VPN(DMVPN その6)
「VPN(DMVPN その5)」の続きです。
支社ルータ(SPOKEルータ)のIPアドレスは、便宜上、固定のグローバルIPアドレスを振っていますが、実ネットワークであれば、ISPより動的に、グローバルIPアドレスを取得します。
構築したネットワークは、下の構成になりますが、ここでは、支社のIPアドレスを手動で変更して動作を確認していきます。
Router_B(支社:拠点B)のWAN側、F0のIPアドレスを変更します。
「20.0.0.02」 → 「20.0.0.10」
Router_B(config-if)#ip address 20.0.0.10 255.0.0.0
Router_C(支社:拠点C)のWAN側、F0のIPアドレスを変更します。
「20.0.0.03」 → 「20.0.0.11」
Router_C(config-if)#ip address 20.0.0.11 255.0.0.0
IPアドレスを変更したら、しばらく待ちます。
各拠点からPingを打ってみます。
拠点全てにおいて、Pingは成功します。
各ルータで、現在アクティブな「ISAKMP SA」、「IPSec SA」の概要を確認します。
●Router_Aでの「show crypto engine connection active」コマンドの出力
Router_A#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
5 FastEthernet0 20.0.0.1 set HMAC_SHA+DES_56_CB 0 0
6 FastEthernet0 20.0.0.1 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 20.0.0.1 set 3DES+SHA 0 35
2002 FastEthernet0 20.0.0.1 set 3DES+SHA 35 0
2003 FastEthernet0 20.0.0.1 set 3DES+SHA 0 40
2004 FastEthernet0 20.0.0.1 set 3DES+SHA 44 0
●Router_Bでの「show crypto engine connection active」コマンドの出力
Router_B#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
6 Tunnel0 192.168.1.2 set HMAC_SHA+DES_56_CB 0 0
7 FastEthernet0 20.0.0.10 set HMAC_SHA+DES_56_CB 0 0
8 Tunnel0 192.168.1.2 set HMAC_SHA+DES_56_CB 0 0
2001 Tunnel0 20.0.0.10 set 3DES+SHA 0 0
2002 FastEthernet0 20.0.0.10 set 3DES+SHA 0 0
2003 FastEthernet0 20.0.0.10 set 3DES+SHA 0 0
2004 Tunnel0 20.0.0.10 set 3DES+SHA 48 0
2005 Tunnel0 20.0.0.10 set 3DES+SHA 0 51
2006 Tunnel0 20.0.0.10 set 3DES+SHA 0 0
●Router_Cでの「show crypto engine connection active」コマンドの出力
Router_C#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
6 Tunnel0 192.168.1.3 set HMAC_SHA+DES_56_CB 0 0
7 FastEthernet0 20.0.0.11 set HMAC_SHA+DES_56_CB 0 0
8 Tunnel0 192.168.1.3 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 20.0.0.11 set 3DES+SHA 0 0
2002 Tunnel0 20.0.0.11 set 3DES+SHA 28 0
2004 Tunnel0 20.0.0.11 set 3DES+SHA 0 0
2005 Tunnel0 20.0.0.11 set 3DES+SHA 0 0
2007 Tunnel0 20.0.0.11 set 3DES+SHA 0 28
2008 FastEthernet0 20.0.0.11 set 3DES+SHA 0 0
各拠点で、「ISAKMP SA」、「IPSec SA」が確立されていることが分かります。
各ルータのルーティングテーブルを確認します。
●Router_Aのルーティングテーブル
Gateway of last resort is not set
C 20.0.0.0/8 is directly connected, FastEthernet0
O 172.17.0.0/16 [110/11121] via 192.168.1.2, 00:02:19, Tunnel0
C 172.16.0.0/16 is directly connected, Ethernet0
O 172.18.0.0/16 [110/11121] via 192.168.1.3, 00:02:19, Tunnel0
C 192.168.1.0/24 is directly connected, Tunnel0
●Router_Bのルーティングテーブル
Gateway of last resort is not set
C 20.0.0.0/8 is directly connected, FastEthernet0
C 172.17.0.0/16 is directly connected, Ethernet0
O 172.16.0.0/16 [110/11121] via 192.168.1.1, 00:02:51, Tunnel0
O 172.18.0.0/16 [110/11121] via 192.168.1.3, 00:02:51, Tunnel0
C 192.168.1.0/24 is directly connected, Tunnel0
●Router_Cのルーティングテーブル
Gateway of last resort is not set
C 20.0.0.0/8 is directly connected, FastEthernet0
O 172.17.0.0/16 [110/11121] via 192.168.1.2, 00:01:32, Tunnel0
O 172.16.0.0/16 [110/11121] via 192.168.1.1, 00:01:32, Tunnel0
C 172.18.0.0/16 is directly connected, Ethernet0
C 192.168.1.0/24 is directly connected, Tunnel0
各ルータにOSPFのルートがあることが確認できます。
以上のことから、支社のIPアドレスが、変更された場合でもVPNの接続が維持できるということが確認できました。
次の「VPN(DMVPN その7)」では、拠点をさらに1つ増やしてみます。拠点を増やした場合においても、他のルータの設定を変更することなく、VPN接続を確立できるということを確認していきます。