Как объявить маршруты к туннелям IPSec в OSPF, используя Cisco IOS
У меня есть маршрутизатор Cisco серии 1800 (под управлением C181X-ADVIPSERVICESK9-M) с множеством туннелей IPSec. Я хочу добавить этот маршрутизатор в OSPF и настроить его для объявления маршрутов к удаленным подсетям, доступным через туннели IPSec (например, если у меня туннель VPN1 со списком доступа, который позволяет всему трафику из моей сети до 10.20.30.0/24 проходить через этот туннель, я хотите, чтобы маршрутизатор объявил маршрут к 10.20.30.0/24 в OSPF). Может ли это быть достигнуто в Cisco IOS без явного добавления маршрутов в эти удаленные подсети?
3 ответа
Если я правильно понял, я полагаю, что сочетание "Инъекции обратного маршрута" и перераспределения OSPF делает то, что вам нужно.
Инверсия обратного маршрута динамически создает статические маршруты для ваших VPN-туннелей.
Перераспределение будет объявлять статические маршруты через OSPF (или другие протоколы маршрутизации)
Я сейчас так делаю
Обычный режим OSPF для устройства Cisco - это широковещательный режим - он не будет работать через туннель.
Вам нужен пиринг точка-точка - он избавляется от автоматической сглаживания режима вещания, но все же выполняет свою работу.
На интерфейсе, используемом для трафика:
ip ospf network point-to-multipoint non-broadcast
И в конфигурации маршрутизатора ospf вручную укажите удаленного соседа OSPF:
neighbor 10.x.x.1
Самый чистый способ использования протокола маршрутизации через VPN - это использование IPSec через GRE-туннели. Вы устанавливаете простой двухточечный GRE-туннель с включенным IPSec и разрешаете только GRE-трафик в туннеле IPSec. Тогда рекламируйте OSPF внутри GRE.
В этой статье Cisco есть несколько хороших примеров:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800a43f6.shtml