VPN(3拠点のVPN接続 その2)

VPN(3拠点のVPN接続 その1)」の続きです。ここでは、各拠点のルータの設定を説明していきます。

Router_B、Router_CのE0は、「no keepalive」し、強制的にUPさせます。

 支社間(拠点B-拠点C)の通信は、本社を経由させます。支社間では、VPNを張りません。Router_AをVPN HUBになるように設定してゆきます。

 また、各ルータのインターネット網側の実インタフェース上では、OSPFを動作させません。これは、実際のグローバルなインターネット網では、OSPFは動作しないからです。インターネット網側の実インタフェース上でOSPFを動作させてしまうと、ダイレクト接続にとなり、OSPFが動作してしまい期待した結果が得られなくなってしまいます。

Router_Aの設定

●ACLの定義

「支社:拠点B」-「支社:拠点C」間の通信を経由させるのでACLにその流れを定義します。

Router_A(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 172.17.0.0 0.0.255.255
Router_A(config)#access-list 100 permit ip 172.18.0.0 0.0.255.255 172.17.0.0 0.0.255.255
Router_A(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255
Router_A(config)#access-list 101 permit ip 172.17.0.0 0.0.255.255 172.18.0.0 0.0.255.255

●IKEのポリシーを定義

Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#exit

●共通鍵とIPアドレスの関連付け

拠点B、拠点Cの拠点ごとにパスワードを設定します。

Router_A(config)#crypto isakmp key cisco1 address 20.0.0.2
Router_A(config)#crypto isakmp key cisco2 address 20.0.0.3

●トランスフォームセットの定義

Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode tunnel
Router_A(cfg-crypto-trans)#exit

●IPSec SA(フェーズ2)の定義

 拠点ごとのcrypto mapを作成します。トランスフォームセットは、同じものが利用できます。シーケンス番号は、「1」と「2」を使用します。「1」に該当しない場合は、「2」が使用されます。

Router_A(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_A(config-crypto-map)#match address 100
Router_A(config-crypto-map)#set peer 20.0.0.2
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#exit

Router_A(config)#crypto map MAP-IPSEC 2 ipsec-isakmp
Router_A(config-crypto-map)#match address 101
Router_A(config-crypto-map)#set peer 20.0.0.3
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#exit

●トンネルインタフェースの作成

Router_A(config)#interface tunnel 0
Router_A(config-if)#ip address 192.168.1.1 255.255.255.0
Router_A(config-if)#tunnel source 20.0.0.1
Router_A(config-if)#tunnel destination 20.0.0.2
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config-if)#exit

Router_A(config)#interface tunnel 1
Router_A(config-if)#ip address 192.168.2.1 255.255.255.0
Router_A(config-if)#tunnel source 20.0.0.1
Router_A(config-if)#tunnel destination 20.0.0.3
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config-if)#exit

●インタフェースへのIPSecポリシーの適用

Router_A(config)#interface fastEthernet 0
Router_A(config-if)#crypto map MAP-IPSEC
Router_A(config-if)#exit

●OSPFの設定

トンネルインタフェースにおいてもOSPFを動作させます。

 インターネット網側の実インタフェース上で、OSPFを動作させてしまうと、ダイレクト接続のため、OSPFが動作してしまい期待した結果が得られないため、(20.0.0.0/8)は、除外します。

Router_A(config)#router ospf 1
Router_A(config-router)#network 172.16.0.0 0.0.255.255 area 0
↓トンネルインタフェースでOSPFを動作させる
Router_A(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router_A(config-router)#network 192.168.2.0 0.0.0.255 area 0

Router_Bの設定

↓本社だけでなく拠点C 向けについてもACLで定義します。
Router_A(config)#access-list 100 ip permit 172.17.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router_A(config)#access-list 100 ip permit 172.17.0.0 0.0.255.255 172.18.0.0 0.0.255.255

Router_B(config)#crypto isakmp policy 1
Router_B(config-isakmp)#authentication pre-share
Router_B(config-isakmp)#exit

Router_B(config)#crypto isakmp key cisco1 address 20.0.0.1

Router_B(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_B(cfg-crypto-trans)#mode tunnel
Router_B(cfg-crypto-trans)#exit

Router_B(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_B(config-crypto-map)#match address 100
Router_B(config-crypto-map)#set peer 20.0.0.1
Router_B(config-crypto-map)#set transform-set TS-IPSEC
Router_B(config-crypto-map)#exit

Router_B(config)#interface tunnel 0
Router_B(config-if)#ip address 192.168.1.2 255.255.255.0
Router_B(config-if)#tunnel source 20.0.0.2
Router_B(config-if)#tunnel destination 20.0.0.1
Router_B(config-if)#crypto map MAP-IPSEC
Router_B(config-if)#exit

Router_B(config)#interface fastEthernet 0
Router_B(config-if)#crypto map MAP-IPSEC
Router_B(config)#exit

Router_B(config)#router ospf 1
Router_B(config-router)#network 172.17.0.0 0.0.255.255 area 0
Router_B(config-router)#network 192.168.1.0 0.0.0.255 area 0
↑トンネルインタフェースでOSPFを動作させる

Router_Cの設定

↓本社だけでなく拠点B 向けについてもACLで定義します。
Router_A(config)#access-list 100 ip permit 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router_A(config)#access-list 100 ip permit 172.18.0.0 0.0.255.255 172.17.0.0 0.0.255.255

Router_C(config)#crypto isakmp policy 1
Router_C(config-isakmp)#authentication pre-share
Router_C(config-isakmp)#exit

Router_C(config)#crypto isakmp key cisco2 address 20.0.0.1

Router_C(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_C(cfg-crypto-trans)#mode tunnel
Router_C(cfg-crypto-trans)#exit

Router_C(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router_C(config-crypto-map)#match address 100
Router_C(config-crypto-map)#set peer 20.0.0.1
Router_C(config-crypto-map)#set transform-set TS-IPSEC
Router_C(config-crypto-map)#exit

Router_C(config)#interface tunnel 0
Router_C(config-if)#ip address 192.168.2.2 255.255.255.0
Router_C(config-if)#tunnel source 20.0.0.3
Router_C(config-if)#tunnel destination 20.0.0.1
Router_C(config-if)#crypto map MAP-IPSEC
Router_C(config-if)#exit

Router_C(config)#interface fastEthernet 0
Router_C(config-if)#crypto map MAP-IPSEC
Router_C(config)#exit

Router_C(config)#router ospf 1
Router_C(config-router)#network 172.18.0.0 0.0.255.255 area 0
Router_C(config-router)#network 192.168.2.0 0.0.0.255 area 0
↑トンネルインタフェースでOSPFを動作させる

次の「VPN(3拠点のVPN接続 その3)」では、各ルータのコンフィグを紹介していきます。