我有一台 Cisco 1800 系列路由器(运行 C181X-ADVIPSERVICESK9-M),上面有许多 IPSec 隧道。我想将此路由器添加到 OSPF,并将其配置为向可通过 IPSec 隧道访问的远程子网通告路由(例如,如果我有隧道 VPN1,其访问列表允许从我的网络到 10.20.30.0/24 的所有流量通过该隧道,我希望路由器在 OSPF 中向 10.20.30.0/24 通告路由)。是否可以在 Cisco IOS 上实现此操作,而无需明确向这些远程子网添加路由?
答案1
如果我理解正确的话,我相信反向路由注入和 OSPF 重新分配的组合可以实现您想要的效果。
反向路由注入为您的 VPN 隧道动态创建静态路由。
重新分配将通过 OSPF(或其他路由协议)通告静态路由
我目前正在这样做
答案2
在 VPN 上使用路由协议的最简洁方法是使用 GRE 隧道上的 IPSec,您可以设置一个简单的点对点 GRE 隧道,启用 IPSec,并且只允许 IPSec 隧道中的 GRE 流量。然后在 GRE 内通告 OSPF。
这篇思科文章有几个很好的例子:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800a43f6.shtml
答案3
Cisco 设备的正常 OSPF 模式是广播模式 - 这无法通过隧道工作。
您所需要的是点对点对等 - 它摆脱了广播模式的自动平滑性,但仍能完成工作。
在用于流量的接口上:
ip ospf network point-to-multipoint non-broadcast
并且,在 ospf 路由器配置中,手动指定远程 OSPF 邻居:
neighbor 10.x.x.1