목차
특징
IPSEC 역방향 경로 주입, 즉 Reverse Route 주입은 일반적으로 IPSEC VPN 지점의 본사 라우터에서 사용됩니다. 이 기능을 사용하면 지점과 본사 라우터 간의 IPSEC 협상이 성공한 후 본사 라우터가 자동으로 지점의 네트워크 세그먼트를 라우팅 테이블에 삽입하여 본사가 해당 지점에 데이터를 올바르게 전달할 수 있습니다.
IPSEC 역방향 경로 주입 기능의 구현 원리: 지점과 본사 간의 IPSEC 협상이 성공한 후 본사의 라우터는 지점과 성공적으로 협상된 ipsec sa 관심 흐름을 확인하여 지점의 네트워크 세그먼트 정보를 알아냅니다. 세그먼트 정보가 라우팅 테이블에 추가되고 다음 홉은 지점의 IP가 됩니다.
예를 들어, 지점 1의 IPSEC 관심 흐름은 지점 네트워크 세그먼트 192.168.1.0/24 -> 본사 네트워크 세그먼트 192.168.0.0/24입니다. 본사와의 성공적인 협상 후 본사 라우터는 다음과 같이 지점의 IPSEC 흐름에 관심을 가져야 합니다. : 본사 네트워크 세그먼트 192.168.0.0/24 --> 지점 192.168.1.0/24; 관심 스트림으로부터 지점이 본사와 통신해야 하는 네트워크 세그먼트가 "192.168.1.0/24"임을 알 수 있습니다. 이때 본사 라우터는 역방향 경로 주입 기능을 통해 192.168.1.0/24 네트워크 세그먼트를 라우팅 테이블에 넣고 다음 홉은 지점 1의 IP 주소가 됩니다.
1. 네트워킹 요구 사항
IPSEC 역방향 경로 주입 기능을 사용하여 본사 라우터에 지점 라우팅 정보를 동적으로 주입하여 본사와 지점 간의 정상적인 통신을 달성합니다.
2. 네트워크 토폴로지
3. 구성 포인트
1. 기본 IPSEC 기능 구성
2. 본사 라우터에 역방향 경로 주입 기능을 구성합니다.
3. 동적 라우팅 프로토콜에 역방향 주입 경로를 다시 게시합니다(선택 사항, OSPF를 예로 사용).
4. 구성 단계
1. 기본 IPSEC 기능 구성
현장 환경과 고객 요구에 따라 적절한 IPSEC 배포 솔루션을 선택하십시오. 자세한 구성은 IPSEC " 기본 구성 " 장을 참조하십시오(일반 구성--->보안--->IPSEC--->기본 구성 )
2. 본사 라우터에 역방향 경로 주입 기능을 구성합니다.
암호화 동적 맵 dymymap 5
reverse-route //역방향 경로 주입 기능 구성
알아채다:
- 이 기능을 통해 주입된 경로는 정적 경로와 마찬가지로 기본 관리 거리가 1이고 가중치가 XXX입니다. 확장 매개변수를 통해 주입된 경로의 관리 거리와 미터법 값을 수정할 수 있으며, 주입된 경로를 표시할 수도 있습니다.
- 원격 피어 매개변수를 사용하여 역방향 경로 삽입이 특정 피어에서만 수행되도록 지정할 수 있습니다.
- 이 기능을 통해 주입된 경로는 BFD 또는 TRACK과 연결될 수 있습니다.
Ruijie(config-crypto-map)#reverse-route ?
<1-255> 거리
bfdbfd 구성
Remote-Peer 암호화할 패킷의 주소 일치
이 경로에 대한 tagSet 태그 설정
추적된 항목에 따른 trackInstall 경로
무게 루트 무게
<cr>
3. 동적 라우팅 프로토콜에 역방향 주입 경로를 다시 게시합니다(선택 사항, OSPF를 예로 사용).
라우터 ospf 1
정적 서브넷 재배포
5. 구성 확인
1. 지점 1이 본사와 IPsec을 성공적으로 협상한 후 본사 라우터에서 지점을 가리키는 경로가 동적으로 생성되는 것을 볼 수 있습니다.
Ruijie(config)#show ip 라우트
코드: C - 연결됨, S - 정적, R - RIP, B - BGP
O - OSPF, IA - OSPF 간 영역
N1 - OSPF NSSA 외부 유형 1, N2 - OSPF NSSA 외부 유형 2
E1 - OSPF 외부 유형 1, E2 - OSPF 외부 유형 2
i - IS-IS, su - IS-IS 요약, L1 - IS-IS 레벨-1, L2 - IS-IS 레벨-2
ia - IS-IS 간 영역, * - 후보 기본값
최후의 수단의 관문이 설정되지 않았습니다.
C 10.0.0.0/24가 직접 연결되어 있으며 GigabitEthernet 0/0
C 10.0.0.1/32는 로컬 호스트입니다.
C 192.168.0.0/24가 직접 연결되어 있으며 루프백 0
C 192.168.0.1/32는 로컬 호스트입니다.
S 192.168.1.0/24 [1/0] via 10.0.0.2 //분기 1의 IPSEC VPN이 성공적으로 다이얼링된 후 본사는 역방향 주입 경로를 통과합니다. 기본 경로를 통해 정적 경로의 다음 홉 주소에 도달하면 기본 경로를 재귀에 사용할 수 없으므로 역방향 경로를 주입할 수 없습니다.
2. 지점 1에서 해당 ipsec sa를 지웁니다. 이때 본사 라우터의 해당 라우팅 항목이 사라집니다.
센터#IP 경로 표시
코드: C - 연결됨, S - 정적, R - RIP, B - BGP
O - OSPF, IA - OSPF 간 영역
N1 - OSPF NSSA 외부 유형 1, N2 - OSPF NSSA 외부 유형 2
E1 - OSPF 외부 유형 1, E2 - OSPF 외부 유형 2
i - IS-IS, su - IS-IS 요약, L1 - IS-IS 레벨-1, L2 - IS-IS 레벨-2
ia - IS-IS 간 영역, * - 후보 기본값
최후의 수단의 관문이 설정되지 않았습니다.
C 10.0.0.0/24가 직접 연결되어 있으며 GigabitEthernet 0/0
C 10.0.0.1/32는 로컬 호스트입니다.
C 192.168.0.0/24가 직접 연결되어 있으며 루프백 0
C 192.168.0.1/32는 로컬 호스트입니다.