このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。

VPN(基本設定 その3 検証)

 ここでは、「VPN(基本設定 その1)」と「VPN(VPNの設定手順 その1)」で設定したインターネットVPNを検証していきます。

ネットワークは、下図の構成となります。

ネットワーク機器の初期化

 2点間を接続するVPNネットワークを検証する前にネットワーク上のすべての機器を再起動させます。これは、VPNの接続を切断するためです。

・「Power Cycle Devices」ボタンをクリックします。

ロジカル・ワークスペース上に配置してある、すべてのデバイスが再起動します。

「ISAKMP SA」と「IPSec SA」:VPNセッション前

IPSec 通信を行う前にR1ルータの「ISAKMP SA」と「IPSec SA」の様子を確認します。

「ISAKMP SA」の様子を確認するには、次のコマンドを使用します。

R1#show crypto isakmp sa

●R1の「show crypto isakmp sa」コマンドの出力

R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status

IPv6 Crypto ISAKMP SA

「ISAKMP SA」が確立されてないことが確認できます。

「IPSec SA」の様子を確認するには、次のコマンドを使用します。

R1#show crypto ipsec sa

●R1の「show crypto ipsec sa」コマンドの出力

R1#show crypto ipsec sa

interface: FastEthernet0/1
    Crypto map tag: MAP-IPSEC, local addr 200.200.200.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
   remote  ident (addr/mask/prot/port): (172.17.0.0/255.255.0.0/0/0)
   current_peer 200.200.200.2 port 500
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
   #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
   #pkts compressed: 0, #pkts decompressed: 0
   #pkts not compressed: 0, #pkts compr. failed: 0
   #pkts not decompressed: 0, #pkts decompress failed: 0
   #send errors 0, #recv errors 0

     local crypto endpt.: 200.200.200.1, remote crypto endpt.:200.200.200.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

 「inbound esp sas」、「outbound esp sas」に情報が表示されていないので、 「IPSec SA」が確立されてないことが確認できます。

PC1からPC2へpingを行います。

C:>ping 172.17.0.2

 「要求がタイムアウトしました。」と表示されます。ping が成功しています。これは、暗号通信が行われるまで時間がかかるためです。

すべての要求がタイムアウトする場合もあるため、再度、pingを実行を実行しておきます

「ISAKMP SA」と「IPSec SA」:VPNセッション後

Pingを実行後、R1ルータの「ISAKMP SA」と「IPSec SA」の様子を確認してみます。

「ISAKMP SA」の様子を確認するには、R1ルータ上で次のコマンドを使用します。

R1show crypto isakmp sa

●R1の「show crypto isakmp sa」コマンドの出力

R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
200.200.200.2   200.200.200.1   QM_IDLE           1047    0 ACTIVE


IPv6 Crypto ISAKMP SA

エントリーが表示されています。「ISAKMP SA」が確立されていることが確認できます。

「IPSec SA」の様子を確認するには、R1ルータ上で次のコマンドを使用します。

R1#show crypto ipsec sa

●R1の「show crypto ipsec sa」コマンドの出力

R1#show crypto ipsec sa

interface: FastEthernet0/1
    Crypto map tag: MAP-IPSEC, local addr 200.200.200.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
   remote  ident (addr/mask/prot/port): (172.17.0.0/255.255.0.0/0/0)
   current_peer 200.200.200.2 port 500
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 0
   #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 0
   #pkts compressed: 0, #pkts decompressed: 0
   #pkts not compressed: 0, #pkts compr. failed: 0
   #pkts not decompressed: 0, #pkts decompress failed: 0
   #send errors 1, #recv errors 0

     local crypto endpt.: 200.200.200.1, remote crypto endpt.:200.200.200.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
     current outbound spi: 0xD115F078(3507875960)

     inbound esp sas:
      spi: 0x0BA0D5F8(195089912)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2000, flow_id: FPGA:1, crypto map: MAP-IPSEC
        sa timing: remaining key lifetime (k/sec): (4525504/3396)
        IV size: 16 bytes
        replay detection support: N
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xD115F078(3507875960)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: FPGA:1, crypto map: MAP-IPSEC
        sa timing: remaining key lifetime (k/sec): (4525504/3396)
        IV size: 16 bytes
        replay detection support: N
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

 黄色のマークから分かるように、「inbound esp sas」、「outbound esp sas」に情報が表示されています。 「IPSec SA」が確立されていることが確認できます。

 続きは、次の「VPN(基本設定 その4 確認)」で設定したインターネットVPNの検証を続けていきます。

関連コンテンツ