@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNP) > VPN(VPNとNAT その1)
@network Cisco・アライド実機で学ぶ
◆VPN(VPNとNAT その1)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
 Rakuten

◆VPN(VPNとNAT その1)

 「VPN(基本設定 その1)」〜「VPN(基本設定 その4 確認)」では、下のネットワークをインターネットVPNで構築しました。


しかし、インターネットVPNで拠点間の通信を行う場合、IPSecとNATを併用するのが一般的です。

 NATには、スタティックNAT、ダイナミックNAT、PAT(Port Address Translation:ポートアドレス変換)の3種類があります。

 PATは、TCP/UDPのポートを管理することで1つのグローバルIPアドレスでローカルIPアドレスが設定された複数の端末を同時に通信できるようにするします。

ここでは、IPSecとPATを併用した設定例を紹介してゆきます。

【注意事項】
※Router_BのE0は、便宜上、強制的に「UP」するように「no keepalive」しておきます。
※この構成では、拠点A、拠点Bの両方で、PATを使用するとうまく動作しません。NATは、内部から外部へ出る際にNATテーブルに書き込み管理します。通信が外部から始まる内部へアクセスは、NATテーブル上にまだ存在しないため、うまく通信ができません。今回は、Router_A上だけでPATを実行することにします。


PATの設定については、こちら「NAT(PAT オーバーローディング)」を参考にしてみて下さい。

PATにより、以下の変換を行います。


・拠点AのローカルIPアドレスを「200.200.200.1/24」に変換

◆Router_Aの設定

●初期設定

Rouer#conf t
Router(config)#hostname Router_A
Router_A(config)#enable password cisco
Router_A(config)#line vty 0 4
Router_A(config-line)#password cisco
Router_A(config-line)#login
Router_A(config-line)#exit
Router_A(config)#int e0
Router_A(config-if)#ip address 172.16.0.1 255.255.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit
Router_A(config)#int f0
Router_A(config-if)#ip address 200.200.200.1 255.255.255.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit

●ACLの定義

 PATが動作する環境で、IPsecを使用する場合は、PATで変換後のIPアドレスでIPSecの対象となるトラフィックを指定する必要があります。Ciscoルータでは、アドレス変換した後にIPSecの処理を行います。

 拠点Aの送信元IPアドレスは、PATによりF0のIPアドレス「200.200.200.1」に変換されるのでACLの定義は次のようになります。

Router_A(config)#access-list 100 permit ip host 200.200.200.1 172.17.0.0 0.0.255.255

●NATの設定

Router_A(config)#access-list 1 permit any
Router_A(config)#ip nat inside source list 1 interface fastEthernet 0 overload

Router_A(config)#int e0
Router_A(config-if)#ip nat inside
Router_A(config-if)#exit
Router_A(config)#int f0
Router_A(config-if)#ip nat outside
Router_A(config-if)#exit

●IKEのポリシーを定義

Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#exit

●共通鍵とIPアドレスの関連付け

Router_A(config)#crypto isakmp key cisco address 200.200.200.2

●トランスフォームセットの定義

Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode tunnel
Router_A(cfg-crypto-trans)#exit

●IPSec SA(フェーズ2)の定義

Router_A(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_A(config-crypto-map)#match address 100
Router_A(config-crypto-map)#set peer 200.200.200.2
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#exit

●インタフェースへのIPSecポリシーの適用

Router_A(config)#interface fastEthernet 0
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config-if)#exit

●デフォルトルートの設定

Router_A(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2


◆Router_Bの設定

Router_BのE0は、便宜上、「no shutdown」しておきます。

●初期設定

Rouer#conf t
Router(config)#hostname Router_B
Router_B(config)#enable password cisco
Router_B(config)#line vty 0 4
Router_B(config-line)#password cisco
Router_B(config-line)#login
Router_B(config-line)#exit
Router_B(config)#int e0
Router_B(config-if)#ip address 172.17.0.1 255.255.0.0
Router_B(config-if)#no shutdown
Router_B(config-if)#no keepalive
Router_B(config-if)#exit
Router_B(config)#int f0
Router_B(config-if)#ip address 200.200.200.2 255.255.255.0
Router_B(config-if)#no shutdown
Router_B(config-if)#exit

●ACLの定義

 PATが動作する環境で、IPsecを使用する場合は、PATで変換後のIPアドレスでIPSecの対象となるトラフィックを指定する必要があります。Ciscoルータでは、アドレス変換した後にIPSecの処理を行います。

 拠点Bの送信元IPアドレスは、PATによりF0のIPアドレス「200.200.200.2」に変換されるのでACLの定義は次のようになります。

Router_B(config)#access-list 100 permit ip host 200.200.200.2 172.16.0.0 0.0.255.255

●NATの設定

Router_B(config)#access-list 1 permit any
Router_B(config)#ip nat inside source list 1 interface fastEthernet 0 overload

Router_B(config)#int e0
Router_B(config-if)#ip nat inside
Router_B(config-if)#exit
Router_B(config)#int f0
Router_B(config-if)#ip nat outside
Router_B(config-if)#exit

●IKEのポリシーを定義

Router_B(config)#crypto isakmp policy 1
Router_B(config-isakmp)#authentication pre-share
Router_B(config-isakmp)#exit

●共通鍵とIPアドレスの関連付け

Router_B(config)#crypto isakmp key cisco address 200.200.200.1

●トランスフォームセットの定義

Router_B(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_B(cfg-crypto-trans)#mode tunnel
Router_B(cfg-crypto-trans)#exit

●IPSec SA(フェーズ2)の定義

Router_B(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_B(config-crypto-map)#match address 100
Router_B(config-crypto-map)#set peer 200.200.200.1
Router_B(config-crypto-map)#set transform-set TS-IPSEC
Router_B(config-crypto-map)#exit

●インタフェースへのIPSecポリシーの適用

Router_B(config)#interface fastEthernet 0
Router_B(config-if)#crypto map MAP-IPSEC
Router_B(config-if)#exit

●デフォルトルートの設定

Router_B(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.1

次の「VPN(VPNとNAT その2)」では、各ルータのコンフィグを紹介します。


<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
◆Cisco実機で学ぶ(CCNP)

VPN(VPNとは)
VPN(IKE・フェーズ1・フェーズ2)
VPN(暗号化・認証アルゴリズム)
VPN(VPNの設定手順 その2)
VPN(基本設定 その1)
VPN(基本設定 その3 検証)
VPN(VPN接続とインターネット その1)
VPN(VPN接続とインターネット その3)
VPN(GREトンネルとルーティングプロトコル 1)
VPN(GREトンネルとルーティングプロトコル 3)
VPN(GREトンネルとルーティングプロトコル 5)
VPN(3拠点のVPN接続 その1)
VPN(3拠点のVPN接続 その3)
VPN(DMVPN その1)
VPN(DMVPN その3)
VPN(DMVPN その5)
VPN(DMVPN その7)
VPN(VPNとNAT その1)
VPN(VPNとNAT その3)
VPN(VPNとNAT その5)
VPN(VPNとNAT その7)
VPN(トンネル・エンドポイント・ディスカバリ 2)
VPN(トンネル・エンドポイント・ディスカバリ 4)
VPN(トンネル・エンドポイント・ディスカバリ 6)
VPN(インターネットVPN・IPsec)
VPN(トランスポートモード・トンネルモード)
VPN(VPNの設定手順 その1)
VPN(VPNの設定手順 まとめ)
VPN(基本設定 その2)
VPN(基本設定 その4 確認)
VPN(VPN接続とインターネット その2)
VPN(VPNとルーティングプロトコル)
VPN(GREトンネルとルーティングプロトコル 2)
VPN(GREトンネルとルーティングプロトコル 4)
VPN(GREトンネルとルーティングプロトコル 6)
VPN(3拠点のVPN接続 その2)
VPN(3拠点のVPN接続 その4)
VPN(DMVPN その2)
VPN(DMVPN その4)
VPN(DMVPN その6)
VPN(DMVPN その8)
VPN(VPNとNAT その2)
VPN(VPNとNAT その4)
VPN(VPNとNAT その6)
VPN(トンネル・エンドポイント・ディスカバリ 1)
VPN(トンネル・エンドポイント・ディスカバリ 3)
VPN(トンネル・エンドポイント・ディスカバリ 5)
VPN(トンネル・エンドポイント・ディスカバリ 7)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.