Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
DMVPN
DMVPN
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

DMVPN

ダイナミック マルチポイント VPN

ダイナミック マルチポイント VPN(DMVPN)ハブ ウィザード

ハブのタイプ

事前共有キーの設定

ハブの GRE トンネル インターフェイスの設定

トンネル インターフェイスの詳細設定

プライマリ ハブ

ルーティング プロトコルの選択

ルーティング情報

ダイナミック マルチポイント VPN(DMVPN)スポーク ウィザード

DMVPN ネットワーク トポロジ

ハブ情報の指定

スポークの GRE トンネル インターフェイスの設定

警告:DMVPN の依存

DMVPN(ダイナミック マルチポイント VPN)の編集

全般パネル

NHRP パネル

NHRP マップの設定

ルーティング パネル

DMVPN を手動で設定する方法

DMVPN

このヘルプ トピックでは、ダイナミック マルチポイント仮想プライベート ネットワーク(DMVPN)の設定画面に関する情報を示します。

ダイナミック マルチポイント VPN

このウィザードでは、ルータをダイナミック マルチポイント VPN( DMVPN)ハブまたは DMVPN スポークとして設定できます。一般的な VPN 接続は、2 つのルータを接続したポイントツーポイント IPSec トンネルです。DMVPN では、GRE over IPSec トンネルを使用して、中央の ハブ スポークと呼ばれる他のリモート ルータを接続したネットワークを構築できます。IPSec トラフィックは、ハブを経由してネットワーク内のスポークにルーティングされます。Cisco CP では、ルータを、DMVPN ネットワークのプライマリまたはセカンダリ DMVPN ハブ、またはスポーク ルータとして設定できます。

次のリンクには、DMVPN についての詳細な情報が含まれています(CCO ログイン ID が必要です)。

マルチポイント IPSec VPN

Cisco CP は、IPSec プロファイルを使用して暗号化を定義するハブ アンド スポーク DMVPN の設定をサポートしています。フル メッシュ DMVPN を設定し、CLI を使用して DMVPN で暗号マップを使用して暗号化を定義できます。フル メッシュ DMVPN、および暗号マップを使用する DMVPN は、CLI を使用して管理および変更されます。Cisco CP では、IOS バージョン 12.2(13)T 以降で DMVPN の設定がサポートされます。

Cisco CP では、ルータでの 単一の DMVPN 設定をサポートしています。

この画面で、ルータを DMVPN ネットワークの ハブまたは スポークとして指定します。

ハブを最初に設定することが重要です。これは、スポークを設定するときに、ハブの情報を使用する必要があるためです。ハブを設定するときは、[要約]ウィンドウの[スポーク設定]機能を使用して、スポーク管理者に送信する手順を生成できます。スポーク管理者は、この手順を使用して正しいハブ情報でスポークを設定できます。スポークを設定するときには、あらかじめ正しいハブ情報を入手しておく必要があります。

ダイナミック マルチポイント VPN のスポーク(クライアント)を作成する

ルータが DMVPN ネットワークのスポークである場合に選択します。スポークは、ネットワーク内の論理的なエンドポイントです。設定を始める前に、ハブに対して ping を実行して接続可能であることを確認し、ハブ設定について必要な情報をすべて入手する必要があります。この情報については、「ダイナミック マルチポイント VPN(DMVPN)スポーク ウィザード」を参照してください。

ダイナミック マルチポイント VPN のハブ(サーバまたはヘッドエンド)を作成する

ルータが DMVPN ネットワークのハブである場合に選択します。ハブは、DMVPN ネットワーク内の論理的な中心であり、ポイントツーポイントの IPSec 接続を経由して各スポーク ルータと接続されます。ハブは、ネットワーク内のスポーク ルータ間で IPSec トラフィックをルーティングできます。

ダイナミック マルチポイント VPN(DMVPN)ハブ ウィザード

このウィザードでは、ルータを DMVPN ハブとして設定できます。ハブの設定は、スポークより先に行う必要があります。これは、スポーク ルータの設定に必要なハブ情報をスポーク管理者に提供できるようにするためです。

アプリケーション ウィンドウに、設定する内容が表示されます。設定が終わったら、ハブについての次の情報をスポーク管理者に提供する必要があります。

ハブ ルータの物理インターフェイスの IP アドレス。

ハブの mGRE トンネル インターフェイスの IP アドレス。

ルーティングの更新を DMVPN に送信するために使用するダイナミック ルーティング プロトコル、および自律システム(AS)番号(EIGRP の場合)またはプロセス ID(OSPF の場合)。

Cisco CP のスポーク設定機能を使用して、スポーク管理者が必要とするハブ設定についての情報を含むテキスト ファイルを作成できます。この機能は、このウィザードの[要約]ウィンドウから利用できます。

また、アドレスの重複が起きないように、使用可能なサブネットアドレスをスポーク側の管理者に知らせ、ハブと同じサブネットに属する IP アドレスを各スポークに割り当てる必要があります。

ハブのタイプ

DMVPN ネットワークは、1 台のハブだけで設定することも、プライマリ ハブとバックアップ ハブで設定することもできます。ここでは、ルータをどのタイプのハブとして設定するかを指定します。

プライマリ ハブ

ルータが DMVPN ネットワーク内のプライマリ ハブである場合に選択します。

バックアップ ハブ

ルータが、フル メッシュ DMVPN ネットワークのバックアップ ハブである場合に、このボタンを選択します。

事前共有キーの設定

DMVPN ピアは、 事前共有キーまたはデジタル証明書を使用して相手からの接続を 認証するします。事前共有キーを使用する場合は、ネットワーク内の各ハブ ルータおよびスポーク ルータが同じキーを使用する必要があります。

事前共有キーは、暗号化された電子メール メッセージなどの安全で便利な手段で、リモート サイトの管理者と交換する必要があります。事前共有キーでは、疑問符(?)およびスペースを使用してはなりません。事前共有キーの最大長は 128 文字です。

事前共有キー

DMVPN ネットワークで使用する事前共有キーを入力します。事前共有キーでは、疑問符(?)およびスペースを使用してはなりません。事前共有キーの最大長は 128 文字です。

デジタル証明書

ルータが認証にデジタル証明書を使用する場合は、このボタンを選択します。デジタル証明書は、[VPN コンポーネント]>[PKI]の順に選択して設定できます。

事前共有キーの確認

確認のため、キーを再入力します。このフィールドの値と[事前共有キー]の値が一致しない場合は、再入力が求められます。

ハブの GRE トンネル インターフェイスの設定

マルチポイント ジェネリック ルーティング カプセル化( mGRE)を DMVPN ネットワークで使用すると、 ハブの 1 つの GRE インターフェイスで、各 スポーク ルータへの IPSec トンネルをサポートできます。これによって DMVPN の設定が大幅に容易になります。 GRE を使用すると、IPSec 接続を経由してルーティングの更新を送信できます。

インターネットに接続するインターフェイスの選択

インターネットに接続するルータ インターフェイスを選択します。GRE トンネルはこのインターフェイスを起点とします。

ダイヤルアップ接続を使用するインターフェイスを選択すると、その接続が常に稼働中になることがあります。ダイヤルアップ接続かどうかを判断するには、[インターフェイスと接続]で、サポートされているインターフェイスについて確認します。一般に、ISDN や非同期シリアルなどのインターフェイスはダイヤルアップ接続用に設定されます。

IP アドレス

mGRE インターフェイスの IP アドレスを入力します。これは、プライベート アドレスで、ネットワーク内の他のルータの GRE インターフェイスと同じサブネット内になければなりません。たとえば、GRE インターフェイスは、サブネット 10.10.6.0 を共有し、10.10.6.1 ~ 10.10.6.254 の範囲の IP アドレスが指定されます。

サブネット マスク

GRE インターフェイスが属するサブネットのマスクを入力します。たとえば、サブネット 10.10.6.0 のマスクは 255.255.255.0 になります。詳細については、「 IP アドレスとサブネット マスク」を参照してください。

詳細ボタン

Cisco CP で、詳細トンネル設定のデフォルト値が提供されます。ただし、ハブ管理者は、トンネル設定を決定し、スポークでも同じ設定にできるようにスポーク ルータの管理者に情報を提供する必要があります。

トンネル インターフェイスの詳細設定

このウィンドウを使用して、 GRE トンネル パラメータを設定します。Cisco CP でデフォルト値が提供されますが、ハブ管理者に正しい値を確認してここに入力する必要があります。

デフォルト値は、このヘルプ トピックで提供されます。デフォルト値から変更した後で元の設定に戻す必要がある場合は、このヘルプ トピックを参照してください。

NHRP 認証文字列

DMVPN ハブおよび スポークが NHRP トランザクションで認証を受けるために使用しなければならない文字列を入力します。文字列の長さは最大 8 文字です。スペースや疑問符(?)などの特殊文字は使用できません。DMVPN のすべてのデバイスは、同じ認証文字列が設定されている必要があります。

Cisco CP デフォルト:DMVPN_NW

NHRP ネットワーク ID

NHRP ネットワーク ID を入力します。ネットワーク ID は、非ブロードキャストのマルチアクセス(NBMA)ネットワークのためのグローバルに一意の 32 ビットのネットワーク識別子です。範囲は 1 ~ 4,294,967,295 です。

Cisco CP デフォルト: 100000

NHRP 待機時間

NHRP ネットワーク ID を有効として通知する秒数を入力します。

Cisco CP デフォルト: 360

トンネル キー

このトンネルで使用するキーを入力します。このキーは、ネットワークのすべての mGRE トンネルで同じでなければなりません。

Cisco CP デフォルト: 100000

帯域幅

帯域幅をキロバイト毎秒(kbps)で入力します。帯域幅のデフォルト値は、起動時に設定されます。帯域幅の値は、show interfaces EXEC コマンドで表示できます。DMVPN 設定で一般的な帯域幅設定は 1,000 です。

Cisco CP デフォルト: 1000

MTU

トンネルを経由して転送されるパケットで許容するデータの最大量をバイトで入力します。

Cisco CP デフォルト: 1400

トンネル スループット遅延

インターフェイスの遅延の値を 10 マイクロ秒単位で設定します。

Cisco CP デフォルト: 1000

プライマリ ハブ

設定しているルータが DMVPN ネットワーク内のバックアップ ハブである場合、プライマリ ハブを特定する必要があるので、そのパブリックおよびプライベート IP アドレスを入力します。

パブリック IP アドレス

このトンネルで使用されるプライマリ ハブのインターフェイスの IP アドレスを入力します。これは、スタティック IP アドレスでなければなりません。この情報については、ハブ管理者に確認します。

ハブの mGRE トンネル インターフェイスの IP アドレス

プライマリ ハブの mGRE トンネル インターフェイスの IP アドレスを入力します。この情報については、ハブ管理者に確認します。

ルーティング プロトコルの選択

このウィンドウを使用して、このルータの背後にある他のネットワークを、他のルータに通知する間隔を指定します。次のいずれかを選択します。

EIGRP ― Extended Interior Gateway Routing Protocol。

OSPF ― Open Shortest Path First。

RIP ― ルーティング インフォメーション プロトコル。

スタティック ルーティング。このオプションは、GRE over IPSec トンネルを設定している場合に使用できます。


) RIP は、DMVPN のハブ アンド スポーク トポロジではサポートされていませんが、DMVPN のフル メッシュ トポロジでは利用できます。


ルーティング情報

このウィンドウを使用して、ネットワーク内の他のルータに通知する、ルータの背後のネットワークについてのルーティング情報を追加または編集します。このウィンドウ内のフィールドは、指定されているルーティング プロトコルに応じて変わります。

RIP パラメータの詳細については、「 RIP ルートの追加/編集」を参照してください。

EIGRP パラメータの詳細については、「 EIGRP ルートの追加/編集」を参照してください。

OSPF パラメータの詳細については、「 OSPF ルートの追加/編集」を参照してください。

有効にする RIP のバージョンを選択してください。

RIP バージョン 1 またはバージョン 2 を指定します。

既存の OSPF プロセス ID を選択する/既存の EIGRP AS 番号を選択する

すでに設定されている場合は、OSPF の既存のプロセス ID または EIGRP の AS 番号を選択できます。「 DMVPN 用のルーティング プロトコルの設定に関する推奨事項」を参照してください。

新しい OSPF プロセス ID を作成する/EIGRP AS 番号を作成する

プロセス ID が存在しない場合、または別のプロセス ID を使用する場合は、このフィールドでプロセス ID を設定できます。

トンネル ネットワークの OSPF エリア ID

ネットワークの新しい OSPF エリア ID を入力します。これは、トンネル ネットワークのエリア ID です。Cisco CP は、このエリア ID を使用して、トンネル ネットワークをこのプロセスに自動的に追加します。

<プロトコル名> を使用して通知されるプライベート ネットワーク

このエリアには、選択したルーティング プロトコルを使用して通知されるネットワークが表示されます。このウィザードで指定したルーティング プロトコルをすでに設定している場合、通知対象として指定したネットワークがこのリストに表示されます。

このルーティング プロセスを使用して DMVPN ピアに通知するプライベート ネットワークをすべて追加します。DMVPN ウィザードは、トンネル ネットワークをこのプロセスに自動的に追加します。

[ネットワーク]― ネットワークのアドレス。特定のネットワークのアドレスを入力し、ワイルドカードのマスクを使用して通知方法を適用できます。

[ワイルドカード マスク]― (EIGRP および OSPF プロトコル)ネットワーク カラムに指定したアドレスに一致する必要があるネットワーク アドレスの範囲を指定するビット マスク。このマスクを使用して、ルータの通知先を、指定したアドレスに基づいた特定の範囲のネットワークに限定することができます。0 ビットの場合、ネットワーク アドレス内のビットが、指定したネットワーク アドレス内で対応するビットと一致しなければなりません。

たとえば、ネットワーク アドレスが 172.55.10.3 で、ワイルドカード マスクが 0.0.255.255 の場合、ルータは、ネットワーク 172.55.10.3 だけでなく、数字が 172.55 で始まるすべてのネットワークに通知します。

[エリア]― OSPF が選択されているときに表示されます。このネットワークの OSPF エリア番号です。特定の OSPF エリア内の各ルータは、そのエリアのトポロジ データベースを保持しています。

[追加]― 通知するネットワークまたはネットワークのグループを追加する場合にクリックします。

[編集]― 通知対象ネットワークまたはネットワークのグループのデータを編集する場合にクリックします。このボタンは、このウィザードの現在のインスタンスで作成したエントリに対して有効になります。

[削除]― 選択したネットワークまたはネットワークのグループのデータを削除する場合にクリックします。このボタンは、このウィザードの現在のインスタンスで作成したエントリに対して有効になります。

ダイナミック マルチポイント VPN(DMVPN)スポーク ウィザード

このウィザードでは、ルータを DMVPN ネットワークのスポークとして設定できます。設定を始める前に、ハブに対して ping を実行して、ルータがそのハブにトラフィックを送信できることを確認する必要があります。また、事前にハブについての必要な情報をすべて入手していなければなりません。Cisco CP を使用してハブを設定するハブ管理者は、スポーク管理者が必要とするハブ情報を含むテキスト ファイルを作成できます。

開始前に次の情報を取得しておく必要があります。

ハブの物理インターフェイスの IP アドレス。

ハブの mGRE トンネル インターフェイスの IP アドレス。

ハブ管理者がスポークで使用するように通知した IP アドレスおよびサブネット マスク。ハブ管理者は、DMVPN のすべてのルータが同一サブネットに属し、それぞれが一意のアドレスを使用するように、アドレスを各スポークに割り当てる必要があります。

使用するルーティング プロトコル、および DMVPN でルーティングの更新を送信するために使用される自律システム(AS)番号(EIGRP の場合)またはプロセス ID(OSPF の場合)。

DMVPN ネットワーク トポロジ

このルータが所属する DMVPN ネットワークのタイプを選択します。

ハブ アンド スポーク ネットワーク

スポーク ルータが DMVPN ハブとポイントツーポイントの GRE over IPSec 接続でつながれ、他のスポーク宛てのトラフィックをハブ経由で送信するネットワーク内のルータを設定している場合は、このオプションを選択します。このオプションを選択すると、スポークからハブへのリンクが図に表示されます。

フル メッシュ ネットワーク

ルータを、ネットワーク内の他のスポークと直接 IPSec トンネルを確立できるスポークとして設定している場合に選択します。この機能をサポートするため、スポークにマルチポイント GRE トンネルが設定されます。このオプションを選択すると、スポークからハブへのリンク、および各スポーク間のリンクが図に表示されます。

ウィザードの画面に、フル メッシュ DMVPN ネットワークのサポートに必要な IOS イメージがリストされます。

ハブ情報の指定

このウィンドウでは、 DMVPN 内の ハブ について必要な情報を指定できます。

ハブの物理インターフェイスの IP アドレス

ハブのインターフェイスの IP アドレスを入力します。このアドレスについては、ハブ管理者に確認します。このアドレスは、トンネルの宛先として使用されます。

ハブの mGRE トンネル インターフェイスの IP アドレス

ハブの mGRE トンネル インターフェイスの IP アドレスを入力します。ハブとスポークの mGRE トンネル アドレスは、同じサブネット内になければなりません。

スポークの GRE トンネル インターフェイスの設定

このウィンドウで入力された情報を使用して、このスポークのポイントツーポイントが作成されます。

インターネットに接続するインターフェイスの選択

インターネットに接続するルータ インターフェイスを選択します。 GRE over IPSec トンネルはこのインターフェイスを起点とします。

ダイヤルアップ接続を使用するインターフェイスを選択すると、その接続が常に稼働中になることがあります。サポートされているインターフェイスを[インターフェイスと接続]で確認すれば、選択した物理インターフェイスでダイヤルアップ接続(ISDN 接続や非同期接続など)が設定されているかどうかを判断できます。

[<インターフェイス名> の IP アドレスが変更された場合にハブに再登録する]― このオプションは、選択したインターフェイスが DHCP または IPCP を使用してダイナミック IP アドレスを受信する場合に利用できます。このオプションを指定すると、スポークは、新しい IP アドレスを受信した場合にハブに再登録できます。

IP アドレス

このハブへの GRE インターフェイスの IP アドレスを入力します。これは、プライベート アドレスで、ネットワーク内の他のルータの GRE インターフェイスと同じサブネット内になければなりません。たとえば、GRE インターフェイスは、サブネット 10.10.6.0 を共有し、10.10.6.1 ~ 10.10.6.254 の範囲の IP アドレスが指定されます。

スポーク ルータを設定している場合は、ハブ管理者によってルータに割り当てられた IP アドレスを使用する必要があります。他のアドレスを使用すると、アドレスの競合が発生する可能性があります。

サブネット マスク

GRE インターフェイスが属するサブネットのマスクを入力します。このマスクは、ハブ管理者によって割り当てられ、DMVPN のすべてのルータで同じでなければなりません。たとえば、サブネット 10.10.6.0 のマスクは 255.255.255.0 になります。詳細については、「 IP アドレスとサブネット マスク」を参照してください。

詳細ボタン

この接続の NHRP およびトンネル パラメータを指定する場合に、このボタンをクリックします。

Cisco CP で、詳細トンネル設定のデフォルト値が提供されます。ただし、ハブ管理者は、トンネル設定を決定し、スポークでも同じ設定にできるようにスポーク ルータの管理者に情報を提供する必要があります。スポーク ルータを設定する場合は、ハブ管理者にトンネル設定を確認し、このボタンをクリックして、表示されるダイアログ ボックスに設定を入力します。

Cisco CP 警告:DMVPN の依存

このウィンドウは、DMVPN トンネルの送信元に選択したインターフェイスがその設定上 DMVPN では使用できない場合に表示されます。競合について通知され、その競合を解消するように Cisco CP が設定を変更することを許可するオプションが表示されます。

ファイアウォール

トンネルの送信元として指定されたインターフェイスにファイアウォールが適用されている場合、Cisco CP では、設定にアクセス ルール エントリを追加して、GRE、IPSec、および ISAKMP トラフィックがファイアウォールを通過できるようにすることができます。

詳細の表示

[ファイアウォールで GRE、IPSec、および ISAKMP トラフィックを許可する]を選択したときにアクセス ルールに追加されるアクセス コントロール エントリを表示する場合に、このボタンをクリックします。

これらのエントリでは、 ISAKMP トラフィック、 GRE トラフィック、 ESP(Encapsulating Security Protocol)、および AHP(認証ヘッダー プロトコル)が許可されます。

DMVPN(ダイナミック マルチポイント VPN)の編集

このウィンドウには、既存の DMVPN トンネル設定が表示されます。DMVPN では、中央の ハブ スポークと呼ばれる他のリモート ルータを接続したネットワークを構築できます。Cisco CP は、GRE over IPSec トラフィックがハブ経由でルーティングされるハブ アンド スポーク ネットワーク トポロジをサポートしています。Cisco CP では、ルータを、DMVPN ネットワークのプライマリまたはセカンダリ DMVPN ハブ、またはスポーク ルータとして設定できます。

次のリンクには、DMVPN についての詳細な情報が含まれています(CCO ログイン ID が必要です)。 マルチポイント IPSec VPN

Cisco CP は、IPSec プロファイルを使用して暗号化を定義するハブ アンド スポーク DMVPN の設定をサポートしています。フル メッシュ DMVPN を設定し、CLI を使用して DMVPN で暗号マップを使用して暗号化を定義できます。フル メッシュ DMVPN、および暗号マップを使用する DMVPN は、CLI を使用して管理および変更されます。

Cisco CP では、ルータでの 単一の DMVPN 設定をサポートしています。

最初にハブを設定する必要があります。これは、 スポーク の設定に必要なハブ IP アドレスとルーティング パラメータを確立するためです。DMVPN 上のルータを設定する方法で、この他に推奨される方法については、「 DMVPN の設定に関する推奨事項」を参照してください。

インターフェイス

このトンネルの起点となる物理インターフェイスです。

IPsec プロファイル

トンネルが使用している IPSec プロファイルです。IPSec プロファイルは、トンネル上のトラフィックの暗号化に使用されるトランスフォーム セットを定義します。Cisco CP は、DMVPN での暗号化の定義に、IPSec プロファイルのみの使用をサポートしています。暗号マップを使用する場合は、CLI を使用して DMVPN を設定します。

IP アドレス

GRE トンネルの IP アドレスです。GRE トンネルは、ルーティングの更新を DMVPN に送信するために使用されます。

説明

このトンネルの説明です。

詳細パネル

[詳細]パネルには、DMVPN トンネルのすべての設定の値が表示されます。

トンネル インターフェイスが読み取り専用になる原因

トンネル インターフェイスは、すでに暗号マップの関連付けと NHRP パラメータで設定されている場合に読み取り専用になります。NHRP パラメータとルーティング情報はこのウィンドウから変更できますが、IP アドレス、トンネルの送信元、およびトンネルの宛先は、[インターフェイスと接続]ウィンドウから編集する必要があります。

追加

新しい DMVPN トンネル設定を追加する場合にクリックします。

編集

選択した DMVPN トンネル設定を編集する場合にクリックします。

削除

DMVPN トンネル設定を削除する場合にクリックします。

全般パネル

このパネルでは、DMVPN トンネルの全般的な設定パラメータを追加または編集します。

IP アドレス

トンネルの IP アドレスを入力します。これは、プライベート アドレスで、DMVPN の他のトンネル インターフェイスと同じサブネット内になければなりません。スポークを設定している場合は、アドレスの競合が発生しないように、ハブ管理者がルータに割り当てた IP アドレスを使用する必要があります。

マスク

ハブ管理者が DMVPN に割り当てたサブネット マスクを入力します。詳細については、「 IP アドレスとサブネット マスク」を参照してください。

トンネルの送信元

トンネルが使用するインターフェイスを選択するか、インターフェイスの IP アドレスを入力します。ダイヤルアップ接続として設定されたインターフェイスを選択する場合は、まず「 ダイヤルアップ設定でのインターフェイスの使用」を参照してください。

トンネルの宛先

フル メッシュ ネットワークの DMVPN トンネルの場合は、[マルチポイント GRE トンネルがあります]をクリックします。ハブ アンド スポーク ネットワークの場合は、[IP/ホスト名]をクリックし、IP アドレスまたはホスト名を指定します。

IPsec プロファイル

このトンネルに設定されている IPSec プロファイルを選択します。IPSec プロファイルは、このトンネル上のトラフィックの暗号化に使用されるトランスフォーム セットを定義します。

MTU

トンネルを経由して転送されるパケットで許容するデータの最大量をバイトで入力します。

帯域幅

帯域幅をキロバイト毎秒(kbps)で入力します。帯域幅のデフォルト値は、起動時に設定されます。帯域幅の値は、show interfaces EXEC コマンドで表示できます。DMVPN 設定で一般的な帯域幅設定値は 1,000 です。

遅延

インターフェイスの遅延の値を 10 マイクロ秒単位で設定します。DMVPN 設定で一般的な遅延の設定値は 1,000 です。

トンネル キー

このトンネルで使用するキーを入力します。このキーは、ネットワークのすべての mGRE トンネルで同じでなければなりません。

マルチポイント GRE トンネルがあります

これが、複数のピアに対する接続を維持できるインターフェイスである mGRE トンネル インターフェイスの場合に選択します。このルータが DMVPN ハブとして設定される場合は、このボックスを選択して、ハブがすべてのスポークと接続を確立できるようにします。ルータがスポークとして設定される場合は、フル メッシュ DMVPN を設定しているときに、このボックスを選択します。この設定により、スポークはハブとの接続を確立してトラフィックを送信でき、ネクスト ホップ情報を受信して DMVPN の他のすべての スポークと直接接続できます。

NHRP パネル

このパネルを使用して、NHRP 設定パラメータを指定します。

認証文字列

DMVPN ハブおよび スポークが NHRP トランザクションで認証を受けるために使用しなければならない文字列を入力します。文字列の長さは最大 8 文字です。DMVPN のすべての NHRP ステーションは、同じ認証文字列が設定されている必要があります。

待機時間

NHRP ネットワーク ID を有効として通知する秒数を入力します。

ネットワーク ID

NHRP ネットワーク ID を入力します。ネットワーク ID は、非ブロードキャストのマルチアクセス(NBMA)ネットワークのためのグローバルに一意の 32 ビットのネットワーク識別子です。範囲は 1 ~ 4294967295 です。ネットワーク ID は、各 NHRP ステーションで一意でなければなりません。

ネクスト ホップ サーバ

このエリアには、このルータがアクセスできるネクスト ホップのサーバの IP アドレスが表示されます。スポーク ルータの場合は、このエリアにプライマリおよびセカンダリ ハブの IP アドレスが含まれていなければなりません。ハブの場合は、このエリアに DMVPN の他のハブ ルータの IP アドレスが含まれていなければなりません。

ネクスト ホップのサーバの IP アドレスを入力するには、[追加]をクリックします。リストからサーバを削除するには、そのサーバを選択し、[削除]をクリックします。

NHRP マップ

このエリアには、利用可能な IP-to-NBMA アドレス マッピングが表示されます。新しいマップを作成するには[追加]をクリックします。作成されたマップは、このリストに追加されます。選択したマップを変更するには、[編集]をクリックします。選択したマップ設定を削除するには、[削除]をクリックします。

NHRP マップの設定

このウィンドウを使用して、IP アドレスと NBMA アドレス間のマッピングを作成または編集します。

NBMA ネットワークに接続される IP 宛先の IP-to-NMBA アドレス マッピングをスタティックに設定する

フル メッシュ ネットワークのスポークを設定している場合は、このボタンをクリックします。Cisco CP は、バックアップ ハブをプライマリ ハブのスポークとして使用するので、バックアップ ハブを設定している場合もこれをクリックします。ウィンドウ内のこの部分には、スポークまたはバックアップ ハブがプライマリ ハブと接続するために必要とするアドレス情報を入力します。

[NBMA ネットワーク経由でアクセスできる宛先]― プライマリ ハブに設定されている mGRE トンネルの IP アドレスを入力します。スポークおよびバックアップ ハブは、このトンネル情報を使用してハブとの接続を確立し、そのハブへの mGRE トンネルを作成します。スポークは、トンネルを使用して、暗号化したデータをハブに送ったり、他のスポークへのネクスト ホップ情報をハブに問い合わせたりします。

[直接アクセスできる NBMA アドレス]― mGRE トンネルをサポートするプライマリ ハブのインターフェイスのスタティック IP アドレスを入力します。

トンネル ネットワーク上で送信されるブロードキャストまたはマルチキャスト パケットの宛先として使用される NBMA アドレスを設定する

ウィンドウ内のこのエリアでは、ルーティング プロトコルによって使用される情報を指定します。

[スポークの IP アドレスをハブのマルチキャスト キャッシュにダイナミックに追加する]― プライマリ ハブまたはバックアップ ハブを設定している場合にこのオプションを設定します。このオプションは、接続されているすべての DMVPN スポークにルーティングの更新を送信するときにハブで必要となります。

[直接アクセスできる NBMA アドレスの IP アドレス]― フル メッシュ DMVPN にスポークを設定しているか、バックアップ ハブの場合は、このボックスを選択し、mGRE トンネルをサポートするプライマリ ハブのインターフェイスのスタティック IP アドレスを指定します。

ルーティング パネル

このパネルを使用して、DMVPN クラウドのルーティング情報を設定します。

ルーティング プロトコル

この DMVPN のハブおよびスポーク ルータがルーティングの実行に使用するダイナミック ルーティング プロトコルを選択します。DMVPN のすべてのルータで、選択したルーティング プロトコルを設定する必要があります。

RIP ― ルーティング インフォメーション プロトコル

OSPF ― Open Shortest Path First

EIGRP ― Extended Interior Gateway Routing Protocol

RIP のフィールド

ダイナミック ルーティング プロトコルとして RIP を選択する場合は、[バージョン 1]、[バージョン 2]、または[デフォルト]を選択します。[バージョン 2]を選択した場合、ルータは、ルーティングの更新にサブネット マスクを含めます。[デフォルト]を選択した場合、ルータはバージョン 2 の更新を送信しますが、RIP バージョン 1 またはバージョン 2 の更新を受信できます。

[スプリット ホライズンの無効化]― これがハブ ルータの場合は、このボックスを選択して mGRE トンネル インターフェイスでのスプリット ホライズンを無効にします。スプリット ホライズンを無効にすると、ルータは、トンネル インターフェイスから学習した、その同じインターフェイスから出るルートを通知できます。

OSPF のフィールド

OSPF を選択した場合は、次のフィールドに入力する必要があります。

[OSPF プロセス ID]― プロセス ID を入力します。この値によって、他のルータでその OSPF プロセスが識別されます。「 DMVPN 用のルーティング プロトコルの設定に関する推奨事項」を参照してください。

[OSPF ネットワーク タイプ]―[ポイントツーマルチポイント]または[ブロードキャスト]を選択します。[ポイントツーマルチポイント]を選択すると、OSPF ではスポーク ルータのルーティング テーブルにルータが追加されます。これを避ける場合は、[ブロードキャスト]を選択します。

[OSPF 優先順位]― OSPF 優先順位は、このルータをハブまたはスポークとして識別します。これがハブ ルータの場合は、優先順位の値として 2 を入力します。スポーク ルータの場合は 0 を入力します。

EIGRP のフィールド

EIGRP を選択した場合は、次のフィールドに入力する必要があります。

[自律システム番号]― EIGRP を使用するルータのグループの自律システム番号を入力します。同じ EIGRP 自律システム番号を持つルータは、その番号で識別される領域内のルータのトポロジ データベースを保持します。「 DMVPN 用のルーティング プロトコルの設定に関する推奨事項」を参照してください。

[スプリット ホライズンの無効化]― これがハブ ルータの場合は、このボックスを選択して mGRE トンネル インターフェイスでのスプリット ホライズンを無効にします。スプリット ホライズンを有効にするには、選択を解除したままにします。スプリット ホライズンを無効にすると、ルータは、トンネル インターフェイスから学習した、その同じインターフェイスから出るルートを通知できます。

[元のネクスト ホップを使用する]― DMVPN ハブ ルータの場合、EIGRP ではこのルータをネクスト ホップとして通知します。DMVPN スポーク ルータにルートを通知するときに、EIGRP で元の IP をネクスト ホップとして使用する場合は、このボックスを選択します。

DMVPN を手動で設定する方法

VRN コンポーネントのウィンドウ、および[DMVPN(ダイナミック マルチポイント VPN)の編集]ウィンドウを使用して、ルータを DMVPN ハブまたはスポークとして設定できます。このためには、次のタスクを実行する必要があります。

IPSec プロファイルを設定する。IPSec プロファイルを少なくとも 1 つ設定するまでは、DMVPN 接続を設定することはできません。

DMVPN 接続を設定する。

DMVPN クラウドに通知するネットワークを指定する。

これらのタスクの手順は次のとおりです。

IPSec プロファイルを設定するには

まず、IPSec ポリシーを設定し、次に DMVPN トンネルを設定する必要があります。


ステップ 1 機能バーで、[設定]>[セキュリティ]>[VPN コンポーネント]>[IPSec]の順にクリックします。

ステップ 2 [IPSec プロファイル]ブランチをクリックし、[IPSec プロファイル]ウィンドウで[追加]をクリックします。

ステップ 3 [IPSec プロファイルの追加]ウィンドウで、プロファイルに名前を付け、それに含めるトランスフォーム セットを選択します。必要に応じて簡単な説明を入力できます。

ステップ 4 [OK]をクリックします。


 

DMVPN 接続を設定するには


ステップ 1 機能バーで、[設定]>[セキュリティ]>[VPN]>[ダイナミック マルチポイント VPN]の順にクリックします。

ステップ 2 [DMVPN(ダイナミック マルチポイント VPN)の編集]をクリックします。

ステップ 3 [追加]をクリックします。

ステップ 4 [DMVPN トンネル設定]ウィンドウの[全般]、[NHRP]、および[ルーティング]の各タブに情報を入力して、DMVPN トンネルを作成します。特定のフィールドの詳細については、オンライン ヘルプを参照してください。


 

DMVPN に通知するネットワークを指定するには

ルータの背後に DMVPN に通知するネットワークがある場合は、ルーティングのウィンドウでネットワーク番号を追加することによって通知できます。


ステップ 1 機能バーで、[設定]>[ルータ]>[スタティック ルーティングおよびダイナミック ルーティング]の順にクリックします。

ステップ 2 [ルーティング]ウィンドウで、DMVPN 設定で指定したルーティング プロトコルを選択し、[編集]をクリックします。

ステップ 3 通知するネットワーク番号を追加します。