VPN(DMVPN その6)

VPN(DMVPN その5)」の続きです。

 支社ルータ(SPOKEルータ)のIPアドレスは、便宜上、固定のグローバルIPアドレスを振っていますが、実ネットワークであれば、ISPより動的に、グローバルIPアドレスを取得します。

 構築したネットワークは、下の構成になりますが、ここでは、支社のIPアドレスを手動で変更して動作を確認していきます。

Router_B(支社:拠点B)のWAN側、F0のIPアドレスを変更します。

「20.0.0.02」 → 「20.0.0.10」

Router_B(config-if)#ip address 20.0.0.10 255.0.0.0

Router_C(支社:拠点C)のWAN側、F0のIPアドレスを変更します。

「20.0.0.03」 → 「20.0.0.11」

Router_C(config-if)#ip address 20.0.0.11 255.0.0.0

IPアドレスを変更したら、しばらく待ちます。

各拠点からPingを打ってみます。

拠点全てにおいて、Pingは成功します。

各ルータで、現在アクティブな「ISAKMP SA」、「IPSec SA」の概要を確認します。

●Router_Aでの「show crypto engine connection active」コマンドの出力

Router_A#show crypto engine connection active

  ID Interface            IP-Address      State  Algorithm           Encrypt  Decrypt
   5 FastEthernet0        20.0.0.1        set    HMAC_SHA+DES_56_CB        0        0
   6 FastEthernet0        20.0.0.1        set    HMAC_SHA+DES_56_CB        0        0
2001 FastEthernet0        20.0.0.1        set    3DES+SHA                  0       35
2002 FastEthernet0        20.0.0.1        set    3DES+SHA                 35        0
2003 FastEthernet0        20.0.0.1        set    3DES+SHA                  0       40
2004 FastEthernet0        20.0.0.1        set    3DES+SHA                 44        0

●Router_Bでの「show crypto engine connection active」コマンドの出力

Router_B#show crypto engine connection active

  ID Interface            IP-Address      State  Algorithm           Encrypt  Decrypt
   6 Tunnel0              192.168.1.2     set    HMAC_SHA+DES_56_CB        0        0
   7 FastEthernet0        20.0.0.10       set    HMAC_SHA+DES_56_CB        0        0
   8 Tunnel0              192.168.1.2     set    HMAC_SHA+DES_56_CB        0        0
2001 Tunnel0              20.0.0.10       set    3DES+SHA                  0        0
2002 FastEthernet0        20.0.0.10       set    3DES+SHA                  0        0
2003 FastEthernet0        20.0.0.10       set    3DES+SHA                  0        0
2004 Tunnel0              20.0.0.10       set    3DES+SHA                 48        0
2005 Tunnel0              20.0.0.10       set    3DES+SHA                  0       51
2006 Tunnel0              20.0.0.10       set    3DES+SHA                  0        0

●Router_Cでの「show crypto engine connection active」コマンドの出力

Router_C#show crypto engine connection active

  ID Interface            IP-Address      State  Algorithm           Encrypt  Decrypt
   6 Tunnel0              192.168.1.3     set    HMAC_SHA+DES_56_CB        0        0
   7 FastEthernet0        20.0.0.11       set    HMAC_SHA+DES_56_CB        0        0
   8 Tunnel0              192.168.1.3     set    HMAC_SHA+DES_56_CB        0        0
2001 FastEthernet0        20.0.0.11       set    3DES+SHA                  0        0
2002 Tunnel0              20.0.0.11       set    3DES+SHA                 28        0
2004 Tunnel0              20.0.0.11       set    3DES+SHA                  0        0
2005 Tunnel0              20.0.0.11       set    3DES+SHA                  0        0
2007 Tunnel0              20.0.0.11       set    3DES+SHA                  0       28
2008 FastEthernet0        20.0.0.11       set    3DES+SHA                  0        0

各拠点で、「ISAKMP SA」、「IPSec SA」が確立されていることが分かります。

各ルータのルーティングテーブルを確認します。

●Router_Aのルーティングテーブル

Gateway of last resort is not set

C    20.0.0.0/8 is directly connected, FastEthernet0
O    172.17.0.0/16 [110/11121] via 192.168.1.2, 00:02:19, Tunnel0
C    172.16.0.0/16 is directly connected, Ethernet0
O    172.18.0.0/16 [110/11121] via 192.168.1.3, 00:02:19, Tunnel0
C    192.168.1.0/24 is directly connected, Tunnel0

●Router_Bのルーティングテーブル

Gateway of last resort is not set

C    20.0.0.0/8 is directly connected, FastEthernet0
C    172.17.0.0/16 is directly connected, Ethernet0
O    172.16.0.0/16 [110/11121] via 192.168.1.1, 00:02:51, Tunnel0
O    172.18.0.0/16 [110/11121] via 192.168.1.3, 00:02:51, Tunnel0
C    192.168.1.0/24 is directly connected, Tunnel0

●Router_Cのルーティングテーブル

Gateway of last resort is not set

C    20.0.0.0/8 is directly connected, FastEthernet0
O    172.17.0.0/16 [110/11121] via 192.168.1.2, 00:01:32, Tunnel0
O    172.16.0.0/16 [110/11121] via 192.168.1.1, 00:01:32, Tunnel0
C    172.18.0.0/16 is directly connected, Ethernet0
C    192.168.1.0/24 is directly connected, Tunnel0

各ルータにOSPFのルートがあることが確認できます。

 以上のことから、支社のIPアドレスが、変更された場合でもVPNの接続が維持できるということが確認できました。

 次の「VPN(DMVPN その7)」では、拠点をさらに1つ増やしてみます。拠点を増やした場合においても、他のルータの設定を変更することなく、VPN接続を確立できるということを確認していきます。