セキュリティ コンフィギュレーション ガイド: セキュア接続、Cisco IOS Release 15.1S
Dynamic Multipoint VPN(DMVPN)
Dynamic Multipoint VPN(DMVPN)
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

Dynamic Multipoint VPN(DMVPN)

機能情報の入手

この章の構成

DMVPN を使用するための前提条件

DMVPN の制約事項

Cisco 6500 および Cisco 7600 における DMVPN サポート

DMVPN について

DMVPN の特長

DMVPN の機能設計

IPsec プロファイル

VRF 統合 DMVPN

DMVPN:DMVPN 内のトラフィック セグメンテーションのイネーブル化

NAT 透過性対応 DMVPN

DMVPN でのコール アドミッション制御

NHRP のレート制限メカニズム

DMVPN の設定方法

IPsec プロファイルの設定

前提条件

次の作業

DMVPN 用のハブの設定

DMVPN 用のスポークの設定

VRF へのクリアテキスト データ IP パケット転送の設定

VRF への暗号化トンネル パケット転送の設定

DMVPN の設定:DMVPN 内のトラフィック セグメンテーション

前提条件

VPN トンネルでの MPLS の有効化

ハブ ルータにおけるマルチプロトコル BGP の設定

スポーク ルータにおけるマルチプロトコル BGP の設定

DMVPN のトラブルシューティング

次の作業

DMVPN 機能の設定例

DMVPN 用のハブの設定例

DMVPN 用のスポークの設定例

VRF 対応 DMVPN の設定例

トラフィック セグメンテーションの有効化(2547oDMVPN)(BGP を使用の場合に限る)の例

トラフィック セグメンテーションの有効化(2547oDMVPN)(企業ブランチ)の例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

DMVPN に関する機能情報

用語集

Dynamic Multipoint VPN(DMVPN)

Dynamic Multicast VPN 機能を使用すると、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネル、IP Security(IPsec; IP セキュリティ)暗号化、および Next Hop Resolution Protocol(NHRP)を組み合せることにより、目的に合せて大小さまざまな規模の IPsec Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を構築できます。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「DMVPN に関する機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

DMVPN を使用するための前提条件

Multipoint GRE(mGRE; マルチポイント GRE)および IPsec トンネルを確立するためには、 crypto isakmp policy コマンドを使用して、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを定義しておく必要があります。

NAT 透過性対応の拡張機能を有効にするには、トランスフォーム セットに対して IPsec トランスポート モードを使用する必要があります。また、NAT 透過性が有効であれば、(User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポートを使用して 2 つの IP アドレスを区別する Peer Address Translation(PAT; ピア アドレス変換)により)2 つのピア(IKE および IPsec)を同一の IP アドレスに変換できますが、DMVPN に対しては、この機能はサポートされません。DMVPN スポークの IP アドレスは、NAT 変換後、各 DMVPN スポークごとに一意であることが必要です。ただし、NAT 変換前の IP アドレスであれば、DMVPN スポーク間で重複していてもかまいません。

DMVPN 内のトラフィック セグメンテーション(2547oDMVPN)をイネーブルにするには、 mpls ip コマンドを使用して、Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)を設定する必要があります。

DMVPN の制約事項

この機能の特長である 「スポークツースポーク トンネルのダイナミック作成」 を活用するためには、Internet Security Association and Key Management Protocol(ISAKMP; インターネット セキュリティ アソシエーションおよび鍵管理プロトコル)認証に対して、IKE 証明書またはワイルドカード事前共有キーを使用する必要があります。


) ただし、スポーク ルータが 1 つでもセキュリティを突破されれば外部から VPN へ侵入できるため、ワイルドカード事前共有キーは使用しないことを強く推奨します。


DMVPN ネットワークのポイントツーポイント トンネルまたはマルチポイント GRE トンネルでは、GRE トンネル キープアライブ(GRE インターフェイスの下での keepalive コマンド)はサポートされていません。

DMVPN の機能性を最大限に引き出すためにも、最新の Cisco IOS ソフトウェア リリース 12.4 mainline、12.4T、または 12.2(18)SXF を使用することを推奨します。

NAT のタイプが共に PAT である 2 つの NAT デバイスのそれぞれの後にスポークが配置されている場合、その 2 つのスポーク間でセッションが開始されても、そのセッションは確立できません。

次に、NAT インターフェイスにおける PAT の 1 つの設定例を示します。

ip nat inside source list nat_acl interface FastEthernet0/1 overload

Cisco 6500 および Cisco 7600 における DMVPN サポート

Cisco 6500 および Cisco 7600 におけるブレードツーブレード スイッチオーバー

DMVPN では、Cisco 6500 および Cisco 7600 におけるブレードツーブレード スイッチオーバーはサポートされていません。

DMVPN ハブとしての Cisco 6500 および Cisco 7600

DMVPN ハブとして機能する Cisco 6500 または Cisco 7600 は、NAT ルータの後に配置できせん。

Cisco 6500 または Cisco 7600 が DMVPN ハブとして機能している場合は、NAT の後にあるスポークにそれぞれ Cisco 6500 または Cisco 7600 を使用するか、ルータを Cisco IOS ソフトウェア リリース 12.3(11)T02 以降にアップグレードする必要があります。

DMVPN スポークとしての Cisco 6500 または Cisco 7600

Cisco 6500 または Cisco 7600 が スポークとして機能している場合は、ハブを NAT の後に配置できません。

Cisco 6500 または Cisco 7600 が DMVPN スポークとして機能している場合は、ハブとしてそれぞれ Cisco 6500 または Cisco 7600 を使用するか、ルータを Cisco IOS ソフトウェア リリース 12.3(11)T02 以降にアップグレードする必要があります。

DMVPN ハブまたは DMVPN スポークとしてのスーパーバイザ エンジン

DMVPN ハブまたは DMVPN スポークとして使用できるスーパーバイザ エンジンは、スーパーバイザ エンジン 720 だけです。スーパーバイザ エンジン 2 は使用できません。

GRE による暗号化マルチキャスト

Cisco 6500 および Cisco 7600 では、GRE による暗号化マルチキャストはサポートされていません。

mGRE インターフェイス

同一の DMVPN ノード上に 2 つの mGRE インターフェイスが存在し、そのどちらもトンネル キーを持たない場合、それぞれの mGRE インターフェイスに対して一意のトンネル送信元アドレス(またはインターフェイス)を設定する必要があります。

Cisco 6500 または Cisco 7600 では、各 GRE インターフェイス(マルチポイントまたはポイントツーポイント)に対して一意のトンネル送信元アドレス(またはインターフェイス)を設定する必要があります。

ip tcp adjust-mss qos pre-classify tunnel vrf tunnel path-mtu-discovery 、および tunnel vrf の各コマンドは、DMVPN での mGRE ではサポートされていません。

サービス品質(QoS)

Cisco 6500 または Cisco 7600 では、DMVPN パケットに対して QoS は使用できません。

トンネル キー

GRE(マルチポイントまたはポイントツーポイント)インターフェイスのトンネル キーは、Cisco 6500 プラットフォームまたは Cisco 7600 プラットフォーム上の ASIC スイッチング ハードウェアでは使用できません。トンネル キーを設定した場合、スループット パフォーマンスが著しく低下します。

Cisco IOS Release 12.3(11)T3 およびリリース 12.3(14)T では、mGRE インターフェイスにトンネル キーを設定しなければならないという要件はなくなりました。そのため、DMVPN ノードとして Cisco 6500 または Cisco 7600 を使用している DMVPN ネットワークでは、Cisco 6500 プラットフォームまたは Cisco 7600 プラットフォームのスループット パフォーマンスを維持できるように、すべての DMVPN ノードからトンネル キーを削除することを推奨します。

DMVPN ネットワーク内に、トンネル キーが設定されていない DMVPN ノードが 1 つでもある場合は、すべての DMVPN ノードに対してトンネル キーを設定しないようにする必要があります。

VRF-Aware DMVPN のシナリオ

Customer Equipment(CE; カスタマー装置)の DMVPN スポークが、MPLS クラウド全体にある他の CE と通信する必要がある場合は、Provider Equipment(PE; プロバイダー装置)の DMVPN ハブに対して mls mpls tunnel-recir コマンドを設定する必要があります。

mGRE インターフェイスを設定する際は IP 最大伝送ユニットとして十分大きな値を指定することを推奨します(ルート プロセッサでフラグメンテーションが実行されないようにするには 1400 パケット)。

Enhanced Interior Gateway Routing Protocol(EIGRP)は使用しないことを推奨します。

DMVPN について

DMVPN 機能を設定するためには、次の概念を理解しておく必要があります。

「DMVPN の特長」

「DMVPN の機能設計」

「IPsec プロファイル」

「VRF 統合 DMVPN」

「DMVPN:DMVPN 内のトラフィック セグメンテーションのイネーブル化」

「NAT 透過性対応 DMVPN」

「DMVPN でのコール アドミッション制御」

「NHRP のレート制限メカニズム」

DMVPN の特長

ハブ ルータ設定の軽減

ハブ ルータでは現在、クリプト マップ特性、暗号アクセス リスト、および GRE トンネル インターフェイスを定義するための設定行が、スポーク ルータごとに個別に用意されています。DMVPN 機能を使用すれば、ハブ ルータ上で mGRE トンネル インターフェイスおよび IPsec プロファイルをそれぞれ 1 つずつ設定するだけで、すべてのスポーク ルータに対応できるようになり、暗号アクセス リストを設定する必要もなくなります。そのため、ネットワークに新たなスポーク ルータが追加された場合でも、ハブ ルータにおける設定の情報量は変わりません。

DMVPN アーキテクチャでは、複数のスポークを 1 つのマルチポイント GRE インターフェイスにまとめることができます。これにより、IPsec のネイティブ インストールで、物理インターフェイスまたは論理インターフェイスをスポークごとに別々に設定する必要はなくなります。

IPsec 暗号化の自動実行

GRE では、送信元および宛先のピア アドレスは、NHRP により設定または解決されます。これによって、直ちに、またはマルチポイント GRE トンネルに対し GRE のピア アドレスが NHRP を介して解決された時点で、ポイントツーポイント GRE トンネリングに対して IPsec がトリガーされます。

ダイナミックにアドレス指定されるスポーク ルータのサポート

ポイントツーポイント GRE および IPsec ハブアンドスポークによる VPN ネットワークでは、ハブ ルータを設定する際にスポーク ルータの物理インターフェイス IP アドレスが必要となります。これは、IP アドレスが GRE トンネル宛先アドレスとして設定される必要があるためです。一方、DMVPN 機能を使用すれば、スポーク ルータに対して、ダイナミック物理インターフェイス IP アドレス(通常はケーブル接続や DSL 接続に使用)を設定できます。スポーク ルータは、オンライン状態になると、ハブ ルータへ登録パケットを送信します。これらの登録パケットには、このスポークの現在の物理インターフェイス IP アドレスが記述されています。

スポークツースポーク トンネルのダイナミック作成

DMVPN 機能を使用すると、ダイレクト トンネルに対するスポークツースポーク設定を行う必要がなくなります。現在、スポーク ルータ間でパケットを送信する必要がある場合は、要求されたターゲット スポーク ルータの宛先アドレスを NHRP を使用してダイナミックに指定できるようになっています(送信元スポーク ルータへの要求を処理する NHRP サーバの役割はハブ ルータが受け持ちます)。この 2 つのスポーク ルータ間には、データが直接転送されるように、IPsec トンネルがダイナミックに作成されます。

VRF 統合 DMVPN

サービス プロバイダーにより導入された Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)ネットワークは、DMVPN を使用することで、その機能性を拡張できます。これにより、ハブおよびスポークの設定が容易になるほか、ダイナミックにアドレス指定される Customer Premises Equipment(CPE; 宅内装置)のサポートや、ゼロタッチ プロビジョニングによる DMVPN へのスポークの追加が可能となります。

DMVPN の機能設計

DMVPN 機能は、GRE トンネル、IPsec 暗号化、および NHRP ルーティングを組み合せることで、ユーザの設定操作を容易にするためのものです。設定は、暗号プロファイル、およびトンネル エンドポイントのダイナミック ディスカバリを介して行われ、このうち暗号プロファイルを使用することで、スタティック クリプト マップを定義する必要がなくなります。

この機能は、シスコが開発した次の 2 つの拡張標準テクノロジーがベースになっています。

NHRP:クライアント/サーバ プロトコルの 1 つ。ハブがサーバの役割を果たし、スポークがクライアントとして機能します。ハブには、各スポークのパブリック インターフェイス アドレスが格納された NHRP データベースが保持されます。各スポークでは、起動時にそれぞれの実際のアドレスが登録され、ダイレクト トンネルを確立する場合には、NHRP サーバに対し、宛先スポークの実際のアドレスに関する照会が行われます。

mGRE トンネル インターフェイス:1 つの GRE インターフェイスで複数の IPsec トンネルをサポートできるため、設定のデータ量が少なくなり、設定操作も簡単になります。

図 1 に示したトポロジと、それに続く箇条書きは、この機能のしくみを説明したものです。

図 1 mGRE および IPsec の統合トポロジの例

 

各スポークとハブの間は、永続的な IPsec トンネルで接続されています。ネットワーク内に存在するスポーク間を接続するのは、永続的な IPsec トンネルではありません。各スポークは、NHRP サーバのクライアントとして登録されます。

各スポークでは、他のスポーク上にある宛先(プライベート)サブネットへパケットを送信する場合、NHRP サーバに対し、宛先(ターゲット)スポークの実際(外部)のアドレスについて照会が行われます。

発信側のスポークでは、ターゲット スポークのピア アドレスを「学習」すると、ターゲット スポークへのダイナミック IPsec トンネルを起動できるようになります。

マルチポイント GRE インターフェイスを介してスポークツースポーク トンネルが構成されます。

スポーク間にトラフィックが発生するたびに、オンデマンドでスポークツースポーク リンクが確立されます。スポークツースポーク リンクが確立されると、パケットはハブをバイパスし、スポークツースポーク トンネルを使用できるようになります。


) スポークツースポーク トンネルに対して不稼動度が事前に設定されている場合、ルータでは、それに基づいてトンネルが切断されリソースが確保されます(IPsec Security Association(SA; セキュリティ アソシエーション))。


IPsec プロファイル

IPsec プロファイルを使用すると、主要な IPsec ポリシー情報を 1 つの設定エンティティにまとめることができます。この設定エンティティは、他の設定項目から名前を指定して参照することが可能です。これによりユーザは、ただ 1 つの設定行で、GRE トンネル保護などの機能を設定できます。IPsec プロファイルを参照すれば、ユーザがクリプト マップの設定をすべて行う必要はなくなります。IPsec プロファイルに含まれているのは IPsec 情報だけで、アクセス リスト情報やピアリング情報は含まれていません。

VRF 統合 DMVPN

VPN Routing and Forwarding(VRF; VPN ルーティング/転送)統合 DMVPN を使用すると、DMVPN マルチポイント インターフェイスを MPLS VPN にマッピングできます。このマッピングにより、Internet Service Provider(ISP; インターネット サービス プロバイダー)は、ネットワークに接続されていない環境(ブランチ オフィスなど)をそれぞれの MPLS VPN にマッピングすることによって、既存の MPLS VPN サービスを拡張できます。CE ルータは、DMVPN PE ルータで終端され、トラフィックは MPLS VPN の VRF インスタンスに配置されます。

DMVPN と MPLS VPN は、次の 2 つの方法で通信できます。

1. ip vrf forwarding コマンドを使用して、データ IP パケット(mGRE/IPsec トンネル内部のパケット)を MPLS VPN に投入します。 ip vrf forwarding コマンドは、Cisco IOS Release 12.3(6) およびリリース 12.3(7)T の DMVPN でサポートされています。

2. tunnel vrf コマンドを使用して、MPLS VPN 内の mGRE/IPsec トンネル パケットそのものを転送(ルーティング)します。 tunnel vrf コマンドは、Cisco IOS Release 12.3(11)T でサポートされていますが、Cisco IOS Release 12.2(18)SXE ではサポートされていません。


) VRF の場合、クリアテキストのデータ IP パケットは、ip vrf forwarding コマンドを使用して転送され、暗号化されたトンネル IP パケットは、tunnel vrf コマンドを使用して転送されます。


ip vrf forwarding コマンドと tunnel vrf コマンドは、同時に使用することもできます。同時に使用する場合、各コマンドの VRF 名は同じであっても異なっていても構いません。

クリアテキストのデータ IP パケットを VRF へ転送する方法の詳細については、 「VRF へのクリアテキスト データ IP パケット転送の設定」 を参照してください。暗号化されたトンネル パケットを VRF へ転送するための設定方法については、 「VRF への暗号化トンネル パケット転送の設定」 を参照してください。

VRF の設定に関する詳細については、 「関連資料」 のリファレンスを参照してください。

図 2 は、VRF 統合 DMVPN の典型的なシナリオを示したものです。

図 2 VRF 統合 DMVPN

DMVPN:DMVPN 内のトラフィック セグメンテーションのイネーブル化

Cisco IOS Release 12.4(11)T は、DMVPN トンネル内の VPN トラフィックをセグメント化できるように機能拡張されています。VRF インスタンスには、MPLS を使用して、その送信元および宛先を示すラベルが付けられています。

図 3 に示す図と、それに続く箇条書きは、DMVPN 内におけるトラフィック セグメンテーションのしくみを説明したものです。

図 3 DMVPN 内のトラフィック セグメンテーション

この図では、WAN-PE/ルート リフレクタがハブであり、クライアントがスポーク(PE ルータ)になっています。

VRF は 3 つあり、それぞれ赤、緑、青で表してあります。

各スポークは、ハブとネイバー関係にある(Multiprotocol Border Gateway Protocol(MP-iBGP; マルチプロトコル ボーダー ゲートウェイ プロトコル)ペアリング)と同時に、ハブへの GRE トンネルを持っています。

各スポークからは、そのルートおよび VPNv4 プレフィクスがハブにアドバタイズされます。

ハブでは、アドバタイズされたルートをスポークに再アドバタイズする際、スポークから「学習」したすべての VPNv4 アドレスに対するネクストホップ ルートとして自身の IP を設定し、VPN ごとにローカルの MPLS ラベルを割り当てます。結果として、スポーク A からスポーク B へのトラフィックは、ハブを介してルーティングされることになります。

このプロセスを具体例で説明すると次のようになります。

1. スポーク A により、VPNv4 ルートがハブにアドバタイズされ、VPN にラベル X が割り当てられます。

2. ハブでは、スポーク B にルートをアドバタイズする際、ラベルが Y に変更されます。

3. スポーク B では、スポーク A に送信すべきトラフィックがあると、ラベル Y が適用され、そのトラフィックがハブに送信されます。

4. ハブでは、ラベル Y を削除し、ラベル X を適用することで、VPN ラベルの付け替えが行われ、その上でトラフィックがスポーク A に送信されます。

NAT 透過性対応 DMVPN

DMVPN スポークは通常、NAT ルータの後に配置されます。この NAT ルータは通常、スポーク サイトの ISP により制御され、その外部インターフェイス アドレスは、プライベート IP アドレスに基づき ISP によって動的に割り当てられます(Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)の RFC 1918 で規定)。

Cisco IOS の 12.3(6) および 12.3(7)T よりも前のリリースでは、これらのスポーク ルータが DMVPN ネットワークに関与するためには、IPsec トンネル モードを使用する必要がありました。さらに、割り当てられた外部インターフェイスのプライベート IP は、DMVPN ネットワーク全体の中で一意であることが必要でした。ISAKMP および IPsec では、NAT-Transparency(NAT-T; NAT 透過性)のネゴシエーションと、このスポークのプライベート IP アドレスに関して正しい NAT パブリック アドレスを「学習」できますが、NHRP では、そのマッピング エントリとして、スポークのプライベート IP アドレスを「参照」して使用することしかできません。NAT 透過性対応 DMVPN の機能拡張により、現在 NHRP では、IPsec トランスポート モード(DMVPN ネットワークで推奨される IPsec モード)が使用されている場合に限り、マッピングに対する NAT パブリック アドレスを学習して使用できるようになっています。スポークのプライベート インターフェイス IP アドレスが DMVPN ネットワーク全体の中で一意でなければならないという制限はなくなりました。NAT の後に配置されていないスポーク ルータについては本来、アップグレードする必要はありませんが、新しい機能を使用する場合は、事前にすべての DMVPN ルータを新しいコードにアップグレードすることを推奨します。NAT の後に配置されているスポーク ルータは、アップグレードされた後でも、ハブ ルータがアップグレードされるまでは、新しい設定(IPsec トランスポート モード)に切り替えることはできません。

Cisco IOS Release 12.3(9a) およびリリース 12.3(11)T では、ハブ DMVPN ルータをスタティック NAT の後に配置できる機能も追加されています。これは、ISAKMP NAT-T サポートの一環として変更されたものです。この機能を使用するためには、DMVPN のスポーク ルータおよびハブ ルータすべてをアップグレードする必要があります。また IPsec ではトランスポート モードを使用する必要があります。

NAT 透過性対応の拡張機能を有効にするには、トランスフォーム セットに対して IPsec トランスポート モードを使用する必要があります。また、NAT 透過性(IKE および IPsec)が有効であれば、(UDP ポートを使用して 2 つの IP アドレスを区別することにより)2 つのピア(IKE および IPsec)を同一の IP アドレスに変換できますが、DMVPN に対しては、この機能はサポートされません。DMVPN スポークの IP アドレスは、NAT 変換後、各 DMVPN スポークごとに一意であることが必要です。ただし、NAT 変換前の IP アドレスであれば、DMVPN スポーク間で重複していてもかまいません。

図 4 は、NAT 透過性対応 DMVPN のシナリオを図示したものです。


) Cisco IOS の 12.4(6)T 以前のリリースでは、NAT の後に配置された DMVPN スポークは、ダイナミック ダイレクト スポークツースポーク トンネルには関与しません。NAT の後に配置されたスポークを送信元または宛先とするトラフィックは、DMVPN ハブ ルータを使用して転送されます。同一の DMVPN ネットワーク内にあって、NAT の後に配置されていない 2 つの DMVPN スポーク間には、ダイナミック ダイレクト スポークツースポーク トンネルを作成できます。

Cisco IOS の 12.4(6)T 以降のリリースでは、NAT の後に配置された DMVPN スポークは、ダイナミック ダイレクト スポークツースポーク トンネルに関与できます。これらのスポークは、PAT ではなく NAT を実行する NAT 機器の後に配置する必要があります。この NAT 機器では、スポーク/スポーク接続の場合でも、スポークは、スポーク/ハブ接続の場合と同じ外部 NAT IP アドレスに変換されます。1 つの NAT 機器の後に DMVPN スポークが複数配置されている場合、その NAT 機器では、それらの各 DMVPN スポークを別々の外部 NAT IP アドレスに変換する必要があります。ただし、それらのスポーク間には、ダイレクト スポーク/スポーク トンネルを構成できない場合があります。スポーク/スポーク トンネルを構成できない場合、スポーク/スポーク パケットは、スポーク/ハブ/スポーク パスを介して転送されることになります。


図 4 NAT 透過性対応 DMVPN

DMVPN でのコール アドミッション制御

DMVPN ネットワークでは、確立しようとするトンネル数の増加に伴って、DMVPN ルータが「過負荷」状態になることも少なくありません。コール アドミッション制御を使用すると、一度に確立できるトンネルの数を制限できます。これにより、ルータのメモリや CPU リソースのオーバーフローを回避できます。

コール アドミッション制御は、DMVPN スポークにおいて、スポーク ルータが開始または受信しようとする ISAKMAP セッション(DMVPN トンネル)の数を制限する場合に有効です。このような制限を課す場合は、コール アドミッション制御の IKE SA 制限を設定します。これによりルータでは、現在の ISAKMP SA 数が制限数を超過すると、新たな ISAKMP セッション要求(着信および発信)が廃棄されます。

またコール アドミッション制御は、DMVPN ハブにおいて、同時に確立される DMVPN トンネル数のレートを制限する場合にも有効です。このようなレート制限を課す場合は、コール アドミッション制御のシステム リソース制限を設定します。これによりルータでは、システムの使用率が指定値を超過すると、新たな ISAKMP セッション要求(新たな DMVPN トンネル)が廃棄されます。新たなセッション要求が廃棄されることにより、DMVPN ハブ ルータでは現在の ISAKMP セッション要求の処理を完了できます。また、一度廃棄されたセッション要求でも、システムの使用率が低下した時点で再試行されれば、DMVPN ハブ ルータにより処理されます。

DMVPN でのコール アドミッション制御を使用するうえで、特別な設定は必要ありません。コール アドミッション制御の設定に関する詳細については、 「関連資料」 のリファレンスを参照しください。

NHRP のレート制限メカニズム

NHRP は、特定のインターフェイスから送信される NHRP パケットの総数を制限するためのレート制限メカニズムを備えています。デフォルトの制限数は、1 インターフェイスあたり 10 秒間に 100 パケットで、設定には ip nhrp max-send コマンドを使用します。制限数を超過した場合には、次のようなシステム メッセージが表示されます。

%NHRP-4-QUOTA: Max-send quota of [int]pkts/[int]Sec. exceeded on [chars]
 

このシステム メッセージに関する詳細については、『 12.4T System Message Guide 』を参照してください。

DMVPN の設定方法

ハブ ルータおよびスポーク ルータに対して mGRE/IPsec トンネルリングをイネーブルにするには、グローバル IPsec ポリシー テンプレートを使用して IPsec プロファイルを設定すること、および IPsec 暗号化に使用する mGRE トンネルを設定することが必要です。ここでは、次の各手順について説明します。

「IPsec プロファイルの設定」(必須)

「DMVPN 用のハブの設定」(必須)

「DMVPN 用のスポークの設定」(必須)

「VRF へのクリアテキスト データ IP パケット転送の設定」(任意)

「VRF への暗号化トンネル パケット転送の設定」(任意)

「DMVPN の設定:DMVPN 内のトラフィック セグメンテーション」

「DMVPN のトラブルシューティング」(任意)

IPsec プロファイルの設定

IPsec プロファイルには、クリプト マップの設定に使用するものと同じコマンドが多く使用されます。ただし、それらすべてのコマンドが、各 IPsec プロファイルで有効であるわけではありません。IPsec プロファイルの下で発行できるのは、IPsec ポリシーに使用されているコマンドだけです。したがって、IPsec ピア アドレスや、パケットを暗号化するかどうかを照合するための Access Control List(ACL; アクセス コントロール リスト)は指定できません。

前提条件

IPsec プロファイルを設定する場合は、 crypto ipsec transform-set コマンドを使用して、トランスフォーム セットをあらかじめ定義しておく必要があります。

手順の概要

1. enable

2. configure terminal

3. crypto ipsec profile name

4. set transform-set transform-set-name

5. set identity

6. set security association lifetime { seconds seconds | kilobytes kilobytes }

7. set pfs [ group1 | group2 ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ipsec profile name

 

Router(config)# crypto ipsec profile vpnprof

「スポークとハブの間」および「スポークとスポークの間」での IPsec 暗号化に使用する IPsec パラメータを定義します。

このコマンドを実行すると、クリプト マップ コンフィギュレーション モードが開始されます。

name 引数には、IPsec プロファイルの名前を指定します。

ステップ 4

set transform-set transform-set-name

 

Router(config-crypto-map)# set transform-set trans2

IPsec プロファイルで使用できるトランスフォーム セットを指定します。

transform-set-name 引数には、トランスフォーム セットの名前を指定します。

ステップ 5

set identity

 

Router(config-crypto-map)# set identity

(オプション)IPsec プロファイルに対するアイデンティティの制限事項を指定します。

ステップ 6

set security association lifetime { seconds seconds | kilobytes kilobytes }

 

Router(config-crypto-map)# set security association lifetime seconds 1800

(オプション)IPsec プロファイルに使用するグローバル ライフタイムの値を上書きします。

seconds seconds オプションには、セキュリティ アソシエーションの有効期間を秒数として指定します。また、 kilobytes kilobytes オプションには、有効期間内にある特定のセキュリティ アソシエーションを使用して IPsec ピア間で受け渡しできるトラフィックの量を指定します(単位は KB)。

seconds 引数のデフォルト値は 3600 秒です。

ステップ 7

set pfs [ group1 | group2 ]

 

Router(config-crypto-map)# set pfs group2

(オプション)IPsec において、この IPsec プロファイルに対する新しいセキュリティ アソシエーションが要求される際に、Perfect Forward Secrecy(PFS; 完全転送秘密)が必須となるよう指定します。このコマンドを指定しない場合は、デフォルト( group1 )がイネーブルになります。

group1 キーワードを指定すると、IPsec において新たに Diffie-Hellman(DH; デフィーヘルマン) 交換を実行する際、768 ビット DH 素数モジュラス グループが使用されます。また、 group2 キーワードを指定した場合は、1024 ビット DH 素数モジュラス グループが使用されます。

DMVPN 用のハブの設定

mGRE/IPsec 統合用にハブ ルータを設定する(つまり、トンネルと、上記手順で設定した IPsec プロファイルとを関連付ける)場合は、次のコマンドを使用します。


) NHRP ネットワーク ID は、ローカルに限って意味を持つため、それぞれ異なっていてもかまいません。導入やメンテナンスの点から見れば、(ip nhrp network-id コマンドを使用して)1 つの DMVPN ネットワーク内にある全ルータに対して一意のネットワーク ID 番号を使用した方が合理的ですが、ここでは必ずしも同一である必要はありません。


手順の概要

1. enable

2. configure terminal

3. interface tunnel number

4. ip address ip-address mask [ secondary ]

5. ip mtu bytes

6. ip nhrp authentication string

7. ip nhrp map multicast dynamic

8. ip nhrp network-id number

9. tunnel source { ip-address | type number }

10. tunnel key key-number

11. tunnel mode gre multipoint

12. tunnel protection ipsec profile name

13. bandwidth kbps

14. ip tcp adjust-mss max-segment-size

15. ip nhrp holdtime seconds

16. delay number

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface tunnel number

 

Router(config)# interface tunnel 5

トンネル インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

number 引数には、作成または設定するトンネル インターフェイスの数を指定します。作成可能なトンネル インターフェイスの数に制限はありません。

ステップ 4

ip address ip-address mask [ secondary ]

 

Router(config-if)# ip address 10.0.0.1 255.255.255.0

トンネル インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

(注) 同一の DMVPN ネットワーク内に存在するすべてのハブおよびスポークには、同じ IP サブネットに属するアドレスを指定する必要があります。

ステップ 5

ip mtu bytes
 

Router(config-if)# ip mtu 1400

各インターフェイスにおいて送信される IP パケットの Maximum Transmission Unit(MTU; 最大伝送ユニット)のサイズをバイト単位で設定します。

ステップ 6

ip nhrp authentication string
 

Router(config-if)# ip nhrp authentication donttell

NHRP を使用するインターフェイス用の認証文字列を設定します。

(注) 同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じ NHRP 認証文字列を設定する必要があります。

ステップ 7

ip nhrp map multicast dynamic

 

Router(config-if)# ip nhrp map multicast dynamic

NHRP において、スポーク ルータが自動的にマルチキャスト NHRP マッピングへ追加されるようにします。

ステップ 8

ip nhrp network-id number
 

Router(config-if)# ip nhrp network-id 99

インターフェイスに対して NHRP をイネーブルにします。

number 引数には、グローバルに一意である NonBroadcast MultiAccess(NBMA; 非ブロードキャスト マルチアクセス)ネットワークの 32 ビット ネットワーク ID を指定します。値の範囲は 1 ~ 4294967295 です。

ステップ 9

tunnel source { ip-address | type number }

 

Router (config-if)# tunnel source Ethernet0

トンネル インターフェイスの送信元アドレスを設定します。

ステップ 10

tunnel key key-number

 

Router (config-if)# tunnel key 100000

(オプション)トンネル インターフェイスの ID キーをイネーブルにします。

key-number 引数には、トンネル キーの値を 0 ~ 4,294,967,295 の範囲で指定します。

(注) 同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じキー値を設定する必要があります。

(注) プラットフォームに Cisco 6500 または Cisco 7600 を使用している場合、このコマンドを設定する必要はありません。

ステップ 11

tunnel mode gre multipoint

 

Router(config-if)# tunnel mode gre multipoint

トンネル インターフェイスのカプセル化モードを mGRE に設定します。

ステップ 12

tunnel protection ipsec profile name

 

Router(config-if)# tunnel protection ipsec profile vpnprof

トンネル インターフェイスを IPsec プロファイルに関連付けます。

name 引数には、IPsec プロファイルの名前を指定します。ただしこの名前は、 crypto ipsec profile name コマンド name 引数に指定した名前と同じであることが必要です。

ステップ 13

bandwidth kbps

 

Router(config-if)# bandwidth 1000

上位レベル プロトコルのインターフェイスに対する現在の帯域幅を設定します。

kbps 引数には、帯域幅の値をキロビット/秒単位で指定します。デフォルト値は 9 です。帯域幅の推奨値は 1000 以上です。

特にトンネル インターフェイス上で EIGRP を使用する場合は、帯域幅の値を必ず 1000 以上に設定してください。1 つのハブがサポートするスポークの数によっては、帯域幅の値をさらに大きくすることが必要となる場合もあります。

ステップ 14

ip tcp adjust-mss max-segment-size

 

Router(config-if)# ip tcp adjust-mss 1360

ルータを通過する TCP パケットの Maximum Segment Size(MSS; 最大セグメント サイズ)の値を調整します。

max-segment-size 引数には、MSS をバイト単位で指定します。指定できる値の範囲は 500 ~ 1460 です。

IP MTU のバイト数が 1400 に設定されている場合、MSS の推奨値は 1360 です。これらの推奨値を使用した場合、IP パケットのサイズは、トンネルに「適合」するように、TCP セッションによって瞬時に 1400 バイトまで縮小されます。

ステップ 15

ip nhrp holdtime seconds

 

Router(config-if)# ip nhrp holdtime 450

信頼できる NHRP 応答により NHRP NBMA アドレスが有効としてアドバタイズされる秒数を変更します。

seconds 引数には、信頼できる NHRP 応答により NBMA アドレスが有効としてアドバタイズされる時間を秒単位で指定します。推奨値の範囲は、300 ~ 600 秒です。

ステップ 16

delay number

 

Router(config-if)# delay 1000

(オプション)トンネル インターフェイスを介して学習したルートの EIGRP ルーティング メトリックを変更する際に使用します。

number 引数には、遅延時間を秒単位で指定します。推奨値は 1000 です。

DMVPN 用のスポークの設定

mGRE/IPsec 統合用にスポーク ルータを設定する場合は、次のコマンドを使用します。


) NHRP ネットワーク ID は、ローカルに限って意味を持つため、それぞれ異なっていてもかまいません。導入やメンテナンスの点から見れば、(ip nhrp network-id コマンドを使用して)1 つの DMVPN ネットワーク内にある全ルータに対して一意のネットワーク ID 番号を使用した方が合理的ですが、ここでは必ずしも同一である必要はありません。


手順の概要

1. enable

2. configure terminal

3. interface tunnel number

4. ip address ip-address mask [ secondary ]

5. ip mtu bytes

6. ip nhrp authentication string

7. ip nhrp map hub-tunnel-ip-address hub-physical-ip-address

8. ip nhrp map multicast hub-physical-ip-address

9. ip nhrp nhs hub-tunnel-ip-address

10. ip nhrp network-id number

11. tunnel source { ip-address | type number }

12. tunnel key key-number

13. tunnel mode gre multipoint

または

tunnel destination hub-physical-ip-address

14. tunnel protection ipsec profile name

15. bandwidth kbps

16. ip tcp adjust-mss max-segment-size

17. ip nhrp holdtime seconds

18. delay number

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface tunnel number

 

Router(config)# interface tunnel 5

トンネル インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

number 引数には、作成または設定するトンネル インターフェイスの数を指定します。作成可能なトンネル インターフェイスの数に制限はありません。

ステップ 4

ip address ip-address mask [ secondary ]

 

Router(config-if)# ip address 10.0.0.2 255.255.255.0

トンネル インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

(注) 同一の DMVPN ネットワーク内に存在するすべてのハブおよびスポークには、同じ IP サブネットに属するアドレスを指定する必要があります。

ステップ 5

ip mtu bytes
 

Router(config-if)# ip mtu 1400

各インターフェイスにおいて送信される IP パケットの MTU サイズをバイト単位で設定します。

ステップ 6

ip nhrp authentication string
 

Router(config-if)# ip nhrp authentication donttell

NHRP を使用するインターフェイス用の認証文字列を設定します。

(注) 同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じ NHRP 認証文字列を設定する必要があります。

ステップ 7

ip nhrp map hub-tunnel-ip-address hub-physical-ip-address

 

Router(config-if)# ip nhrp map 10.0.0.1 172.17.0.1

MBMA ネットワークに接続された IP 宛先の IP-to-NBMA アドレス マッピングをスタティックに設定します。

hub-tunnel-ip-address ハブの NHRP サーバを指定します。指定したサーバは、ハブのスタティック パブリック IP アドレスに永続的にマッピングされます。

hub-physical-ip-address ハブのスタティック パブリック IP アドレスを指定します。

ステップ 8

ip nhrp map multicast hub-physical-ip-address

 

Router(config-if)# ip nhrp map multicast 172.17.0.1

スポークとハブの間でダイナミック ルーティング プロトコルを使用可能にし、マルチキャスト パケットをハブ ルータへ送信します。

ステップ 9

ip nhrp nhs hub-tunnel-ip-address
 

Router(config-if)# ip nhrp nhs 10.0.0.1

ハブ ルータを NHRP ネクストホップ サーバとして設定します。

ステップ 10

ip nhrp network-id number
 

Router(config-if)# ip nhrp network-id 99

インターフェイスに対して NHRP をイネーブルにします。

number 引数には、グローバルに一意である NBMA ネットワークの 32 ビット ネットワーク ID を指定します。値の範囲は 1 ~ 4294967295 です。

ステップ 11

tunnel source { ip-address | type number }

 

Router (config-if)# tunnel source Ethernet0

トンネル インターフェイスの送信元アドレスを設定します。

ステップ 12

tunnel key key-number

 

Router (config-if)# tunnel key 100000

(オプション)トンネル インターフェイスの ID キーをイネーブルにします。

key-number 引数には、トンネル キーの値を 0 ~ 4,294,967,295 の範囲で指定します。

同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じキー値を設定する必要があります。

(注) プラットフォームに Cisco 6500 または Cisco 7600 を使用している場合、このコマンドを設定する必要はありません。

ステップ 13

tunnel mode gre multipoint

 

または

tunnel destination hub-physical-ip-address

 

Router(config-if)# tunnel mode gre multipoint

または

Router(config-if)# tunnel destination 172.17.0.1

トンネル インターフェイスのカプセル化モードを mGRE に設定します。

このコマンドを使用するのは、データ トラフィックにダイナミック スポークツースポーク トラフィックを使用できる場合です。

トンネル インターフェイスの宛先を指定します。

このコマンドを使用するのは、データ トラフィックにハブアンドスポーク トラフィックを使用できる場合です。

ステップ 14

tunnel protection ipsec profile name

 

Router(config-if)# tunnel protection ipsec profile vpnprof

トンネル インターフェイスを IPsec プロファイルに関連付けます。

name 引数には、IPsec プロファイルの名前を指定します。ただしこの名前は、 crypto ipsec profile name コマンド name 引数に指定した名前と同じであることが必要です。

ステップ 15

bandwidth kbps

 

Router(config-if)# bandwidth 1000

上位レベル プロトコルのインターフェイスに対する現在の帯域幅を設定します。

kbps 引数には、帯域幅の値をキロビット/秒単位で指定します。デフォルト値は 9 です。帯域幅の推奨値は 1000 以上です。

スポークの帯域幅設定は、DMVPN ハブの帯域幅設定と同じである必要はありません。通常は、すべてのスポークに対して、同一または類似の帯域幅を使用する方が便利です。

ステップ 16

ip tcp adjust-mss max-segment-size

 

Router(config-if)# ip tcp adjust-mss 1360

ルータを通過する TCP パケットの Maximum Segment Size(MSS; 最大セグメント サイズ)の値を調整します。

max-segment-size 引数には、MSS をバイト単位で指定します。指定できる値の範囲は 500 ~ 1460 です。

IP MTU のバイト数が 1400 に設定されている場合、MSS の推奨数値は 1360 です。これらの推奨値を使用した場合、IP パケットのサイズは、トンネルに「適合」するように、TCP セッションによって瞬時に 1400 バイトまで縮小されます。

ステップ 17

ip nhrp holdtime seconds

 

Router(config-if)# ip nhrp holdtime 450

信頼できる NHRP 応答により NHRP NBMA アドレスが有効としてアドバタイズされる秒数を変更します。

seconds 引数には、信頼できる NHRP 応答により NBMA アドレスが有効としてアドバタイズされる時間を秒単位で指定します。推奨値の範囲は、300 ~ 600 秒です。

ステップ 18

delay number

 

Router(config-if)# delay 1000

(オプション)トンネル インターフェイスを介して学習したルートの EIGRP ルーティング メトリックを変更する際に使用します。

number 引数には、遅延時間を秒単位で指定します。推奨値は 1000 です。

VRF へのクリアテキスト データ IP パケット転送の設定

VRF へのクリアテキスト データ IP パケット転送に関する設定手順は、次のとおりです。ここで説明する設定は、「BLUE」という VRF が設定済みであることが前提になっています。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip vrf forwarding vrf-name

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router (config)# interface tunnel0

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip vrf forwarding vrf-name

 

Router (config-if)# ip vrf forwarding BLUE

VPN VRF をインターフェイスまたはサブインターフェイスに関連付けます。

VRF への暗号化トンネル パケット転送の設定

VRF への暗号化トンネル パケット転送に関する設定手順は、次のとおりです。ここで説明する設定は、「RED」という VRF が設定済みであることが前提になっています。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. tunnel vrf vrf-name

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router (config)# interface tunnel0

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

tunnel vrf vrf-name

 

Router (config-if)# tunnel vrf RED

VPN VRF インスタンスを特定のトンネル宛先、インターフェイス、またはサブインターフェイスに関連付けます。

DMVPN の設定:DMVPN 内のトラフィック セグメンテーション

トラフィック セグメンテーションの設定には新しいコマンドは使用しませんが、DMVPN トンネル内のトラフィックをセグメント化するためには、いくつかの作業を実行する必要があります。

「VPN トンネルでの MPLS の有効化」

「ハブ ルータにおけるマルチプロトコル BGP の設定」

「スポーク ルータにおけるマルチプロトコル BGP の設定」

前提条件

次に説明する作業は、DMVPN トンネル、および「RED」、「BLUE」という 2 つの VRF が設定済みであることが前提になっています。

DMVPN トンネルの設定に関する詳細については、「DMVPN 用のハブの設定」および「DMVPN 用のスポークの設定」を参照してください。VRF の設定に関する詳細については、「VRF へのクリアテキスト データ IP パケット転送の設定」および「VRF への暗号化トンネル パケット転送の設定」を参照してください。

VPN トンネルでの MPLS の有効化

DMVPN トンネル内のトラフィック セグメンテーションは MPLS に依存するため、トラフィックをセグメント化する VRF インスタンスごとに MPLS を設定する必要があります。MPLS の設定に関する詳細については、 『Cisco IOS Multiprotocol Label Switching Configuration Guide, Release 12.4』を参照してください。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. mpls ip

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router (config)# interface tunnel0

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

mpls ip

 

Router (config-if)# mpls ip

指定したトンネル インターフェイスに対してパケットの MPLS タギングをイネーブルにします。

ハブ ルータにおけるマルチプロトコル BGP の設定

VPN トラフィックに適用する VPNv4 プレフィクスおよびラベルのアドバタイズをイネーブルにするためには、MP-iBGP を設定する必要があります。ハブをルート リフレクタとして設定する場合は、BGP を使用します。また、すべてのトラフィックがハブを経由してルーティングされるようにする場合は、BGP ルート リフレクタを設定し、ルート リフレクタ クライアント(スポーク)に VPNv4 プレフィクスをアドバタイズする際、ネクスト ホップが自分自身に変更されるようにします。

BGP ルーティング プロトコルの詳細については、『 Cisco IOS IP Routing: BGP Configuration Guide 』の「 BGP Features Roadmap 」の章を参照してください。

手順の概要

1. enable

2. configure terminal

3. router bgp

4. neighbor ipaddress remote-as as - number

5. neighbor ipaddress update-source interface

6. address-family vpnv4

7. neighbor ipaddress activate

8. neighbor ipaddress send-community extended

9. neighbor ipaddress route-reflector-client

10. neighbor ipaddress route-map nexthop out

11. exit-address family

12. address-family ipv4 vrf-name

13. redistribute connected

14. route-map

15. set ip next-hop ipaddress

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

router bgp

 

Router (config)# router bgp

BGP コンフィギュレーション モードを開始します。

ステップ 4

neighbor ipaddress remote-as as - number

 

Router (config)# neighbor 10.0.0.11 remote-as 1

BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテーブルにエントリを追加します。

ステップ 5

neighbor ipaddress update-source interface

 

Router (config)# neighbor 10.10.10.11 update-source Tunnel1

BGP セッションで、TCP 接続の動作インターフェイスが使用できるよう、Cisco IOS ソフトウェアを設定します。

ステップ 6

address-family vpnv4

 

Router (config)# address-family vpnv4

アドレス ファミリ コンフィギュレーション モードを開始し、VPNv4 アドレス プレフィクスを使用するルーティング セッションを設定します。

ステップ 7

neighbor ipaddress activate

 

Router (config)# neighbor 10.0.0.11 activate

BGP ネイバーとの情報交換をイネーブルにします。

ステップ 8

neighbor ipaddress send-community extended

 

Router (config)# neighbor 10.0.0.11 send-community extended

拡張コミュニティのアトリビュートが BGP ネイバーに送信されるよう指定します。

ステップ 9

neighbor ipaddress route-reflector-client

 

Router (config)# neighbor 10.0.0.11 route-reflector-client

ルータを BGP ルート リフレクタとして設定し、指定したネイバーをそのクライアントとして設定します。

ステップ 10

neighbor ipaddress route-map nexthop out

 

Router (config)# neighbor 10.0.0.11 route-map nexthop out

すべてのトラフィックが強制的にハブ経由でルーティングされるようにします。

ステップ 11

exit-address-family

 

Router (config)# exit-address-family

VPNv4 のアドレス ファミリ コンフィギュレーション モードを終了します。

ステップ 12

address-family ipv4 vrf-name

 

Router (config)# address-family ipv4 vrf red

アドレス ファミリ コンフィギュレーション モードを開始し、標準 IPv4 アドレス プレフィクスを使用するルーティング セッションを設定します。

ステップ 13

redistribute connected

 

Router (config)# redistribute connected

インターフェイス上で IP をイネーブルにしたことにより自動的に確立されたルートを、あるルーティング ドメインから別のルーティング ドメインへ再分配します。

ステップ 14

route-map

 

Router (config)# route-map nexthop permit 10

ルート マップ コンフィギュレーション モードを開始し、スポークにアドバタイズされるネクスト ホップを設定します。

ステップ 15

set ip next-hop ipaddress

 

Router (config)# set ip next-hop 10.0.0.1

ネクスト ホップがハブになるように設定します。

スポーク ルータにおけるマルチプロトコル BGP の設定

スポーク ルータおよびハブに対して MP-iBGP を設定する必要があります。DMVPN 内のスポーク ルータごとに、次の手順に従って設定を行います。

手順の概要

1. enable

2. configure terminal

3. router bgp

4. neighbor ipaddress remote-as as - number

5. neighbor ipaddress update-source interface

6. address-family vpnv4

7. neighbor ipaddress activate

8. neighbor ipaddress send-community extended

9. exit-address-family

10. address-family ipv4 vrf-name

11. redistribute connected

12. exit-address-family

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

router bgp

 

Router (config)# router bgp 1

BGP コンフィギュレーション モードを開始します。

ステップ 4

neighbor ipaddress remote-as as - number

 

Router (config)# neighbor 10.0.0.1 remote-as 1

BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテーブルにエントリを追加します。

ステップ 5

neighbor ipaddress update-source interface

 

Router (config)# neighbor 10.10.10.1 update-source Tunnel1

BGP セッションで、TCP 接続の動作インターフェイスが使用できるよう、Cisco IOS ソフトウェアを設定します。

ステップ 6

address-family vpnv4

 

Router (config)# address-family vpnv4

アドレス ファミリ コンフィギュレーション モードを開始し、VPNv4 アドレス プレフィクスを使用するルーティング セッションを設定します。

ステップ 7

neighbor ipaddress activate

 

Router (config)# neighbor 10.0.0.1 activate

BGP ネイバーとの情報交換をイネーブルにします。

ステップ 8

neighbor ipaddress send-community extended

 

Router (config)# neighbor 10.0.0.1 send-community extended

拡張コミュニティのアトリビュートが BGP ネイバーに送信されるよう指定します。

ステップ 9

exit-address-family

 

Router (config)# exit-address-family

アドレス ファミリ コンフィギュレーション モードを終了します。

ステップ 10

address-family ipv4 vrf-name

 

Router (config)# address-family ipv4 vrf red

アドレス ファミリ コンフィギュレーション モードを開始し、標準 IPv4 アドレス プレフィクスを使用するルーティング セッションを設定します。

ステップ 11

redistribute connected

 

Router (config)# redistribute connected

インターフェイス上で IP をイネーブルにしたことにより自動的に確立されたルートを、あるルーティング ドメインから別のルーティング ドメインへ再分配します。

ステップ 12

exit-address-family

 

Router (config)# exit-address-family

アドレス ファミリ コンフィギュレーション モードを終了します。

(注) VRF ごとにステップ 10 ~ 12 を繰り返します。

DMVPN のトラブルシューティング

DMVPN の設定後、必要であれば、その DMVPN が正常に動作するかどうかの確認や、DMVPN の統計情報やセッションのクリア、DMVPN のデバッグを次の手順に従って実行できます。

手順の概要

1. clear dmvpn session [ peer { nbma | tunnel } ip-address ] [ interface { tunnel number }] [ vrf vrf-name ] [ static ]

2. clear dmvpn statistics [ peer { nbma | tunnel } ip-address ] [ interface { tunnel number }] [ vrf vrf-name ]

3. debug dmvpn {[{ condition [ unmatched ] | [ peer [ nbma | tunnel { ip-address }]] | [ vrf { vrf-name }] | [ interface { tunnel number }]}] | [{ error | detail | packet | all } { nhrp | crypto | tunnel | socket | all }]}

4. debug nhrp condition

5. debug nhrp error

6. logging dmvpn [ rate-limit seconds ]

7. show crypto ipsec sa [ active | standby ]

8. show crypto isakmp sa

9. show crypto map

10. show dmvpn [ peer [ nbma | tunnel { ip-address }] | [ network { ip-address } {mask}]] [vrf { vrf-name }] [ interface { tunnel number }] [ detail ] [ static ] [ debug-condition ]

11. show ip nhrp traffic [ interface { tunnel number }]

手順の詳細


ステップ 1 DMVPN セッションをクリアする場合は、 clear dmvpn session コマンドを使用します。

次に、ダイナミック DMVPN セッションだけをクリアするためのコマンドの使用例を示します。

Router# clear dmvpn session peer nbma

次に、指定したトンネルのすべての DMVPN セッション(スタティック セッションとダイナミック セッションの両方)をクリアするためのコマンドの使用例を示します。

Router# clear dmvpn session interface tunnel 100 static

ステップ 2 DMVPN 関連のカウンタをクリアする場合は、 clear dmvpn statistics コマンドを使用します。次に、指定したトンネル インターフェイスの DMVPN 関連セッション カウンタをクリアするためのコマンドの使用例を示します。

Router# clear dmvpn statistics peer tunnel 192.0.2.3

ステップ 3 DMVPN セッションのデバッグを行う場合は、 debug dmvpn コマンドを使用します。DMVPN のデバッグは、ある特定の条件に応じてイネーブル化/ディセーブル化を切り替えることができます。DMVPN のデバッグには、次のように 3 つのレベルがあります。下位のレベルほど、細部のデバッグを実行できます。

エラー レベル

詳細レベル

パケット レベル

次に、NHRP、ソケット、トンネル保護、および暗号情報に対するエラー デバッグをすべて表示する条件付き DMVPN デバッグをイネーブルにするためのコマンドの使用例を示します。

Router# debug dmvpn error all

ステップ 4 debug nhrp condition コマンドを使用すると、ある特定の条件に応じてデバッグのイネーブル化とディセーブル化を切り替えることができます。次に、条件付き NHRP デバッグをイネーブルにするためのコマンドの使用例を示します。

Router# debug nhrp condition

ステップ 5 debug nhrp error コマンドを使用すると、NHRP のエラー動作に関する情報を表示できます。次に、NHRP のエラー メッセージに対するデバッグをイネーブルにするためのコマンドの使用例を示します。

Router# debug nhrp error

ステップ 6 DMVPN のシステム ロギングをイネーブルにする場合は、 logging dmvpn コマンドを使用します。次に、20 秒ごとに 1 つのメッセージが生成される DMVPN のシステム ロギングをイネーブルにするためのコマンドの使用例を示します。

Router(config)# logging dmvpn rate-limit 20

次に、DMVPN メッセージがリスト表示されたシステム ログの例を示します。

%DMVPN-7-CRYPTO_SS: Tunnel101-192.0.2.1 socket is UP
%DMVPN-5-NHRP_NHS: Tunnel101 192.0.2.251 is UP
%DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel1 Registered.
%DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel101 came UP.
%DMVPN-3-NHRP_ERROR: Registration Request failed for 192.0.2.251 on Tunnel101

 

ステップ 7 show crypto ipsec sa コマンドを使用すると、現在の SA で使用されている設定内容を表示できます。次に、アクティブなデバイスの IPsec SA ステータスだけが表示される出力例を示します。

Router# show crypto ipsec sa active

 
interface: Ethernet0/0
Crypto map tag: to-peer-outside, local addr 209.165.201.3
protected vrf: (none
local ident (addr/mask/prot/port): (192.168.0.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.16.0.1/255.255.255.255/0/0)
current_peer 209.165.200.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 209.165.201.3, remote crypto endpt.: 209.165.200.225
path mtu 1500, media mtu 1500
current outbound spi: 0xD42904F0(3559458032)
inbound esp sas:
spi: 0xD3E9ABD0(3555306448)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2006, flow_id: 6, crypto map: to-peer-outside
sa timing: remaining key lifetime (k/sec): (4586265/3542)
HA last key lifetime sent(k): (4586267)
ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

ステップ 8 show crypto isakmp sa コマンドを使用すると、ピアにおける現在の IKE SA をすべて表示できます。たとえば次の例では、出力は 2 つのピア間の IKE ネゴシエーションが正常に実行されてから表示されます。

Router# show crypto isakmp sa
 
dst src state conn-id slot
172.17.63.19 172.16.175.76 QM_IDLE 2 0
172.17.63.19 172.17.63.20 QM_IDLE 1 0
172.16.175.75 172.17.63.19 QM_IDLE 3 0
 

ステップ 9 show crypto map コマンドを使用すると、クリプト マップの設定内容を表示できます。

次に、クリプト マップの設定が完了した後に表示される出力例を示します。

Router# show crypto map
 
Crypto Map "Tunnel5-head-0" 10 ipsec-isakmp
Profile name: vpnprof
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
 
Crypto Map "Tunnel5-head-0" 20 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.16.175.75
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.16.175.75
Current peer: 172.16.175.75
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
 
Crypto Map "Tunnel5-head-0" 30 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.17.63.20
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.17.63.20
Current peer: 172.17.63.20
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
 
Crypto Map "Tunnel5-head-0" 40 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.16.175.76
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.16.175.76
Current peer: 172.16.175.76
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Interfaces using crypto map Tunnel5-head-0:

Tunnel5

ステップ 10 show dmvpn コマンドを使用すると、DMVPN 固有のセッション情報を表示できます。次に、サマリー情報の出力例を示します。

Router# show dmvpn
 
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
 
! The line below indicates that the sessions are being displayed for Tunnel1.
! Tunnel1 is acting as a spoke and is a peer with three other NBMA peers.
 
Tunnel1, Type: Spoke, NBMA Peers: 3,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
2 192.0.2.21 192.0.2.116 IKE 3w0d D
1 192.0.2.102 192.0.2.11 NHRP 02:40:51 S
1 192.0.2.225 192.0.2.10 UP 3w0d S
 
Tunnel2, Type: Spoke, NBMA Peers: 1,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 192.0.2.25 192.0.2.171 IKE never S
 

ステップ 11 show ip nhrp traffic コマンドを使用すると、NHRP の統計情報を表示できます。次に、特定のトンネル(tunnel7)に関する出力例を示します。

Router# s how ip nhrp traffic interface tunnel7

Tunnel7: Max-send limit:100Pkts/10Sec, Usage:0%
Sent: Total 79
18 Resolution Request 10 Resolution Reply 42 Registration Request
0 Registration Reply 3 Purge Request 6 Purge Reply
0 Error Indication 0 Traffic Indication
Rcvd: Total 69
10 Resolution Request 15 Resolution Reply 0 Registration Request
36 Registration Reply 6 Purge Request 2 Purge Reply
0 Error Indication 0 Traffic Indication


 

次の作業

DMVPN の設定に関するトラブルシューティングの際にテクニカル サポートへ問い合せる場合は、 show tech-support コマンドを使用すると、DMVPN セッションに関する情報を取得できます。詳細については、『Cisco IOS Configuration Fundamentals Command Reference』の show tech-support コマンドに関する説明を参照してください。

DMVPN 機能の設定例

ここでは、次の設定例について詳しく説明します。

「DMVPN 用のハブの設定例」

「DMVPN 用のスポークの設定例」

「VRF 対応 DMVPN の設定例」

DMVPN 用のハブの設定例

次に、マルチポイント GRE/IPsec 統合用のハブ ルータの設定例を示します。これは、すべてのスポーク ルータが対話可能なグローバル IPsec ポリシー テンプレートを使用した設定方法で、各スポークに対する個別の設定を明示的に行う必要はありません。ここでは、EIGRP が、プライベート物理インターフェイスおよびトンネル インターフェイスを介して実行されるように設定されています。

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile vpnprof
set transform-set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
! Ensures longer packets are fragmented before they are encrypted; otherwise, the receiving router would have to do the reassembly.
ip mtu 1400
! The following line must match on all nodes that “want to use” this mGRE tunnel:
ip nhrp authentication donttell
! Note that the next line is required only on the hub.
ip nhrp map multicast dynamic
! The following line must match on all nodes that want to use this mGRE tunnel:
ip nhrp network-id 99
ip nhrp holdtime 300
! Turns off split horizon on the mGRE tunnel interface; otherwise, EIGRP will not advertise routes that are learned via the mGRE interface back out that interface.
no ip split-horizon eigrp 1
! Enables dynamic, direct spoke-to-spoke tunnels when using EIGRP.
no ip next-hop-self eigrp 1
ip tcp adjust-mss 1360
delay 1000
! Sets IPsec peer address to Ethernet interface’s public address.
tunnel source Ethernet0
tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel.
tunnel key 100000
tunnel protection ipsec profile vpnprof
!
interface Ethernet0
ip address 172.17.0.1 255.255.255.0
!
interface Ethernet1
ip address 192.168.0.1 255.255.255.0
!
router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.0.0 0.0.0.255
!

 

ISAKMP プロファイルの定義および設定に関する詳細については、 「関連資料」 のリファレンスを参照してください。

DMVPN 用のスポークの設定例

次に、スポークの設定例を示します。これは、すべてのスポークを、トンネルおよびインターフェイス アドレス以外すべて同じ内容で設定する方法で、ユーザが行うべき設定操作を軽減できるというメリットがあります。

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile vpnprof
set transform-set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1400
! The following line must match on all nodes that want to use this mGRE tunnel:
ip nhrp authentication donttell
! Definition of NHRP server at the hub (10.0.0.1), which is permanently mapped to the static public address of the hub (172.17.0.1).
ip nhrp map 10.0.0.1 172.17.0.1
! Sends multicast packets to the hub router, and enables the use of a dynamic routing protocol between the spoke and the hub.
ip nhrp map multicast 172.17.0.1
! The following line must match on all nodes that want to use this mGRE tunnel:
ip nhrp network-id 99
ip nhrp holdtime 300
! Configures the hub router as the NHRP next-hop server.
ip nhrp nhs 10.0.0.1
ip tcp adjust-mss 1360
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel:
tunnel key 100000
tunnel protection ipsec profile vpnprof
!
! This is a spoke, so the public address might be dynamically assigned via DHCP.
interface Ethernet0
ip address dhcp hostname Spoke1
!
interface Ethernet1
ip address 192.168.1.1 255.255.255.0
!
! EIGRP is configured to run over the inside physical interface and the tunnel.
router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255

VRF 対応 DMVPN の設定例

VRF 対応 DMVPN を設定するためには、各 VRF インスタンスに対して DMVPN ネットワークを個別に作成する必要があります。次に、「BLUE」および「RED」という 2 つの DMVPN ネットワークが存在する場合の設定例を示します。Cisco IOS Release 12.2(18)SXE の場合、ハブ上では、各 DMVPN トンネルごとに個別の送信元インターフェイスを使用する必要があります。その他の Cisco IOS Releaseでは、2 つのトンネル インターフェイスに対して同じトンネル送信元を設定できます。ただしこの場合は、 tunnel key コマンドおよび tunnel protection (tunnel protection ipsec profile { name } shared) コマンドを設定する必要があります。


shared キーワードを使用する場合は、Cisco IOS の 12.4(5)、12.4(6)T、またはそれ以降のリリースを実行していることが必要です。これ以外のリリースを実行していると、2 つの mGRE トンネル インターフェイスの IPsec/GRE トンネルが正常に機能しないことがあります。


ハブの設定

interface Tunnel0
! Note the next line.
ip vrf forwarding BLUE
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
ip mtu 1436
! Note the next line.
ip nhrp authentication BLUE!KEY
ip nhrp map multicast dynamic
! Note the next line
ip nhrp network-id 100000
ip nhrp holdtime 600
no ip split-horizon eigrp 1
no ip next-hop-self eigrp 1
ip tcp adjust-mss 1360
delay 1000
! Note the next line.
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel protection ipsec profile vpnprof!
interface Tunnel1
! Note the next line.
ip vrf forwarding RED
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
ip mtu 1436
! Note the next line.
ip nhrp authentication RED!KEY
ip nhrp map multicast dynamic
! Note the next line.
ip nhrp network-id 20000
ip nhrp holdtime 600
no ip split-horizon eigrp 1
no ip next-hop-self eigrp 1
ip tcp adjust-mss 1360
delay 1000
! Note the next line.
tunnel source Ethernet1
tunnel mode gre multipoint
tunnel protection ipsec profile vpnprof!
interface Ethernet0
ip address 172.17.0.1 255.255.255.0
interface Ethernet1
ip address 192.0.2.171 255.255.255.0

) 上記の設定例では、各 VPN に対して DMVPN が個別に設定されています。2 つの mGRE インターフェイスの NHRP ネットワーク ID および認証キーは、一意であることが必要です。


ハブにおける EIGRP の設定

router eigrp 1
auto-summary
!
address-family ipv4 vrf BLUE
network 10.0.0.0 0.0.0.255
no auto-summary
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf RED
network 10.0.0.0 0.0.0.255
no auto-summary
autonomous-system 1
exit-address-family

スポークの設定

スポーク 1

interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1436
! Note the next line.
ip nhrp authentication BLUE!KEY
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp network-id 100000
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
ip tcp adjust-mss 1360
delay 1000
tunnel mode gre multipoint
tunnel source Ethernet0
tunnel destination 172.17.0.1
tunnel protection ipsec profile vpnprof

スポーク 2

interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1436
ip nhrp authentication RED!KEY
ip nhrp map 10.0.0.1 192.0.2.171
ip nhrp network-id 200000
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
ip tcp adjust-mss 1360
delay 1000
tunnel source Ethernet0
tunnel destination 192.0.2.171
tunnel protection ipsec profile vpnprof!
 

トラフィック セグメンテーションの有効化(2547oDMVPN)(BGP を使用の場合に限る)の例

次に、Provider Edge(PE; プロバイダー エッジ)デバイスとして動作する 2 つのスポーク間でトラフィックをセグメント化するためのトラフィック セグメンテーションの設定例を示します。

ハブの設定

hostname hub-pe1
 
boot-start-marker
boot-end-marker
 
no aaa new-model
 
resource policy
 
clock timezone EST 0
ip cef
no ip domain lookup
 
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
 
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
 
mpls label protocol ldp
 
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
 
crypto ipsec transform-set t1 esp-des
mode transport
 
crypto ipsec profile prof
set transform-set t1
 
interface Tunnel1
ip address 10.9.9.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1
 
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
 
interface Loopback0
ip address 10.0.0.1 255.255.255.255
 
interface Ethernet0/0
ip address 172.0.0.1 255.255.255.0
 
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.11 remote-as 1
neighbor 10.0.0.11 update-source Tunnel1
neighbor 10.0.0.12 remote-as 1
neighbor 10.0.0.12 update-source Tunnel1
no auto-summary
 
address-family vpnv4
neighbor 10.0.0.11 activate
neighbor 10.0.0.11 send-community extended
neighbor 10.0.0.11 route-reflector-client
neighbor 10.0.0.11 route-map NEXTHOP out
neighbor 10.0.0.12 activate
neighbor 10.0.0.12 send-community extended
neighbor 10.0.0.12 route-reflector-client
neighbor 10.0.0.12 route-map NEXTHOP out
exit-address-family
 
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
 
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
 
no ip http server
no ip http secure-server
 
!In this route map information, the hub sets the next hop to itself, and the VPN prefixes are advertised:
route-map NEXTHOP permit 10
set ip next-hop 10.0.0.1
 
control-plane
 
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
 
end
 

スポークの設定

スポーク 2

hostname spoke-pe2
 
boot-start-marker
boot-end-marker
 
no aaa new-model
 
resource policy
 
clock timezone EST 0
ip cef
no ip domain lookup
 
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
 
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
 
mpls label protocol ldp
 
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
 
crypto ipsec transform-set t1 esp-des
mode transport
 
crypto ipsec profile prof
set transform-set t1
 
interface Tunnel1
ip address 10.0.0.11 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
 
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
 
interface Loopback0
ip address 10.9.9.11 255.255.255.255
 
interface Ethernet0/0
ip address 172.0.0.11 255.255.255.0
!
!
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.11.2 255.255.255.0
 
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.11.2 255.255.255.0
 
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.1 remote-as 1
neighbor 10.0.0.1 update-source Tunnel1
no auto-summary
 
address-family vpnv4
neighbor 10.0.0.1 activate
neighbor 10.0.0.1 send-community extended
exit-address-family
 
!
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
 
!
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
 
no ip http server
no ip http secure-server
 
control-plane
 
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
 
end
 

スポーク 3

hostname spoke-PE3
 
boot-start-marker
boot-end-marker
 
no aaa new-model
 
resource policy
 
clock timezone EST 0
ip cef
no ip domain lookup
 
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
 
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
 
mpls label protocol ldp
 
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
 
crypto ipsec transform-set t1 esp-des
mode transport
 
crypto ipsec profile prof
set transform-set t1
 
interface Tunnel1
ip address 10.0.0.12 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
 
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
!
interface Loopback0
ip address 10.9.9.12 255.255.255.255
 
interface Ethernet0/0
ip address 172.0.0.12 255.255.255.0
 
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.12.2 255.255.255.0
 
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.12.2 255.255.255.0
 
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.1 remote-as 1
neighbor 10.0.0.1 update-source Tunnel1
no auto-summary
 
address-family vpnv4
neighbor 10.0.0.1 activate
neighbor 10.0.0.1 send-community extended
exit-address-family
 
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
 
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
 
no ip http server
no ip http secure-server
 
control-plane
 
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
 
end

トラフィック セグメンテーションの有効化(2547oDMVPN)(企業ブランチ)の例

次に、企業のブランチ オフィスに配置されている 2 つのスポーク間でトラフィックをセグメント化するための設定例を示します。この例では、DMVPN 内の BGP ネイバーに到達するルートを学習するように、EIGRP が設定されています。

ハブの設定

hostname HUB
 
boot-start-marker
boot-end-marker
 
no aaa new-model
 
resource policy
 
clock timezone EST 0
ip cef
no ip domain lookup
 
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
 
!This refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
 
mpls label protocol ldp
 
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
 
crypto ipsec transform-set t1 esp-des
mode transport
 
crypto ipsec profile prof
set transform-set t1
 
interface Tunnel1
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1
 
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
no ip split-horizon eigrp 1
 
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
 
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
ip address 10.9.9.1 255.255.255.255
 
interface Ethernet0/0
ip address 172.0.0.1 255.255.255.0
 
!EIGRP is configured to learn the BGP peer addresses (10.9.9.x networks)
router eigrp 1
network 10.9.9.1 0.0.0.0
network 10.0.0.0 0.0.0.255
no auto-summary
 
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp router-id 10.9.9.1
bgp log-neighbor-changes
neighbor 10.9.9.11 remote-as 1
neighbor 10.9.9.11 update-source Loopback0
neighbor 10.9.9.12 remote-as 1
neighbor 10.9.9.12 update-source Loopback0
no auto-summary
 
address-family vpnv4
neighbor 10.9.9.11 activate
neighbor 10.9.9.11 send-community extended
neighbor 10.9.9.11 route-reflector-client
neighbor 10.9.9.12 activate
neighbor 10.9.9.12 send-community extended
neighbor 10.9.9.12 route-reflector-client
exit-address-family
 
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
 
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
 
no ip http server
no ip http secure-server
 
control-plane
 
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
 
end
 

スポークの設定

スポーク 2

hostname Spoke2
 
boot-start-marker
boot-end-marker
 
no aaa new-model
 
resource policy
 
clock timezone EST 0
ip cef
no ip domain lookup
 
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
 
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
 
mpls label protocol ldp
 
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
 
crypto ipsec transform-set t1 esp-des
mode transport
 
crypto ipsec profile prof
set transform-set t1
 
interface Tunnel1
ip address 10.0.0.11 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
 
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
 
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
ip address 10.9.9.11 255.255.255.255
 
interface Ethernet0/0
ip address 172.0.0.11 255.255.255.0
 
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.11.2 255.255.255.0
 
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.11.2 255.255.255.0
 
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
router eigrp 1
network 10.9.9.11 0.0.0.0
network 10.0.0.0 0.0.0.255
no auto-summary
 
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp router-id 10.9.9.11
bgp log-neighbor-changes
neighbor 10.9.9.1 remote-as 1
neighbor 10.9.9.1 update-source Loopback0
no auto-summary
 
address-family vpnv4
neighbor 10.9.9.1 activate
neighbor 10.9.9.1 send-community extended
exit-address-family
 
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
 
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
 
no ip http server
no ip http secure-server
 
control-plane
 
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
 
end
 

スポーク 3

hostname Spoke3
 
boot-start-marker
boot-end-marker
 
no aaa new-model
 
resource policy
 
clock timezone EST 0
ip cef
no ip domain lookup
 
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
 
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
 
mpls label protocol ldp
 
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
 
crypto ipsec transform-set t1 esp-des
mode transport
 
crypto ipsec profile prof
set transform-set t1
 
interface Tunnel1
ip address 10.0.0.12 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
 
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
 
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
ip address 10.9.9.12 255.255.255.255
 
interface Ethernet0/0
ip address 172.0.0.12 255.255.255.0
 
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.12.2 255.255.255.0
 
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.12.2 255.255.255.0
 
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
router eigrp 1
network 10.9.9.12 0.0.0.0
network 10.0.0.0 0.0.0.255
no auto-summary
 
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp router-id 10.9.9.12
bgp log-neighbor-changes
neighbor 10.9.9.1 remote-as 1
neighbor 10.9.9.1 update-source Loopback0
no auto-summary
 
address-family vpnv4
neighbor 10.9.9.1 activate
neighbor 10.9.9.1 send-community extended
exit-address-family
 
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
 
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
 
no ip http server
no ip http secure-server
 
control-plane
 
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
 
end
 

コマンドの出力例:show mpls ldp bindings

Spoke2# show mpls ldp bindings
 
tib entry: 10.9.9.1/32, rev 8
local binding: tag: 16
remote binding: tsr: 10.9.9.1:0, tag: imp-null
tib entry: 10.9.9.11/32, rev 4
local binding: tag: imp-null
remote binding: tsr: 10.9.9.1:0, tag: 16
tib entry: 10.9.9.12/32, rev 10
local binding: tag: 17
remote binding: tsr: 10.9.9.1:0, tag: 17
tib entry: 10.0.0.0/24, rev 6
local binding: tag: imp-null
remote binding: tsr: 10.9.9.1:0, tag: imp-null
tib entry: 172.0.0.0/24, rev 3
local binding: tag: imp-null
remote binding: tsr: 10.9.9.1:0, tag: imp-null
Spoke2#

コマンドの出力例:show mpls forwarding-table

Spoke2# show mpls forwarding-table
 
Local Outgoing Prefix Bytes tag Outgoing Next Hop
tag tag or VC or Tunnel Id switched interface
16 Pop tag 10.9.9.1/32 0 Tu1 10.0.0.1
17 17 10.9.9.12/32 0 Tu1 10.0.0.1
18 Aggregate 192.168.11.0/24[V] \
0
19 Aggregate 192.168.11.0/24[V] \
0
Spoke2#

コマンドの出力例:show ip route vrf red

Spoke2# show ip route vrf red
 
Routing Table: red
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
 
Gateway of last resort is not set
 
B 192.168.12.0/24 [200/0] via 10.9.9.12, 00:00:02
C 192.168.11.0/24 is directly connected, Ethernet1/0
Spoke2#

コマンドの出力例:show ip route vrf blue

Spoke2# show ip route vrf blue
 
Routing Table: blue
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
 
Gateway of last resort is not set
 
B 192.168.12.0/24 [200/0] via 10.9.9.12, 00:00:08
C 192.168.11.0/24 is directly connected, Ethernet2/0
Spoke2#
Spoke2# show ip cef vrf red 192.168.12.0
 
192.168.12.0/24, version 5, epoch 0
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Tu1, 10.0.0.1, tags imposed: {17 18}
via 10.9.9.12, 0 dependencies, recursive
next hop 10.0.0.1, Tunnel1 via 10.9.9.12/32
valid adjacency
tag rewrite with Tu1, 10.0.0.1, tags imposed: {17 18}
Spoke2#

コマンドの出力例:show ip bgp neighbors

Spoke2# show ip bgp neighbors
 
BGP neighbor is 10.9.9.1, remote AS 1, internal link
BGP version 4, remote router ID 10.9.9.1
BGP state = Established, up for 00:02:09
Last read 00:00:08, last write 00:00:08, hold time is 180, keepalive interval is 60 seconds
Neighbor capabilities:
Route refresh: advertised and received(old & new)
Address family IPv4 Unicast: advertised and received
Address family VPNv4 Unicast: advertised and received
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent Rcvd
Opens: 1 1
Notifications: 0 0
Updates: 4 4
Keepalives: 4 4
Route Refresh: 0 0
Total: 9 9
Default minimum time between advertisement runs is 0 seconds
 
For address family: IPv4 Unicast
BGP table version 1, neighbor version 1/0
Output queue size : 0
Index 1, Offset 0, Mask 0x2
1 update-group member
Sent Rcvd
Prefix activity: ---- ----
Prefixes Current: 0 0
Prefixes Total: 0 0
Implicit Withdraw: 0 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 0
Used as multipath: n/a 0
 
Outbound Inbound
Local Policy Denied Prefixes: -------- -------
Total: 0 0
Number of NLRIs in the update sent: max 0, min 0
 
For address family: VPNv4 Unicast
BGP table version 9, neighbor version 9/0
Output queue size : 0
Index 1, Offset 0, Mask 0x2
1 update-group member
Sent Rcvd
Prefix activity: ---- ----
Prefixes Current: 2 2 (Consumes 136 bytes)
Prefixes Total: 4 2
Implicit Withdraw: 2 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 2
Used as multipath: n/a 0
 
Outbound Inbound
Local Policy Denied Prefixes: -------- -------
ORIGINATOR loop: n/a 2
Bestpath from this peer: 4 n/a
Total: 4 2
Number of NLRIs in the update sent: max 1, min 1
 
Connections established 1; dropped 0
Last reset never
Connection state is ESTAB, I/O status: 1, unread input bytes: 0
Connection is ECN Disabled
Local host: 10.9.9.11, Local port: 179
Foreign host: 10.9.9.1, Foreign port: 12365
 
Enqueued packets for retransmit: 0, input: 0 mis-ordered: 0 (0 bytes)
 
Event Timers (current time is 0x2D0F0):
Timer Starts Wakeups Next
Retrans 6 0 0x0
TimeWait 0 0 0x0
AckHold 7 3 0x0
SendWnd 0 0 0x0
KeepAlive 0 0 0x0
GiveUp 0 0 0x0
PmtuAger 0 0 0x0
DeadWait 0 0 0x0
 
iss: 3328307266 snduna: 3328307756 sndnxt: 3328307756 sndwnd: 15895
irs: 4023050141 rcvnxt: 4023050687 rcvwnd: 16384 delrcvwnd: 0
 
SRTT: 165 ms, RTTO: 1457 ms, RTV: 1292 ms, KRTT: 0 ms
minRTT: 0 ms, maxRTT: 300 ms, ACK hold: 200 ms
Flags: passive open, nagle, gen tcbs
IP Precedence value : 6
 
Datagrams (max data segment is 536 bytes):
Rcvd: 13 (out of order: 0), with data: 7, total data bytes: 545
Sent: 11 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0), with data: 6, total data bytes: 489
Spoke2#

その他の参考資料

ここでは、DMVPN に関連する参考資料について説明します。

関連資料

内容
参照先

コール アドミッション制御

「Call Admission Control for IKE」

GRE トンネル キープアライブに関する情報

Generic Routing Encapsulation (GRE) Tunnel Keepalive , Cisco IOS Release 12.2(8)T』

IKE の設定作業(IKE ポリシーの定義など)

C isco IOS Security Configuration Guide : Secure Connectivity Configuring Internet Key Exchange for IPSec VPNs

IPsec の設定作業

『Cisco IOS Security Configuration Guide: Secure Connectivity』の 「Configuring Security for VPNs with IPsec

VRF-Aware IPsec の設定

『Cisco IOS Security Configuration Guide: Secure Connectivity』の「 VRF-Aware IPsec

MPLS の設定

『Cisco IOS Multiprotocol Label Switching Configuration Guide』の「 Configuring Multiprotocol Label Switching

BGP の設定

Cisco IOS IP Routing: BGP Protocols Configuration Guide 』の「 Cisco BGP Overview

システム メッセージ

『System Message Guide』

ISAKMP プロファイルの定義と設定

Cisco IOS Security Configuration Guide: Secure Connectivity』 の「 Certificate to ISAKMP Profile Mapping

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2547

『BGP/MPLS VPNs』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

コマンド リファレンス

次に示すコマンドは、この章に記載されている機能または機能群において、新たに導入または変更されたものです。これらのコマンドの詳細については、『 Cisco IOS Security Command Reference 』( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool( http://tools.cisco.com/Support/CLILookup )を使用するか、または『 Cisco IOS Master Command List, All Releases 』( http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html )にアクセスしてください。

次のコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。

clear dmvpn session

clear dmvpn statistics

debug dmvpn

debug nhrp condition

debug nhrp error

logging dmvpn

show dmvpn

show ip nhrp traffic

DMVPN に関する機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


表 1 DMVPN に関する機能情報

機能名
リリース
機能情報

DMVPN:DMVPN 内のトラフィック セグメンテーションのイネーブル化

12.4(11)T

2547oDMVPN 機能を使用すると、各 VRF の送信元および宛先を示す MPLS ラベルを VRF インスタンスに適用することにより、DMVPN トンネル内の VPN トラフィックをセグメント化できます。

DMVPN の管理を容易にするための拡張機能

12.4(9)T

DMVPN セッションは、デバッグ、出力の表示、セッションとカウンタの制御、およびシステム ログ情報の表示を行うための DMVPN 専用コマンドを使用することで、より容易に管理できるようになりました。

この機能に関する詳細については、次の各項を参照してください。

「DMVPN のトラブルシューティング」

この機能により、次のコマンドが導入または変更されました。
clear dmvpn session, clear dmvpn statistics debug dmvpn debug nhrp condition debug nhrp error logging dmvpn show dmvpn 、および show ip nhrp traffic

DMVPN フェーズ 2

12.2(18)SXE

12.3(9)a

12.3(8)T1

DMVPN スポークツースポーク機能は、実稼動環境での使用にも十分対応できるようになりました。この機能を実稼動ネットワークで使用する場合は、12.3(9a) または 12.3(8)T1 以降のリリースを使用してください。

リリース 12.2(18)SXE では、Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズのルータに対しても新たにサポートされるようなりました。

--

12.3(6)

12.3(7)T

VRF 統合 DMVPN および NAT-T 対応 DMVPN の拡張機能が追加されました。また、DMVPN ハブツースポーク機能は、実稼動環境での使用にも十分対応できるようになりました。この機能を実稼動ネットワークで使用する場合は、Cisco IOS の 12.3(6) または 12.3(7)T 以降のリリースを使用してください。

Cisco IOS Release 12.3(6) に追加された拡張機能は、Cisco IOS Release 12.3(7)T に統合されています。

DMVPN フェーズ 1

12.2(13)T

DMVPN 機能を使用すると、GRE トンネル、IPsec 暗号化、および NHRP を組み合せることにより、目的に合せて大小さまざまな規模の IPsec VPN を構築できます。

用語集

AM :Aggressive Mode(AM; アグレッシブ モード)。IKE ネゴシエーション実行中のモードです。Main Mode(MM; メイン モード)と比較すると、AM はいくつかのプロセスが省略されているため動作は速くなりますが、セキュリティ性能は低くなります。Cisco IOS ソフトウェアでは、アグレッシブ モードを開始した IKE ピアには、アグレッシブ モードで応答します。

GRE :Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)。トンネルを構成することにより、共有 WAN 全体に特定の経路を確保するとともに、特定の宛先へトラフィックを確実に送り届けるため新たなパケット ヘッダーでトラフィックをカプセル化します。トラフィックにとってトンネルの入口となるのはエンドポイントに限られるため、プライベートなネットワークを実現できます。トンネルそのものは、暗号化のように高い機密性を確保する手段にはなりませんが、暗号化されたトラフィックをトンネル経由で送信することは可能です。

GRE トンネリングを使用すると、非 IP トラフィックを IP にカプセル化して、インターネットや IP ネットワーク上に送信することもできます。非 IP トラフィックに該当するのは、Internet Package Exchange(IPX; インターネット パケット交換)プロトコルや AppleTalk プロトコルなどのトラフィックです。

IKE :Internet Key Exchange(IKE; インターネット キー エクスチェンジ)。Oakley 鍵交換や Skeme 鍵交換を ISAKMP フレームワーク内部に実装したハイブリッド プロトコルです。IKE は、他のプロトコルでも使用できますが、初期実装されるのは IPsec です。IKE は、IPsec ピアを認証し、IPsec キーをネゴシエーションし、IPsec セキュリティ アソシエーションを実行します。

IPsec :IP Security(IP セキュリティ)。Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって開発されたオープン規格のフレームワークです。IPsec により、インターネットなどの保護されていないネットワーク上で機密性の高い情報を送信する際にセキュリティを確保します。IPsec はネットワーク レイヤで機能し、Cisco ルータなどの参加している IPsec 装置(ピア)間の IP パケットを保護および認証します。

ISAKMP :Internet Security Association and Key Management Protocol(ISAKMP; インターネット セキュリティ アソシエーションおよびキー管理プロトコル)。ペ イロード形式、鍵交換プロトコルの実装メカニズム、およびセキュリティ アソシエーションのネゴシエーションを定義するプロトコル フレームワークです。

MM :Main Mode(MM; メイン モード)。 MM では、IKE ピアに対してより多くのセキュリティ プロポーザルが提供されます。そのため MM は、アグレッシブ モードに比べると動作速度は劣りますが、セキュリティ性能や柔軟性の面では優れたモードです。IKE 認証(RSA シグニチャ、RSA 暗号、または事前共有鍵)では、MM がデフォルトで開始されます。

NHRP Next Hop Resolution Protocol。 ルータ、アクセス サーバ、およびホストでは、NHRP を使用することで、NonBroadcast MultiAccess(NBMA; 非ブロードキャスト マルチアクセス)ネットワークに接続された他のルータおよびホストのアドレスを検出できます。

シスコによる NHRP の実装では、IETF ドラフト バージョン 11 の NBMA Next Hop Resolution Protocol(NHRP)をサポートしています。

また、IP バージョン 4 および Internet Packet Exchange(IPX; インターネット パケット交換)ネットワーク レイヤをサポートしているほか、リンク レイヤでは、ATM、イーサネット、SMDS、およびマルチポイント トンネル ネットワークもサポートしています。NHRP はイーサネット上で使用できますが、イーサネットではブロードキャストが可能であるため、NHRP をイーサネット メディアに実装する必要はありません。IPX に対してイーサネットのサポートは不要です(サポートはありません)。

PFS :Perfect Forward Secrecy(完全転送秘密)。 これは、導き出される共有秘密値に関連する暗号特性です。PFS を使用すると、1 つの鍵が損なわれても、これ以降の鍵は前の鍵の取得元から取得されないため、前および以降の鍵には影響しません。

SA :Security Association(SA; セキュリティ アソシエーション)。 2 つ以上のエンティティ間で、安全な通信を行うためのセキュリティ サービスをどのように使用するかを規定したものです。たとえば IPsec の SA では、IPsec 接続の際に使用される暗号化アルゴリズム(使用される場合)、認証アルゴリズム、および共有セッション キーが定義されます。

IPsec および IKE では、接続パラメータの識別に必ず SA が使用されます。IKE では、独自に SA をネゴシエーションして確立できます。IPsec の SA は、IKE により確立することも、ユーザ設定により確立することもできます。

VPN :Virtual Private Network(VPN; バーチャル プライベート ネットワーク)。 複数のピアで構成されるフレームワークで、各ピア間では、他のパブリック インフラストラクチャを介して機密データがセキュアに転送されます。このフレームワークでは、すべてのデータをトンネルして暗号化するプロトコルによって、着信ネットワーク トラフィックおよび発信ネットワーク トラフィックが保護されます。また、ネットワークをローカル トポロジの外部にまで拡張できるほか、リモート ユーザがダイレクト ネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。

トランスフォーム :データ認証、データ機密性、およびデータ圧縮を実現するためにデータ フローで実行される処理のリスト。たとえば、トランスフォームには、HMAC MD5 認証アルゴリズムを使用する ESP プロトコル、56 ビット DES 暗号規格アルゴリズムを使用する AH プロトコルおよび HMAC-SHA 認証アルゴリズムを使用する ESP プロトコルなどがあります。