Функція внесення зворотного маршруту (RRI) використовується для заповнення таблиці маршрутизації внутрішнього маршрутизатора, що працює по протоколу відкриття найкоротшого шляху (OSPF) або протоколу маршрутної інформації (RIP) для віддалених VPN-клієнтів або сеансів між локальними мережами (LAN-LAN). Функція RRI доступна у версії 3.5 і наступних версіях концентраторів VPN серії 3000 (3005-3080). В апаратній клієнта VPN 3002 функція RRI не реалізована, оскільки цей пристрій вважається VPN-клієнтом, а не концентратором VPN. Маршрути RRI можуть оголошувати тільки концентратори VPN. Для внесення маршрутів розширення мережі назад на головний концентратор VPN на апаратній клієнта VPN 3002 повинна використовуватися версія коду 3.5 або вище.
Для цього документа відсутні особливі вимоги.
Відомості, що містяться в даному документі, стосуються наступних версій програмного забезпечення і устаткування:
Концентратор Cisco VPN 3000 з програмним забезпеченням версії 3.5
Маршрутизатор Cisco 2514 під керуванням випуску ПО Cisco IOS® 12.2.3
Апаратний клієнт Cisco VPN 3002 з ПО версії 3.5 або вище
Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.
Існує чотири способи використання RRI:
Що вносяться маршрутами є визначення віддалених мереж LAN-LAN. (Це може бути одиночна мережа або список мереж.).)
RRI забезпечує маршрут захоплення для клієнтських пулів VPN.
У цьому розділі містяться відомості про налаштування функцій, описаних в цьому документі.
У цьому документі використовується наступна схема мережі:
Клієнт RRI можна використовувати у всіх підключених клієнтів VPN до концентратора VPN. Для настройки клієнтської частини RRI увійдіть в розділ Configuration> System> IP Routing> Reverse Route Injection (Конфігурація> Система> IP-маршрутизація> Внесення зворотного маршруту) і виберіть параметр Client Reverse Route Injection (Внесення зворотного маршруту для клієнта).
Щоб налаштувати RRI для розширення мережі з клієнтом VPN 3002, увійдіть в розділ Configuration> System> IP Routing> Reverse Route Injection (Конфігурація> Система> IP-маршрутизація> Внесення зворотного маршруту) і виберіть параметр Network Extension Reverse Route Injection (Внесення зворотного маршруту для розширення мережі).
Це сеанс між локальними мережами (LAN-LAN) з віддаленою стороною 172.18.124.133, що охоплює мережу 192.168.6.0/24 в локальній мережі LAN. У визначенні LAN-LAN (виберіть Configuration> System> Tunneling Protocols> IPSec> LAN-to-LAN> Routing [Конфігурація> Система> Протоколи тунелювання> IPSec> LAN-LAN> Маршрутизація]) замість списків мереж застосовується автоматичне виявлення мереж.
Для виконання параметрів, пов'язаних з RRI, перейдіть в розділ Configuration> System> Tunneling Protocols> IPSec (Конфігурація> Система> Протоколи тунелювання> IPSec) .Щоб маршрути, визначені в сеансі LAN-LAN, передавалися процесу RIP або OSPF, увійдіть в визначення LAN -LAN і за допомогою меню, що розкривається в поле Routing (Маршрутизація) встановіть значення Reverse Route Injection (Внесення зворотного маршруту) .Для збереження налаштувань натисніть кнопку Apply (Застосувати).
Примітка: Коли визначення LAN-LAN збирається використовувати RRI, VPN 3000 Concentrator оголошує віддалені мережі (одиночна мережа або список мережі) так, щоб вбудований маршрутизатор був далеко від віддаленої мережі. Відомості про таблиці маршрутизації см. В розділі Перевірка / випробування внесення зворотного маршруту в сеансі між локальними мережами.
Маршрути захоплення використовуються в якості заміни маршрутів до віддалених мереж і пулів клієнтів VPN. Наприклад, якщо віддалена сторона VPN звернена до мережі 192.168.2.0/24, то ця мережа буде видна локальної мережі LAN тільки в декількох ситуаціях:
Можна використовувати автоматичне виявлення мереж. Однак в цьому випадку мережа 192.168.2.0/24 поміщається в локальну мережу тільки при наявності чинного тунелю VPN. Одним словом, локальна мережа не може запустити тунель, так як у неї немає відомостей про маршрутизації віддаленої мережі. Як тільки віддалена мережа 192.168.2.0 створює тунель, він проходить мережу через функцію автоматичного виявлення і потім вставляє її в процес маршрутизації. Пам'ятайте, що це відноситься тільки до протоколу RIP; протокол OSPF в цьому випадку використовуватися не можна.
У цьому розділі містяться відомості, які допомагають переконатися в належній роботі конфігурації.
Примітка: RIP має трихвилинний таймер утримання. Навіть при розриві сеансу LAN-LAN для фактичного припинення дії маршруту повинно пройти приблизно три хвилини.
Нижче наведено таблицю маршрутів маршрутизатора:
Оскільки в списку віддалених мереж LAN-LAN використовується мережу 192.168.6.0/24, ці відомості передаються процесу маршрутизації. При наявності списку мереж 192.168.6.x. 7.x і .8.x (всі мережі / 24) таблиця маршрутизації маршрутизатора матиме такий вигляд:
У цьому прикладі 192.168.2.0 - заміщає віддалена мережа. За замовчуванням таблиця маршрутизації на внутрішньому маршрутизаторе після включення пулу маршрутів захоплення має наступний вигляд:
Зверніть увагу, що маршрутизатор 172.18.124.0 фактично є зовнішнім відкритим інтерфейсом мережі концентратора VPN 3000. Якщо не потрібно, щоб цей маршрут запам'ятовувався через приватний інтерфейс концентратора VPN, додайте статичний маршрут або фільтр маршруту, перезаписуючий / блокуючий цей запомненний маршрут.
Нижче наведені значення для цього прикладу:
192.168.15.0- режим розширення мережі для концентратора VPN 3002.
192.168.6.0- мережу для сеансу LAN-LAN.
192.168.2.0- маршрут захоплення.
192.168.3.1- маршрут, внесений клієнтом.
Переконайтеся, що маршрути відображаються в таблиці маршрутизації на локальному концентраторі VPN. Перевірити це можна в розділі Monitoring> Routing Table (Контроль> Таблиця маршрутизації).
Маршрути, після успішної реєстрації за допомогою RRI, будуть показуватися як статичні маршрути від зовнішнього інтерфейсу (інтерфейсу №2). В даному прикладі це такі маршрути:
Для цієї конфігурації в даний час немає відомостей про усунення проблем.