 |
| |
◆VPN(基本設定 その1)
※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
スポンサードリンク
◆VPN(基本設定 その1)
ここでは、2拠点間をインターネットVPNで接続する設定を行ってゆきます。
以下のネットワークを使用します。
IPSecの動作の流れを簡単に示すと以下のようになります。IPSecを用いたVPNでは、フェーズ1、フェーズ2を行った後に、暗号化したIPパケットを通信を通信するようになっています。
●ISAKMP SA(フェーズ1)・・・ISAKMP SAを確立する。
●IPSec SA(フェーズ2)・・・フェーズ1で作成したISAKMP SA内で、IPSec SAを確立する。
●IPSecの暗号通信・・・フェーズ2で作成したISAKMP SA内で、暗号化したパケットを通信する。
VPNルータにおいて、これらを定義してゆくようになります。
各ルータのインタネットVPNの設定は次のとおりです。
●Router_Aの設定
Router_A(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 172.17.0.0
0.0.255.255
↑IPSec対象トラフィックの定義
Router_A(config)#crypto isakmp policy 1 ←IKEポリシーの定義(フェーズ1)
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#encryption 3des
Router_A(config-isakmp)#group 1
Router_A(config-isakmp)#hash sha
Router_A(config-isakmp)#lifetime 86400
Router_A(config-isakmp)#exit
Router_A(config)#crypto isakmp key cisco address 200.200.200.2
↑共通鍵とIPアドレスの関連付け
↓トランスフォームセット(IPSec通信設定)
Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode tunnel
Router_A(cfg-crypto-trans)#exit
↓IPSec SA(フェーズ2)の定義
Router_A(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_A(config-crypto-map)#match address 100
Router_A(config-crypto-map)#set peer 200.200.200.2
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#set security-association lifetime seconds 3600
Router_A(config-crypto-map)#exit
↓インタフェースへIPSecポリシーを適用
Router_A(config)#interface fastEthernet 0
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config)#exit
最後にデフォルトルートを定義します。
Router_A(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2
●Router_Bの設定
Router_B(config)#access-list 100 permit ip 172.17.0.0 0.0.255.255 172.16.0.0
0.0.255.255
↑IPSec対象トラフィックの定義
Router_B(config)#crypto isakmp policy 1 ←IKEポリシーの定義(フェーズ1)
Router_B(config-isakmp)#authentication pre-share
Router_B(config-isakmp)#encryption 3des
Router_B(config-isakmp)#group 1
Router_B(config-isakmp)#hash sha
Router_B(config-isakmp)#lifetime 86400
Router_B(config-isakmp)#exit
Router_B(config)#crypto isakmp key cisco address 200.200.200.1
↑共通鍵とIPアドレスの関連付け
↓トランスフォームセット(IPSec通信設定)
Router_B(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_B(cfg-crypto-trans)#mode tunnel
Router_B(cfg-crypto-trans)#exit
↓IPSec SA(フェーズ2)の定義
Router_B(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_B(config-crypto-map)#match address 100
Router_B(config-crypto-map)#set peer 200.200.200.1
Router_B(config-crypto-map)#set transform-set TS-IPSEC
Router_B(config-crypto-map)#set security-association lifetime seconds 3600
Router_B(config-crypto-map)#exit
↓インタフェースへIPSecポリシーを適用
Router_B(config)#interface fastEthernet 0
Router_B(config-if)#crypto map MAP-IPSEC
Router_B(config)#exit
最後にデフォルトルートを定義します。
Router_B(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.1
これで、インタネットVPNの設定は、完了です。残りの設定と各ルータのコンフィグは、次の「VPN(基本設定 その2)」で紹介します。
<ネットワーク資格の練習問題に挑戦>
●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
| ◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連コンテンツ>
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●アライドテレシス実機で学ぶ
●TCP/IP入門・無料ネットワークツール
|
|
|
