セキュリティ : Dynamic Multipoint VPN(DMVPN)

IOS/CCP: Cisco Configuration Professional を使用した Dynamic Multipoint VPN の設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は Cisco Configuration Professional(CCP) (Cisco CP)を使用しているハブ・アンド・スポーク ルータ間の Dynamic Multipoint VPN (DMVPN) トンネルに設定 例を提供したものです。 Dynamic Multipoint VPN は、エンド ユーザがダイナミックに作成されたスポーク間の IPSec トンネルを介して効率的に通信できる高度なソリューションを提供するように、GRE、IPSec 暗号化、NHRP およびルーティングなどの異なる概念を統合するテクノロジーです。

前提条件

要件

最もよい DMVPN 機能性に関しては、Cisco IOS を実行することが推奨されますか。 ソフトウェア リリース 12.4 mainline,12.4T およびそれ以降。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア リリース 12.4 (22)との Cisco IOS ルータ 3800 シリーズ

  • ソフトウェア リリース 12.3 (8)との Cisco IOS ルータ 1800 シリーズ

  • Cisco Configuration Professional(CCP) バージョン 2.5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

この資料は情報をスポークでルータおよびハブで Cisco CP を使用して別のルータを設定する方法を提供したものです。 最初にスポーク設定は示されていますが、よりよい知識を提供するために資料の以降はまた、ハブ 関連するコンフィギュレーション詳しく示されています。 他のスポークはまた同じようなアプローチを使用してハブに接続するために設定することができます。 現在のシナリオはこれらのパラメータを使用します:

  • ハブルータ パブリックネットワーク- 209.165.201.0

  • トンネル ネットワーク- 192.168.10.0

  • 使用されるルーティング プロトコル- OSPF

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-01.gif

Cisco CP を使用するスポーク設定

このセクションは Cisco Configuration Professional(CCP)のステップバイステップ DMVPN ウィザードを使用してスポークでルータを設定する方法を示します。

  1. Cisco CP アプリケーションを開始し、DMVPN ウィザードを起動させるために、> ダイナミック マルチポイント VPN > Security > VPN を設定することを行って下さい。 それから、作成を DMVPN オプションのスポーク選択し、『選択したタスクの起動』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-02.gif

  2. の隣で始まりますクリックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-03.gif

  3. ハブ・アンド・スポーク Network オプションを選択し、『Next』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-04.gif

  4. ハブルータのパブリックインターフェイスおよびハブルータのトンネルインターフェイスのようなハブ 関連情報を、規定 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-05.gif

  5. スポークのトンネルインターフェイス 詳細およびスポークのパブリックインターフェイスを規定 して下さい。 それから、『Advanced』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-06.gif

  6. トンネル パラメータおよび NHRP パラメータを確認し、確かめて下さいハブ パラメータに完全に一致することを。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-07.gif

  7. 事前共有キーを規定 し、『Next』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-08.gif

  8. 別途の IKEプロポーザルを追加するために『Add』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-09.gif

  9. 暗号化、認証およびハッシュ パラメータを規定 して下さい。 次に [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-10.gif

  10. 新しく作成された IKE ポリシーはここに見られる場合があります。 [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-11.gif

  11. の隣で続きます設定 される デフォルト トランスフォームとクリックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-12.gif

  12. 必須ルーティング プロトコルを選択して下さい。 ここでは、OSPF は選択されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-13.gif

  13. OSPFプロセス ID およびエリア ID を OSPF がアドバタイズされるネットワークを追加するために『Add』 をクリック します 規定 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-14.gif

  14. トンネル ネットワークを追加し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-15.gif

  15. スポークルータの背後にあるプライベート ネットワークを追加して下さい。 次に [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-16.gif

  16. ウィザード 設定を完了するために『Finish』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-17.gif

  17. コマンドを実行するために渡しますクリックして下さい。 設定を保存したいと思う場合デバイスのスタートアップ設定 チェックボックスに保存実行設定をチェックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-18.gif

スポークのための CLI 設定

関連 CLI 設定はここに示されています:

スポークルータ
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Cisco CP を使用するハブ 設定

方法のステップバイステップ アプローチはこのセクションで DMVPN のためのハブルータを設定する示されています。

  1. DMVPN オプションのハブ > Security > VPN を > ダイナミック マルチポイント VPN は設定し作成を選択することを行きます。 、『選択したタスクの起動』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-19.gif

  2. [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-20.gif

  3. ハブ・アンド・スポーク Network オプションを選択し、『Next』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-21.gif

  4. プライマリ ハブを選択して下さい。 次に [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-22.gif

  5. トンネルインターフェイス パラメータを規定 し、『Advanced』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-23.gif

  6. トンネル パラメータおよび NHRP パラメータを規定 して下さい。 次に [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-24.gif

  7. ネットワーク セットアップに基づいてオプションを規定 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-25.gif

  8. 事前共有キーを『Pre-Shared Keys』 を選択 し、規定 して下さい。 次に [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-26.gif

  9. 別途の IKEプロポーザルを追加するために『Add』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-27.gif

  10. 暗号化、認証およびハッシュ パラメータを規定 して下さい。 次に [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-28.gif

  11. 新しく作成された IKE ポリシーはここに見られる場合があります。 [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-29.gif

  12. の隣で続きます設定 される デフォルト トランスフォームとクリックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-30.gif

  13. 必須ルーティング プロトコルを選択して下さい。 ここでは、OSPF は選択されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-31.gif

  14. OSPFプロセス ID およびエリア ID を OSPF がアドバタイズされるネットワークを追加するために『Add』 をクリック します 規定 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-32.gif

  15. トンネル ネットワークを追加し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-33.gif

  16. ハブルータの背後にあるプライベート ネットワークを追加し、『Next』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-34.gif

  17. ウィザード 設定を完了するために『Finish』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-35.gif

  18. コマンドを実行するために渡しますクリックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-36.gif

ハブのための CLI 設定

関連 CLI 設定はここに示されています:

ハブ ルータ
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

CCP を使用して DMVPN 設定を書き換えて下さい

トンネルインターフェイスを選択し、『Edit』 をクリック するとき既存の DMVPN トンネル パラメータを手動で編集できます。

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-37.gif

MTU のようなトンネルインターフェイス パラメータおよびトンネルは General タブの下で、修正されますキー入力します。

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-38.gif

  1. NHRP 関連パラメータは NHRP タブの下の要件によってあり、修正されます。 スポークルータに関しては、ハブルータの IP アドレスとして NHS を見られますはずです。 NHRPマッピングを追加するために NHRP マップ セクションで『Add』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-39.gif

  2. ネットワーク セットアップによっては、NHRPマッピング パラメータはここに示されているで設定することができます:

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-40.gif

ルーティング 関連パラメータはルーティング タブの下で表示され、修正されます。

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-41.gif

その他の情報

DMVPN トンネルはこれら二つの方法で設定されます:

  • ハブを通したスポーク間通信

  • ハブのないスポーク間通信

この資料では、最初の方式だけ説明されています。 スポーク間 ダイナミック IPSecトンネルの確立を許可するために、DMVPN クラウドにこのアプローチが追加するのに話しました利用しています:

  1. DMVPN ウィザードを起動させ、スポーク設定 オプションを選択して下さい。

  2. DMVPN Network Topology ウィンドウから、ハブ・アンド・スポーク Network オプションの代りにフル メッシュ構造の Network オプションを選択して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-42.gif

  3. この資料の他のコンフィギュレーションと同じステップを使用して設定の他を完了して下さい。

確認

現在、この設定に使用できる確認手順はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113265