могут быть объединены в одном сетевом операторе.

Маршрутизатор Cisco 7206

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Маршрутизатор Cisco 2610

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Маршрутизатор Cisco 3620

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Маршрутизатор Cisco 3640

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Примеры конфигураций

В этом документе используются следующие примеры конфигураций:

Маршрутизатор Cisco 7206
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sec-7206
!
aaa new-model
aaa authentication ppp default local
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip cef
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
!
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0        
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.38.88.40
 set transform-set strong 
 match address 130
crypto map vpn 20 ipsec-isakmp   
 set peer 14.38.88.20
 set transform-set strong 
 match address 140
crypto map vpn 30 ipsec-isakmp   
 set peer 14.38.88.10
 set transform-set strong 
 match address 150
!
!
!
!
!
!
interface Tunnel0
 ip address 192.168.16.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.10
 crypto map vpn
!
interface Tunnel1
 ip address 192.168.46.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.40
 crypto map vpn
!
interface Tunnel2
 ip address 192.168.26.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.20
 crypto map vpn
!
interface FastEthernet0/0
 no ip address
 no ip mroute-cache
 shutdown
 media-type MII
 half-duplex
!
interface FastEthernet1/0
 ip address 14.36.88.6 255.255.0.0
 no ip mroute-cache
 half-duplex
 crypto map vpn
!
interface Virtual-Template1
 ip unnumbered FastEthernet1/0
 peer default ip address pool test
 ppp authentication ms-chap
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip local pool test 10.0.7.1 10.0.7.254
ip default-gateway 14.36.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 14.36.1.1
no ip http server
!
access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
radius-server host 172.18.124.197 auth-port 1645 acct-port 
1646 key cisco123
radius-server retransmit 3
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

sec-7206#

Маршрутизатор Cisco 2610
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2610
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 120
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.10.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.16.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.10 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface Ethernet0/1
 ip address dhcp
 half-duplex
!
interface Serial1/0
 no ip address
 shutdown
!
interface Serial1/1
 no ip address
 shutdown
!
interface Serial1/2
 no ip address
 shutdown
!
interface Serial1/3
 no ip address
 shutdown
!
interface Serial1/4
 no ip address
 shutdown
!
interface Serial1/5
 no ip address
 shutdown
!
interface Serial1/6
 no ip address
 shutdown
!
interface Serial1/7
 no ip address
 shutdown
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
line vty 5 15
 login
!
end

vpn2610#

Маршрутизатор Cisco 3620
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3620
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 110
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.20.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.26.1 255.255.255.0
 tunnel source Ethernet1/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet1/0
 ip address 14.38.88.20 255.255.0.0
 half-duplex
 crypto map vpn
!
interface TokenRing1/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

vpn3620#

Маршрутизатор Cisco 3640
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 100
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.40.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.46.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.40 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Ethernet0/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/0
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/2
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/3
 no ip address
 shutdown
 half-duplex
!
interface Ethernet3/0
 no ip address
 shutdown
 half-duplex
!
interface TokenRing3/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

vpn3640# 

Проверка

В этом разделе содержатся сведения, которые помогают убедиться в надлежащей работе конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

  • show ip route эту команду, чтобы гарантировать, что маршруты изучены через протокол маршрутизации.

Маршрутизатор Cisco 7206

sec-7206#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.36.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel1
D    192.168.10.0/24 [90/297372416] via 192.168.16.1, 05:53:23, Tunnel0
D    192.168.40.0/24 [90/297372416] via 192.168.46.1, 05:53:23, Tunnel1
C    192.168.26.0/24 is directly connected, Tunnel2
D    192.168.20.0/24 [90/297372416] via 192.168.26.1, 05:53:21, Tunnel2
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.36.0.0 is directly connected, FastEthernet1/0
S*   0.0.0.0/0 [1/0] via 14.36.1.1
sec-7206#

Маршрутизатор Cisco 2610

vpn2610#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
C    192.168.10.0/24 is directly connected, Loopback0
D    192.168.40.0/24 [90/310172416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.26.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.16.2, 05:53:53, Tunnel0
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn2610#

Маршрутизатор Cisco 3620

vpn3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.40.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
C    192.168.26.0/24 is directly connected, Tunnel0
C    192.168.20.0/24 is directly connected, Loopback0
D    192.168.16.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet1/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3620#

Маршрутизатор Cisco 3640

vpn3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.46.2, 05:54:32, Tunnel0
C    192.168.40.0/24 is directly connected, Loopback0
D    192.168.26.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.46.2, 05:54:30, Tunnel0
D    192.168.16.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3640#

Примечание: С картой Адаптера интегрированных сервисов (ISA) в маршрутизаторе Cisco 7206 технологию CEF, вероятно, придется отключить для обновлений маршрута для передачи.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 17868