c841mj-dmvpn_guide - Cisco Support Community
Download
Report
Transcript c841mj-dmvpn_guide - Cisco Support Community
CCP Express 3.1
DMVPN設定ガイド
※本資料は2015/09現在のハードウェア/ソフトウェアにおけるガイドです
はじめに
•
以下のサンプル構成(WAN/LAN設定済み)における設定方法です
設定対象
VPN Hub: ISR 4321
トンネルインターフェイス
172.16.1.100/24
設定端末
トンネルインターフェイス
172.16.1.5/24
PPPoE
WANポート
10.0.100.1/24
Dialerインターフェイス
WANポート
G0/0
LANポート
+ VLAN1 192.168.5.254/24
本社側のルータは設定済みで、複数ある対向拠点の設定を対象としています
※VPN Hubの設定は、CLIから行います(サンプルコンフィグは添付資料を参照)
DMVPNとは
•
続いて拠点間の通信を行うため、VPN HubルータとDMVPNを構築します
PPPoEのみを設定
DMVPNを設定
DMVPN(Dynamic Multipoint VPN): VPN接続を行う技術の1つ
プロバイダの契約により、拠点では固定的なアドレスが指定出来ない場合があります。通常VPN接続には相互にIPア
ドレスを指定する設定が必要ですが、DMVPNではその必要がありません。拠点ルータは本社の固定IPアドレスを指
定するだけで、自身のIPアドレスを考慮することなくVPN接続を構築することが可能です。
※本社側は固定IPアドレスが必須です
DMVPNの設定 -1
1.
“セキュリティ”タブを選択してください
DMVPNの設定は、セキュリティの項目から行います
DMVPNの設定 -2
1. DialerインターフェイスがゾーンWANに設定されていることを確認し、Vlan1をゾーンLANに
ドラッグアンドドロップします(最後に”適用する”を選択します)
Dialerインターフェイスはで
ゾーンWANに設定済みです
DMVPNの設定 -3
•
“VPN”タブを選択し、VPN設定画面へ移行します
DMVPNの設定 -4
1.
“DMVPNスポーク”を選択し、”有効にする”にチェックを入れてください
2.
“スポーク”と”ハブ”に必要な値を入力して下さい
スポーク
• トンネルIP: 172.16.1.5/24
• リモートサブネット: 192.168.5.0/24
ハブ
• ハブルータのアドレス: 10.0.100.1
• トンネルアドレス: 172.16.1.100
3.
右下の”次”をクリックして下さい
リモートサブネットの
サブネットマスク
DMVPNの設定 -5
VPNプロファイルの設定をします
1.
•
IKEv2を選択
• 事前共有鍵:cisco123
2.
右下の“次”をクリックして下さい
ルーティングの設定をします
1.
•
2.
EIGRP AS番号: 1
右下の“フィニッシュ”を選択します
DMVPNの設定 -6
1.
トンネルが緑色になることを確認してください
•
•
DMVPNのセッションが構築されると、トンネル部分が緑色になります
この状態で拠点ルータはVPN終端ルータとVPNセッションが構築された状態になりました
ポリシー設定とは
•
拠点のLANネットワークが、DMVPNセッションを利用して他拠点への疎通を可能にするため
に、ポリシー設定をします
インターフェイスをグループ化
グループ間通信の制御を定義
※ここでは、ZBFW(ゾーン Based Firewall)の設定を行います
ZBFW: インターフェイスをゾーン(WAN/LAN/VPN/DMZ)と呼ぶグループに分類し、グループ間のポリシーを定義する
ことでグループ間の通信制御(ポートやアプリケーション等)を行う事が可能です。複数のインターフェイスを1つのグ
ループに集約可能なため、通信制御の設定を簡単に行うことができます。
ポリシー設定 -1
1.
“ポリシー”タブを選択して下さい
2.
“追加”を選択して下さい
ゾーンLANとゾーンVPN間の通信設定
ポリシー設定 -2
1つ目のポリシーを設定して下さい
1.
•
•
•
•
•
ポリシー名: DMVPN_LAN_VPN
ポリシー 説明: 変更なし
アクション: 許可する
送信元ゾーン: LAN
宛先ゾーン: VPN
この段階ではセーブをクリックしないでください
ゾーンLANとゾーンVPN間の通信設定
ポリシー設定 -3
1.
ネットワークタブを選択して下さい
2.
送信元 ネットワークの設定をして下さい
※通信を許可するネットワークを設定しています
送信元 ネットワーク
• 宛先 ネットワーク
->どちらもデフォルトのANY
•
s
この段階ではセーブをクリックしないでください
ゾーンLANとゾーンVPN間の通信設定
ポリシー設定 -4
※通信を許可するアプリケーションを設定しています
1.
アプリケーションタブを選択して下さい
2.
使用可能なアプリケーションの検索ウィンド
に”icmp”を入力し検索して下さい
3.
検索結果で該当した”icmp”を
ドラッグアンドドロップで選択された
アプリケーションに移動して下さい
4.
同様の手順でdnsも選択されたアプリケー
ションに移動して下さい
5.
最後に”セーブ”を選択して下さい
※このラボでは”icmp”と”dns”を許可します
許可するアプリケーションを
ドラッグアンドドロップ
ゾーンLANとゾーンWAN間の通信設定
ポリシー設定 -5
※通信を許可するネットワークを設定しています
2つ目のポリシーを設定して下さい
1.
•
•
•
•
•
ポリシー名: DMVPN_LAN_WAN
ポリシー説明: 変更なし
アクション: 許可する
送信元ゾーン: LAN
宛先ゾーン: WAN
この段階ではセーブをクリックしないでください
ゾーンLANとゾーンWAN間の通信設定
ポリシー設定 -6
1.
ネットワークタブを選択して下さい
2.
送信元 ネットワークの設定をして下さい
※通信を許可するネットワークを設定しています
送信元 ネットワーク
• 宛先 ネットワーク
->どちらもデフォルトのAny
•
この段階ではセーブをクリックしないでください
ゾーンLANとゾーンWAN間の通信設定
ポリシー設定 -7
1.
アプリケーションタブを選択して下さい
2.
使用可能な アプリケーションの検索ウィンド
に”icmp”を入力し検索して下さい
3.
検索結果で該当した”icmp”を
ドラッグアンドドロップで選択された
アプリケーションに移動して下さい
4.
同様の手順でdnsも選択された アプリケー
ションに移動して下さい
※このラボでは”icmp”と”dns”を許可します
5.
最後に”セーブ”を選択して下さい
※通信を許可するアプリケーションを設定しています
許可するアプリケーションを
ドラッグアンドドロップ
ここまでの設定で、設定済みの拠点間でPingによる通信が可能になります
注)ここでは例として、拠
点Aから他拠点への接続
イメージを記載しています
DMVPN HUB
VPNトンネル
PPPoE Server
Ping
Pod-6
拠点A
PPPoE
Pod-7
拠点B
Pod-8
拠点C
Pod-9
拠点D
Pod-10
拠点E