H O M E > ネットワークのおべんきょしませんか? Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ > 2009年12月
(所属カテゴリー:シスコ | ネットワークセキュリティ---投稿日時:2009年12月25日)
次のネットワーク構成で、IPSec-VPNにより拠点間の通信を行いたいと考えています。
R1の拠点内には192.168.1.0/24のネットワークがあります。また、R2の拠点内には192.168.2.0/24のネットワークがあります。R1、R2をVPNゲートウェイとして拠点間の通信のパケットをIPSecで暗号化します。また、インターネットへ接続するためにR1、R2でNATによって拠点内のプライベートアドレスをISPに接続しているグローバルアドレスに変換できるようにしています。なお、インターネットへ通信確認は150.1.1.100のIPアドレスで行うものとします。
R1、R2で下記の設定を行っています。
R1 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 100.2.2.2 crypto isakmp keepalive 30 periodic ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer 100.2.2.2 set transform-set myset match address 100 ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ip nat inside ! interface FastEthernet0/0.101 encapsulation dot1Q 101 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map IPSEC ! ip route 0.0.0.0 0.0.0.0 100.1.1.100 ! ip nat inside source list 1 interface FastEthernet0/0.101 overload ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 100.1.1.1 crypto isakmp keepalive 30 periodic ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset match address 100 ! interface Loopback0 ip address 192.168.2.2 255.255.255.0 ip nat inside ! interface FastEthernet0/0.102 encapsulation dot1Q 102 ip address 100.2.2.2 255.255.255.0 ip nat outside crypto map IPSEC ! ip route 0.0.0.0 0.0.0.0 100.2.2.100 ! ip nat inside source list 1 interface FastEthernet0/0.102 overload ! access-list 1 permit 192.168.2.0 0.0.0.255 access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R1やR2からはインターネットへの接続は問題なく行うことができます。R1からインターネット(150.1.1.100)へPingすると次のように成功します。
R1 インターネット(150.1.1.100)への通信 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#ping 150.1.1.100 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 150.1.1.100, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/23/64 ms ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ところが、R1とR2の拠点間のIPSecの通信ができません。
R1 拠点間の通信 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#ping 192.168.2.2 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 U.U.U Success rate is 0 percent (0/5) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
IPSec SAを確認すると、R1とR2間でIPSec SAが確立できていないようです。
R1 show crypto ipsec sa ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#show crypto ipsec sa interface: FastEthernet0/0.101 Crypto map tag: IPSEC, local addr 100.1.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer 100.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 100.1.1.1, remote crypto endpt.: 100.2.2.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0.101 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━