 |
| |
◆VPN(DMVPN その2)
※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
スポンサードリンク
◆VPN(DMVPN その2)
ここでは、DMVPNによるインターネットVPNを構築してゆきます。
使用するネットワークは、下の構成になります。
※実際には、支店側では、ISPから動的にIPアドレスを取得することになりますが、ここでは、固定でIPアドレスを振っています。
各拠点は、OSPFでダイナミックルーティングできるようにします。
◆設定の注意事項
ここで、いくつか注意があります。Ciscoのサイト上でも、注意事項として説明されています。
DMVPNでは、WAN側をフルメッシュのように振舞います。しかし、トンネルインタフェースのは、デフォルトでは、Point-to-Pointになっています。そこで、「broadcast」を指定する必要があります。
OSPFプロセスに、「broadcast」を指定するには、次のコマンドで指示します。
Router(config-if)#ip ospf network broadcast
また、OSPFを使用するときには、必ずHUBルータが必ずDRになるようし、SPOKEルータがDRやBDRに選出されないようにする必要があります。
OSPFにおけるDR、BDRの選出については、ルータIDの指定、ループバックアドレスの設定、プライオリティの指定などでコントロールできますが、ここでは、プライオリティを指定することにします。
SPOKEルータ側で、以下のコマンドでプライオリティ「0」を指定します。
Router(config-if)#ip ospf priority 0
まずは、Router_Aから設定を行ってゆきます。
◆Router_A (本社:拠点A)の設定
●初期設定
Rouer#conf t
Router(config)#hostname Router_A
Router_A(config)#enable password cisco
Router_A(config)#line vty 0 4
Router_A(config-line)#password cisco
Router_A(config-line)#login
Router_A(config-line)#exit
Router_A(config)#int e0
Router_A(config-if)#ip address 172.16.0.1 255.255.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit
Router_A(config)#int f0
Router_A(config-if)#ip address 20.0.0.1 255.0.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit
●IKEのポリシーを定義
Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#exit
●共通鍵とIPアドレスの関連付け
相手認証のためのプレシェアードキーを交換するためのアドレスは「0.0.0.0」にしておきます。
Router_A(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
●トランスフォームセットの定義
Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode transport
Router_A(cfg-crypto-trans)#exit
●IPSec プロファイルの作成
VPNの設定では、拠点が増えれば、増えるほど、ACLや「crypto map」(IPSecポリシーマップ)の定義が増え、複雑になってきます。そこで、DMVPNでは、IPSecプロファイルを作成します。
Router_A(config)#crypto ipsec profile DMVPN-PROFILE
Router_A(ipsec-profile)#set transform-set TS-IPSEC
●トンネルインタフェースの作成と設定
「crypto map」を作成する代わりに、トンネルインタフェース上でNHRPを定義し、トンネルモードをmGREを指定します。
Router_A(config)#interface tunnel 0
Router_A(config-if)#ip address 192.168.1.1 255.255.255.0
NHRPでは、認証、ネットワークIDを一致させておく必要があります。
Router_A(config-if)#ip nhrp authentication cisco
SPOKEルータからのトンネルセッションの確立とNHRPマッピングを動的に行います。このコマンドを指定することでダイナミックにVPNを確立できるようになります。
Router_A(config-if)#ip nhrp map multicast dynamic ←HUBルータのみ必要な設定項目
ネットワークIDは、任意の数値でかまいませんが、同一ネットワークにおいて、合わせておく必要があります。
Router_A(config-if)#ip nhrp network-id 1000
DMVPN上で、OSPFを動作させるには、ネットワークタイプをブロードキャストに指定する必要があります。
Router_A(config-if)#ip ospf network broadcast
HUBルータは必ずDRに選出されなければなりません。デフォルトのプライオリティでもかまいませんか、ここでは「255」を設定しておきます。
Router_A(config-if)#ip ospf priority 255
Router_A(config-if)#tunnel source fastEthernet 0
トンネルモードにmGREを指定することによりダイナミックにトンネルを張ることが可能になります。
Router_A(config-if)#tunnel mode gre multipoint
IPSecプロファイルをトンネルインタフェースと関連付けます。
Router_A(config-if)#tunnel protection ipsec profile DMVPN-PROFILE
Router_A(config)#router ospf 1
Router_A(config-router)#network 172.16.0.0 0.0.255.255 area 0
Router_A(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router_B、Rouer_Cの設定は、次の「VPN(DMVPN その3)」で紹介してゆきます。
<ネットワーク資格の練習問題に挑戦>
●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
| ◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連コンテンツ>
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●アライドテレシス実機で学ぶ
●TCP/IP入門・無料ネットワークツール
|
|
|
