H O M E > ネットワークのおべんきょしませんか? Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ > 2010年1月
(所属カテゴリー:シスコ | ネットワークセキュリティ---投稿日時:2010年1月29日)
次のネットワーク構成で、IPSec-VPNにより拠点間の通信を行いたいと考えています。
R1の拠点内(本社)には192.168.1.0/24のネットワークがあります。また、R2の拠点内(支社1)には192.168.2.0/24、R3の拠点内(支社2)には192.168.3.0/24のネットワークがあります。R1、R2、R3をVPNゲートウェイとして拠点間の通信のパケットをIPSecで暗号化します。拠点間の通信は、本社を中心としたハブ&スポーク構成で行います。つまり、支社間の通信はいったん本社を経由して行うことにしています。
また、インターネットへ接続するためにR1、R2、R3でNATによって拠点内のプライベートアドレスをISPに接続しているグローバルアドレスに変換できるようにしています。なお、インターネットへ通信確認は150.1.1.100のIPアドレスで行うものとします。
下記の設定は、R1、R2、R3で現在行っている設定の抜粋です。
R1 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 100.2.2.2 crypto isakmp key cisco address 100.3.3.3 crypto isakmp keepalive 30 periodic ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer 100.2.2.2 set transform-set myset match address 100 crypto map IPSEC 20 ipsec-isakmp set peer 100.3.3.3 set transform-set myset match address 101 ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ip nat inside ! interface FastEthernet0/0.101 encapsulation dot1Q 101 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map IPSEC ! ip route 0.0.0.0 0.0.0.0 100.1.1.100 ! ip nat inside source route-map NO_NAT interface FastEthernet0/0.101 overload ! access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 ! route-map NO_NAT deny 10 match ip address 100 101 ! route-map NO_NAT permit 100 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 100.1.1.1 crypto isakmp keepalive 30 periodic ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset match address 100 ! interface Loopback0 ip address 192.168.2.2 255.255.255.0 ip nat inside ! interface FastEthernet0/0.102 encapsulation dot1Q 102 ip address 100.2.2.2 255.255.255.0 ip nat outside crypto map IPSEC ! ip route 0.0.0.0 0.0.0.0 100.2.2.100 ! ip nat inside source route-map NO_NAT interface FastEthernet0/0.102 overload ! access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 ! route-map NO_NAT deny 10 match ip address 100 ! route-map NO_NAT permit 100 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R3 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 100.1.1.1 crypto isakmp keepalive 30 periodic ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset match address 100 ! interface Loopback0 ip address 192.168.3.3 255.255.255.0 ip nat inside ! interface FastEthernet0/0.103 encapsulation dot1Q 103 ip address 100.3.3.3 255.255.255.0 ip nat outside crypto map IPSEC ! ip route 0.0.0.0 0.0.0.0 100.3.3.100 ! ip nat inside source route-map NO_NAT interface FastEthernet0/0.103 overload ! access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 ! route-map NO_NAT deny 10 match ip address 100 ! route-map NO_NAT permit 100 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本社と支社間の通信は正常に行うことができますが、支社間の通信ができません。
たとえば、R1からR2およびR3へのPingは下記のように成功します。
R1 R2およびR3への通信確認 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#ping 192.168.2.2 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 56/72/100 ms R1#ping 192.168.3.3 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 8/52/80 ms ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ところが、R2からR3へPingを行うと失敗します。
R2 R3への通信確認 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2#ping 192.168.3.3 source 192.168.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds: Packet sent with a source address of 192.168.2.2 ..... Success rate is 0 percent (0/5) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━