キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

CSC-campaign.JPG

 

3314
閲覧回数
0
いいね!
2
返信
maesawa01
Beginner

Cisco 841M 動的IPでのVPN接続について(Tunnelモード)

841M同士でのインターネット経由VPNを構築しています。

ネットワーク構成としては、本社・・・固定IP、支店・・・動的IPとなります。

本社側に複数のネットワークセグメントがある為、トンネルモードにて構築を行っています。

 

本社側にて、支店側の静的IPを、「 tunnel destination 1.1.1.2」の様に指定すればVPNは

アップします。

質問としては、動的IP拠点が宛先の場合のTunnelでの指定方法となります。

以下が双方のコンフィグの関係部分の抜粋です。

※Configは「CCP Express 3.1初期設定ガイド(WAN/LAN)」、

 「CCP Express 3.1スタティックVPN簡単設定ガイド」をベースに基本を作成し修正を

 多少加えています。

 

支店側Config<抜粋>

crypto ikev2 keyring key
peer SITE-KEY
address 1.1.1.1

             <------  本社側グローバルIP
identity address 1.1.1.1

             <------ 本社側グローバルIP
pre-shared-key shkey
!
crypto ikev2 profile prof
match identity remote address 1.1.1.1 255.255.255.255
identity local email shoko@domain.com

              <------IPアドレスが不定なのでメールアドレスを指定

!
interface Tunnel0
ip address 172.16.0.2 255.255.0.0
zone-member security VPN
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
             <------ 本社側グローバルIP

tunnel protection ipsec profile test_profile
!

本社側Config<抜粋>

crypto ikev2 keyring key

peer SITE-KEY
identity email siten@domain.com

             <-------------- 支店をメールアドレスで特定
pre-shared-key shkey

crypto ikev2 profile prof
match identity remote email siten@domain.com
             <-------------- 支店をメールアドレスで特定

interface Tunnel0
ip address 172.16.0.1 255.255.0.0
zone-member security VPN
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination x.x.x.x

              <--------------- 拠点側は固定IPでは無いのでこの記述は出来ない。
tunnel protection ipsec profile test_profile

2件の返信2
Keiichi Yoshino
Cisco Employee

ご要望のソリューションとしてはDMVPNをご利用頂くのが最も簡単な方法となります。
DMVPNは、マルチポイント(多拠点)間で動的にVPNを構築するソリューションですが、
 - Hub側(本社機能のある拠点等)では固定IPアドレス契約。
 - Spoke側(多数の拠点・営業所等)では動的IPアドレス契約。
というシナリオを想定しております。


DMVPNはmGREおよびNHRPを二つの主要な機能として利用します。
複数のSpokeとHub間を接続する為にmGREインターフェースが利用されます。
DMVPN環境下ではトンネルインターフェース上に"tunnel destination"を指定する必要がなく、Hub側ではNHRP(Next Hop Resolution Protocol)を利用してSpokeの宛先トンネルアドレスを取得します。
その為、Spoke側でFTTHやADSLといったサービスを利用してダイナミックにアドレスを取得する場合でも、NHRPによりIP-to-NBMAのアドレスマッピングが自動的に行われ、Spoke-to-HubのIPSec VPNトンネルを構築することが可能です。

設定は、下記ドキュメントをご参考ください。
http://www.cisco.com/cisco/web/support/JP/102/1020/1020023_dmvpn_ipsec_vpn.html
https://supportforums.cisco.com/ja/document/12605301

hirohase
Beginner

こんな感じではどうでしょうか?

<本社側Config>
crypto ikev2 keyring key
peer SITE-KEY
identity email siten@domain.com
pre-shared-key shkey
!
peer SITE-KEY2
identity email siten2@domain.com
pre-shared-key CC1E50xxx

crypto ikev2 profile prof
match identity remote email siten@domain.com
match identity remote email siten2@domain.com
authentication local pre-share
authentication remote pre-share
keyring local key
virtual-template 1

crypto ipsec transform-set DES-MD5 ah-md5-hmac esp-des
mode tunnel

crypto ipsec profile IPSEC-PROF
set transform-set DES-MD5
set ikev2-profile prof

interface Loopback0
ip address 172.16.0.1 255.255.255.0

interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
ip ospf 1 area 0
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC-PROF


<支店側Config>
crypto ikev2 keyring key
peer SITE-KEY
address 1.1.1.1
pre-shared-key shkey

crypto ikev2 profile prof
match identity remote address 1.1.1.1 255.255.255.255
identity local email siten@domain.com
authentication local pre-share
authentication remote pre-share
keyring local key

crypto ipsec transform-set DES-MD5 ah-md5-hmac esp-des
mode tunnel

crypto ipsec profile IPSEC-PROF
set transform-set DES-MD5
set ikev2-profile prof

interface Loopback0
ip address 172.16.0.2 255.255.255.0

interface Tunnel0
ip unnumbered Loopback0
ip ospf 1 area 0
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile IPSEC-PROF

 

Content for Community-Ad



このウィジェットは表示できません。