概要

インターネットを介して本社と支社間の通信を行うためのサイトツーサイトIPSec-VPNの設定を行います。IPSec VPNはcrypto mapで設定します。単にIPSecだけでなく、ルーティング/NAT/ACLもきちんと考慮した設定を行います。

ネットワーク構成

図 [演習]サイトツーサイトIPSec-VPN(crypto-map) ネットワーク構成
図 [演習]サイトツーサイトIPSec-VPN(crypto-map) ネットワーク構成

設定条件

  • IPSec VPNによって本社と支社1を接続して拠点間の通信ができるように設定します。
  • 拠点内の通信を行うためにEIGRP AS1を利用します。
  • 拠点内からインターネットへの接続を可能にします。

初期設定

各ルータには、次の設定を行っています。

  • ホスト名
  • IPアドレス

R1 Initical Configuration(Click)

!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 1.1.1.1 255.255.255.0
 ip virtual-reassembly
!
interface FastEthernet0/0.14
 encapsulation dot1Q 14
 ip address 10.1.14.1 255.255.255.0
 ip virtual-reassembly
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15

line aux 0
line vty 0 4
 login
!
!
end

R2 Initical Configuration(Click)

!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 2
 ip address 2.2.2.2 255.255.255.0
 ip virtual-reassembly
!
interface FastEthernet0/0.25
 encapsulation dot1Q 25
 ip address 10.2.25.2 255.255.255.0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
  privilege level 15

line aux 0
line vty 0 4
 login
!
!
end

R4 Initical Configuration(Click)

!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R4
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Loopback0
 ip address 10.1.1.4 255.255.255.0 secondary
 ip address 10.1.2.4 255.255.255.0 secondary
 ip address 10.1.3.4 255.255.255.0 secondary
 ip address 10.1.0.4 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.14
 encapsulation dot1Q 14
 ip address 10.1.14.4 255.255.255.0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

R5 Initical Configuration(Click)

!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R5
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Loopback0
 ip address 10.2.1.5 255.255.255.0 secondary
 ip address 10.2.2.5 255.255.255.0 secondary
 ip address 10.2.3.5 255.255.255.0 secondary
 ip address 10.2.0.5 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.25
 encapsulation dot1Q 25
 ip address 10.2.25.5 255.255.255.0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

ISP Initical Configuration(Click)

!
!
ersion 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Loopback0
 ip address 100.1.1.10 255.255.255.0 secondary
 ip address 100.1.2.10 255.255.255.0 secondary
 ip address 100.1.3.10 255.255.255.0 secondary
 ip address 100.1.0.10 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 1.1.1.10 255.255.255.0
!
interface FastEthernet0/0.2
 encapsulation dot1Q 2
 ip address 2.2.2.10 255.255.255.0
!
interface FastEthernet0/0.3
 encapsulation dot1Q 3
 ip address 3.3.3.10 255.255.255.0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

設定・確認

Step1:ルーティングの設定

各ルータで次のようにルーティングの設定を行います。

VPNゲートウェイ(R1/R2)

  • インターネット向けのルーティング
    ISPをネクストホップとするデフォルトルート(0.0.0.0/0)をスタティックに設定。内部ルータにアドバタイズするためにEIGRPに再配送
  • 他の拠点向けのルーティング
    ISPをネクストホップとする集約ルートをスタティックに設定。内部ルータにアドバタイズするためにEIGRPに再配送
  • 拠点内のルーティング
    EIGRPを利用

他の拠点向けのルーティングはデフォルトルートでできます。ただ、インターネット宛てのパケットと拠点間のパケットのルーティングをきちんと区別するために、他の拠点向けのルーティングを考えています。

R1 ルーティングの設定

ip route 0.0.0.0 0.0.0.0 1.1.1.10
ip route 10.2.0.0 255.255.0.0 1.1.1.10

router eigrp 1
 network 10.1.0.0 0.0.255.255
 redistribute static metric 100000 10 255 1 1500

R2 ルーティングの設定

ip route 0.0.0.0 0.0.0.0 2.2.2.10
ip route 10.1.0.0 255.255.0.0 2.2.2.10

router eigrp 1
 network 10.2.0.0 0.0.255.255
 redistribute static metric 100000 10 255 1 1500

内部ルータ(R4/R5)

  • インターネット向けのルーティング
    VPNゲートウェイからEIGRPでデフォルトルートを学習
  • 他の拠点向けのルーティング
    VPNゲートウェイからEIGRPで他の拠点の集約ルートを学習
  • 拠点内のルーティング
    EIGRPを利用

R4 ルーティングの設定

router eigrp 1
 network 10.1.0.0 0.0.255.255

R5 ルーティングの設定

router eigrp 1
 network 10.2.0.0 0.0.255.255

図 ルーティングの設定の考え方
図 ルーティングの設定の考え方

Step2:ISAKMPポリシーの設定

VPNゲートウェイR1/R2でIKEフェーズ1のProposalとなるISAKMPポリシーを設定します。設定するProposalのパラメータをまとめたものが、次の表です。

パラメータ設定
暗号化アルゴリズム3DES
ハッシュアルゴリズムSHA-1 (デフォルト)
ピア認証PSK (パスワード:cisco)
Diffie-Hellman交換グループ2
ライフタイム86400秒 (デフォルト)
表 ISAKMPポリシー

VPNゲートウェイR1/R2でISAKMPポリシーの設定は次のように行います。

R1 ISAKMPポリシーの設定

crypto isakmp policy 10
  encryption 3des
  group 2
  authentication pre-share

crypto isakmp key 0 cisco address 2.2.2.2

R2 ISAKMPポリシーの設定

crypto isakmp policy 10
  encryption 3des
  group 2
  authentication pre-share

crypto isakmp key 0 cisco address 1.1.1.1

ISAKMPポリシーを確認するために、show crypto isakmp policyコマンドを入力します。また、各ピアのPSKを確認するためにshow crypto isakmp keyコマンドを入力します。R1では、次のような出力になります。

R1 show crypto isakmp policy/show crypto isakmp key

--------------------------------
R1#show crypto isakmp policy

Global IKE policy
Protection suite of priority 10
        encryption algorithm:   Three key triple DES
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
R1#show crypto isakmp key
Keyring               Hostname/Address                   Preshared Key

default               2.2.2.2                            cisco

Step3:IPSecトランスフォームセットの設定

IPパケットをIPSec化するためのセキュリティプロトコル、暗号化アルゴリズム、ハッシュアルゴリズム、モードをIPSecトランスフォームセットとして設定します。設定内容を次の表にまとめています。

トランスフォームセット名IPSEC
セキュリティプロトコルESP
暗号化アルゴリズム3DES
認証アルゴリズムSHA-1
モードトンネルモード
表 IPSecトランスフォームセット

R1/R2の設定は共通で、次のように行います。

R1/R2 IPSecトランスフォームセットの設定

crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac

設定したIPSecトランスフォームセットの確認は、show crypto ipsec transform-setコマンドで行います。R1では、次のような表示になります。

R1 show crypto ipsec transform-set

R1#show crypto ipsec transform-set
Transform set IPSEC: { esp-3des esp-sha-hmac  }
   will negotiate = { Tunnel,  },

Step4:暗号ACLの設定

IPSec化するIPパケットを識別するための暗号ACLを設定します。本社と支社1間のIPパケットをIPSecで暗号化します。各VPNゲートウェイでIPSec化するIPパケットは次の通りです。

ルータ(VPN-GW)対象パケット宛先送信元
R1本社→支社110.2.x.x10.1.x.x
R2支社1→本社10.1.x.x10.2.x.x
表 IPSec化対象パケット

上記のIPSec化対象パケットを指定するための暗号ACLを次のように設定します。それぞれの拠点で、暗号ACLの送信元IPアドレスと送信先IPアドレスが逆になっている(ミラーACL)ことに注意してください。

R1 暗号ACLの設定

access-list 101 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

R2 暗号ACLの設定

access-list 101 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

Step5: crypto mapの設定

IPSec SAを確立するためのcrypto mapの設定を行います。各ルータの設定する情報をまとめたものが次の表です。

R1 crypto map

crypto map名IPSecVPN
IPSec SAの生成ISAKMP
シーケンス10暗号ACL:101
トランスフォームセット:IPSEC
ピア:2.2.2.2
適用インタフェースFastEthernet0/0.1
表 R1 crypto mapのまとめ

R2 crypto map

crypto map名IPSecVPN
IPSec SAの生成ISAKMP
シーケンス10暗号ACL:101
トランスフォームセット:IPSEC
ピア:1.1.1.1
適用インタフェースFastEthernet0/0.1
表 R2 crypto mapのまとめ

IPSec SAのライフタイムはデフォルト値を利用します。

R1 crypto mapの設定

crypto map IPSecVPN 10 ipsec-isakmp
 set peer 2.2.2.2
 set transform-set IPSEC
 match address 101

interface FastEthernet0/0.1
 crypto map IPSecVPN

R2 crypto mapの設定

crypto map IPSecVPN 10 ipsec-isakmp
 set peer 1.1.1.1
 set transform-set IPSEC
 match address 101

interface FastEthernet0/0.1
 crypto map IPSecVPN

設定したcrypto mapを確認するには、show crypto mapコマンドを使います。R1では、次のような出力になります。

R1 crypto mapの設定

R1#show crypto map
Crypto Map "IPSecVPN" 10 ipsec-isakmp
        Peer = 2.2.2.2
        Extended IP access list 101
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={
                IPSEC,
        }

        Interfaces using crypto map IPSecVPN:
                FastEthernet0/0.1

Step6:IPSecのパケットを許可するためのACLの設定

VPNゲートウェイ間でIPSecのパケットを許可するためのACLを設定します。IPSecのパケットは、次の通りです。

  • ESP (IPプロトコル番号 50)
  • AH (IPプロトコル番号 51)
  • IKE (UDP ポート番号500)

また、各拠点の内部ネットワークとインターネットの通信を可能にするためのリフレクシブアクセスリストの設定も行います。

VPNゲートウェイのルータでの設定は次の通りです。

R1 ACLの設定

ip access-list extended INBOUND 
 evaluate ref-acl
 permit ahp 2.2.2.2 0.0.0.0 1.1.1.1 0.0.0.0
 permit esp 2.2.2.2 0.0.0.0 1.1.1.1 0.0.0.0
 permit udp 2.2.2.2 0.0.0.0 1.1.1.1 0.0.0.0 eq isakmp	

ip access-list extended OUTBOUND
  permit ip any any reflect ref-acl

interface FastEthernet0/0.1
  ip access-group INBOUND in
  ip access-group OUTBOUND out

R2 ACLの設定

ip access-list extended INBOUND 
 evaluate ref-acl
 permit ahp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0
 permit esp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0
 permit udp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 eq isakmp

ip access-list extended OUTBOUND
  permit ip any any reflect ref-acl

interface FastEthernet0/0.1
  ip access-group INBOUND in
  ip access-group OUTBOUND out

図 VPNゲートウェイでのアクセスリスト
図 VPNゲートウェイでのアクセスリスト

Step7:NATの設定

内部ネットワークからインターネットへ接続できるように各VPNゲートウェイでNATの設定を行います。内部ネットワークからインターネット向けに送信されたIPパケットの送信元IPアドレスをFastethernet0/0.1のIPアドレスに変換します。IPSec VPN経由の拠点間の通信の場合は、NATを行いません。

それぞれのVPNゲートウェイのNATの設定は次の通りです。ルートマップで暗号ACLを参照します。暗号ACLに一致したパケットはルートマップでdenyすることでNATの対象外とします。NAT用に新しくACLを作成することなく暗号ACLを使い回すことができます。

R1 NATの設定

interface FastEthernet0/0.14
  ip nat inside

interface FastEthernet0/0.1
  ip nat outside

ip nat inside source route-map TO_INET interface FastEthernet0/0.1 overload

route-map TO_INET deny 10
  match ip address 101

route-map TO_INET permit 100

R2 NATの設定

interface FastEthernet0/0.25
  ip nat inside

interface FastEthernet0/0.1
  ip nat outside

ip nat inside source route-map TO_INET interface FastEthernet0/0.1 overload

route-map TO_INET deny 10
  match ip address 101

route-map TO_INET permit 100

図 VPNゲートウェイでのNAT
図 VPNゲートウェイでのNAT

Step8:インターネット宛ての通信の確認

R4からインターネットを想定している100.1.1.10へPingを行います。

R4からインターネットへの通信

R4#ping 100.1.1.10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms

R4からインターネットへ正常に通信ができていることが確認できます。また、このときR1でのNATテーブルは次のようになります。

R1 NATテーブル show ip nat translations

R1#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 1.1.1.1:7841      10.1.14.4:7841     100.1.1.10:7841    100.1.1.10:7841
icmp 1.1.1.1:7842      10.1.14.4:7842     100.1.1.10:7842    100.1.1.10:7842
icmp 1.1.1.1:7843      10.1.14.4:7843     100.1.1.10:7843    100.1.1.10:7843
icmp 1.1.1.1:7844      10.1.14.4:7844     100.1.1.10:7844    100.1.1.10:7844
icmp 1.1.1.1:7845      10.1.14.4:7845     100.1.1.10:7845    100.1.1.10:7845

インターネット宛てのパケットは、送信元IPアドレス(Inside Local)が1.1.1.1(Inside Global)に変換されていることがわかります。

また、このときリフレクシブアクセスリストが自動的に作成されています。自動作成されたリフレクシブアクセスリストのエントリは、show access-listで確認できます。R1では、次のようなリフレクシブアクセスリストのエントリが作成されます。

R1 show access-list

R1#show access-lists
Extended IP access list 101
    10 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255 (92 matches)
Extended IP access list INBOUND
    10 evaluate ref-acl
    20 permit ahp host 2.2.2.2 host 1.1.1.1
    30 permit esp host 2.2.2.2 host 1.1.1.1
    40 permit udp host 2.2.2.2 host 1.1.1.1 eq isakmp (21 matches)
Extended IP access list OUTBOUND
    10 permit ip any any reflect ref-acl (50 matches)
Reflexive IP access list ref-acl
     permit icmp host 100.1.1.10 host 1.1.1.1  (10 matches) (time left 291)

Step9:拠点間の通信とSAの確認

R4から支社1の10.2.1.5あてにPingを行います。

R4から支社1への通信

R4#ping 10.2.1.5

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.1.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms

R4から支社1への通信が正常に行われていることがわかります。このときVPNゲートウェイR1-R2間でSAが確立されています。ISAKMP SAを確認するには、show crypto isakmp saコマンドを利用します。

R1 show crypto isakmp sa

R1#show crypto isakmp sa
dst             src             state          conn-id slot
2.2.2.2         1.1.1.1         QM_IDLE              1    0

また、IPSec SAはshow crypto ipsec saコマンドで確認します。

R1 show crypto ipsec sa

R1#show crypto ipsec sa

interface: Fa0/0.1
    Crypto map tag: IPSecVPN, local addr. 1.1.1.1

   protected vrf:
   local  ident (addr/mask/prot/port): (10.1.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (10.2.0.0/255.255.0.0/0/0)
   current_peer: 2.2.2.2:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 5, #recv errors 0

     local crypto endpt.: 1.1.1.1, remote crypto endpt.: 2.2.2.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0.1
     current outbound spi: 29395C1A

     inbound esp sas:
      spi: 0xBCD2727B(3167908475)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2000, flow_id: 1, crypto map: IPSecVPN
        sa timing: remaining key lifetime (k/sec): (4606307/3071)
        IV size: 8 bytes
        replay detection support: Y

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x29395C1A(691624986)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2001, flow_id: 2, crypto map: IPSecVPN
        sa timing: remaining key lifetime (k/sec): (4606307/3068)
        IV size: 8 bytes
        replay detection support: Y

     outbound ah sas:

     outbound pcp sas:

完了した設定ファイル

R1 Completed Configuration(Click)

!
!

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 2.2.2.2
crypto isakmp key cisco address 3.3.3.3
!
!
crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac 
!
crypto map IPSecVPN 10 ipsec-isakmp 
 set peer 2.2.2.2
 set transform-set IPSEC 
 match address 101
crypto map IPSecVPN 20 ipsec-isakmp 
 set peer 3.3.3.3
 set transform-set IPSEC 
 match address 102
!
!
!
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 1.1.1.1 255.255.255.0
 ip access-group INBOUND in
 ip access-group OUTBOUND out
 ip nat outside
 ip virtual-reassembly
 crypto map IPSecVPN
!
interface FastEthernet0/0.14
 encapsulation dot1Q 14
 ip address 10.1.14.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
router eigrp 1
 redistribute static metric 100000 10 255 1 1500
 network 10.1.0.0 0.0.255.255
 auto-summary
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.10
ip route 10.2.0.0 255.255.0.0 1.1.1.10
ip route 10.3.0.0 255.255.0.0 1.1.1.10
!
ip nat inside source route-map TO_INET interface FastEthernet0/0.1 overload
!
!
ip access-list extended INBOUND
 evaluate ref-acl 
 permit ahp host 2.2.2.2 host 1.1.1.1
 permit ahp host 3.3.3.3 host 1.1.1.1
 permit esp host 2.2.2.2 host 1.1.1.1
 permit esp host 3.3.3.3 host 1.1.1.1
 permit udp host 2.2.2.2 host 1.1.1.1 eq isakmp
 permit udp host 3.3.3.3 host 1.1.1.1 eq isakmp
ip access-list extended OUTBOUND
 permit ip any any reflect ref-acl
access-list 101 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
access-list 101 permit ip 10.3.0.0 0.0.255.255 10.2.0.0 0.0.255.255
access-list 102 permit ip 10.1.0.0 0.0.255.255 10.3.0.0 0.0.255.255
access-list 102 permit ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255
!
route-map TO_INET deny 10
 match ip address 101 102
!
route-map TO_INET permit 100
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

R2 Completed Configuration(Click)

!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 1.1.1.1
!
!
crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac 
!
crypto map IPSecVPN 10 ipsec-isakmp 
 set peer 1.1.1.1
 set transform-set IPSEC 
 match address 101
!
!
!
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 2
 ip address 2.2.2.2 255.255.255.0
 ip access-group INBOUND in
 ip access-group OUTBOUND out
 ip nat outside
 ip virtual-reassembly
 crypto map IPSecVPN
!
interface FastEthernet0/0.25
 encapsulation dot1Q 25
 ip address 10.2.25.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
router eigrp 1
 redistribute static metric 100000 10 255 1 1500
 network 10.2.0.0 0.0.255.255
 auto-summary
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 2.2.2.10
ip route 10.1.0.0 255.255.0.0 2.2.2.10
ip route 10.3.0.0 255.255.0.0 2.2.2.10
!
ip nat inside source route-map TO_INET interface FastEthernet0/0.1 overload
!
!
ip access-list extended INBOUND
 evaluate ref-acl 
 permit ahp host 1.1.1.1 host 2.2.2.2
 permit esp host 1.1.1.1 host 2.2.2.2
 permit udp host 1.1.1.1 host 2.2.2.2 eq isakmp
ip access-list extended OUTBOUND
 permit ip any any reflect ref-acl
access-list 101 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
access-list 101 permit ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255
!
route-map TO_INET deny 10
 match ip address 101
!
route-map TO_INET permit 100
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

R4 Completed Configuration(Click)

!
!

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R4
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Loopback0
 ip address 10.1.1.4 255.255.255.0 secondary
 ip address 10.1.2.4 255.255.255.0 secondary
 ip address 10.1.3.4 255.255.255.0 secondary
 ip address 10.1.0.4 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.14
 encapsulation dot1Q 14
 ip address 10.1.14.4 255.255.255.0
!
router eigrp 1
 network 10.1.0.0 0.0.255.255
 auto-summary
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

R5 Completed Configuration(Click)

!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R5
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Loopback0
 ip address 10.2.1.5 255.255.255.0 secondary
 ip address 10.2.2.5 255.255.255.0 secondary
 ip address 10.2.3.5 255.255.255.0 secondary
 ip address 10.2.0.5 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.25
 encapsulation dot1Q 25
 ip address 10.2.25.5 255.255.255.0
!
router eigrp 1
 network 10.2.0.0 0.0.255.255
 auto-summary
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

ISP Completed Configuration(Click)

!
!
!
ersion 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Loopback0
 ip address 100.1.1.10 255.255.255.0 secondary
 ip address 100.1.2.10 255.255.255.0 secondary
 ip address 100.1.3.10 255.255.255.0 secondary
 ip address 100.1.0.10 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 1.1.1.10 255.255.255.0
!
interface FastEthernet0/0.2
 encapsulation dot1Q 2
 ip address 2.2.2.10 255.255.255.0
!
interface FastEthernet0/0.3
 encapsulation dot1Q 3
 ip address 3.3.3.10 255.255.255.0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 privilege level 15
line aux 0
line vty 0 4
 login
!
!
end

関連記事

関連記事