インターネットVPNを利用したバックアップの構成

インターネットVPNを利用したバックアップの構成を考えてみましょう。次の
図です。


図 インターネットVPNによるバックアップ構成例

拠点間を専用線で接続していることを想定しています。ルーティングプロトコ
ルは、CiscoのEIGRPを使っているものとします。専用線でポイントツーポイン
ト接続しているならルーティングプロトコルは特に必要ありません。
でも、専用線が切れてしまったときにインターネットVPN経由に経路を切り替
えるために、ルーティングプロトコルを利用します。
例では、EIGRPを使っていますがRIPでもOSPFでももちろん使えます。

GREトンネルの作成

まずは、GREトンネルを作成します。GREトンネルによって、インターネット経
由であたかもR1とR2がポイントツーポイントで接続されているかのようにしま
す。
ポイントツーポイント接続したGREトンネルで、IPパケットをルーティングす
るためには当然、IPアドレスが必要です。この部分は、プライベートアドレス
でいいです。インターネットを経由していても、GREトンネルは内部ネットワ
ーク扱いです。

R1、R2の設定は、次のようになります。

【R1】
interface tunnel 0
tunnel source serial0/0
tunnel destination 200.2.2.2
ip address 10.0.1.1 255.255.255.0

【R2】
interface tunnel 0
tunnel source serial0/0
tunnel destination 200.1.1.1
ip address 10.0.1.2 255.255.255.0

Tunnelインタフェースは、tunnel destinationのIPアドレスに到達可能でなけ
ればいけません。そのためには、インターネット側へのルーティングができて
いないといけません。今回は、デフォルトルートを設定しておきます。
R1、R2ともに次のように設定します。

【R1/R2】
ip route 0.0.0.0 0.0.0.0 serial0/0

これでR1とR2間のGREトンネルの設定は完了です。GREトンネルによって、R1と
R2はまるでポイントツーポイント接続されているかのように見えることになり
ます。

ルーティングの設定

R1とR2間でEIGRPの設定を行います。GREトンネル上でもEIGRPを動作させるこ
とで、GREトンネル経由でお互いの拠点のルート情報を学習できます。GREトン
ネルは、インタフェースの帯域幅が小さいので、EIGRPでは最適ルートとして
専用線経由のルートを選択します。つまり、専用線が正常な場合は、専用線経
由のルートがルーティングテーブルに載っています。

もし、専用線が切れてしまったら代わりにGREトンネル経由のルートがルーテ
ィングテーブルに載ります。

【R1/R2】

router eigrp 1
network 10.0.0.0


図 GREトンネルとEIGRPの構成

IPSecの設定

あとは、GREトンネル経由で送信されるパケットをIPSecで暗号化するだけです。
ここで普通のIPSecの設定と違ってくるのは、IPSec化する対象パケットの指定
です。

R1およびR2のTunnelインタフェースからルーティングされるパケットは次のよ
うにカプセル化されています。


図 GREカプセル化されたパケット

このGREでカプセル化されたパケットは、インターネットに接続されているSerial0/0
からルーティングされることになります。IPSecのcrypto mapはインターネッ
トに接続されるSerial0/0に適用します。つまり、IPSecの対象パケットは、GRE
カプセル化したパケットを指定すればよいことになります。
R1では、

送信先IPアドレス:200.2.2.2
送信元IPアドレス:200.1.1.1
プロトコル:GRE

のパケットです。

R2では、

送信先IPアドレス:200.1.1.1
送信元IPアドレス:200.2.2.2
プロトコル:GRE

のパケットです。
上記のIPSec化対象パケットを指定する暗号アクセスリストは次のようになり
ます。

【R1】
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2

【R2】
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1

GRE over IPSecは、この暗号アクセスリストさえ気をつければ、あとは普通の
IPSecの設定と同じです。

次の条件でIPSecの設定を考えます。

IKEフェーズ1
・ピア認証:PSK(Pre Shared Key)
・キー:「password」
・ハッシュアルゴリズム:SHA
・暗号化アルゴリズム:AES128ビット
・Diffie-Hellman交換:グループ2

IPSecトランスフォームセット
・暗号化アルゴリズム:AES128ビット
・ハッシュアルゴリズム:SHA
・トランスフォームセット名:「aes-sha」

この条件に基づく設定は次のようになります。

【R1】
~IKEフェーズ1~
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2

crypto isakmp key password address 200.2.2.2

~IPSecトランスフォームセット~
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac

~暗号アクセスリスト~
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2

~crypto map~
crypto map VPN_TO_R2 10 ipsec-isakmp
set peer 200.2.2.2
match address 100
set transform-set aes-sha

interface serial 0/0
crypto map VPN_TO_R2

【R2】
~IKEフェーズ1~
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2

crypto isakmp key password address 200.1.1.1

~IPSecトランスフォームセット~
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac

~暗号アクセスリスト~
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1

~crypto map
crypto map VPN_TO_R1 10 ipsec-isakmp
set peer 200.1.1.1
match address 100
set transform-set aes-sha

interface serial 0/0
crypto map VPN_TO_R1

設定のまとめ

ここまでのインターネットVPN(GRE over IPSec)によるバックアップ構成の設
定を図にまとめます。



図 インターネットVPNによるバックアップ設定のまとめ

関連記事






「ネットワークのおべんきょしませんか?」内の記事を検索