このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。
VPN(基本設定 その3 検証)
ここでは、「VPN(基本設定 その1)」と「VPN(VPNの設定手順 その1)」で設定したインターネットVPNを検証していきます。
ネットワークは、下図の構成となります。
ネットワーク機器の初期化
2点間を接続するVPNネットワークを検証する前にネットワーク上のすべての機器を再起動させます。これは、VPNの接続を切断するためです。
・「Power Cycle Devices」ボタンをクリックします。
ロジカル・ワークスペース上に配置してある、すべてのデバイスが再起動します。
「ISAKMP SA」と「IPSec SA」:VPNセッション前
IPSec 通信を行う前にR1ルータの「ISAKMP SA」と「IPSec SA」の様子を確認します。
「ISAKMP SA」の様子を確認するには、次のコマンドを使用します。
R1#show crypto isakmp sa
●R1の「show crypto isakmp sa」コマンドの出力
R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
IPv6 Crypto ISAKMP SA「ISAKMP SA」が確立されてないことが確認できます。
「IPSec SA」の様子を確認するには、次のコマンドを使用します。
R1#show crypto ipsec sa
●R1の「show crypto ipsec sa」コマンドの出力
R1#show crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: MAP-IPSEC, local addr 200.200.200.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
remote ident (addr/mask/prot/port): (172.17.0.0/255.255.0.0/0/0)
current_peer 200.200.200.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 200.200.200.1, remote crypto endpt.:200.200.200.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x0(0)
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
「inbound esp sas」、「outbound esp sas」に情報が表示されていないので、 「IPSec SA」が確立されてないことが確認できます。
PC1からPC2へpingを行います。
C:>ping 172.17.0.2
「要求がタイムアウトしました。」と表示されます。ping が成功しています。これは、暗号通信が行われるまで時間がかかるためです。
すべての要求がタイムアウトする場合もあるため、再度、pingを実行を実行しておきます
「ISAKMP SA」と「IPSec SA」:VPNセッション後
Pingを実行後、R1ルータの「ISAKMP SA」と「IPSec SA」の様子を確認してみます。
「ISAKMP SA」の様子を確認するには、R1ルータ上で次のコマンドを使用します。
R1show crypto isakmp sa
●R1の「show crypto isakmp sa」コマンドの出力
R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
200.200.200.2 200.200.200.1 QM_IDLE 1047 0 ACTIVE
IPv6 Crypto ISAKMP SAエントリーが表示されています。「ISAKMP SA」が確立されていることが確認できます。
「IPSec SA」の様子を確認するには、R1ルータ上で次のコマンドを使用します。
R1#show crypto ipsec sa
●R1の「show crypto ipsec sa」コマンドの出力
R1#show crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: MAP-IPSEC, local addr 200.200.200.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
remote ident (addr/mask/prot/port): (172.17.0.0/255.255.0.0/0/0)
current_peer 200.200.200.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 0
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 200.200.200.1, remote crypto endpt.:200.200.200.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0xD115F078(3507875960)
inbound esp sas:
spi: 0x0BA0D5F8(195089912)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2000, flow_id: FPGA:1, crypto map: MAP-IPSEC
sa timing: remaining key lifetime (k/sec): (4525504/3396)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xD115F078(3507875960)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, crypto map: MAP-IPSEC
sa timing: remaining key lifetime (k/sec): (4525504/3396)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
黄色のマークから分かるように、「inbound esp sas」、「outbound esp sas」に情報が表示されています。 「IPSec SA」が確立されていることが確認できます。
続きは、次の「VPN(基本設定 その4 確認)」で設定したインターネットVPNの検証を続けていきます。