Каким образом заполнять динамические маршруты с помощью внесения обратного маршрута

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Общие сведения
Настройка
      Схема сети
      Варианты конфигурации
      Конфигурация концентратора VPN 3000 с использованием протокола RIPv2
      Внесение обратного маршрута клиента
      Внесение обратного маршрута для расширения сети (только для клиента VPN 3002 в режиме NEM)
      Автоматическое обнаружение сетей в сеансе между локальными сетями
      Внесение обратного маршрута в сеансе между локальными сетями
      Маршруты захвата
      Применение OSPF совместно с RRI
Проверка
      Проверка/испытание RIPv2
      Проверка/испытание автоматического обнаружения сетей в сеансе между локальными сетями
      Проверка/испытание внесения обратного маршрута в сеансе между локальными сетями
      Проверка/испытание маршрутов захвата
      Проверка/испытание OSPF с внесением обратного маршрута
      Проверка сведений для таблицы маршрутов на концентраторе VPN
Поиск и устранение неполадок
Дополнительные сведения

Введение

Функция внесения обратного маршрута (RRI) используется для заполнения таблицы маршрутизации внутреннего маршрутизатора, работающего по протоколу открытия кратчайшего пути (OSPF) или протоколу маршрутной информации (RIP) для удаленных VPN-клиентов или сеансов между локальными сетями (LAN–LAN). Функция RRI доступна в версии 3.5 и последующих версиях концентраторов VPN серии 3000 (3005–3080). В аппаратном клиенте VPN 3002 функция RRI не реализована, поскольку это устройство считается VPN-клиентом, а не концентратором VPN. Маршруты RRI могут объявлять только концентраторы VPN. Для внесения маршрутов расширения сети обратно на главный концентратор VPN на аппаратном клиенте VPN 3002 должна использоваться версия кода 3.5 или выше.

Предварительные условия

Требования

Для этого документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• Концентратор Cisco VPN 3000 с программным обеспечением версии 3.5

• Маршрутизатор Cisco 2514 под управлением выпуска ПО Cisco IOS® 12.2.3

• Аппаратный клиент Cisco VPN 3002 с ПО версии 3.5 или выше

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.

Общие сведения

Существует четыре способа использования RRI:

• Программные клиенты виртуальной частной сети вносят назначенные им IP-адреса в качестве маршрутов хостов.

• Аппаратный клиент VPN 3002 подключается в режиме расширения сети и вносит свой защищенный сетевой адрес. (Заметим, что клиент оборудования VPN 3002 в режиме преобразования адресов портов (PAT) обрабатывается точно так же, как и клиент VPN.)

• Вносимыми маршрутами являются определения удаленных сетей LAN–LAN. (Это может быть одиночная сеть или список сетей.)

• RRI обеспечивает маршрут захвата для клиентских пулов VPN.

В случае использования RRI возможно применять для объявления этих маршрутов протоколы RIP или OSPF. В более ранних версиях кода концентратора VPN сеансы LAN–LAN могут использовать автоматическое обнаружение сети. Однако этот процесс предусматривает использование протокола RIP только в качестве протокола объявления маршрутов.

Примечание. Использовать RRI с протоколом резервирования виртуальных маршрутизаторов (VRRP) невозможно, поскольку маршруты RRI объявляются и основным, и резервным серверами. Это может создать проблемы для маршрутизации. Зарегистрированные пользователи могут подробнее узнать об этой проблеме в описании идентификатора ошибки Cisco ID CSCdw30156 (только для зарегистрированных пользователей).

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительной информации о командах, приведенных в данном документе, используйте инструмент Средство поиска команд (только для зарегистрированных пользователей).

Схема сети

В настоящем документе используется следующая схема сети:

Варианты конфигурации

В этом документе используются следующие конфигурации:

2514-b#show version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-IK8OS-L), Version 12.2(3), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Wed 18-Jul-01 20:14 by pwade
Image text-base: 0x0306B450, data-base: 0x00001000

2514-b#write terminal

Building configuration...

 Current configuration : 561 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 2514-b
!
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
interface Ethernet0
 ip address 192.168.1.10 255.255.255.0
!
interface Ethernet1
 no ip address
 shutdown
!
router rip
 version 2
 network 192.168.1.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end

Конфигурация концентратора VPN 3000 с использованием протокола RIPv2

Для объявления маршрутов, запомненных посредством RRI, необходимо включить (как минимум) исходящий протокол RIP на частном интерфейсе локального концентратора VPN, представленного на схеме сети сетью VPN 3030b. Автоматическое обнаружение сетей требует включения и входящего, и исходящего протокола RIP. Клиентскую часть RRI можно применять на всех VPN-клиентах, подключающихся к концентратору VPN (т.е. клиентах VPN, протокола туннелирования 2-го уровня [L2TP], двухточечного протокола туннелирования [PPTP] и т.п.).

Внесение обратного маршрута клиента

Клиент RRI можно использовать во всех подключениях клиентов VPN к концентратору VPN. Для настройки клиентской части RRI войдите в раздел Configuration > System > IP Routing > Reverse Route Injection (Конфигурация > Система > IP-маршрутизация > Внесение обратного маршрута) и выберите параметр Client Reverse Route Injection (Внесение обратного маршрута для клиента).

Примечание. На концентраторе VPN заданы группа, пользователь, а также клиентский пул: 192.168.3.1–192.168.3.254. Дополнительные сведения о таблице маршрутизации см. в разделе Проверка/испытание RIPv2.

Внесение обратного маршрута для расширения сети (только для клиента VPN 3002 в режиме NEM)

Чтобы настроить RRI для расширения сети с клиентом VPN 3002, войдите в раздел Configuration > System > IP Routing > Reverse Route Injection (Конфигурация > Система > IP-маршрутизация > Внесение обратного маршрута) и выберите параметр Network Extension Reverse Route Injection (Внесение обратного маршрута для расширения сети).

Примечание. Функция RRI для расширения сети будет работать только в том случае, если на клиенте VPN 3002 используется код версии 3.5 или новее. Сведения о таблице маршрутизации см. в разделе Проверка/испытание внесения обратного маршрута в режиме NEM.

Автоматическое обнаружение сетей в сеансе между локальными сетями

Это сеанс между локальными сетями (LAN–LAN) с удаленной стороной 172.18.124.133, охватывающей сеть 192.168.6.0/24 в локальной сети LAN. В определении LAN–LAN (выберите Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN > Routing [Конфигурация > Система > Протоколы туннелирования > IPSec > LAN–LAN > Маршрутизация]) вместо списков сетей применяется автоматическое обнаружение сетей.

Примечание. Помните, что в случае использования автоматического обнаружения сетей объявление удаленных адресов может осуществляться только посредством протокола RIP. В данном случае вместо RRI используется обычное автоматическое обнаружение. Сведения о таблице маршрутизации см. в разделе Проверка/испытание автоматического обнаружения сетей в сеансе между локальными сетями.

Внесение обратного маршрута в сеансе между локальными сетями

Для выполнения настроек, относящихся к RRI, перейдите в раздел Configuration > System > Tunneling Protocols > IPSec (Конфигурация > Система > Протоколы туннелирования > IPSec). Чтобы маршруты, определенные в сеансе LAN–LAN, передавались процессу RIP или OSPF, войдите в определение LAN–LAN и при помощи раскрывающегося меню в поле Routing (Маршрутизация) установите значение Reverse Route Injection (Внесение обратного маршрута). Для сохранения настроек нажмите кнопку Apply (Применить).

Примечание. Если в определении LAN–LAN настроено использование RRI, то концентратор VPN 3000 будет объявлять удаленные сети (одиночную сеть или список сетей) таким образом, что внутренний маршрутизатор будет отделен от удаленной сети. Сведения о таблице маршрутизации см. в разделе Проверка/испытание внесения обратного маршрута в сеансе между локальными сетями.

Для выполнения настройки в режиме командной строки (CLI) ознакомьтесь с описанием внесения сведений удаленных VPN-сетей сеанса LAN–LAN в рабочую сеть OSPF в разделе Проверка правильности маршрутизации.

Маршруты захвата

Маршруты захвата используются в качестве замены маршрутов к удаленным сетям и пулам клиентов VPN. Например, если удаленная сторона VPN обращена к сети 192.168.2.0/24, то эта сеть будет видна локальной сети LAN только в нескольких ситуациях:

• Внутренний маршрутизатор (как 2514-b в примере конфигурации маршрутизатора) имеет статический маршрут для 192.168.2.0/24, указывающий на частный адрес концентратора VPN. Данное решение является приемлемым, если не нужно запускать RRI или если концентратор VPN не поддерживает данную функцию.

• Можно использовать автоматическое обнаружение сетей. Однако в этом случае сеть 192.168.2.0/24 помещается в локальную сеть только при наличии действующего туннеля VPN. Одним словом, локальная сеть не может запустить туннель, так как у нее нет сведений о маршрутизации удаленной сети. Как только удаленная сеть 192.168.2.0 создает туннель, он проходит сеть через функцию автоматического обнаружения и затем вставляет ее в процесс маршрутизации. Помните, что это относится только к протоколу RIP; протокол OSPF в этом случае использоваться нельзя.

• При использовании маршрутов захвата адресного пула заданные сети объявляются всегда, чтобы туннель при его отсутствии можно было организовать и со стороны локальной, и со стороны удаленной сети.

Для настройки маршрутов захвата адресного пула перейдите в раздел Configuration > System > IP Routing > Reverse Route Injection (Конфигурация > Система > IP-маршрутизация > Внесение обратного маршрута) и введите адресный пул, как показано далее. Сведения о таблице маршрутизации см. в разделе Проверка/испытание маршрутов захвата.

Применение OSPF совместно с RRI

Для использования протокола OSPF войдите в раздел Configuration > System > IP Routing > OSPF (Конфигурация > Система > IP-маршрутизация > OSPF) и заполните поле Router ID (укажите IP-адрес). Выберите параметры Autonomous System (Автономная система) и Enabled (Включено). Обратите внимание, что для помещения маршрутов RRI в таблицу OSPF необходимо сделать процесс OSPF на концентраторе VPN 3000 автономной системой.

Сведения о таблице маршрутизации см. в разделе Проверка/испытание OSPF с внесением обратного маршрута.

Проверка

В данном разделе содержатся сведения о проверке работы конфигурации.

Интерпретатор выходных данных (OIT), доступный только зарегистрированным пользователям, поддерживает некоторые команды show. Посредством OIT можно анализировать выходные данные команд show.

Проверка/испытание RIPv2

Таблица маршрутизации перед подключением клиента VPN

На VPN-концентраторе заданы группа и пользователь, а также клиентский пул адресов 192.168.3.1–192.168.3.254.

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
	   
Gateway of last resort is 192.168.1.1 to network 0.0.0.0

C    192.168.1.0/24 is directly connected, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Таблица маршрутизации во время подключения клиента VPN

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:21, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
     192.168.3.0/32 is subnetted, 1 subnets
R       192.168.3.1 [120/1] via 192.168.1.5, 00:00:21, Ethernet0
     
!--- 192.168.3.1 is the client-assigned IP address !--- for the newly connected VPN Client.

     
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Таблица маршрутизации при подключении двух клиентов

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
     192.168.3.0/32 is subnetted, 2 subnets
R       192.168.3.2 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
R       192.168.3.1 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

В случае добавления маршрутов к хостам на каждом VPN-клиенте может быть проще использовать в таблице маршрутизации маршрут захвата для 192.168.3.0/24. Другими словами, вместо 250 маршрутов к хостам, использующим клиентскую часть RRI, можно ограничиться одним маршрутом захвата для сети.

Пример применения маршрута захвата:

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:13, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
     192.168.3.0/24 is subnetted, 1 subnets
R       192.168.3.0 [120/1] via 192.168.1.5, 00:00:14, Ethernet0
     
!--- There is one entry for the 192.168.3.x network, !--- rather than 1 for each host for the VPN pool. 

     
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Проверка/испытание внесения обратного маршрута в режиме NEM

Ниже представлена таблица маршрутов маршрутизатора.

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

R    192.168.15.0/24 [120/1] via 192.168.1.5, 00:00:05, Ethernet0

 !--- This is the network behind the VPN 3002 Client.

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Проверка/испытание автоматического обнаружения сетей в сеансе между локальными сетями

Таблица маршрутизации перед подключением LAN–LAN (автоматическое обнаружение сетей)

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0
 
     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:07, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Таблица маршрутизации (внутренний маршрутизатор) во время сеанса LAN–LAN (автоматическое обнаружение сетей)

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:04, Ethernet0
R    192.168.6.0/24 [120/2] via 192.168.1.5, 00:00:04, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Примечание. Протокол RIP предусматривает таймер захвата, действующий три минуты. Даже при разрыве сеанса LAN–LAN для фактического прекращения действия маршрута должно пройти приблизительно три минуты.

Проверка/испытание внесения обратного маршрута в сеансе между локальными сетями

Ниже представлена таблица маршрутов маршрутизатора:

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:11, Ethernet0
R    192.168.6.0/24 [120/1] via 192.168.1.5, 00:00:11, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Поскольку в списке удаленных сетей LAN–LAN используется сеть 192.168.6.0/24, эти сведения передаются процессу маршрутизации. При наличии списка сетей 192.168.6.x, .7.x и .8.x (все сети /24) таблица маршрутизации маршрутизатора будет иметь следующий вид:

R    192.168.8.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
R    192.168.6.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
R    192.168.7.0/24 [120/1] via 192.168.1.5, 00:00:02, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1
...

Проверка/испытание маршрутов захвата

В этом примере 192.168.2.0 – замещающая удаленная сеть. По умолчанию таблица маршрутизации на внутреннем маршрутизаторе после включения пула маршрутов захвата имеет следующий вид:

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
R       172.18.124.0 [120/1] via 192.168.1.5, 00:00:05, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
R    192.168.2.0/24 [120/1] via 192.168.1.5, 00:00:06, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Обратите внимание, что маршрутизатор 172.18.124.0 фактически является внешним открытым интерфейсом сети концентратора VPN 3000. Если не нужно, чтобы этот маршрут запоминался через частный интерфейс концентратора VPN, добавьте статический маршрут или фильтр маршрута, перезаписывающий/блокирующий этот запомненный маршрут.

Применение статического маршрута, указывающего на корпоративный межсетевой экран с адресом 192.168.1.1 показывает, что таблица маршрутизатора теперь использует запись ip route 172.18.124.0 255.255.255.0 192.168.1.1, как в следующем примере:

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
S       172.18.124.0 [1/0] via 192.168.1.1
C    192.168.1.0/24 is directly connected, Ethernet0
R    192.168.2.0/24 [120/1] via 192.168.1.5, 00:00:28, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Проверка/испытание OSPF с внесением обратного маршрута

2514-b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

O E2 192.168.15.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0
O E2 192.168.6.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0
C    192.168.1.0/24 is directly connected, Ethernet0
O E2 192.168.2.0/24 [110/20] via 192.168.1.5, 00:07:33, Ethernet0
     192.168.3.0/32 is subnetted, 1 subnets
O E2    192.168.3.1 [110/20] via 192.168.1.5, 00:00:08, Ethernet0
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Ниже приведены значения для этого примера.

• 192.168.15.0 – режим расширения сети для концентратора VPN 3002.

• 192.168.6.0 – сеть для сеанса LAN–LAN.

• 192.168.2.0 – маршрут захвата.

• 192.168.3.1 – маршрут, внесенный клиентом.

Проверка сведений для таблицы маршрутов на концентраторе VPN

Убедитесь, что маршруты отображаются в таблице маршрутизации на локальном концентраторе VPN. Проверить это можно в разделе Monitoring > Routing Table (Контроль > Таблица маршрутизации).

Маршруты, запомненные посредством RRI, будут показываться как статические маршруты от внешнего интерфейса (интерфейса № 2). В данном примере это следующие маршруты:

• Маршрут захвата 192.168.2.0 показывает, что следующий переход относится к IP-адресу интерфейса в открытой сети 172.18.124.132.

• Для клиента VPN, которому был назначен адрес 192.168.3.1, следующим переходом будет переход на шлюз по умолчанию для концентратора VPN в открытой сети (172.18.124.1).

• У подключения LAN–LAN на адресе 192.168.6.0 видно, что другая сторона имеет адрес 172.18.124.133. То же самое относится к концентратору VPN 3002 в режиме расширения сети.

Поиск и устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении неполадок.

Дополнительные сведения

• Устранение наиболее распространенных неполадок удаленных VPN-подключений и VPN-туннелей LAN–LAN на базе протокола IPSec
• Поддержка концентраторов VPN Cisco серии 3000
• Поддержка клиентов VPN Cisco серии 3000
• Поддержка согласования IPSec/протоколов IKE
• Поддержка OSPF
• Поддержка RIP
• Техническая поддержка – Cisco Systems