VPN(DMVPN その2)

ここでは、DMVPNによるインターネットVPNを構築していきます。

使用するネットワークは、下の構成になります。

※実際には、支店側では、ISPから動的にIPアドレスを取得することになりますが、ここでは、固定でIPアドレスを振っています。

各拠点は、OSPFでダイナミックルーティングできるようにします。

設定の注意事項

ここで、いくつか注意があります。Ciscoのサイト上でも、注意事項として説明されています。

 DMVPNでは、WAN側をフルメッシュのように振舞います。しかし、トンネルインターフェイスのは、デフォルトでは、Point-to-Pointになっています。そこで、「broadcast」を指定する必要があります。

OSPFプロセスに、「broadcast」を指定するには、次のコマンドで指示します。

Router(config-if)#ip ospf network broadcast

 また、OSPFを使用するときには、必ずHUBルータが必ずDRになるようし、SPOKEルータがDRやBDRに選出されないようにする必要があります。

 OSPFにおけるDR、BDRの選出については、ルータIDの指定、ループバックアドレスの設定、プライオリティの指定などでコントロールできますが、ここでは、プライオリティを指定することにします。

SPOKEルータ側で、以下のコマンドでプライオリティ「0」を指定します。

Router(config-if)#ip ospf priority 0

まずは、Router_Aから設定を行っていきます。

Router_A (本社:拠点A)の設定

●初期設定

Rouer#conf t
Router(config)#hostname Router_A
Router_A(config)#enable password cisco
Router_A(config)#line vty 0 4
Router_A(config-line)#password cisco
Router_A(config-line)#login
Router_A(config-line)#exit
Router_A(config)#int e0
Router_A(config-if)#ip address 172.16.0.1 255.255.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit
Router_A(config)#int f0
Router_A(config-if)#ip address 20.0.0.1 255.0.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit

●IKEのポリシーを定義

Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#exit

●共通鍵とIPアドレスの関連付け

相手認証のためのプレシェアードキーを交換するためのアドレスは「0.0.0.0」にしておきます。

Router_A(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0

●トランスフォームセットの定義

Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode transport
Router_A(cfg-crypto-trans)#exit

●IPSec プロファイルの作成

 VPNの設定では、拠点が増えれば、増えるほど、ACLや「crypto map」(IPSecポリシーマップ)の定義が増え、複雑になってきます。そこで、DMVPNでは、IPSecプロファイルを作成します。

Router_A(config)#crypto ipsec profile DMVPN-PROFILE
Router_A(ipsec-profile)#set transform-set TS-IPSEC

●トンネルインターフェイスの作成と設定

 「crypto map」を作成する代わりに、トンネルインターフェイス上でNHRPを定義し、トンネルモードをmGREを指定します。

Router_A(config)#interface tunnel 0
Router_A(config-if)#ip address 192.168.1.1 255.255.255.0

NHRPでは、認証、ネットワークIDを一致させておく必要があります。

Router_A(config-if)#ip nhrp authentication cisco

 SPOKEルータからのトンネルセッションの確立とNHRPマッピングを動的に行います。このコマンドを指定することでダイナミックにVPNを確立できるようになります。

Router_A(config-if)#ip nhrp map multicast dynamic ←HUBルータのみ必要な設定項目

ネットワークIDは、任意の数値でかまいませんが、同一ネットワークにおいて、合わせておく必要があります。

Router_A(config-if)#ip nhrp network-id 1000

DMVPN上で、OSPFを動作させるには、ネットワークタイプをブロードキャストに指定する必要があります。

Router_A(config-if)#ip ospf network broadcast

 HUBルータは必ずDRに選出されなければなりません。デフォルトのプライオリティでもかまいませんか、ここでは「255」を設定しておきます。

Router_A(config-if)#ip ospf priority 255

Router_A(config-if)#tunnel source fastEthernet 0

トンネルモードにmGREを指定することによりダイナミックにトンネルを張ることが可能になります。

Router_A(config-if)#tunnel mode gre multipoint

IPSecプロファイルをトンネルインターフェイスと関連付けます。

Router_A(config-if)#tunnel protection ipsec profile DMVPN-PROFILE

Router_A(config)#router ospf 1
Router_A(config-router)#network 172.16.0.0 0.0.255.255 area 0
Router_A(config-router)#network 192.168.1.0 0.0.0.255 area 0

Router_B、Rouer_Cの設定は、次の「VPN(DMVPN その3)」で解説していきます。