シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

Cisco 841M 動的IPでのVPN接続について(Tunnelモード)

841M同士でのインターネット経由VPNを構築しています。

ネットワーク構成としては、本社・・・固定IP、支店・・・動的IPとなります。

本社側に複数のネットワークセグメントがある為、トンネルモードにて構築を行っています。

 

本社側にて、支店側の静的IPを、「 tunnel destination 1.1.1.2」の様に指定すればVPNは

アップします。

質問としては、動的IP拠点が宛先の場合のTunnelでの指定方法となります。

以下が双方のコンフィグの関係部分の抜粋です。

※Configは「CCP Express 3.1初期設定ガイド(WAN/LAN)」、

 「CCP Express 3.1スタティックVPN簡単設定ガイド」をベースに基本を作成し修正を

 多少加えています。

 

支店側Config<抜粋>

crypto ikev2 keyring key
peer SITE-KEY
address 1.1.1.1

             <------  本社側グローバルIP
identity address 1.1.1.1

             <------ 本社側グローバルIP
pre-shared-key shkey
!
crypto ikev2 profile prof
match identity remote address 1.1.1.1 255.255.255.255
identity local email shoko@domain.com

              <------IPアドレスが不定なのでメールアドレスを指定

!
interface Tunnel0
ip address 172.16.0.2 255.255.0.0
zone-member security VPN
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
             <------ 本社側グローバルIP

tunnel protection ipsec profile test_profile
!

本社側Config<抜粋>

crypto ikev2 keyring key

peer SITE-KEY
identity email siten@domain.com

             <-------------- 支店をメールアドレスで特定
pre-shared-key shkey

crypto ikev2 profile prof
match identity remote email siten@domain.com
             <-------------- 支店をメールアドレスで特定

interface Tunnel0
ip address 172.16.0.1 255.255.0.0
zone-member security VPN
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination x.x.x.x

              <--------------- 拠点側は固定IPでは無いのでこの記述は出来ない。
tunnel protection ipsec profile test_profile

1 件の返信
Cisco Employee

ご要望のソリューションとしてはDMVPNをご利用頂くのが最

ご要望のソリューションとしてはDMVPNをご利用頂くのが最も簡単な方法となります。
DMVPNは、マルチポイント(多拠点)間で動的にVPNを構築するソリューションですが、
 - Hub側(本社機能のある拠点等)では固定IPアドレス契約。
 - Spoke側(多数の拠点・営業所等)では動的IPアドレス契約。
というシナリオを想定しております。


DMVPNはmGREおよびNHRPを二つの主要な機能として利用します。
複数のSpokeとHub間を接続する為にmGREインターフェースが利用されます。
DMVPN環境下ではトンネルインターフェース上に"tunnel destination"を指定する必要がなく、Hub側ではNHRP(Next Hop Resolution Protocol)を利用してSpokeの宛先トンネルアドレスを取得します。
その為、Spoke側でFTTHやADSLといったサービスを利用してダイナミックにアドレスを取得する場合でも、NHRPによりIP-to-NBMAのアドレスマッピングが自動的に行われ、Spoke-to-HubのIPSec VPNトンネルを構築することが可能です。

設定は、下記ドキュメントをご参考ください。
http://www.cisco.com/cisco/web/support/JP/102/1020/1020023_dmvpn_ipsec_vpn.html
https://supportforums.cisco.com/ja/document/12605301

1121
閲覧回数
0
いいね!
1
返信