VPN(3拠点のVPN接続 その4)
「VPN(3拠点のVPN接続 その3)」では、下のネットワークを構築しました。ここでは、この構築したネットワークを検証していきます。
PC_Aから「172.17.0.1」、「172.18.0.1」にPingを行います。
Pingは成功します。
各ルータで、現在アクティブな「ISAKMP SA」、「IPSec SA」の概要を確認します。
●Router_Aでの「show crypto engine connection active」コマンドの出力
Router_A#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Tunnel0 192.168.1.1 set HMAC_SHA+DES_56_CB 0 0
2 Tunnel0 192.168.1.1 set HMAC_SHA+DES_56_CB 0 0
2001 Tunnel0 20.0.0.1 set 3DES+SHA 0 7
2002 Tunnel0 20.0.0.1 set 3DES+SHA 7 0
2003 Tunnel0 20.0.0.1 set 3DES+SHA 0 7
2004 Tunnel0 20.0.0.1 set 3DES+SHA 7 0
Router_Aは、拠点B、拠点CとVPN接続していることが確認できます。
●Router_Bでの「show crypto engine connection active」コマンドの出力
Router_B#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0 20.0.0.2 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 20.0.0.2 set 3DES+SHA 0 7
2002 FastEthernet0 20.0.0.2 set 3DES+SHA 7 0
Router_Bは、拠点AとVPN接続していることが確認できます。
●Router_Cでの「show crypto engine connection active」コマンドの出力
Router_C#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0 20.0.0.3 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 20.0.0.3 set 3DES+SHA 0 7
2002 FastEthernet0 20.0.0.3 set 3DES+SHA 7 0
Router_Cは、拠点AとVPN接続していることが確認できます。
以上のことから、各拠点で正しく、「ISAKMP SA」、「IPSec SA」が確立されていることが分かります。
各ルータのルーティングテーブルを確認します。
●Router_Aのルーティングテーブル
Gateway of last resort is not set
C 20.0.0.0/8 is directly connected, FastEthernet0
O 172.17.0.0/16 [110/11121] via 192.168.1.2, 00:28:10, Tunnel0
C 172.16.0.0/16 is directly connected, Ethernet0
O 172.18.0.0/16 [110/11121] via 192.168.2.2, 00:28:10, Tunnel1
C 192.168.1.0/24 is directly connected, Tunnel0
C 192.168.2.0/24 is directly connected, Tunnel1
●Router_Bのルーティングテーブル
Gateway of last resort is not set
C 20.0.0.0/8 is directly connected, FastEthernet0
C 172.17.0.0/16 is directly connected, Ethernet0
O 172.16.0.0/16 [110/11121] via 192.168.1.1, 00:31:08, Tunnel0
O 172.18.0.0/16 [110/22232] via 192.168.1.1, 00:31:08, Tunnel0
C 192.168.1.0/24 is directly connected, Tunnel0
O 192.168.2.0/24 [110/22222] via 192.168.1.1, 00:31:08, Tunnel0
●Router_Cのルーティングテーブル
Gateway of last resort is not set
C 20.0.0.0/8 is directly connected, FastEthernet0
O 172.17.0.0/16 [110/22232] via 192.168.2.1, 00:18:59, Tunnel0
O 172.16.0.0/16 [110/11121] via 192.168.2.1, 00:18:59, Tunnel0
C 172.18.0.0/16 is directly connected, Ethernet0
O 192.168.1.0/24 [110/22222] via 192.168.2.1, 00:18:59, Tunnel0
C 192.168.2.0/24 is directly connected, Tunnel0
各ルータにOSPFのルートがあることが確認できます。
これで、3拠点のインターネットVPNの設定の確認が行えましたが、この設定では、次のような問題があります。
●グローバルIPアドレスが、拠点の数だけ必要
グローバルIPアドレスを各拠点ごとに取得すると、コストがかかってしまいます。グローバルIPアドレスは、網側からDHCPで取得しているのが一般的です。
●拠点が多くなるとVPNのHUBとなるルータの設定が煩雑になってしまう。
拠点が多い全国規模の企業では、VPNの拠点となるHUBルータの設定が増えてしまいます。また、拠点が増える度に、VPNの設定を追加してゆかなければなりません。
これらの問題を解決するために、DMVPN(Dynamic Multipoint VPN)という方法が用意されています。
次の「VPN(DMVPN その1)」では、DMVPN(Dynamic Multipoint VPN)について解説していきます。