@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNP) > VPN(DMVPN その2)

 Rakuten
@network Cisco・アライド実機で学ぶ
◆VPN(DMVPN その2)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆VPN(DMVPN その2)

ここでは、DMVPNによるインターネットVPNを構築してゆきます。

使用するネットワークは、下の構成になります。

※実際には、支店側では、ISPから動的にIPアドレスを取得することになりますが、ここでは、固定でIPアドレスを振っています。

各拠点は、OSPFでダイナミックルーティングできるようにします。


◆設定の注意事項

ここで、いくつか注意があります。Ciscoのサイト上でも、注意事項として説明されています。

 DMVPNでは、WAN側をフルメッシュのように振舞います。しかし、トンネルインタフェースのは、デフォルトでは、Point-to-Pointになっています。そこで、「broadcast」を指定する必要があります。

OSPFプロセスに、「broadcast」を指定するには、次のコマンドで指示します。

Router(config-if)#ip ospf network broadcast

 また、OSPFを使用するときには、必ずHUBルータが必ずDRになるようし、SPOKEルータがDRやBDRに選出されないようにする必要があります。

 OSPFにおけるDR、BDRの選出については、ルータIDの指定、ループバックアドレスの設定、プライオリティの指定などでコントロールできますが、ここでは、プライオリティを指定することにします。

SPOKEルータ側で、以下のコマンドでプライオリティ「0」を指定します。

Router(config-if)#ip ospf priority 0


まずは、Router_Aから設定を行ってゆきます。

◆Router_A (本社:拠点A)の設定

●初期設定

Rouer#conf t
Router(config)#hostname Router_A
Router_A(config)#enable password cisco
Router_A(config)#line vty 0 4
Router_A(config-line)#password cisco
Router_A(config-line)#login
Router_A(config-line)#exit
Router_A(config)#int e0
Router_A(config-if)#ip address 172.16.0.1 255.255.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit
Router_A(config)#int f0
Router_A(config-if)#ip address 20.0.0.1 255.0.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit

●IKEのポリシーを定義

Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#exit

●共通鍵とIPアドレスの関連付け

相手認証のためのプレシェアードキーを交換するためのアドレスは「0.0.0.0」にしておきます。

Router_A(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0

●トランスフォームセットの定義

Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode transport
Router_A(cfg-crypto-trans)#exit

●IPSec プロファイルの作成

 VPNの設定では、拠点が増えれば、増えるほど、ACLや「crypto map」(IPSecポリシーマップ)の定義が増え、複雑になってきます。そこで、DMVPNでは、IPSecプロファイルを作成します。

Router_A(config)#crypto ipsec profile DMVPN-PROFILE
Router_A(ipsec-profile)#set transform-set TS-IPSEC

●トンネルインタフェースの作成と設定

 「crypto map」を作成する代わりに、トンネルインタフェース上でNHRPを定義し、トンネルモードをmGREを指定します。

Router_A(config)#interface tunnel 0
Router_A(config-if)#ip address 192.168.1.1 255.255.255.0

NHRPでは、認証、ネットワークIDを一致させておく必要があります。

Router_A(config-if)#ip nhrp authentication cisco

 SPOKEルータからのトンネルセッションの確立とNHRPマッピングを動的に行います。このコマンドを指定することでダイナミックにVPNを確立できるようになります。

Router_A(config-if)#ip nhrp map multicast dynamic ←HUBルータのみ必要な設定項目

ネットワークIDは、任意の数値でかまいませんが、同一ネットワークにおいて、合わせておく必要があります。

Router_A(config-if)#ip nhrp network-id 1000

DMVPN上で、OSPFを動作させるには、ネットワークタイプをブロードキャストに指定する必要があります。

Router_A(config-if)#ip ospf network broadcast

 HUBルータは必ずDRに選出されなければなりません。デフォルトのプライオリティでもかまいませんか、ここでは「255」を設定しておきます。

Router_A(config-if)#ip ospf priority 255

Router_A(config-if)#tunnel source fastEthernet 0

トンネルモードにmGREを指定することによりダイナミックにトンネルを張ることが可能になります。

Router_A(config-if)#tunnel mode gre multipoint

IPSecプロファイルをトンネルインタフェースと関連付けます。

Router_A(config-if)#tunnel protection ipsec profile DMVPN-PROFILE

Router_A(config)#router ospf 1
Router_A(config-router)#network 172.16.0.0 0.0.255.255 area 0
Router_A(config-router)#network 192.168.1.0 0.0.0.255 area 0


Router_B、Rouer_Cの設定は、次の「VPN(DMVPN その3)」で紹介してゆきます。



<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
◆Cisco実機で学ぶ(CCNP)

VPN(VPNとは)
VPN(IKE・フェーズ1・フェーズ2)
VPN(暗号化・認証アルゴリズム)
VPN(VPNの設定手順 その2)
VPN(基本設定 その1)
VPN(基本設定 その3 検証)
VPN(VPN接続とインターネット その1)
VPN(VPN接続とインターネット その3)
VPN(GREトンネルとルーティングプロトコル 1)
VPN(GREトンネルとルーティングプロトコル 3)
VPN(GREトンネルとルーティングプロトコル 5)
VPN(3拠点のVPN接続 その1)
VPN(3拠点のVPN接続 その3)
VPN(DMVPN その1)
VPN(DMVPN その3)
VPN(DMVPN その5)
VPN(DMVPN その7)
VPN(VPNとNAT その1)
VPN(VPNとNAT その3)
VPN(VPNとNAT その5)
VPN(VPNとNAT その7)
VPN(トンネル・エンドポイント・ディスカバリ 2)
VPN(トンネル・エンドポイント・ディスカバリ 4)
VPN(トンネル・エンドポイント・ディスカバリ 6)
VPN(インターネットVPN・IPsec)
VPN(トランスポートモード・トンネルモード)
VPN(VPNの設定手順 その1)
VPN(VPNの設定手順 まとめ)
VPN(基本設定 その2)
VPN(基本設定 その4 確認)
VPN(VPN接続とインターネット その2)
VPN(VPNとルーティングプロトコル)
VPN(GREトンネルとルーティングプロトコル 2)
VPN(GREトンネルとルーティングプロトコル 4)
VPN(GREトンネルとルーティングプロトコル 6)
VPN(3拠点のVPN接続 その2)
VPN(3拠点のVPN接続 その4)
VPN(DMVPN その2)
VPN(DMVPN その4)
VPN(DMVPN その6)
VPN(DMVPN その8)
VPN(VPNとNAT その2)
VPN(VPNとNAT その4)
VPN(VPNとNAT その6)
VPN(トンネル・エンドポイント・ディスカバリ 1)
VPN(トンネル・エンドポイント・ディスカバリ 3)
VPN(トンネル・エンドポイント・ディスカバリ 5)
VPN(トンネル・エンドポイント・ディスカバリ 7)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.