IPSecのトラブル その3 【CCNPレベル】

ネットワーク構成

次のネットワーク構成で、IPSec-VPNにより拠点間の通信を行いたいと考えています。

IPSec04.jpg

図 IPSec-VPN ネットワーク構成

R1の拠点内(本社)には192.168.1.0/24のネットワークがあります。また、R2の拠点内(支社1)には192.168.2.0/24、R3の拠点内(支社2)には192.168.3.0/24のネットワークがあります。R1、R2、R3をVPNゲートウェイとして拠点間の通信のパケットをIPSecで暗号化します。拠点間の通信は、本社を中心としたハブ&スポーク構成で行います。つまり、支社間の通信はいったん本社を経由して行うことにしています。

また、インターネットへ接続するためにR1、R2、R3でNATによって拠点内のプライベートアドレスをISPに接続しているグローバルアドレスに変換できるようにしています。なお、インターネットへ通信確認は150.1.1.100のIPアドレスで行うものとします。

設定概要

下記の設定は、R1、R2、R3で現在行っている設定の抜粋です。

R1
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 100.2.2.2
crypto isakmp key cisco address 100.3.3.3
crypto isakmp keepalive 30 periodic
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto map IPSEC 10 ipsec-isakmp
set peer 100.2.2.2
set transform-set myset
match address 100
crypto map IPSEC 20 ipsec-isakmp
set peer 100.3.3.3
set transform-set myset
match address 101
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/0.101
encapsulation dot1Q 101
ip address 100.1.1.1 255.255.255.0
ip nat outside
crypto map IPSEC
!
ip route 0.0.0.0 0.0.0.0 100.1.1.100
!
ip nat inside source route-map NO_NAT interface FastEthernet0/0.101 overload
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
!
route-map NO_NAT deny 10
match ip address 100 101
!
route-map NO_NAT permit 100
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R2
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 100.1.1.1
crypto isakmp keepalive 30 periodic
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto map IPSEC 10 ipsec-isakmp
set peer 100.1.1.1
set transform-set myset
match address 100
!
interface Loopback0
ip address 192.168.2.2 255.255.255.0
ip nat inside
!
interface FastEthernet0/0.102
encapsulation dot1Q 102
ip address 100.2.2.2 255.255.255.0
ip nat outside
crypto map IPSEC
!
ip route 0.0.0.0 0.0.0.0 100.2.2.100
!
ip nat inside source route-map NO_NAT interface FastEthernet0/0.102 overload
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
!
route-map NO_NAT deny 10
match ip address 100
!
route-map NO_NAT permit 100
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R3
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 100.1.1.1
crypto isakmp keepalive 30 periodic
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto map IPSEC 10 ipsec-isakmp
set peer 100.1.1.1
set transform-set myset
match address 100
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
ip nat inside
!
interface FastEthernet0/0.103
encapsulation dot1Q 103
ip address 100.3.3.3 255.255.255.0
ip nat outside
crypto map IPSEC
!
ip route 0.0.0.0 0.0.0.0 100.3.3.100
!
ip nat inside source route-map NO_NAT interface FastEthernet0/0.103 overload
!
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
!
route-map NO_NAT deny 10
match ip address 100
!
route-map NO_NAT permit 100
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

トラブルの症状

本社と支社間の通信は正常に行うことができますが、支社間の通信ができません。

たとえば、R1からR2およびR3へのPingは下記のように成功します。

R1 R2およびR3への通信確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R1#ping 192.168.2.2 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 56/72/100 ms
R1#ping 192.168.3.3 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/52/80 ms
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ところが、R2からR3へPingを行うと失敗します。

R2 R3への通信確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R2#ping 192.168.3.3 source 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds:
Packet sent with a source address of 192.168.2.2
.....
Success rate is 0 percent (0/5)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

問題

  • 本社と支社間の通信ができるのにもかかわらず、支社間の通信ができない原因は何ですか?
  • 支社間の通信ができるようにするためには、どのように設定を修正すればよいですか?支社間の通信はフルメッシュではなく、ハブ&スポークで行うものとします。

Follow me!