Шаг 7. Проверка работы туннеля vpn
Необходимо проверить работу VPN подключения в дополнительном офисе. Для этого запускается команда Ping с хоста локальной сети на главном офисе. Для проверки состояния туннеля следует использовать такие программы:
Просмотр активных тоннелей командой show crypto isakmp sa
FW-DELTACONFIG-1# sh cry isa sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: x.x.x.x
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Туннель будет работать только в том случае, если будет выдаваться значение MM_ACTIVE. Возможны ситуации, когда соединение не устанавливается в течение минуты. В этом случае нужно проверить соответствие введенных параметров на устройствах, которые использовались в процессе шифрования. Полное отсутствие информации, как правило, означает набор неправильно кода.
Важно!
Построение VPN туннеля происходит только после появления трафика, предназначенного для шифрования.
Команда show crypto VPN ipsec демонстрирует число переданных и полученных пакетов. Эту команду обычно используют в процессе отладки подключения. Информация будет доступна лишь в случае установка туннеля.
FW-DELTACONFIG-1# sh cry ips sa
interface: outside
/... вырезано .../
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.255/0/0)
current_peer: x.x.x.x
#pkts encaps: 4748, #pkts encrypt: 4748, #pkts digest: 4748
#pkts decaps: 4432, #pkts decrypt: 4432, #pkts verify: 4432
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4748, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
Строчка pkts encaps показывает число зашифрованных и отправленных пакетов. Строчка pkts decaps показывает число принятых и расшифрованных пакетов. Команда clear crypto isakmp выполнять сброс текущих VPN туннелей и их повторную инициализацию. Команда clear crypto ipsec sa peer x.x.x.x( какая-то грцппа ай-пи) сбрасывает счетчики исходящих и входящих пакетов.
Важно!
Для сохранения конфигурации следует использовать программы copy run start ил write. В противном случае изменения будут потеряны после перезагрузки.
FW-DELTACONFIG-1#write
Building configuration...
[OK]
Протокол OSPF
OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.
Принцип работы заключается в следующем:
После включения маршрутизаторов протокол ищет непосредственно подключенных соседей и устанавливает с ними “дружеские” отношения.
Затем они обмениваются друг с другом информацией о подключенных и доступных им сетях. То есть они строят карту сети (топологию сети). Данная карта одинакова на всех маршрутизаторах.
На основе полученной информации запускается SPF (Shortest Path First - Выбор наилучшего пути) алгоритм, который рассчитывает оптимальный маршрут к каждой сети. Данный процесс похож на построение дерева, корнем которого является сам маршрутизатор, а ветви - пути к доступным сетям. Данный процесс, то есть конвергенция, происходит очень быстро.
SPF протоколы не рассылают периодические обновления, как это делают векторные алгоритмы. Вместо этого они рассылают обновления каждые 30 минут, причем не всю базу данных, а только определенную часть, не загружая при этом сеть.
Если какой-нибудь интерфейс или маршрутизатор отключится, то будет немедленно сгенерировано обновление и все маршрутизаторы сразу же обновят свои таблицы маршрутизации.
Для своей работы OSPF использует следующие типы пакетов:
Hello - keep-alive пакет, которые рассылается каждые 10 с. Предназначен для установления “добрососедских” отношений между маршрутизаторами, которые непосредственно подключены друг к другу. А также для объявления соседям, что канал/маршрутизатор все еще “жив”. С ним связан Dead интервал, который ждет 40с (всегда в 4 раза больше, чем Hello интервал). Если маршрутизатор не примет Hello от соседа в течении 40 c, то вся таблица пересчитывается снова. А соседям сразу высылается новый анонс.
Database Description, DBD - передает топологическую информацию сети.
Link State Request, LSR - запрос соседям на передачу части данных о состоянии каналов для обновления топологической базы данных.
Link State Update, LSU - ответ маршрутизатора на запрос LSR
Link State Acknowledgment, LSAck - подтверждение в получении LSU.
В процессе работы протокола маршрутизатор проходит через следующие состояния:
Down - процесс не был запущен. база данных пуста
Init - начался поиск соседей
2WAY - сосед найден и установлена двусторонняя связь
Exstart - процесс выбора DR/BDR
Exchange - взаимный обмен топологической информацией
Loading - запрос дополнительной информации о сети
Full - процесс обмена завершен, все базы данных актуальны.
Каждый из филиалов имеет свою area, что обеспечивает работу маршрутизации в других филиалах при отключении area0.