rri
作用:反向路由注入,
使用场合:
rri这个主要和ha(高可用性)相关的fcatruc一起使用,如上图:一个公司有两个网关(gw1,gw2)分别与两个sp相连来提供高可用性,gw1是remote的首选拨入点,当gw1不能抵达的时候选择第二拨入点gw2.
但是这样的ha的设计引入了内部server的路由问题,当remote vpn client拨入到gw1的时候server要通过gw1来抵达remote vpn(地址池的地址),如果gw1不能抵达,remote client拨到gw2,这个时候server需要通过gw2来抵达remote vpn.
所以在ha vpn的情况下需要在gw1和gw2同时启用rri,只有当remote vpn成功拨上以后才能产生32位的主机路由,这个时候在gw1和gw2同时运行内部的动态路由协议,把rri产生的主机路由重发布内部的动态路由协议,正确的引导流量返回remote vpn.主机rri的路由并不是同时产生的,只会在remote vpn拨上的路由器上产生,所以不会造成内部路由的混乱。
rri的格式
在拨入的设备上产生静态路由
标准的静态路由的格式,
ip route < 目的 > < 下一跳 >
rri产生的静态路由的格式
ip route < ipsec sa 感兴趣的目的 > < ipsec sa的peer >
需要补充通往对方加密点的路由
r1:
ip route 202.100.2.10 255.255.255.0 202.100.1.1r2:
ip rotue 202.100.1.10 255.255.255.0 202.100.2.1
通过方向路由注入来产生一条路由
r2:
cry map cisco 10 ipsec-isa
reverse-route static
r1:
cry map cisco 10 ipsec-isa
reverse-route static
要产生一条静态路由必须知道对方感兴趣流的目的和加密点。
静态map可以直接产生
动态map需要对方拨上来产生peer和感兴趣流才可以产生。
12.3以前的版本,敲上reverse-route直接产生静态路由
12.4以上的版本,敲上reverse-route不会产生静态路由。如果希望像以前一样需要加上关键字,reverse-route static.不管ipsec vpn建立没建立这条反向路由注入总是有的。
不敲只有vpn建立才会有反向路由注入,需要手动触发。
在12.4会出现一个问题tag,当产生反向路由注入会产生一个tag10用于控制重发布的时候匹配。然后用route-map匹配这个tag,重发布使用route-map控制
remote-peer
12.3版本以前
reverse-route remote-peer (会产生两条反向路由注入一个是对方的peer和通信点)
12.3版本以后
reverse-route remote-peer x.x.x.x static
浙公网安备 33010602011771号