 |
| |
◆VPN(DMVPN その1)
※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
スポンサードリンク
◆VPN(DMVPN その1)
「VPN(3拠点のVPN接続 その1)」〜「VPN(3拠点のVPN接続 その4)」では、下のネットワーク構成で、3拠点のインターネットVPNの設定と確認を行いました。
しかし、次のような問題点があります。
●グローバルIPアドレスが、拠点の数だけ必要
グローバルIPアドレスを各拠点ごとに取得すると、コストがかかってしまいます。グローバルIPアドレスは、網側からDHCPで取得しているのが一般的です。
●拠点が多くなるとVPNのHUBとなるルータの設定が煩雑になる
拠点が多い全国規模の企業では、VPNの拠点となるHUBルータの設定が増えてしまいます。また、拠点が増える度に、ACLや暗号化ポリシー、トンネルインタフェースの設定を追加してゆかなければなりません。ACLは、拠点が増えれば、増えるほど複雑になります。
●HUBルータの負荷が高くなる
上図のように、HUB-SPOKE型で構成した場合、各拠点のトラフィックは、全てHUBルータを経由することになります。これは、HUBルータ側に負荷をかけると同時に、HUBルータ側の回線の帯域幅を無駄遣いしてしまいます。
これらの問題を解決するために、DMVPN(Dynamic Multipoint VPN)という方法が用意されています。
◆DMVPN
DMVPNとは、「Dynamic Multipoint VPN」の略です。DMVPNを利用することで、オンデマンドで拠点間にも IPSec
VPN トンネルを張り、全拠点間をフルメッシュ IPSec VPN 環境で構築することができます。
DMVPNは、「NHRP」と「mGRE」機能を使用することで実現されます。簡単に「NHRP」と「mGRE」機能を説明すると次の通りです。
●NHRP
NHRP(Next Hop Resolution Protocol)は、クライアント/サーバ方式で対応付けられ、1つのサーバと複数のクライアントで構成されます。
NHRPを使用すると通信先となる異なるサブネット上に存在する端末の物理アドレスを検知して直接コネクションを設定できるようになります。そうすることで、途中にルータを挟まないで直接通信できるようになります。
●mGRE
「mGRE」とは、multipoint GREの略で、マルチポイントでルーティングカプセル化を行うことができます。
DMVPNの説明に戻ります。
DMVPNでは、複数のSPOKEルータとHUBルータ間を接続するために「mGRE」インターフェースを利用します。DMVPN環境では、トンネルインターフェース上で「tunnel
destination」を指定する必要はありません。HUBルータ側では、NHRPを利用することでSPOKEルータの宛先トンネルアドレスを取得することができます。
そうすることで、SPOKE側でFTTHやADSLといったサービスを利用してダイナミックにIPアドレスを取得する場合でも、NHRPにより、IPアドレスのマッピングが自動的に行うことができ、IPSec
VPNトンネルを構築することが可能になります。
DMVPNの概要が理解できたところで、次の「VPN(DMVPN その2)」では、DMVPNによるインターネットVPNを構築してゆきます。
<ネットワーク資格の練習問題に挑戦>
●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
| ◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連コンテンツ>
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●アライドテレシス実機で学ぶ
●TCP/IP入門・無料ネットワークツール
|
|
|
