如何使用Cisco为OSPF中的IPSec隧道做广告

Question

我有思科1800系列路由器(运行C181X-ADVIPSERVICESK9-M)与许多IPSec隧道。我希望将此路由器添加到OSPF，并将其配置为宣传通过IPSec隧道可访问的远程子网的路由(例如，如果我有隧道VPN1和访问列表，允许从网络到10.20.30.0/24的所有流量通过该隧道，我希望路由器在OSPF中将路由广告到10.20.30.0/24 )。可以在Cisco IOS上实现这一点，而不向这些远程子网显式添加路由吗？

Answer 1

如果我的理解是正确的，我相信反向路径注入和OSPF再分配与做你想要做的事情相结合。

反向路由注入动态地为您的VPN隧道创建静态路由。

重新分配将通过OSPF (或其他路由协议)宣传静态路由。

我现在是这样做的

Answer 2

在VPN上使用路由协议的最干净的方法是在IPSec隧道上使用GRE，您可以在启用IPSec的情况下设置一个简单的点对点GRE隧道，并且只允许IPSec隧道中的GRE流量。然后在GRE中做OSPF的广告。

思科的这篇文章有几个很好的例子：

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_配置_example09186a00800a43f6.shtml

Answer 3

对于思科设备来说，正常的OSPF模式是广播模式--这不会在隧道上工作。

你需要的是点对点窥视-它摆脱了自动平滑的广播模式，但仍然做的工作。

在用于通信的接口上：

ip ospf network point-to-multipoint non-broadcast

并且，在ospf路由器配置中，手动指定远程OSPF邻居：

neighbor 10.x.x.1