セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

ハブと複数のリモート サイトの設定例を使用してパスを指定する EIGRP での GRE over IPsec

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2004 年 9 月 3 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この文書では、ハブ サイトを経由した複数のリモート サイトへの IPSec ルーティングで GRE を設定する方法について説明します。 Cisco 7206 ルータが中央サイト ルータで、IPSec を経由してその他すべてのサイトがこのルータに接続します。 Cisco 2610、3620、3640 の各ルータはリモート ルータです。 すべてのサイトは、メイン サイトへのトンネルを通じて Cisco 7206 および他のすべてのリモート サイトの背後にあるメイン ネットワークに到達することができます。その場合に、Enhanced Interior Gateway Routing Protocol(EIGRP)を介して自動的にルーティングの更新が発生します。

前提条件

前提条件

このドキュメントは、次に示すバージョンのハードウェアとソフトウェアを使用して、作成とテストがされています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS を実行する Cisco 7206 ルータか。 ソフトウェア リリース 12.3(1) IK9S

  • Cisco IOS ソフトウェア リリース 12.3(1) IK9S が稼動する Cisco 2621XM ルータ

  • Cisco IOS ソフトウェア リリース 12.3(1) IK9S が稼動する Cisco 3640 ルータ

  • Cisco IOS ソフトウェア リリース 12.3(1) IK9S が稼動する Cisco 3640 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/17868/multiroute-01.gif

設定

次に示す手順は、ハブと複数のリモート サイトを経由してルーティングするために IPSec トンネルを設定する方法を示しています。 手順は主に次の 3 つのステップに分かれています。

GRE トンネルの設定

GRE トンネルを設定するには、次のステップを実行します。

  1. 各リモート サイトから本社への GRE トンネルを作成します。 各リモート サイトに関して Cisco 7206 ルータ上でトンネル インターフェイスを設定します。

    interface Tunnel0
     ip address 192.168.16.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.10
    !
    interface Tunnel1
     ip address 192.168.46.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.40
    !
    interface Tunnel2
     ip address 192.168.26.2 255.255.255.0
     tunnel source FastEthernet1/0
     tunnel destination 14.38.88.20

    各トンネルのトンネル発信元は、FastEthernet1/0 インターフェイス(インターネット接続のインターフェイス)です。 トンネルの宛先は、リモート ルータのインターネット インターフェイスの IP アドレスです。 各トンネルは、使用されていない個別のサブネット上に IP アドレスを持つ必要があります。

  2. Cisco 2610、3620、および 3640 ルータ上に GRE トンネルを設定します。 設定は Cisco 7206 ルータと同様です。

    Cisco 2610 ルータ

    interface Tunnel0
     ip address 192.168.16.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    Cisco 3620 ルータ

    interface Tunnel0
     ip address 192.168.26.1 255.255.255.0
     tunnel source Ethernet1/0
     tunnel destination 14.36.88.6

    Cisco 3640 ルータ

    interface Tunnel0
     ip address 192.168.46.1 255.255.255.0
     tunnel source Ethernet0/0
     tunnel destination 14.36.88.6

    各リモートのルータは、インターネットへ接続するローカル インターフェイスをトンネルの送信元として使用します。 リモート ルータは、Cisco 7206 ルータの設定におけるトンネル宛先 IP アドレスに対応します。 各リモート ルータのトンネル宛先 IP アドレスは、インターネットに接続する Cisco 7206 ルータのインターフェースの IP アドレスに対応します。 トンネル インターフェイスの IP アドレスは、Cisco 7206 ルータのトンネル インターフェイスと同じサブネット上の IP アドレスに対応します。

  3. 各リモート ルータで、トンネルの宛先の IP アドレスと、メイン ルータの対応するトンネル インターフェイスを ping できることを確認します。

    また、中央サイトのルータから各ルータが ping できることを確認します。

    Cisco 2610 ルータ

    vpn2610#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
    vpn2610#ping 192.168.16.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.16.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/12 ms
    vpn2610#

    Cisco 3620 ルータ

    vpn3620#ping 14.38.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.38.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3620#ping 192.168.26.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.26.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms
    vpn3620#

    Cisco 3640 ルータ

    vpn3640#ping 14.36.88.6
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 14.36.88.6, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    vpn3640#ping 192.168.46.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.46.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms
    vpn3640#

    注: 一部のルータで中央の(ハブ)ルータを ping できない場合は、以下のガイドラインを使用し、必要に応じて各接続をトラブルシューティングしてください。

    • リモート ルータは、パブリック IP からパブリック IP へハブ ルータを ping できますか。

    • 2 つのルータ間に GRE をブロックする何らかのデバイスがありますか。 (ファイアウォール、ルータ上のアクセス リスト)

    • トンネル インターフェイスに対して show interface コマンドは何を表示しますか?

GRE トンネルの暗号化の設定

GRE トンネルの暗号化を設定するには、次の手順を実行します。

  1. GRE トンネルが起動したら、暗号化を行います。 最初に、暗号化用のトラフィックを定義するためのアクセス リストを作成します。

    アクセス リストでは、各ルータのローカル IP アドレスから相手側の IP アドレスへのトラフィックを許可します。 show version コマンドを使用して、Cache Engine が実行しているソフトウェアのバージョンを表示します。

    7206:
    access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
    access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
    access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
    
    2610:
    access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
    
    3620:
    access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
    
    3640:
    access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
  2. Internet Security Association and Key Management Protocol(ISAKMP)ポリシー、ISAKMP キー、および IPSec のトランスフォーム セットを設定します。

    ISAKMP ポリシー、鍵、および IPSec 変換セットは、1 つのトンネルの両側で一致する必要があります。 すべてのトンネルで同じポリシー、キー、またはトランスフォーム セットを持つ必要はありません。 この例では、簡単にするために、すべてのトンネルで同じポリシー、キー、トランスフォーム セットを使用します。

    Cisco 7206 ルータ

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 2610 ルータ

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 3620 ルータ

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport

    Cisco 3640 ルータ

    crypto isakmp policy 1
     authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set strong esp-3des esp-md5-hmac
     mode transport
  3. 暗号マップを設定します。 中央サイトでは、接続ごとに異なるシーケンス番号を割り当てます。

    Cisco 7206 ルータ

    crypto map vpn 10 ipsec-isakmp
     set peer 14.38.88.40
     set transform-set strong
     match address 130
    crypto map vpn 20 ipsec-isakmp
     set peer 14.38.88.20
     set transform-set strong
     match address 140
    crypto map vpn 30 ipsec-isakmp
     set peer 14.38.88.10
     set transform-set strong
     match address 150

    Cisco 2610 ルータ

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 120

    Cisco 3620 ルータ

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 110

    Cisco 3640 ルータ

    crypto map vpn 10 ipsec-isakmp
     set peer 14.36.88.6
     set transform-set strong
     match address 100
  4. 暗号マップを適用します。 マップは、トンネル インターフェイスと、パケットの出口となる物理インターフェイスに適用してください。

    Cisco 7206 ルータ

    interface Tunnel0
     crypto map vpn
    interface Tunnel1
     crypto map vpn
    interface Tunnel2
     crypto map vpn
    interface FastEthernet1/0
     crypto map vpn

    Cisco 2610 ルータ

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

    Cisco 3620 ルータ

    interface Tunnel0
     crypto map vpn
    interface Ethernet1/0
     crypto map vpn

    Cisco 3640 ルータ

    interface Tunnel0
     crypto map vpn
    interface Ethernet0/0
     crypto map vpn

ルーティング プロトコルの設定

ルーティング プロトコルを設定するには、すべてのサイトに自律システム番号を設定し、経路を共有するようにルーティング プロトコル(EIGRP)に指示します。 network 文に含まれているネットワークだけが、ルーティング プロトコルによって他のルータと共有されます。 自律システム番号は、経路の共有に参加するすべてのルータで一致する必要があります。 この例では、簡単にするために、1 つのネットワーク コマンドに集約できるネットワークが使用されています。

Cisco 7206 ルータ

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 2610 ルータ

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 3620 ルータ

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

Cisco 3640 ルータ

router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes

設定例

この文書では次の設定例を使用します。

Cisco 7206 ルータ
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sec-7206
!
aaa new-model
aaa authentication ppp default local
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip cef
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
!
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0        
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.38.88.40
 set transform-set strong 
 match address 130
crypto map vpn 20 ipsec-isakmp   
 set peer 14.38.88.20
 set transform-set strong 
 match address 140
crypto map vpn 30 ipsec-isakmp   
 set peer 14.38.88.10
 set transform-set strong 
 match address 150
!
!
!
!
!
!
interface Tunnel0
 ip address 192.168.16.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.10
 crypto map vpn
!
interface Tunnel1
 ip address 192.168.46.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.40
 crypto map vpn
!
interface Tunnel2
 ip address 192.168.26.2 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel destination 14.38.88.20
 crypto map vpn
!
interface FastEthernet0/0
 no ip address
 no ip mroute-cache
 shutdown
 media-type MII
 half-duplex
!
interface FastEthernet1/0
 ip address 14.36.88.6 255.255.0.0
 no ip mroute-cache
 half-duplex
 crypto map vpn
!
interface Virtual-Template1
 ip unnumbered FastEthernet1/0
 peer default ip address pool test
 ppp authentication ms-chap
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip local pool test 10.0.7.1 10.0.7.254
ip default-gateway 14.36.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 14.36.1.1
no ip http server
!
access-list 130 permit gre host 14.36.88.6 host 14.38.88.40
access-list 140 permit gre host 14.36.88.6 host 14.38.88.20
access-list 150 permit gre host 14.36.88.6 host 14.38.88.10
radius-server host 172.18.124.197 auth-port 1645 acct-port 
1646 key cisco123
radius-server retransmit 3
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

sec-7206#

Cisco 2610 ルータ
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2610
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 120
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.10.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.16.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.10 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface Ethernet0/1
 ip address dhcp
 half-duplex
!
interface Serial1/0
 no ip address
 shutdown
!
interface Serial1/1
 no ip address
 shutdown
!
interface Serial1/2
 no ip address
 shutdown
!
interface Serial1/3
 no ip address
 shutdown
!
interface Serial1/4
 no ip address
 shutdown
!
interface Serial1/5
 no ip address
 shutdown
!
interface Serial1/6
 no ip address
 shutdown
!
interface Serial1/7
 no ip address
 shutdown
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 120 permit gre host 14.38.88.10 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
line vty 5 15
 login
!
end

vpn2610#

Cisco 3620 ルータ
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3620
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 110
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.20.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.26.1 255.255.255.0
 tunnel source Ethernet1/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet1/0
 ip address 14.38.88.20 255.255.0.0
 half-duplex
 crypto map vpn
!
interface TokenRing1/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 110 permit gre host 14.38.88.20 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

vpn3620#

Cisco 3640 ルータ
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp   
 set peer 14.36.88.6
 set transform-set strong 
 match address 100
!
call rsvp-sync
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.40.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.46.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 14.36.88.6
 crypto map vpn
!
interface Ethernet0/0
 ip address 14.38.88.40 255.255.0.0
 half-duplex
 crypto map vpn
!
interface Ethernet0/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/0
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/1
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/2
 no ip address
 shutdown
 half-duplex
!
interface Ethernet1/3
 no ip address
 shutdown
 half-duplex
!
interface Ethernet3/0
 no ip address
 shutdown
 half-duplex
!
interface TokenRing3/0
 no ip address
 shutdown
 ring-speed 16
!
router eigrp 60
 network 192.168.0.0 0.0.255.255
 auto-summary
 no eigrp log-neighbor-changes
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.1.1
ip http server
!
access-list 100 permit gre host 14.38.88.40 host 14.36.88.6
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
!
end

vpn3640# 

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show ip route:このコマンドを使用して、ルーティング プロトコルを介してルートが学習されていることが確認できます。

Cisco 7206 ルータ

sec-7206#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.36.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel1
D    192.168.10.0/24 [90/297372416] via 192.168.16.1, 05:53:23, Tunnel0
D    192.168.40.0/24 [90/297372416] via 192.168.46.1, 05:53:23, Tunnel1
C    192.168.26.0/24 is directly connected, Tunnel2
D    192.168.20.0/24 [90/297372416] via 192.168.26.1, 05:53:21, Tunnel2
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.36.0.0 is directly connected, FastEthernet1/0
S*   0.0.0.0/0 [1/0] via 14.36.1.1
sec-7206#

Cisco 2610 ルータ

vpn2610#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
C    192.168.10.0/24 is directly connected, Loopback0
D    192.168.40.0/24 [90/310172416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.26.0/24 [90/310044416] via 192.168.16.2, 05:53:55, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.16.2, 05:53:53, Tunnel0
C    192.168.16.0/24 is directly connected, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn2610#

Cisco 3620 ルータ

vpn3620#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
D    192.168.46.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
D    192.168.40.0/24 [90/310172416] via 192.168.26.2, 05:54:15, Tunnel0
C    192.168.26.0/24 is directly connected, Tunnel0
C    192.168.20.0/24 is directly connected, Loopback0
D    192.168.16.0/24 [90/310044416] via 192.168.26.2, 05:54:15, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet1/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3620#

Cisco 3640 ルータ

vpn3640#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 14.38.1.1 to network 0.0.0.0
C    192.168.46.0/24 is directly connected, Tunnel0
D    192.168.10.0/24 [90/310172416] via 192.168.46.2, 05:54:32, Tunnel0
C    192.168.40.0/24 is directly connected, Loopback0
D    192.168.26.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
D    192.168.20.0/24 [90/310172416] via 192.168.46.2, 05:54:30, Tunnel0
D    192.168.16.0/24 [90/310044416] via 192.168.46.2, 05:54:32, Tunnel0
     14.0.0.0/16 is subnetted, 1 subnets
C       14.38.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [1/0] via 14.38.1.1
vpn3640#

注: Cisco 7206 ルータの Integrated Services Adapter(ISA; 統合サービス アダプタ)カードを使用する場合は、ルーティング更新を通過させるために、Cisco Express Forwarding(CEF; シスコ高速転送)を無効にしなければならない場合があります。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 17868