CCP Express 3.1 DMVPN設定ガイド ※本資料は2015/09現在のハードウェア/ソフトウェアにおけるガイドです はじめに • 以下のサンプル構成(WAN/LAN設定済み)における設定方法です 設定対象 VPN Hub: ISR 4321 トンネルインターフェイス 172.16.1.100/24 設定端末 トンネルインターフェイス 172.16.1.5/24 PPPoE WANポート 10.0.100.1/24 Dialerインターフェイス WANポート G0/0 LANポート + VLAN1 192.168.5.254/24 本社側のルータは設定済みで、複数ある対向拠点の設定を対象としています ※VPN Hubの設定は、CLIから行います(サンプルコンフィグは添付資料を参照) DMVPNとは • 続いて拠点間の通信を行うため、VPN HubルータとDMVPNを構築します PPPoEのみを設定 DMVPNを設定 DMVPN(Dynamic Multipoint VPN): VPN接続を行う技術の1つ プロバイダの契約により、拠点では固定的なアドレスが指定出来ない場合があります。通常VPN接続には相互にIPア ドレスを指定する設定が必要ですが、DMVPNではその必要がありません。拠点ルータは本社の固定IPアドレスを指 定するだけで、自身のIPアドレスを考慮することなくVPN接続を構築することが可能です。 ※本社側は固定IPアドレスが必須です DMVPNの設定 -1 1. “セキュリティ”タブを選択してください DMVPNの設定は、セキュリティの項目から行います DMVPNの設定 -2 1. DialerインターフェイスがゾーンWANに設定されていることを確認し、Vlan1をゾーンLANに ドラッグアンドドロップします(最後に”適用する”を選択します) Dialerインターフェイスはで ゾーンWANに設定済みです DMVPNの設定 -3 • “VPN”タブを選択し、VPN設定画面へ移行します DMVPNの設定 -4 1. “DMVPNスポーク”を選択し、”有効にする”にチェックを入れてください 2. “スポーク”と”ハブ”に必要な値を入力して下さい スポーク • トンネルIP: 172.16.1.5/24 • リモートサブネット: 192.168.5.0/24 ハブ • ハブルータのアドレス: 10.0.100.1 • トンネルアドレス: 172.16.1.100 3. 右下の”次”をクリックして下さい リモートサブネットの サブネットマスク DMVPNの設定 -5 VPNプロファイルの設定をします 1. • IKEv2を選択 • 事前共有鍵:cisco123 2. 右下の“次”をクリックして下さい ルーティングの設定をします 1. • 2. EIGRP AS番号: 1 右下の“フィニッシュ”を選択します DMVPNの設定 -6 1. トンネルが緑色になることを確認してください • • DMVPNのセッションが構築されると、トンネル部分が緑色になります この状態で拠点ルータはVPN終端ルータとVPNセッションが構築された状態になりました ポリシー設定とは • 拠点のLANネットワークが、DMVPNセッションを利用して他拠点への疎通を可能にするため に、ポリシー設定をします インターフェイスをグループ化 グループ間通信の制御を定義 ※ここでは、ZBFW(ゾーン Based Firewall)の設定を行います ZBFW: インターフェイスをゾーン(WAN/LAN/VPN/DMZ)と呼ぶグループに分類し、グループ間のポリシーを定義する ことでグループ間の通信制御(ポートやアプリケーション等)を行う事が可能です。複数のインターフェイスを1つのグ ループに集約可能なため、通信制御の設定を簡単に行うことができます。 ポリシー設定 -1 1. “ポリシー”タブを選択して下さい 2. “追加”を選択して下さい ゾーンLANとゾーンVPN間の通信設定 ポリシー設定 -2 1つ目のポリシーを設定して下さい 1. • • • • • ポリシー名: DMVPN_LAN_VPN ポリシー 説明: 変更なし アクション: 許可する 送信元ゾーン: LAN 宛先ゾーン: VPN この段階ではセーブをクリックしないでください ゾーンLANとゾーンVPN間の通信設定 ポリシー設定 -3 1. ネットワークタブを選択して下さい 2. 送信元 ネットワークの設定をして下さい ※通信を許可するネットワークを設定しています 送信元 ネットワーク • 宛先 ネットワーク ->どちらもデフォルトのANY • s この段階ではセーブをクリックしないでください ゾーンLANとゾーンVPN間の通信設定 ポリシー設定 -4 ※通信を許可するアプリケーションを設定しています 1. アプリケーションタブを選択して下さい 2. 使用可能なアプリケーションの検索ウィンド に”icmp”を入力し検索して下さい 3. 検索結果で該当した”icmp”を ドラッグアンドドロップで選択された アプリケーションに移動して下さい 4. 同様の手順でdnsも選択されたアプリケー ションに移動して下さい 5. 最後に”セーブ”を選択して下さい ※このラボでは”icmp”と”dns”を許可します 許可するアプリケーションを ドラッグアンドドロップ ゾーンLANとゾーンWAN間の通信設定 ポリシー設定 -5 ※通信を許可するネットワークを設定しています 2つ目のポリシーを設定して下さい 1. • • • • • ポリシー名: DMVPN_LAN_WAN ポリシー説明: 変更なし アクション: 許可する 送信元ゾーン: LAN 宛先ゾーン: WAN この段階ではセーブをクリックしないでください ゾーンLANとゾーンWAN間の通信設定 ポリシー設定 -6 1. ネットワークタブを選択して下さい 2. 送信元 ネットワークの設定をして下さい ※通信を許可するネットワークを設定しています 送信元 ネットワーク • 宛先 ネットワーク ->どちらもデフォルトのAny • この段階ではセーブをクリックしないでください ゾーンLANとゾーンWAN間の通信設定 ポリシー設定 -7 1. アプリケーションタブを選択して下さい 2. 使用可能な アプリケーションの検索ウィンド に”icmp”を入力し検索して下さい 3. 検索結果で該当した”icmp”を ドラッグアンドドロップで選択された アプリケーションに移動して下さい 4. 同様の手順でdnsも選択された アプリケー ションに移動して下さい ※このラボでは”icmp”と”dns”を許可します 5. 最後に”セーブ”を選択して下さい ※通信を許可するアプリケーションを設定しています 許可するアプリケーションを ドラッグアンドドロップ ここまでの設定で、設定済みの拠点間でPingによる通信が可能になります 注)ここでは例として、拠 点Aから他拠点への接続 イメージを記載しています DMVPN HUB VPNトンネル PPPoE Server Ping Pod-6 拠点A PPPoE Pod-7 拠点B Pod-8 拠点C Pod-9 拠点D Pod-10 拠点E
© Copyright 2025 ExpyDoc
