VPN(トンネル・エンドポイント・ディスカバリ 4)
「VPN(トンネル・エンドポイント・ディスカバリ 1)」~「VPN(トンネル・エンドポイント・ディスカバリ 3)」では、TEDを使用した2拠点間をVPNで結ぶネットワークを構築しました。
ここでは、拠点をさらに1つ追加し、3拠点間をVPNで結ぶネットワークを構築していきます。
使用するネットワークは、下の構成になります。
※Router_B、Router_CのE0は、「no keepalive」コマンドで、強制的にUPさせます。
拠点が1つ増えるため、Router_A、Router_Bの設定には、修正が必要になります。
Router_A、Router_Bの設定は次のようになります。赤くして箇所が、変更点と追加の部分です。
Router_Aの設定
●初期設定
Rouer#conf t
Router(config)#hostname Router_A
Router_A(config)#enable password cisco
Router_A(config)#line vty 0 4
Router_A(config-line)#password cisco
Router_A(config-line)#login
Router_A(config-line)#exit
Router_A(config)#int e0
Router_A(config-if)#ip address 172.16.0.1 255.255.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit
Router_A(config)#int f0
Router_A(config-if)#ip address 20.0.0.1 255.0.0.0
Router_A(config-if)#no shutdown
Router_A(config-if)#exit
●IPsec対象トラフィックの定義
Router_A(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 172.17.0.0 0.0.255.255
Router_A(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255
●スタティックルートの設定
デフォルトルートを削除して、各拠点へのルートを追加します。
Router_A(config)#ip route 172.17.0.0 255.255.0.0 20.0.0.2
Router_A(config)#ip route 172.18.0.0 255.255.0.0 20.0.0.3
●VPNの設定
Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)#authentication pre-share
Router_A(config-isakmp)#exit
↓対向ルータのアドレスは「0.0.0.0」を指定します。
Router_A(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
Router_A(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_A(cfg-crypto-trans)#mode tunnel
Router_A(cfg-crypto-trans)#exit
↓「crypto dynamic-map」を作成します。
Router_A(config)#crypto dynamic-map MAP-IPSEC 1
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#match address 100
Router_A(config-crypto-map)#exit
Router_A(config)#crypto dynamic-map MAP-IPSEC 2
Router_A(config-crypto-map)#set transform-set TS-IPSEC
Router_A(config-crypto-map)#match address 101
Router_A(config-crypto-map)#exit
↓「crypto map」で「crypto dynamic-map」を指定します。
Router_A(config)#crypto map TEDTAG 1 ipsec-isakmp dynamic MAP-IPSEC discover
Router_A(config)#interface fastEthernet 0
Router_A(config-if)#crypto map TEDTAG
Router_A(config)#exit
Router_Bの設定
●初期設定
Rouer#conf t
Router(config)#hostname Router_B
Router_B(config)#enable password cisco
Router_B(config)#line vty 0 4
Router_B(config-line)#password cisco
Router_B(config-line)#login
Router_B(config-line)#exit
Router_B(config)#int e0
Router_B(config-if)#ip address 172.17.0.1 255.255.0.0
Router_B(config-if)#no shutdown
Router_B(config-if)#no keepalive
Router_B(config-if)#exit
Router_B(config)#int f0
Router_B(config-if)#ip address 20.0.0.2 255.0.0.0
Router_B(config-if)#no shutdown
Router_B(config-if)#exit
●IPsec対象トラフィックの定義
Router_B(config)#access-list 100 permit ip 172.17.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router_B(config)#access-list 101 permit ip 172.17.0.0 0.0.255.255 172.18.0.0 0.0.255.255
●スタティックルートの設定
デフォルトルートを削除して、各拠点へのルートを追加します。
Router_B(config)#ip route 172.16.0.0 255.255.0.0 20.0.0.1
Router_B(config)#ip route 172.18.0.0 255.255.0.0 20.0.0.3
●VPNの設定
Router_B(config)#crypto isakmp policy 1
Router_B(config-isakmp)#authentication pre-share
Router_B(config-isakmp)#exit
↓対向ルータのアドレスは「0.0.0.0」を指定します。
Router_B(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
Router_B(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router_B(cfg-crypto-trans)#mode tunnel
Router_B(cfg-crypto-trans)#exit
↓「crypto dynamic-map」を作成します。
Router_B(config)#crypto dynamic-map MAP-IPSEC 1
Router_B(config-crypto-map)#set transform-set TS-IPSEC
Router_B(config-crypto-map)#match address 100
Router_B(config-crypto-map)#exit
Router_B(config)#crypto dynamic-map MAP-IPSEC 2
Router_B(config-crypto-map)#set transform-set TS-IPSEC
Router_B(config-crypto-map)#match address 101
Router_B(config-crypto-map)#exit
↓「crypto map」で「crypto dynamic-map」を指定します。
Router_B(config)#crypto map TEDTAG 1 ipsec-isakmp dynamic MAP-IPSEC discover
Router_B(config)#interface fastEthernet 0
Router_B(config-if)#crypto map TEDTAG
Router_B(config)#exit
Router_Cの設定は、次の「VPN(トンネル・エンドポイント・ディスカバリ 5)」で紹介します。