目次
インターネットVPNを利用したバックアップの構成
インターネットVPNを利用したバックアップの構成を考えてみましょう。次の
図です。
図 インターネットVPNによるバックアップ構成例
拠点間を専用線で接続していることを想定しています。ルーティングプロトコ
ルは、CiscoのEIGRPを使っているものとします。専用線でポイントツーポイン
ト接続しているならルーティングプロトコルは特に必要ありません。
でも、専用線が切れてしまったときにインターネットVPN経由に経路を切り替
えるために、ルーティングプロトコルを利用します。
例では、EIGRPを使っていますがRIPでもOSPFでももちろん使えます。
GREトンネルの作成
まずは、GREトンネルを作成します。GREトンネルによって、インターネット経
由であたかもR1とR2がポイントツーポイントで接続されているかのようにしま
す。
ポイントツーポイント接続したGREトンネルで、IPパケットをルーティングす
るためには当然、IPアドレスが必要です。この部分は、プライベートアドレス
でいいです。インターネットを経由していても、GREトンネルは内部ネットワ
ーク扱いです。
R1、R2の設定は、次のようになります。
【R1】
interface tunnel 0
tunnel source serial0/0
tunnel destination 200.2.2.2
ip address 10.0.1.1 255.255.255.0
【R2】
interface tunnel 0
tunnel source serial0/0
tunnel destination 200.1.1.1
ip address 10.0.1.2 255.255.255.0
Tunnelインタフェースは、tunnel destinationのIPアドレスに到達可能でなけ
ればいけません。そのためには、インターネット側へのルーティングができて
いないといけません。今回は、デフォルトルートを設定しておきます。
R1、R2ともに次のように設定します。
【R1/R2】
ip route 0.0.0.0 0.0.0.0 serial0/0
これでR1とR2間のGREトンネルの設定は完了です。GREトンネルによって、R1と
R2はまるでポイントツーポイント接続されているかのように見えることになり
ます。
ルーティングの設定
R1とR2間でEIGRPの設定を行います。GREトンネル上でもEIGRPを動作させるこ
とで、GREトンネル経由でお互いの拠点のルート情報を学習できます。GREトン
ネルは、インタフェースの帯域幅が小さいので、EIGRPでは最適ルートとして
専用線経由のルートを選択します。つまり、専用線が正常な場合は、専用線経
由のルートがルーティングテーブルに載っています。
もし、専用線が切れてしまったら代わりにGREトンネル経由のルートがルーテ
ィングテーブルに載ります。
【R1/R2】
router eigrp 1
network 10.0.0.0
図 GREトンネルとEIGRPの構成
IPSecの設定
あとは、GREトンネル経由で送信されるパケットをIPSecで暗号化するだけです。
ここで普通のIPSecの設定と違ってくるのは、IPSec化する対象パケットの指定
です。
R1およびR2のTunnelインタフェースからルーティングされるパケットは次のよ
うにカプセル化されています。
図 GREカプセル化されたパケット
このGREでカプセル化されたパケットは、インターネットに接続されているSerial0/0
からルーティングされることになります。IPSecのcrypto mapはインターネッ
トに接続されるSerial0/0に適用します。つまり、IPSecの対象パケットは、GRE
カプセル化したパケットを指定すればよいことになります。
R1では、
送信先IPアドレス:200.2.2.2
送信元IPアドレス:200.1.1.1
プロトコル:GRE
のパケットです。
R2では、
送信先IPアドレス:200.1.1.1
送信元IPアドレス:200.2.2.2
プロトコル:GRE
のパケットです。
上記のIPSec化対象パケットを指定する暗号アクセスリストは次のようになり
ます。
【R1】
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2
【R2】
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1
GRE over IPSecは、この暗号アクセスリストさえ気をつければ、あとは普通の
IPSecの設定と同じです。
次の条件でIPSecの設定を考えます。
IKEフェーズ1
・ピア認証:PSK(Pre Shared Key)
・キー:「password」
・ハッシュアルゴリズム:SHA
・暗号化アルゴリズム:AES128ビット
・Diffie-Hellman交換:グループ2
IPSecトランスフォームセット
・暗号化アルゴリズム:AES128ビット
・ハッシュアルゴリズム:SHA
・トランスフォームセット名:「aes-sha」
この条件に基づく設定は次のようになります。
【R1】
~IKEフェーズ1~
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2
crypto isakmp key password address 200.2.2.2
~IPSecトランスフォームセット~
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac
~暗号アクセスリスト~
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2
~crypto map~
crypto map VPN_TO_R2 10 ipsec-isakmp
set peer 200.2.2.2
match address 100
set transform-set aes-sha
interface serial 0/0
crypto map VPN_TO_R2
【R2】
~IKEフェーズ1~
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2
crypto isakmp key password address 200.1.1.1
~IPSecトランスフォームセット~
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac
~暗号アクセスリスト~
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1
~crypto map
crypto map VPN_TO_R1 10 ipsec-isakmp
set peer 200.1.1.1
match address 100
set transform-set aes-sha
interface serial 0/0
crypto map VPN_TO_R1
設定のまとめ
ここまでのインターネットVPN(GRE over IPSec)によるバックアップ構成の設
定を図にまとめます。
図 インターネットVPNによるバックアップ設定のまとめ
