@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNP) > VPN(3拠点のVPN接続 その2)

 Rakuten
@network Cisco・アライド実機で学ぶ
◆VPN(3拠点のVPN接続 その2)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆VPN(3拠点のVPN接続 その2)

VPN(3拠点のVPN接続 その1)」の続きです。ここでは、各拠点のルータの設定を説明してゆきます。

Router_B、Router_CのE0は、「no keepalive」し、強制的にUPさせます。


 支社間(拠点B-拠点C)の通信は、本社を経由させます。支社間では、VPNを張りません。Router_AをVPN HUBになるように設定してゆきます。

 また、各ルータのインターネット網側の実インタフェース上では、OSPFを動作させません。これは、実際のグローバルなインターネット網では、OSPFは動作しないからです。インターネット網側の実インタフェース上でOSPFを動作させてしまうと、ダイレクト接続にとなり、OSPFが動作してしまい期待した結果が得られなくなってしまいます。

◆Router_Aの設定

●ACLの定義

「支社:拠点B」-「支社:拠点C」間の通信を経由させるのでACLにその流れを定義します。

Router_A(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 172.17.0.0 0.0.255.255
Router_A(config)#access-list 100 permit ip 172.18.0.0 0.0.255.255 172.17.0.0 0.0.255.255
Router_A(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255
Router_A(config)#access-list 101 permit ip 172.17.0.0 0.0.255.255 172.18.0.0 0.0.255.255

●IKEのポリシーを定義

Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#exit

●共通鍵とIPアドレスの関連付け

拠点B、拠点Cの拠点ごとにパスワードを設定します。

Router_A(config)#crypto isakmp key cisco1 address 20.0.0.2
Router_A(config)#crypto isakmp key cisco2 address 20.0.0.3

●トランスフォームセットの定義

Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode tunnel
Router_A(cfg-crypto-trans)#exit

●IPSec SA(フェーズ2)の定義

 拠点ごとのcrypto mapを作成します。トランスフォームセットは、同じものが利用できます。シーケンス番号は、「1」と「2」を使用します。「1」に該当しない場合は、「2」が使用されます。

Router_A(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_A(config-crypto-map)#match address 100
Router_A(config-crypto-map)#set peer 20.0.0.2
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#exit

Router_A(config)#crypto map MAP-IPSEC 2 ipsec-isakmp
Router_A(config-crypto-map)#match address 101
Router_A(config-crypto-map)#set peer 20.0.0.3
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#exit

●トンネルインタフェースの作成

Router_A(config)#interface tunnel 0
Router_A(config-if)#ip address 192.168.1.1 255.255.255.0
Router_A(config-if)#tunnel source 20.0.0.1
Router_A(config-if)#tunnel destination 20.0.0.2
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config-if)#exit

Router_A(config)#interface tunnel 1
Router_A(config-if)#ip address 192.168.2.1 255.255.255.0
Router_A(config-if)#tunnel source 20.0.0.1
Router_A(config-if)#tunnel destination 20.0.0.3
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config-if)#exit

●インタフェースへのIPSecポリシーの適用

Router_A(config)#interface fastEthernet 0
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config-if)#exit

●OSPFの設定

トンネルインタフェースにおいてもOSPFを動作させます。

 インターネット網側の実インタフェース上で、OSPFを動作させてしまうと、ダイレクト接続のため、OSPFが動作してしまい期待した結果が得られないため、(20.0.0.0/8)は、除外します。

Router_A(config)#router ospf 1
Router_A(config-router)#network 172.16.0.0 0.0.255.255 area 0
↓トンネルインタフェースでOSPFを動作させる
Router_A(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router_A(config-router)#network 192.168.2.0 0.0.0.255 area 0


◆Router_Bの設定

↓本社だけでなく拠点C 向けについてもACLで定義します。
Router_A(config)#access-list 100 ip permit 172.17.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router_A(config)#access-list 100 ip permit 172.17.0.0 0.0.255.255 172.18.0.0 0.0.255.255

Router_B(config)#crypto isakmp policy 1
Router_B(config-isakmp)#authentication pre-share
Router_B(config-isakmp)#exit

Router_B(config)#crypto isakmp key cisco1 address 20.0.0.1

Router_B(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_B(cfg-crypto-trans)#mode tunnel
Router_B(cfg-crypto-trans)#exit

Router_B(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_B(config-crypto-map)#match address 100
Router_B(config-crypto-map)#set peer 20.0.0.1
Router_B(config-crypto-map)#set transform-set TS-IPSEC
Router_B(config-crypto-map)#exit

Router_B(config)#interface tunnel 0
Router_B(config-if)#ip address 192.168.1.2 255.255.255.0
Router_B(config-if)#tunnel source 20.0.0.2
Router_B(config-if)#tunnel destination 20.0.0.1
Router_B(config-if)#crypto map MAP-IPSEC
Router_B(config-if)#exit

Router_B(config)#interface fastEthernet 0
Router_B(config-if)#crypto map MAP-IPSEC
Router_B(config)#exit

Router_B(config)#router ospf 1
Router_B(config-router)#network 172.17.0.0 0.0.255.255 area 0
Router_B(config-router)#network 192.168.1.0 0.0.0.255 area 0
↑トンネルインタフェースでOSPFを動作させる


◆Router_Cの設定

↓本社だけでなく拠点B 向けについてもACLで定義します。
Router_A(config)#access-list 100 ip permit 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router_A(config)#access-list 100 ip permit 172.18.0.0 0.0.255.255 172.17.0.0 0.0.255.255

Router_C(config)#crypto isakmp policy 1
Router_C(config-isakmp)#authentication pre-share
Router_C(config-isakmp)#exit

Router_C(config)#crypto isakmp key cisco2 address 20.0.0.1

Router_C(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_C(cfg-crypto-trans)#mode tunnel
Router_C(cfg-crypto-trans)#exit

Router_C(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_C(config-crypto-map)#match address 100
Router_C(config-crypto-map)#set peer 20.0.0.1
Router_C(config-crypto-map)#set transform-set TS-IPSEC
Router_C(config-crypto-map)#exit

Router_C(config)#interface tunnel 0
Router_C(config-if)#ip address 192.168.2.2 255.255.255.0
Router_C(config-if)#tunnel source 20.0.0.3
Router_C(config-if)#tunnel destination 20.0.0.1
Router_C(config-if)#crypto map MAP-IPSEC
Router_C(config-if)#exit

Router_C(config)#interface fastEthernet 0
Router_C(config-if)#crypto map MAP-IPSEC
Router_C(config)#exit

Router_C(config)#router ospf 1
Router_C(config-router)#network 172.18.0.0 0.0.255.255 area 0
Router_C(config-router)#network 192.168.2.0 0.0.0.255 area 0
↑トンネルインタフェースでOSPFを動作させる

次の「VPN(3拠点のVPN接続 その3)」では、各ルータのコンフィグを紹介してゆきます。



<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
◆Cisco実機で学ぶ(CCNP)

VPN(VPNとは)
VPN(IKE・フェーズ1・フェーズ2)
VPN(暗号化・認証アルゴリズム)
VPN(VPNの設定手順 その2)
VPN(基本設定 その1)
VPN(基本設定 その3 検証)
VPN(VPN接続とインターネット その1)
VPN(VPN接続とインターネット その3)
VPN(GREトンネルとルーティングプロトコル 1)
VPN(GREトンネルとルーティングプロトコル 3)
VPN(GREトンネルとルーティングプロトコル 5)
VPN(3拠点のVPN接続 その1)
VPN(3拠点のVPN接続 その3)
VPN(DMVPN その1)
VPN(DMVPN その3)
VPN(DMVPN その5)
VPN(DMVPN その7)
VPN(VPNとNAT その1)
VPN(VPNとNAT その3)
VPN(VPNとNAT その5)
VPN(VPNとNAT その7)
VPN(トンネル・エンドポイント・ディスカバリ 2)
VPN(トンネル・エンドポイント・ディスカバリ 4)
VPN(トンネル・エンドポイント・ディスカバリ 6)
VPN(インターネットVPN・IPsec)
VPN(トランスポートモード・トンネルモード)
VPN(VPNの設定手順 その1)
VPN(VPNの設定手順 まとめ)
VPN(基本設定 その2)
VPN(基本設定 その4 確認)
VPN(VPN接続とインターネット その2)
VPN(VPNとルーティングプロトコル)
VPN(GREトンネルとルーティングプロトコル 2)
VPN(GREトンネルとルーティングプロトコル 4)
VPN(GREトンネルとルーティングプロトコル 6)
VPN(3拠点のVPN接続 その2)
VPN(3拠点のVPN接続 その4)
VPN(DMVPN その2)
VPN(DMVPN その4)
VPN(DMVPN その6)
VPN(DMVPN その8)
VPN(VPNとNAT その2)
VPN(VPNとNAT その4)
VPN(VPNとNAT その6)
VPN(トンネル・エンドポイント・ディスカバリ 1)
VPN(トンネル・エンドポイント・ディスカバリ 3)
VPN(トンネル・エンドポイント・ディスカバリ 5)
VPN(トンネル・エンドポイント・ディスカバリ 7)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.