VPN(VPNとNAT その3)
「VPN(VPNとNAT その2)」の続きです。ここでは、PATを使用したVPNの設定を検証していきます。
【注意事項】
※Router_BのE0は、便宜上、強制的に「no shutdown」しておきます。
※この構成では、拠点A、拠点Bの両方で、PATを使用するとうまく動作しません。NATは、内部から外部へ出る際にNATテーブルに書き込み管理します。通信が外部から始まる内部へアクセスは、NATテーブル上にまだ存在しないため、うまく通信ができません。今回は、Router_A上だけでPATを実行することにします。
PC_Aから「172.17.0.1」宛てに、Pingを実行します
各ルータで、現在アクティブな「ISAKMP SA」、「IPSec SA」の概要を確認します。
●Router_Aでの「show crypto engine connection active」コマンドの出力
Router_A#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0 200.200.200.1 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 200.200.200.1 set 3DES+SHA 0 3
2002 FastEthernet0 200.200.200.1 set 3DES+SHA 3 0
●Router_Bでの「show crypto engine connection active」コマンドの出力
Router_B#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0 200.200.200.2 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 200.200.200.2 set 3DES+SHA 0 3
2002 FastEthernet0 200.200.200.2 set 3DES+SHA 3 0
各拠点で、「ISAKMP SA」、「IPSec SA」が確立されていることが分かります。
Router_Aの現在のNATテーブルを確認します。
●Router_AのNATテーブル
Router_A#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 200.200.200.1:1 172.16.0.2:1 172.17.0.1:1 172.17.0.1:1
送信元IPアドレスが、「172.16.0.2」から「200.200.200.1」に変換されていることが確認できます。
Router_AのIPsecの状態を確認します。
●Router_Aの「」コマンドの出力
Router_A#show crypto ipsec sa
interface: FastEthernet0
Crypto map tag: MAP-IPSEC, local addr 200.200.200.1
protected vrf: (none)
local ident (addr/mask/prot/port): (200.200.200.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.17.0.0/255.255.0.0/0/0)
current_peer 200.200.200.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7
#pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 200.200.200.1, remote crypto endpt.: 200.200.200.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF37E4C4(255321284)
inbound esp sas:
spi: 0x4C961073(1284903027)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: C1700_EM:1, crypto map: MAP-IPSEC
sa timing: remaining key lifetime (k/sec): (4544188/2907)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF37E4C4(255321284)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: C1700_EM:2, crypto map: MAP-IPSEC
sa timing: remaining key lifetime (k/sec): (4544188/2906)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
「local ident」が、「200.200.200.1/255.255.255.255」になっており、「remote ident」が、「172.17.0.0/255.255.0.0」になっています。IPsecの通信対象が、「200.200.200.1」であることが分かります。
次の「VPN(VPNとNAT その3)」では、NATを使用したVPNとインターネットの接続の設定について解説します。