VPN(トンネル・エンドポイント・ディスカバリ 7)
「VPN(トンネル・エンドポイント・ディスカバリ 6)」の続きです。
ここでは、設定した3拠点のTEDによる接続を検証していきます。

各拠点からPingで疎通を確認します。
●拠点Aで
・拠点Aから拠点BへのPing
・拠点Aから拠点CへのPing
●拠点Bで
・拠点Bから拠点AへのPing
・拠点Bから拠点CへのPing
●拠点Cで
・拠点Cから拠点AへのPing
・拠点Cから拠点BへのPing
これらの全てのPingは、宛先に届きます。
※VPNの接続自体に少しオーバーヘッドが生じるため、数回Pingを行わないと接続できないこともあります。
Router_AでTEDが有効になっているかを確認します。確認するには、「show crypto map」コマンドを使用します。
●Router_Aでの「show crypto map」コマンドの出力
Router_A#show crypto map
Crypto Map "TEDTAG" 1 ipsec-isakmp
Dynamic map template tag: MAP-IPSEC
Discover enabled
Crypto Map "TEDTAG" 65536 ipsec-isakmp
Peer = 20.0.0.2
Extended IP access list
access-list permit ip 172.16.0.0 0.0.255.255 172.17.0.0 0.0.255.255
dynamic (created from dynamic map MAP-IPSEC/1)
Current peer: 20.0.0.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
TS-IPSEC,
}
Crypto Map "TEDTAG" 65537 ipsec-isakmp
Peer = 20.0.0.3
Extended IP access list
access-list permit ip 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255
dynamic (created from dynamic map MAP-IPSEC/2)
Current peer: 20.0.0.3
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
TS-IPSEC,
}
Interfaces using crypto map TEDTAG:
FastEthernet0
「Discover enabled」となっており、TEDが有効になっていることが確認できます。
現在アクティブな「ISAKMP SA」、「IPSec SA」の概要を確認します。「show crypto engine connection active」コマンドを使用します。
●Router_Aでの「show crypto engine connection active」コマンドの出力
Router_A#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0 20.0.0.1 set HMAC_SHA+DES_56_CB 0 0
2 FastEthernet0 20.0.0.1 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 20.0.0.1 set 3DES+SHA 0 9
2002 FastEthernet0 20.0.0.1 set 3DES+SHA 9 0
2003 FastEthernet0 20.0.0.1 set 3DES+SHA 0 14
2004 FastEthernet0 20.0.0.1 set 3DES+SHA 14 0
●Router_Bでの「show crypto engine connection active」コマンドの出力
Router_B#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0 20.0.0.2 set HMAC_SHA+DES_56_CB 0 0
2 FastEthernet0 20.0.0.2 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 20.0.0.2 set 3DES+SHA 0 9
2002 FastEthernet0 20.0.0.2 set 3DES+SHA 9 0
2003 FastEthernet0 20.0.0.2 set 3DES+SHA 0 9
2004 FastEthernet0 20.0.0.2 set 3DES+SHA 9 0
●Router_Cでの「show crypto engine connection active」コマンドの出力
Router_C#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0 20.0.0.3 set HMAC_SHA+DES_56_CB 0 0
2 FastEthernet0 20.0.0.3 set HMAC_SHA+DES_56_CB 0 0
2001 FastEthernet0 20.0.0.3 set 3DES+SHA 0 14
2002 FastEthernet0 20.0.0.3 set 3DES+SHA 14 0
2003 FastEthernet0 20.0.0.3 set 3DES+SHA 0 9
2004 FastEthernet0 20.0.0.3 set 3DES+SHA 9 0
「ISAKMP SA」、「IPSec SA」の情報が表示されます。
「拠点A」、「拠点B」、「拠点C」間は、VPNで接続されていることが確認できます。