マルチポイントトンネル

$Date: 2023/08/22 10:46:22 $

1. 概要
2. 対応機種とファームウェアリビジョン
3. 用語の定義
4. 注意事項
5. 詳細
1. 5-1. 基本構成
2. 5-2. ルーティング
3. 5-3. トンネル情報
4. 5-4. ステータス LED
5. 5-5. サポート機能
6. コマンド
7. 設定例
8. SYSLOG メッセージ一覧
9. 関連情報

1. 概要

マルチポイントトンネルとは、通常の IPsec トンネルのように接続先を 1 箇所しか持たない point-to-point トンネルとは異なり、複数の接続先を持つ point-to-multipoint トンネルのことです。マルチポイントトンネルでは、物理的には複数のトンネルで構成されている VPN を、あたかも複数の出入り口を持つトンネルがひとつだけ存在するかのように仮想化します。設定の上でも、複数拠点とのトンネル接続をひとつの TUNNEL インターフェースで収容するため、設定を簡素化することができます。例えば、ハブ・アンド・スポーク型の VPN において拠点を追加する際、point-to-point トンネルを使用している場合はセンター機器にも新規拠点用の TUNNEL インターフェースを追加する作業が必要ですが、マルチポイントトンネルではセンター機器に TUNNEL インターフェースを追加する作業が不要になります。

下図がマルチポイントトンネルの概念図になります。従来、センター機器には拠点数に応じた数の TUNNEL インターフェースが必要でしたが、マルチポイントトンネルではひとつで済むようになります。

2. 対応機種とファームウェアリビジョン

ヤマハルーターでは以下の機種およびファームウェアで、マルチポイントトンネルをサポートしています。

機種	ファームウェア	トンネル最大対地数（*1）	マルチポイントトンネル最大対地数（*2）	対応種別（*3）
機種	ファームウェア	トンネル最大対地数（*1）	マルチポイントトンネル最大対地数（*2）	サーバー	クライアント
vRX VMware ESXi版	すべてのリビジョン	6000（通常モード） 1000（コンパクトモード）	100	○	○
vRX Amazon EC2版		6000（通常モード） 1000（コンパクトモード）	100	○	○
RTX3510
RTX3510		1000 (*4)	1000（OSPF使用時：100）	○	○
RTX1300		100	100	○	○
RTX1220		100	100	○	○
RTX830	Rev.15.02.01	20	20	×	○
RTX830	Rev.15.02.22以降	20 (*4)	20 (*4)	× (*4)	○
NVR700W	Rev.15.00.10以降	20	20	×	○
RTX1210	Rev.14.01.20以降	100	100	○	○
RTX5000	Rev.14.00.26以降	3000	100	○	○
RTX3500	Rev.14.00.26以降	1000	100	○	○

（*1）	機器全体のトンネル最大対地数です。
（*2）	トンネル最大対地数（1）の内、マルチポイントトンネルで接続可能な最大対地数を示しています。point-to-point トンネルと併用する場合は、point-to-point トンネルで接続する対地数とマルチポイントトンネルで接続する対地数の合計がトンネル最大対地数（1）を超えないように制御されます。なお、point-to-point トンネルは切断状態であってもトンネルインターフェースの設定があるだけで対地数に加算されます。例えば、RTX1210 で point-to-point トンネルインターフェースが 10 個設定されている場合、point-to-point トンネルインターフェースのトンネル種別や接続状態に関係なく、マルチポイントトンネルで接続可能な最大対地数は 90 となります。また、RTX3500 で point-to-point トンネルインターフェースが 950 個設定されている場合は、マルチポイントトンネルで接続可能な最大対地数は 50 となります。
（*3）	マルチポイントトンネルでは接続する各ルーターを tunnel type コマンドの ROLE オプションでサーバーかクライアントに割り当てます。その ROLE オプションで指定可能な種別が機種によって異なります。
（*4）	拡張ライセンスをインポートすることで拡張可能です。詳細は拡張ライセンスの技術資料を参照してください。

3. 用語の定義

用語	説明
ハブ・アンド・スポーク型 VPN フルメッシュ型 VPN	VPN の構成は大きく二つあり、ハブ・アンド・スポーク型とフルメッシュ型に分かれます。ハブ・アンド・スポーク型は、本社やデータセンターなどの中心設備に置かれているセンター・ルーターに全拠点のルーターがトンネルを接続し、拠点同士は直接接続されていない構成で、拠点間の通信は常にセンター・ルーターを経由します。フルメッシュ型は、センター・ルーターと拠点ルーターのすべてがメッシュ状にトンネルを接続している構成で、拠点間の通信はセンター・ルーターを経由せず、拠点同士で直接的に行われます。
ハブ・ルーター	ハブ・アンド・スポーク型の VPN 構成の中心に位置し、すべてのスポーク・ルーターとトンネル接続をしているルーターをハブ・ルーターと表現します。また、マルチポイントトンネルでサーバーの役目を担うルーターのこともハブ・ルーターと表現します。
スポーク・ルーター	ハブ・アンド・スポーク型の VPN 構成の端点に位置し、ハブ・ルーターとトンネル接続をしているルーターをスポーク・ルーターと表現します。また、マルチポイントトンネルでクライアントの役目を担うルーターのこともスポーク・ルーターと表現します。
物理トンネル	マルチポイントトンネルは point-to-point で物理的に接続している複数の実トンネルを集約した仮想的なトンネルですが、仮想的なマルチポイントトンネルと物理的に接続している実トンネルを区別して説明する必要がある場合、後者を物理トンネルと表現します。

4. 注意事項

本機能では、必要に応じて動的にフルメッシュ型の VPN を構築する機能は有していません。スポーク・ルーター間の通信も常にハブ・ルーターを経由します。
マルチポイントトンネルに他社製 VPN 機器を接続させることはできません。

5. 詳細

5-1. 基本構成

マルチポイントトンネルは、point-to-point で物理的に接続している複数のトンネルを集約し、見かけ上ひとつのトンネルのみが存在しているかのように見せる仮想化トンネリング技術です。主に設定の簡略化を目的とするものであって、トンネル通信の実動作は point-to-point トンネルを複数使用して VPN を組んでいるときと変わりありません。マルチポイントトンネルはハブ・アンド・スポーク型の VPN が基本構成となり、同一のマルチポイントトンネルに接続するルーターの中からサーバーの役割を担うハブ・ルーターを 1 台以上選出します。また、マルチポイントトンネルには主に以下に示す制限があります。他の制限事項については「5-4. サポート機能」を参照してください。

マルチポイントトンネルに対応しているトンネル種別
- IPsec IKEv1
ハブ・ルーターを Responder、スポーク・ルーターを Initiater とし、ハブ・ルーターとスポーク・ルーター間の IPsec トンネルはアグレッシブ・モードで接続させる
TUNNEL インターフェースにはアドレスを付与し、numbered トンネルとする
同一のマルチポイントトンネルで接続するすべてのルーターの TUNNEL インターフェースのアドレスは同一のネットワーク・アドレスに属させる
事前共有鍵や暗号化アルゴリズム等の IPsec 関連の設定は同一のマルチポイントトンネルで接続するすべてのルーターで統一する
キープアライブで ICMP Echo 方式は使用できない
トンネル内のルーティング・プロトコルは OSPF が使用可能

TUNNEL インターフェース (IPsec IKEv1) の設定例

TUNNEL インターフェース部分のみを抜粋した設定例を示します。ルーター全体の設定は「7. 設定例」を参照してください。

構成図

ハブ・ルーター

tunnel select 1
 tunnel type multipoint server　　- - - - - -　a
 tunnel multipoint local name hub　　- - - - - -　b
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat　　- - - - - -　c
  ipsec ike local address 1 203.0.113.1　　- - - - - -　d
  ipsec ike pre-shared-key 1 text common-password　　- - - - - -　e
  ipsec ike remote address 1 any
  ipsec ike remote name 1 common-name key-id　　- - - - - -　f
 ip tunnel address 10.0.0.1/24　　- - - - - -　g
 ip tunnel ospf area backbone　　- - - - - -　h
 ip tunnel tcp mss limit auto
 tunnel enable 1

tunnel type コマンドで multipoint が設定されている TUNNEL インターフェースがマルチポイントトンネル用インターフェースとして認識されます。また、ハブ・ルーターには ROLE オプションに server を指定し、明示的にサーバーの役割を割り当てます。
tunnel multipoint local name コマンドで自分の名前（hub）を設定します。この名前は接続相手にも通知されるため、互いに接続相手をアドレスだけでなく名前で識別したい場合に便利です。ipsec ike local name / ipsec ike remote name コマンドで設定する名前とは違い、接続相手側の設定と揃える必要はなく、各ルーターで任意の名前を設定できます。
キープアライブ方式に heartbeat を設定します。ハブ・ルーターでは複数の接続先とキープアライブを実行する必要があるため、宛先の指定が必要な ICMP Echo 方式は使用できません。ICMP Echo 方式以外のキープアライブ方式を選択します。また、スポーク・ルーター側もハブ・ルーターのキープアライブ方式に合わせる必要があります。
ipsec ike local address コマンドで自身の WAN 側グローバルアドレスを設定します。WAN 側アドレスを IPCP で取得している場合は ipsec ike local address 1 ipcp pp 1 のように PP 番号を指定します。なお、WAN との接続インターフェースで NAT を使用している場合は LAN1 のプライベートアドレスを指定します。
ipsec ike pre-shared-key コマンドで事前共有鍵を設定します。すべてのスポーク・ルーターに共通の事前共有鍵を設定する必要があり、個別に変えることはできません。
ipsec ike remote name コマンドでスポーク・ルーターの名前を設定します。すべてのスポーク・ルーターに同一の名前を付与することで、すべてのスポーク・ルーターとのトンネル接続をこのインターフェースひとつで収容することができます。
ip tunnel address コマンドでトンネルのローカルアドレスを設定し、numbered トンネルにします。なお、point-to-point トンネルの場合は ip tunnel remote address コマンドでトンネルのリモートアドレスも設定して初めて numbered トンネルになりますが、マルチポイントトンネルではトンネル接続時に自動的にリモートアドレスが設定されるため、ip tunnel remote address コマンドの設定は不要です。
トンネル内で OSPF を使用し、すべてのスポーク・ルーターの広告経路を動的に取り込むようにします。

スポーク・ルーター A

tunnel select 1
 tunnel type multipoint　　- - - - - -　a
 tunnel multipoint local name spoke-A　　- - - - - -　b
 tunnel multipoint server 1 203.0.113.1　　- - - - - -　c
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 203.0.113.11　　- - - - - -　d
  ipsec ike local name 1 common-name key-id　　- - - - - -　e
  ipsec ike pre-shared-key 1 text common-password
 ip tunnel address 10.0.0.11/24　　- - - - - -　f
 ip tunnel ospf area backbone　　- - - - - -　g
 ip tunnel tcp mss limit auto
 tunnel enable 1

tunnel type コマンドで multipoint が設定されている TUNNEL インターフェースがマルチポイントトンネル用インターフェースとして認識されます。
tunnel multipoint local name コマンドで自分の名前（spoke-A）を設定します。この名前は接続相手にも通知されるため、互いに接続相手をアドレスだけでなく名前で識別したい場合に便利です。ipsec ike local name / ipsec ike remote name コマンドで設定する名前とは違い、接続相手側の設定と揃える必要はなく、各ルーターで任意の名前を設定できます。
tunnel multipoint server コマンドでハブ・ルーターの外側アドレス（ WAN 側グローバルアドレスまたは FQDN）を指定します。ハブ・ルーターを複数用意し、同コマンドも複数設定することでハブ・ルーターを冗長化することもできます。なお、マルチポイントトンネルのスポーク・ルーターはこの外側アドレスに対してトンネル接続を始動するため、ipsec ike remote address コマンドは不要です。
ipsec ike local address コマンドで自身の WAN 側グローバルアドレスを設定します。WAN 側アドレスを IPCP で取得している場合は ipsec ike local address 1 ipcp pp 1 のように PP 番号を指定します。なお、WAN との接続インターフェースで NAT を使用している場合は LAN1 のプライベートアドレスを指定します。
ipsec ike local name コマンドで自身の名前を設定します。ハブ・ルーターの ipsec ike remote name コマンドで設定した名前と合わせる必要があります。
ip tunnel address コマンドでトンネルのローカルアドレスを設定し、numbered トンネルにします。ハブ・ルーターの ip tunnel address コマンドで設定したアドレスと同一のネットワークアドレスに属するアドレスを設定する必要があります。なお、point-to-point トンネルの場合は ip tunnel remote address コマンドでトンネルのリモートアドレスも設定して初めて numbered トンネルになりますが、マルチポイントトンネルではトンネル接続時に自動的にリモートアドレスが設定されるため、ip tunnel remote address コマンドの設定は不要です。
トンネル内で OSPF を使用し、ハブ・ルーターおよび他のスポーク・ルーターの広告経路を動的に取り込むようにします。

スポーク・ルーター B

tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name spoke-B　　- - - - - -　a
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 203.0.113.12　　- - - - - -　b
  ipsec ike local name 1 common-name key-id
  ipsec ike pre-shared-key 1 text common-password
 ip tunnel address 10.0.0.12/24　　- - - - - -　c
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1

a の名前にスポーク・ルーター B の名前を設定し、b 、c のアドレスにスポーク・ルーター B 用のアドレスを設定すること以外は、スポーク・ルーター A と変わりありません。

5-2. ルーティング

「5-1. 基本構成」の設定によるトンネルの接続後の各ルーターの経路情報は次のようになります。

ハブ・ルーター

# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
10.0.0.0/24         -                 TUNNEL[1]  implicit
10.0.0.1/32         10.0.0.11         TUNNEL[1]      OSPF     cost=3124
10.0.0.1/32         10.0.0.12         TUNNEL[1]      OSPF     cost=3124
10.0.0.11/32        -                 TUNNEL[1]  implicit
10.0.0.12/32        -                 TUNNEL[1]  implicit
192.168.0.0/24      192.168.0.1            LAN1  implicit
192.168.11.0/24     10.0.0.11         TUNNEL[1]      OSPF     cost=1563
192.168.12.0/24     10.0.0.12         TUNNEL[1]      OSPF     cost=1563
203.0.113.0/24      203.0.113.1            LAN2  implicit

ハブ・ルーターからは、スポーク・ルーター A の LAN 経路（192.168.11.0/24）もスポーク・ルーター B の LAN 経路（192.168.12.0/24）も共にマルチポイントトンネル TUNNEL[1] に接続されているように見えますが、ゲートウェイ・アドレスは各々のトンネル・アドレスに向けられます。なお、ハブ・ルーターでは実際に接続している物理トンネルは 2 本ありますが、それらはマルチポイントトンネル TUNNEL[1] として集約されて表示されます。

スポーク・ルーター A

# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
10.0.0.0/24         -                 TUNNEL[1]  implicit
10.0.0.1/32         -                 TUNNEL[1]  implicit
10.0.0.11/32        10.0.0.1          TUNNEL[1]      OSPF     cost=3124
10.0.0.12/32        10.0.0.1          TUNNEL[1]      OSPF     cost=3124
192.168.0.0/24      10.0.0.1          TUNNEL[1]      OSPF     cost=1563
192.168.11.0/24     192.168.11.1           LAN1  implicit
192.168.12.0/24     10.0.0.1          TUNNEL[1]      OSPF     cost=3125
203.0.113.0/24      203.0.113.11           LAN2  implicit

スポーク・ルーター B

# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
10.0.0.0/24         -                 TUNNEL[1]  implicit
10.0.0.1/32         -                 TUNNEL[1]  implicit
10.0.0.11/32        10.0.0.1          TUNNEL[1]      OSPF     cost=3124
10.0.0.12/32        10.0.0.1          TUNNEL[1]      OSPF     cost=3124
192.168.0.0/24      10.0.0.1          TUNNEL[1]      OSPF     cost=1563
192.168.11.0/24     10.0.0.1          TUNNEL[1]      OSPF     cost=3125
192.168.12.0/24     192.168.12.1           LAN1  implicit
203.0.113.0/24      203.0.113.12           LAN2  implicit

スポーク・ルーターからは、ハブ・ルーターの LAN 経路（192.168.0.0/24）と他のスポーク・ルーターの LAN 経路（192.168.1x.0/24）が共にマルチポイントトンネル TUNNEL[1] に接続されているように見え、ゲートウェイ・アドレスはハブ・ルーターのトンネル・アドレスに向けられます。したがって、スポーク・ルーター間の通信は常にハブ・ルーターを経由します。

静的経路の設定

動的ルーティング・プロトコルを使用せずにマルチポイントトンネルの先に存在する経路を静的に設定する場合は、ゲートウェイに対向機器のトンネル・アドレス（スポーク・ルーターの場合はハブ・ルーターのトンネル・アドレス）を指定します。ゲートウェイにマルチポイントトンネルのインターフェースを指定した場合は正しくルーティングさせることができません。

# ハブ・ルーター

○ ip route 192.168.11.0/24 gateway 10.0.0.11
○ ip route 192.168.12.0/24 gateway 10.0.0.12

× ip route 192.168.11.0/24 gateway tunnel 1
× ip route 192.168.12.0/24 gateway tunnel 1

# スポーク・ルーター A

○ ip route 10.0.0.12 gateway 10.0.0.1
○ ip route 192.168.0.0/24 gateway 10.0.0.1
○ ip route 192.168.12.0/24 gateway 10.0.0.1

× ip route 10.0.0.12 gateway tunnel 1
× ip route 192.168.0.0/24 gateway tunnel 1
× ip route 192.168.12.0/24 gateway tunnel 1

# スポーク・ルーター B

○ ip route 10.0.0.11 gateway 10.0.0.1
○ ip route 192.168.0.0/24 gateway 10.0.0.1
○ ip route 192.168.11.0/24 gateway 10.0.0.1

× ip route 10.0.0.11 gateway tunnel 1
× ip route 192.168.0.0/24 gateway tunnel 1
× ip route 192.168.11.0/24 gateway tunnel 1

IPsec 経路自動追加機能を使う

IPsec 経路自動追加機能は、IPsec 接続が確立したときに、Responder に Initiator の LAN 側ネットワーク宛の経路を自動的に追加する機能です。この機能を使うことで、OSPF を使用せずにスポーク・ルーターの LAN 経路をハブ・ルーターに自動的に追加することができます。詳細はIPsec 経路自動追加機能の技術資料を参照ください。

5-3. トンネル情報

show status tunnel や show ipsec sa でマルチポイントトンネルのインターフェース番号を指定した場合は、接続中のすべての相手に関する情報が表示されます。また、show status tunnel up ではマルチポイントトンネルは接続中のインターフェース番号に加え、接続相手のトンネルアドレス、および、接続相手側で tunnel multipoint local name が設定されている場合はその名前が表示されます。show status tunnel down では接続中の相手が 1 台もいないマルチポイントトンネルのインターフェース番号のみが表示されます。スポーク・ルーター側において tunnel multipoint server コマンドで複数のハブ・ルーターを指定し、接続中のハブ・ルーターと接続していないハブ・ルーターが混在する場合には、show status tunnel up の方にインターフェース番号と接続中のハブ・ルーターのトンネルアドレスおよび名前が表示され、show status tunnel down の方には何も表示されません。トンネルインターフェースの合計数は、1 台以上の相手と接続しているマルチポイントトンネルを up、1 台も接続していないマルチポイントトンネルを down と見なしてカウントされます。「5-1. 基本構成」の設定によるトンネルの接続後の各ルーターのトンネル情報は次のようになります。

ハブ・ルーター

# show status tunnel 1
TUNNEL[1]:
説明:
  インタフェースの種類: IPsec (point-to-multipoint)

[接続先 10.0.0.11 (spoke-A)]
  トンネルインタフェースは接続されています
  開始: 2017/07/03 15:00:43
  通信時間: 4分58秒
  受信: (IPv4) 38 パケット [2812 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 42 パケット [3096 オクテット]
        (IPv6) 0 パケット [0 オクテット]

[接続先 10.0.0.12 (spoke-B)]
  トンネルインタフェースは接続されています
  開始: 2017/07/03 15:01:07
  通信時間: 4分34秒
  受信: (IPv4) 37 パケット [2756 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 40 パケット [2820 オクテット]
        (IPv6) 0 パケット [0 オクテット]

# show status tunnel name=spoke-B       # 名前指定も可能
TUNNEL[1]:
説明:
  インタフェースの種類: IPsec (point-to-multipoint)

[接続先 10.0.0.12 (spoke-B)]
  トンネルインタフェースは接続されています
  開始: 2017/07/03 15:01:07
  通信時間: 4分36秒
  受信: (IPv4) 37 パケット [2756 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 40 パケット [2820 オクテット]
        (IPv6) 0 パケット [0 オクテット]

# show status tunnel up
接続されているトンネルインタフェース
合計: 1  (接続先合計: 2)

トンネル番号(point-to-multipoint):
   1
    -> 10.0.0.11 (spoke-A)
    -> 10.0.0.12 (spoke-B)

# show ipsec sa
Total: isakmp:2 send:2 recv:2

sa    sgw isakmp connection    dir  life[s] remote-id
----------------------------------------------------------------------------
1     1    -     isakmp        -    28750   10.0.0.11
2     1    1     tun[0001]esp  send 28751   10.0.0.11
3     1    1     tun[0001]esp  recv 28751   10.0.0.11
4     1    -     isakmp        -    28774   10.0.0.12
5     1    4     tun[0001]esp  send 28776   10.0.0.12
6     1    4     tun[0001]esp  recv 28776   10.0.0.12

# show ipsec sa gateway 1
sgw   flags local-id         remote-id        # of sa
---------------------------------------------------------------------------
1     U K   10.0.0.1         10.0.0.11        i:1 s:1 r:1
1     U K   10.0.0.1         10.0.0.12        i:1 s:1 r:1

# show ipsec sa gateway 1 detail
SA[1] 寿命: 28670秒
自分側の識別子: 10.0.0.1
相手側の識別子: 10.0.0.11 (common-name)
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
SPI: cd f6 3d 04 1f 0a 0d 9d 35 36 f5 a1 48 a9 c4 76
鍵 : 68 6d 11 a8 5f 31 fd 5c
----------------------------------------------------
SA[2] 寿命: 28671秒
自分側の識別子: 10.0.0.1
相手側の識別子: 10.0.0.11 (common-name)
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 89 b9 46 41
鍵 : 07 37 f6 d0 e7 d1 54 3d 10 98 b2 72 17 45 b1 c6
----------------------------------------------------
SA[3] 寿命: 28671秒
自分側の識別子: 10.0.0.1
相手側の識別子: 10.0.0.11 (common-name)
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 56 76 3e f4
鍵 : e9 46 a0 59 86 cc 1d 35 a8 f0 21 a3 d7 3d 84 8b
----------------------------------------------------
SA[4] 寿命: 28673秒
自分側の識別子: 10.0.0.1
相手側の識別子: 10.0.0.12 (common-name)
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
SPI: bf cc a7 30 b2 a5 31 8d 4c d0 8f 0e b1 7a ea b2
鍵 : e3 6d 84 ab f6 04 bd 3e
----------------------------------------------------
SA[5] 寿命: 28675秒
自分側の識別子: 10.0.0.1
相手側の識別子: 10.0.0.12 (common-name)
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 63 9d 24 1a
鍵 : d1 7a f3 2f 1e d2 97 fe 34 50 0b b8 5d 0e c1 d0
----------------------------------------------------
SA[6] 寿命: 28675秒
自分側の識別子: 10.0.0.1
相手側の識別子: 10.0.0.12 (common-name)
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: ca a5 33 8e
鍵 : 85 c0 f2 b4 bc 82 56 ac f3 c9 1a e1 1a a1 ab 04
----------------------------------------------------

スポーク・ルーター A

# show status tunnel 1
TUNNEL[1]:
説明:
  インタフェースの種類: IPsec (point-to-multipoint)

[接続先 10.0.0.1 (hub)]
  トンネルインタフェースは接続されています
  開始: 2017/07/03 15:00:43
  通信時間: 5分12秒
  受信: (IPv4) 52 パケット [3636 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 50 パケット [3628 オクテット]
        (IPv6) 0 パケット [0 オクテット]

# show status tunnel up
接続されているトンネルインタフェース
合計: 1  (接続先合計: 1)

トンネル番号(point-to-multipoint):
   1
    -> 10.0.0.1 (hub)

# show ipsec sa
Total: isakmp:1 send:1 recv:1

sa    sgw isakmp connection    dir  life[s] remote-id
----------------------------------------------------------------------------
1     1    -     isakmp        -    28665   10.0.0.1
2     1    1     tun[0001]esp  send 28667   10.0.0.1
3     1    1     tun[0001]esp  recv 28667   10.0.0.1

# show ipsec sa gateway 1
sgw   flags local-id         remote-id        # of sa
---------------------------------------------------------------------------
1     U K   10.0.0.11        10.0.0.1         i:1 s:1 r:1

# show ipsec sa gateway 1 detail
SA[1] 寿命: 28607秒
自分側の識別子: 10.0.0.11 (common-name)
相手側の識別子: 10.0.0.1
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
SPI: cd f6 3d 04 1f 0a 0d 9d 35 36 f5 a1 48 a9 c4 76
鍵 : 68 6d 11 a8 5f 31 fd 5c
----------------------------------------------------
SA[2] 寿命: 28609秒
自分側の識別子: 10.0.0.11 (common-name)
相手側の識別子: 10.0.0.1
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 56 76 3e f4
鍵 : e9 46 a0 59 86 cc 1d 35 a8 f0 21 a3 d7 3d 84 8b
----------------------------------------------------
SA[3] 寿命: 28609秒
自分側の識別子: 10.0.0.11 (common-name)
相手側の識別子: 10.0.0.1
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 89 b9 46 41
鍵 : 07 37 f6 d0 e7 d1 54 3d 10 98 b2 72 17 45 b1 c6
----------------------------------------------------

スポーク・ルーター B

# show status tunnel 1
TUNNEL[1]:
説明:
  インタフェースの種類: IPsec (point-to-multipoint)

[接続先 10.0.0.1 (hub)]
  トンネルインタフェースは接続されています
  開始: 2017/07/03 15:01:07
  通信時間: 4分49秒
  受信: (IPv4) 47 パケット [3296 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 42 パケット [2956 オクテット]
        (IPv6) 0 パケット [0 オクテット]

# show status tunnel up
接続されているトンネルインタフェース
合計: 1  (接続先合計: 1)

トンネル番号(point-to-multipoint):
   1
    -> 10.0.0.1 (hub)

# show ipsec sa
Total: isakmp:1 send:1 recv:1

sa    sgw isakmp connection    dir  life[s] remote-id
----------------------------------------------------------------------------
1     1    -     isakmp        -    28736   10.0.0.1
2     1    1     tun[0001]esp  send 28738   10.0.0.1
3     1    1     tun[0001]esp  recv 28738   10.0.0.1

# show ipsec sa gateway 1
sgw   flags local-id         remote-id        # of sa
---------------------------------------------------------------------------
1     U K   10.0.0.12        10.0.0.1         i:1 s:1 r:1

show ipsec sa gateway 1 detail
SA[1] 寿命: 28665秒
自分側の識別子: 10.0.0.12 (common-name)
相手側の識別子: 10.0.0.1
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
SPI: bf cc a7 30 b2 a5 31 8d 4c d0 8f 0e b1 7a ea b2
鍵 : e3 6d 84 ab f6 04 bd 3e
----------------------------------------------------
SA[2] 寿命: 28667秒
自分側の識別子: 10.0.0.12 (common-name)
相手側の識別子: 10.0.0.1
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: ca a5 33 8e
鍵 : 85 c0 f2 b4 bc 82 56 ac f3 c9 1a e1 1a a1 ab 04
----------------------------------------------------
SA[3] 寿命: 28667秒
自分側の識別子: 10.0.0.12 (common-name)
相手側の識別子: 10.0.0.1
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 63 9d 24 1a
鍵 : d1 7a f3 2f 1e d2 97 fe 34 50 0b b8 5d 0e c1 d0
----------------------------------------------------

マルチポイントトンネルではアップ / ダウンの際に出力される SYSLOG は次のように接続相手ごとになります。

ハブ・ルーター

2017/07/03 20:12:54: IP Tunnel[1] Up (Remote:10.0.0.11 (spoke-A))　　# Tunnel[1]でスポーク・ルーター A がアップ
2017/07/03 20:12:57: IP Tunnel[1] Up (Remote:10.0.0.12 (spoke-B))　　# Tunnel[1]でスポーク・ルーター B がアップ
2017/07/03 20:19:24: IP Tunnel[1] Down (Remote:10.0.0.11 (spoke-A))　# Tunnel[1]でスポーク・ルーター A がダウン
2017/07/03 20:19:28: IP Tunnel[1] Down (Remote:10.0.0.12 (spoke-B))　# Tunnel[1]でスポーク・ルーター B がダウン

5-4. ステータス LED

マルチポイントトンネルでは次に示す条件をすべて満たしている機器のステータス LED が点灯します。

Initiator（マルチポイントトンネルにおけるクライアント）側である
tunnel multipoint server コマンドで指定したハブ・ルーターのうち、接続していないハブ・ルーターがある
トンネルにキープアライブが設定されている

5-5. サポート機能

マルチポイントトンネルで対応している機能と非対応の機能を下表に示します。

機能	対応 (○) 非対応 (×)	備考
ファストパス	○
IPv4 over IPv4 接続	○
IPv6 over IPv4 接続	○
IPv4 over IPv6 接続	○
IPv6 over IPv6 接続	○
numbered 接続	○
unnumbered 接続	×
IPsec IKEv1 トンネル	○	トンネルモードのみに対応し、トランスポートモードには非対応。
IPsec IKEv2 トンネル	×
IPIP トンネル	×
PPTP トンネル	×
L2TP/IPsec トンネル	×
L2TPv3 トンネル	×
L2TPv3/IPsec トンネル	×
IPUDP トンネル	×
データコネクトを利用した拠点間接続	×
YMS-VPN7(ソフトウェアライセンス版) との接続	×
YMS-VPN7(同時接続ライセンス版) との接続	×
YMS-VPN8(ソフトウェアライセンス版) との接続	×
YMS-VPN8(同時接続ライセンス版) との接続	×
tunnel template コマンドを利用した設定	×	マルチポイントトンネルの設定に関連するコマンドは tunnel template コマンドの展開対象にはなっていない。また、tunnel template コマンドで展開された TUNNEL インターフェースをマルチポイントトンネルに設定した場合の動作も非対応。
トンネル名称の設定（tunnel name）	○
IP フィルター（静的/動的）	○	すべての接続先に対して共通の設定となり、接続先ごとに IP フィルターを個別に設定することはできない。
パケット転送フィルター	○	すべての接続先に対して共通の設定となり、接続先ごとにパケット転送フィルターを個別に設定することはできない。
侵入検知	○	すべての接続先に対して共通の設定となり、接続先ごとに検知種別や動作を個別に設定することはできない。
トンネル QoS	○	すべての接続先に対して共通の設定となり、接続先ごとに QoS を個別に設定することはできない。
SNMP による情報取得	○	MIB 上ではすべての接続先を集約したひとつの TUNNEL インターフェースとして見え、接続先ごとに分別された情報を取得することはできない。
OSPF による IPv4 経路制御	○	すべての接続先に対して共通の設定となり、接続先ごとに設定を切り替えることはできない。
OSPFv3 による IPv6 経路制御	○	すべての接続先に対して共通の設定となり、接続先ごとに設定を切り替えることはできない。
BGP4 による経路制御	×
RIP/RIPng による経路制御	×
VRRP との連動	○	ipsec ike local address コマンドで vrrp を指定している場合、VRRP マスターとして動作しているときだけ鍵交換が行われる。
NAT トラバーサル	○
ヤマハ独自方式の ESP カプセル化（ipsec ike esp-encapsulation）	○
トンネル内の NAT 変換	×
IPComp によるデータ圧縮（ipsec ipcomp type）	○
統計記録（ip tunnel traffic list）	×
トンネルバックアップ	×
XAUTH によるユーザー認証	×

6. コマンド

トンネルインターフェースの接続種別の設定
[書式]

tunnel type TYPE [ROLE]

no tunnel type [TYPE [ROLE]]

[設定値および初期値]
- TYPE
  - [設定値]:
    
    設定値説明
    
    point-to-point point-to-point トンネル
    
    multipoint point-to-multipoint トンネル
  - [初期値]: point-to-point
- ROLE
  - [設定値]:
    
    設定値説明
    
    server サーバーの役割を割り当てる
    
    client クライアントの役割を割り当てる
  - [初期値]: client
[説明]

トンネルインターフェースの接続種別を、接続先を 1 箇所だけ持つ point-to-point トンネル、もしくは、複数の接続先を持つ point-to-multipoint トンネル（マルチポイントトンネル）に設定する。

ROLE オプションは TYPE に multipoint を設定した場合のみ設定可能なオプションで、マルチポイントトンネルでは同一のトンネルに接続する複数のルーターの中から server と client をそれぞれ 1 台以上指定する必要がある。

[ノート]

マルチポイントトンネルはハブ・アンド・スポーク型の構成を基本構成とし、通常はハブ・ルーターの ROLE オプションのみに server を指定する。なお、Rev.15.02.22 より前の RTX830、および NVR700W は server を指定できない。

[拡張ライセンス対応]

RTX830 は、拡張ライセンス (YSL-VPN-EX1) がインポートされているときに role オプションに server を指定可能。
マルチポイントトンネルのサーバーの設定
[書式]

tunnel multipoint server ID ADDRESS

no tunnel multipoint server ID [ADDRESS]

[設定値および初期値]
- ID
  - [設定値]: サーバー識別子（1 .. 3）
  - [初期値]: -
- ADDRESS
  - [設定値]: IPv4 / IPv6 アドレスまたはホスト名
  - [初期値]: -
[説明]

マルチポイントトンネルにおいて、サーバーの役割が割り当てられているルーターのアドレスを設定する。本コマンドは tunnel type コマンドで接続種別に multipoint 、ROLE オプションに client が設定されているトンネルインターフェース（マルチポイントトンネルのクライアント側のトンネルインターフェース）で有効になる。

本コマンドを複数設定し、複数のサーバーを指定している場合は、接続可能なサーバーすべてに対してトンネルが接続される。最大で 3 台のサーバーを指定できる。

[ノート]

マルチポイントトンネルはハブ・アンド・スポーク型の構成を基本構成とし、通常はハブ・ルーターがサーバーとなる。
マルチポイントトンネルで使用する自分の名前
[書式]

tunnel multipoint local name NAME

no tunnel multipoint local name [NAME]

[設定値および初期値]
- NAME
  - [設定値]: 名前（半角で 64 文字以内、全角で 32 文字以内）
  - [初期値]: -
[説明]

マルチポイントトンネルで使用する自分の名前を設定する。

本コマンドで設定した名前はトンネル接続後に接続相手にも通知され、接続相手側でもトンネルの識別情報として SYSLOG 等で利用される。
マルチポイントトンネルで接続する相手の最大数の設定
[書式]

tunnel multipoint limit LIMIT

no tunnel multipoint limit [LIMIT]

[設定値および初期値]
- LIMIT
  - [設定値]:
    
    最大数（1 .. 100）（vRX VMware ESXi版、vRX Amazon EC2版、RTX5000、RTX3500、RTX1210、RTX1220、RTX1300）
    
    最大数（1 .. 1000）（RTX3510）
  - [初期値]:
    
    100（vRX VMware ESXi版、vRX Amazon EC2版、RTX5000、RTX3500、RTX1210、RTX1220、RTX1300）
    
    1000（RTX3510）
[説明]

選択されているトンネルインターフェースで接続できる相手の最大数を設定する。本コマンドは tunnel type コマンドの接続種別に multipoint、ROLE オプションに server が設定されているトンネルインターフェース（マルチポイントトンネルのサーバー側のトンネルインターフェース）で有効になる。

すべてのトンネルインターフェースの接続相手の合計数の上限は各機種ごとに定められているトンネル最大対地数となる。そのため、複数のトンネルインターフェースを使用する場合は、本コマンドで設定した最大数の制限だけでなく、各機種ごとのトンネル最大対地数の制限も受ける。接続相手の数が本コマンドで設定した最大数を下回っている場合でも、すべてのトンネルインターフェースの合計数が各機種ごとのトンネル最大対地数に達している場合は新たに接続することはできない。

[ノート]

RTX830は Rev.15.02.22 以降で使用可能。ただし、拡張ライセンスがインポートされていないときは使用不可。

NVR700W は使用不可。

[拡張ライセンス対応]

RTX830 は、拡張ライセンス (YSL-VPN-EX1) がインポートされているときに本コマンドを使用可能。

設定値	説明
point-to-point	point-to-point トンネル
multipoint	point-to-multipoint トンネル

設定値	説明
server	サーバーの役割を割り当てる
client	クライアントの役割を割り当てる

トンネルインターフェースの状態の表示

[書式]

show status tunnel [TUNNEL_NUM]

show status tunnel [STATE]

show status tunnel [name=NAME]

[設定値および初期値]

TUNNEL_NUM
- [設定値]: トンネルインターフェース番号
- [初期値]: -

STATE: 接続状態

[設定値]:

設定値	説明
up	接続されているトンネルインターフェース一覧を表示する
down	接続されていないトンネルインターフェース一覧を表示する

[初期値]: -

NAME
- [設定値]: 接続相手の名前
- [初期値]: -

[説明]

トンネルインタフェースの状態を表示する。

第 2 書式は、PPTP トンネルには対応していない。PPTP の対応機種では、PPTP トンネルは接続されていないトンネルインターフェースとして判定される。また、L2TP/IPsec 機能および L2TPv3/IPsec 機能の対応機種では、L2TP トンネルは IPsec トンネルの状態に応じて接続状態が判定される。

第 3 書式では、マルチポイントトンネルインターフェースで接続している相手の中から NAME に指定した文字列を含む名前が付与されている接続相手の情報を抽出して表示する。なお、接続相手の名前は相手側の tunnel multipoint local name コマンドで設定する。

[拡張ライセンス対応]

拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

TUNNEL_NUM

ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
ライセンス名	1本	2本	3本	4本
YSL-VPN-EX1	100	-	-	-
YSL-VPN-EX3	1500	2000	2500	3000

7. 設定例

例示用グローバルアドレスには、文書作成用途として RFC6890 で予約されている IP アドレスの中の 203.0.113.0/24 の範囲を使用しています。

7-1. 本社と複数拠点をマルチポイントトンネルで接続する

[ ネットワーク構成 ]

本社をハブ・ルーター、東京支社と大阪支社をスポーク・ルーターとしてハブ・アンド・スポーク型の VPN を構築する
本社は固定グローバルアドレスを使用して WAN へ接続する
東京支社と大阪支社は PPPoE（端末型アドレス払い出し）で付与される不定グローバルアドレスを使用して WAN へ接続する
本社および支社への経路は OSPF で設定する

[ 本社ルーターの CONFIG 例 ]

ip route default gateway 203.0.113.254
ip lan1 address 192.168.0.1/24
ip lan1 ospf area backbone
ip lan2 address 203.0.113.1/24
ip lan2 nat descriptor 1
tunnel select 1
 tunnel type multipoint server
 tunnel multipoint local name honsya
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.0.1
  ipsec ike pre-shared-key 1 text common-password
  ipsec ike remote address 1 any
  ipsec ike remote name 1 common-name key-id
 ip tunnel address 10.0.0.1/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
ospf use on
ospf router id 192.168.0.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.100/24

ospf configure refresh    # 実行コマンド

[ 東京支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.11.1/24
ip lan1 ospf area backbone
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name tokyo
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.11.1
  ipsec ike local name 1 common-name key-id
  ipsec ike pre-shared-key 1 text common-password
 ip tunnel address 10.0.0.11/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.11.1 udp 500
nat descriptor masquerade static 1 2 192.168.11.1 esp
ospf use on
ospf router id 192.168.11.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.11.2-192.168.11.100/24

ospf configure refresh    # 実行コマンド

[ 大阪支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.12.1/24
ip lan1 ospf area backbone
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name osaka
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.12.1
  ipsec ike local name 1 common-name key-id
  ipsec ike pre-shared-key 1 text common-password
 ip tunnel address 10.0.0.12/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.12.1 udp 500
nat descriptor masquerade static 1 2 192.168.12.1 esp
ospf use on
ospf router id 192.168.12.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.12.2-192.168.12.100/24

ospf configure refresh    # 実行コマンド

[ 本社ルーターの CONFIG の説明 ]

ip lan2 address 203.0.113.1/24
ip lan2 nat descriptor 1
　：
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp

LAN2 に固定グローバルアドレス（203.0.113.1）の設定と IP マスカレードの適用を行い、LAN の全端末とグローバルアドレスを共有させます。また、IP マスカレードを適用する場合は IPsec で使用される IKE / ESP パケットの転送先を LAN1 アドレスに向けます。

 tunnel type multipoint server

TUNNEL インターフェースの接続種別に multipoint を設定し、本社ルーターはハブ・ルーターとなるため server を指定します。

 tunnel multipoint local name honsya

マルチポイントトンネルで使用する自分の名前（honsya）を設定し、接続相手側から名前で識別できるようにします。

  ipsec ike pre-shared-key 1 text common-password

事前共有鍵（common-password）を設定します。マルチポイントトンネルでは接続を許可するすべてのスポーク・ルーターに共通の事前共有鍵を設定する必要があります。0x で始まる十六進数列を設定する場合も同様です。

  ipsec ike remote name 1 common-name key-id

接続相手の名前（common-name）を設定します。マルチポイントトンネルでは接続を許可するすべてのスポーク・ルーターに共通の名前を設定する必要があり、東京支社と大阪支社の双方の ipsec ike local name コマンドでこの名前を設定します。

 ip tunnel address 10.0.0.1/24

トンネルのローカルアドレスを設定し、numbered トンネルにします。point-to-point トンネルの場合は ip tunnel remote address コマンドでトンネルのリモートアドレスも設定して初めて numbered トンネルになりますが、マルチポイントトンネルではトンネル接続時に自動的にリモートアドレスが設定されるため、ip tunnel remote address コマンドの設定は不要です。

ip lan1 ospf area backbone
　：
 ip tunnel ospf area backbone
　：
ospf use on
ospf router id 192.168.0.1
ospf area backbone

LAN1 と TUNNEL1 を OSPF のバックボーンエリアに指定し、本社と各支社間で動的に経路を交換させます。

ospf configure refresh    # 実行コマンド

設定完了後に ospf configure refresh コマンドを実行し、OSPF関連の設定を有効にします。設定保存後にルーターを再起動する場合は当コマンドの実行は不要です。

[ 東京支社ルーターの CONFIG の説明 ]

pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
　：
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.11.1 udp 500
nat descriptor masquerade static 1 2 192.168.11.1 esp

PP1 に PPPoE の設定と IP マスカレードの適用を行い、LAN の全端末とグローバルアドレスを共有させます。また、IP マスカレードを適用する場合は IPsec で使用される IKE / ESP パケットの転送先を LAN1 アドレスに向けます。

 tunnel type multipoint
 tunnel multipoint server 1 203.0.113.1

TUNNEL インターフェースの接続種別に multipoint を設定し、東京支社ルーターはスポーク・ルーターとなるため client を指定します（デフォルト値のため省略）。マルチポイントトンネルのサーバーには本社の WAN 側アドレスを指定します。

 tunnel multipoint local name tokyo

マルチポイントトンネルで使用する自分の名前（tokyo）を設定し、接続相手側から名前で識別できるようにします。

  ipsec ike local name 1 common-name key-id

本社ルーターへの接続時に使用する自身の名前（common-name）を設定します。マルチポイントトンネルでは接続を許可するすべてのスポーク・ルーターに共通の名前を設定する必要があり、本社の ipsec ike remote name コマンドで設定されている名前を指定します。

  ipsec ike pre-shared-key 1 text common-password

事前共有鍵（common-password）を設定します。マルチポイントトンネルでは接続するすべてのスポーク・ルーターに共通の事前共有鍵を設定する必要があります。0x で始まる十六進数列を設定する場合も同様です。

 ip tunnel address 10.0.0.11/24

ip lan1 ospf area backbone
　：
 ip tunnel ospf area backbone
　：
ospf use on
ospf router id 192.168.11.1
ospf area backbone

LAN1 と TUNNEL1 を OSPF のバックボーンエリアに指定し、本社と各支社間で動的に経路を交換させます。

ospf configure refresh    # 実行コマンド

[ 大阪支社ルーターの CONFIG の説明 ]

名前とアドレス以外に東京支社ルーターとの差異はありません。さらに拠点を追加する場合でも、ハブ・ルーター側の設定は変更せずに拠点側ルーターに東京支社・大阪支社と同様な設定を投入して設置するだけで、ハブ・ルーターの最大対地数までトンネルを接続することができます。

7-2. マルチポイントトンネルを 2 本用いて拠点ごとに IPsec の設定を分ける

[ ネットワーク構成 ]

本社をハブ・ルーター、東京支社 / 大阪支社 / 名古屋支社 / 福岡支社をスポーク・ルーターとしてハブ・アンド・スポーク型の VPN を構築する
東京支社 / 大阪支社は本社の TUNNEL1 へ接続し、名古屋支社 / 福岡支社は本社の TUNNEL2 へ接続する
本社は固定グローバルアドレスを使用して WAN へ接続する
各支社は PPPoE（端末型アドレス払い出し）で付与される不定グローバルアドレスを使用して WAN へ接続する
本社および支社への経路は OSPF で設定する

[ 本社ルーターの CONFIG 例 ]

ip route default gateway 203.0.113.254
ip lan1 address 192.168.0.1/24
ip lan1 ospf area backbone
ip lan2 address 203.0.113.1/24
ip lan2 nat descriptor 1
tunnel select 1
 tunnel type multipoint server
 tunnel multipoint local name honsya-A
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.0.1
  ipsec ike pre-shared-key 1 text common-password1
  ipsec ike remote address 1 any
  ipsec ike remote name 1 common-name1 key-id
 ip tunnel address 10.0.0.1/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
tunnel select 2
 tunnel type multipoint server
 tunnel multipoint local name honsya-B
 ipsec tunnel 102
  ipsec sa policy 102 2 esp aes256-cbc sha256-hmac
  ipsec ike always-on 2 on
  ipsec ike keepalive use 2 on heartbeat
  ipsec ike local address 2 192.168.0.1
  ipsec ike pre-shared-key 2 text common-password2
  ipsec ike remote address 2 any
  ipsec ike remote name 2 common-name2 key-id
 ip tunnel address 10.0.1.1/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
ospf use on
ospf router id 192.168.0.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.100/24

ospf configure refresh    # 実行コマンド

[ 東京支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.11.1/24
ip lan1 ospf area backbone
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name tokyo
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.11.1
  ipsec ike local name 1 common-name1 key-id
  ipsec ike pre-shared-key 1 text common-password1
 ip tunnel address 10.0.0.11/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.11.1 udp 500
nat descriptor masquerade static 1 2 192.168.11.1 esp
ospf use on
ospf router id 192.168.11.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.11.2-192.168.11.100/24

ospf configure refresh    # 実行コマンド

[ 大阪支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.12.1/24
ip lan1 ospf area backbone
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name osaka
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.12.1
  ipsec ike local name 1 common-name1 key-id
  ipsec ike pre-shared-key 1 text common-password1
 ip tunnel address 10.0.0.12/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.12.1 udp 500
nat descriptor masquerade static 1 2 192.168.12.1 esp
ospf use on
ospf router id 192.168.12.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.12.2-192.168.12.100/24

ospf configure refresh    # 実行コマンド

[ 名古屋支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.13.1/24
ip lan1 ospf area backbone
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name nagoya
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.13.1
  ipsec ike local name 1 common-name2 key-id
  ipsec ike pre-shared-key 1 text common-password2
 ip tunnel address 10.0.1.13/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.13.1 udp 500
nat descriptor masquerade static 1 2 192.168.13.1 esp
ospf use on
ospf router id 192.168.13.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.13.2-192.168.13.100/24

ospf configure refresh    # 実行コマンド

[ 福岡支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.14.1/24
ip lan1 ospf area backbone
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name fukuoka
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.14.1
  ipsec ike local name 1 common-name2 key-id
  ipsec ike pre-shared-key 1 text common-password2
 ip tunnel address 10.0.1.14/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.14.1 udp 500
nat descriptor masquerade static 1 2 192.168.14.1 esp
ospf use on
ospf router id 192.168.14.1
ospf area backbone
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.14.2-192.168.14.100/24

ospf configure refresh    # 実行コマンド

[ 本社ルーターの CONFIG の説明 ]

# TUNNEL1
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
　　：
  ipsec ike pre-shared-key 1 text common-password1
  ipsec ike remote name 1 common-name1 key-id
 ip tunnel address 10.0.0.1/24

# TUNNEL2
  ipsec sa policy 102 2 esp aes256-cbc sha256-hmac
　　：
  ipsec ike pre-shared-key 2 text common-password2
  ipsec ike remote name 2 common-name2 key-id
 ip tunnel address 10.0.1.1/24

トンネルごとに事前共有鍵や接続相手の名前、IPsec ポリシーなどは違うものを設定できます。東京支社と大阪支社は TUNNEL1 と、名古屋支社と福岡支社は TUNNEL2 と設定を一致させる必要があります。また、トンネルのローカルアドレスは各トンネルで異なるネットワークアドレスに属するアドレスを設定し、支社側のトンネルアドレスはそれぞれ接続先のトンネルと同一のネットワークアドレスに属するアドレスを設定します。

[ 東京支社ルーターの CONFIG の説明 ]

tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name tokyo
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.11.1
  ipsec ike local name 1 common-name1 key-id
  ipsec ike pre-shared-key 1 text common-password1
 ip tunnel address 10.0.0.11/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1

本社の TUNNEL1 へ接続するための設定です。本社の TUNNEL1 のトンネル設定に合わせます。

[ 大阪支社ルーターの CONFIG の説明 ]

名前とアドレス以外に東京支社ルーターとの差異はありません。

[ 名古屋支社ルーターの CONFIG の説明 ]

tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name nagoya
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.13.1
  ipsec ike local name 1 common-name2 key-id
  ipsec ike pre-shared-key 1 text common-password2
 ip tunnel address 10.0.1.13/24
 ip tunnel ospf area backbone
 ip tunnel tcp mss limit auto
 tunnel enable 1

本社の TUNNEL2 へ接続するための設定です。本社の TUNNEL2 のトンネル設定に合わせます。

[ 福岡支社ルーターの CONFIG の説明 ]

名前とアドレス以外に名古屋支社ルーターとの差異はありません。

7-3. マルチポイントトンネルを 2 本用いて各拠点の通信可能エリアを分ける

[ ネットワーク構成 ]

本社をハブ・ルーター、東京支社 / 大阪支社 / 名古屋支社 / 福岡支社をスポーク・ルーターとしてハブ・アンド・スポーク型の VPN を構築する
東京支社 / 大阪支社は本社の TUNNEL1 へ接続し、名古屋支社 / 福岡支社は本社の TUNNEL2 へ接続する
本社─全拠点間の通信は可能とする
東京支社─大阪支社間の拠点間通信、および、名古屋支社─福岡支社間の拠点間通信は可能とし、それ以外の拠点間通信（TUNNEL1 と TUNNEL2 をまたぐ拠点間通信）を不可とする
本社は固定グローバルアドレスを使用して WAN へ接続する
各支社は PPPoE（端末型アドレス払い出し）で付与される不定グローバルアドレスを使用して WAN へ接続する
本社および支社への経路は OSPF で設定する
TUNNEL1 を OSPF エリア 1、TUNNEL2 を OSPF エリア 2 として支社の経路の広告先を限定する

[ 本社ルーターの CONFIG 例 ]

ip route default gateway 203.0.113.254
ip lan1 address 192.168.0.1/24
ip lan1 ospf area backbone
ip lan2 address 203.0.113.1/24
ip lan2 nat descriptor 1
tunnel select 1
 tunnel type multipoint server
 tunnel multipoint local name honsya-A
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.0.1
  ipsec ike pre-shared-key 1 text common-password1
  ipsec ike remote address 1 any
  ipsec ike remote name 1 common-name1 key-id
 ip tunnel address 10.0.0.1/24
 ip tunnel ospf area 1
 ip tunnel tcp mss limit auto
 tunnel enable 1
tunnel select 2
 tunnel type multipoint server
 tunnel multipoint local name honsya-B
 ipsec tunnel 102
  ipsec sa policy 102 2 esp aes-cbc sha-hmac
  ipsec ike always-on 2 on
  ipsec ike keepalive use 2 on heartbeat
  ipsec ike local address 2 192.168.0.1
  ipsec ike pre-shared-key 2 text common-password2
  ipsec ike remote address 2 any
  ipsec ike remote name 2 common-name2 key-id
 ip tunnel address 10.0.1.1/24
 ip tunnel ospf area 2
 ip tunnel tcp mss limit auto
 tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
ospf use on
ospf router id 192.168.0.1
ospf area backbone
ospf area 1
ospf area network 1 192.168.16.0/20 restrict
ospf area 2
ospf area network 2 192.168.32.0/20 restrict
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.100/24

ospf configure refresh    # 実行コマンド

[ 東京支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.16.1/24
ip lan1 ospf area 1
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name tokyo
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.16.1
  ipsec ike local name 1 common-name1 key-id
  ipsec ike pre-shared-key 1 text common-password1
 ip tunnel address 10.0.0.16/24
 ip tunnel ospf area 1
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.16.1 udp 500
nat descriptor masquerade static 1 2 192.168.16.1 esp
ospf use on
ospf router id 192.168.16.1
ospf area 1
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.16.2-192.168.16.100/24

ospf configure refresh    # 実行コマンド

[ 大阪支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.17.1/24
ip lan1 ospf area 1
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name osaka
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.17.1
  ipsec ike local name 1 common-name1 key-id
  ipsec ike pre-shared-key 1 text common-password1
 ip tunnel address 10.0.0.17/24
 ip tunnel ospf area 1
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.17.1 udp 500
nat descriptor masquerade static 1 2 192.168.17.1 esp
ospf use on
ospf router id 192.168.17.1
ospf area 1
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.17.2-192.168.17.100/24

ospf configure refresh    # 実行コマンド

[ 名古屋支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.32.1/24
ip lan1 ospf area 2
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name nagoya
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.32.1
  ipsec ike local name 1 common-name2 key-id
  ipsec ike pre-shared-key 1 text common-password2
 ip tunnel address 10.0.1.32/24
 ip tunnel ospf area 2
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.32.1 udp 500
nat descriptor masquerade static 1 2 192.168.32.1 esp
ospf use on
ospf router id 192.168.32.1
ospf area 2
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.32.2-192.168.32.100/24

ospf configure refresh    # 実行コマンド

[ 福岡支社ルーターの CONFIG 例 ]

ip route default gateway pp 1
ip lan1 address 192.168.33.1/24
ip lan1 ospf area 2
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname MYNAME PASSWORD
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name fukuoka
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.33.1
  ipsec ike local name 1 common-name2 key-id
  ipsec ike pre-shared-key 1 text common-password2
 ip tunnel address 10.0.1.33/24
 ip tunnel ospf area 2
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.33.1 udp 500
nat descriptor masquerade static 1 2 192.168.33.1 esp
ospf use on
ospf router id 192.168.33.1
ospf area 2
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.33.2-192.168.33.100/24

ospf configure refresh    # 実行コマンド

[ 本社ルーターの CONFIG の説明 ]

ip lan1 ospf area backbone
　：
# TUNNEL1
 ip tunnel ospf area 1
　：
# TUNNEL2
 ip tunnel ospf area 2
　：
ospf use on
ospf router id 192.168.0.1
ospf area backbone
ospf area 1
ospf area network 1 192.168.16.0/20 restrict
ospf area 2
ospf area network 2 192.168.32.0/20 restrict

LAN1 を OSPF のバックボーンエリア、TUNNEL1 をエリア 1、TUNNEL2 をエリア 2 に指定し、192.168.16.0/20 に含まれる経路をエリア 1 のみに、192.168.32.0/20 に含まれる経路をエリア 2 のみに広告するように設定します。上記の設定であれば、東京支社の LAN 側アドレス 192.168.16.0/24 と大阪支社の LAN 側アドレス 192.168.17.0/24 は共に ospf area network 1 で指定した 192.168.16.0/20 に含まれるため、エリア 1 のみで広告されるようになります。一方、名古屋支社の LAN 側アドレス 192.168.32.0/24 と福岡支社の LAN 側アドレス 192.168.33.0/24 は共に ospf area network 2 で指定した 192.168.32.0/20 に含まれるため、エリア 2 のみで広告されるようになります。なお、全エリアに属している本社ルーターには全拠点の経路が広告されますが、バックボーンエリア（本社ルーターの LAN1 に存在する別のルーター）には拠点の経路が広告されないことに注意してください。

# TUNNEL1
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
　　：
  ipsec ike pre-shared-key 1 text common-password1
  ipsec ike remote name 1 common-name1 key-id
 ip tunnel address 10.0.0.1/24

# TUNNEL2
  ipsec sa policy 102 2 esp aes-cbc sha-hmac
　　：
  ipsec ike pre-shared-key 2 text common-password2
  ipsec ike remote name 2 common-name2 key-id
 ip tunnel address 10.0.1.1/24

[ 東京支社ルーターの CONFIG の説明 ]

ip lan1 address 192.168.16.1/24
ip lan1 ospf area 1
　：
 ip tunnel ospf area 1
　：
ospf use on
ospf router id 192.168.16.1
ospf area 1

LAN1 インターフェースに本社の ospf area network 1 で指定した 192.168.16.0/20 に含まれるアドレスを設定し、LAN1 と TUNNEL1 を OSPF のエリア 1 に指定することで、東京支社の経路がエリア 1 のみで広告されるようになります。

tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name tokyo
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.16.1
  ipsec ike local name 1 common-name1 key-id
  ipsec ike pre-shared-key 1 text common-password1
 ip tunnel address 10.0.0.16/24
 ip tunnel ospf area 1
 ip tunnel tcp mss limit auto
 tunnel enable 1

本社の TUNNEL1 へ接続するための設定です。本社の TUNNEL1 のトンネル設定に合わせます。

[ 大阪支社ルーターの CONFIG の説明 ]

名前とアドレス以外に東京支社ルーターとの差異はありません。

[ 名古屋支社ルーターの CONFIG の説明 ]

ip lan1 address 192.168.32.1/24
ip lan1 ospf area 2
　：
 ip tunnel ospf area 2
　：
ospf use on
ospf router id 192.168.32.1
ospf area 2

LAN1 インターフェースに本社の ospf area network 2 で指定した 192.168.32.0/20 に含まれるアドレスを設定し、LAN1 と TUNNEL1 を OSPF のエリア 2 に指定することで、名古屋支社の経路がエリア 2 のみで広告されるようになります。

tunnel select 1
 tunnel type multipoint
 tunnel multipoint local name nagoya
 tunnel multipoint server 1 203.0.113.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.32.1
  ipsec ike local name 1 common-name2 key-id
  ipsec ike pre-shared-key 1 text common-password2
 ip tunnel address 10.0.1.32/24
 ip tunnel ospf area 2
 ip tunnel tcp mss limit auto
 tunnel enable 1

本社の TUNNEL2 へ接続するための設定です。本社の TUNNEL2 のトンネル設定に合わせます。

[ 福岡支社ルーターの CONFIG の説明 ]

名前とアドレス以外に名古屋支社ルーターとの差異はありません。

7-4. OSPF を使用せずに IPsec 経路自動追加機能を使用して、マルチポイントトンネルで接続する

詳細は、IPsec 経路自動追加機能の設定例を参照ください。

8. SYSLOG メッセージ一覧

レベル	出力メッセージ	意味
INFO	IP Tunnel[N] Up (Remote: IP_ADDRESS (NAME))	TUNNEL[N] でトンネルアドレスに IP_ADDRESS、名前に NAME が付与されている対向機器と接続した（NAME は対向機器側で tunnel multipoint local name が設定されている場合に表示されます）
INFO	IP Tunnel[N] Down (Remote: IP_ADDRESS (NAME))	TUNNEL[N] でトンネルアドレスに IP_ADDRESS、名前に NAME が付与されている対向機器との接続がダウンした（NAME は対向機器側で tunnel multipoint local name が設定されている場合に表示されます）
DEBUG	[TUNNEL] assigned connection(M) in multipoint tunnel[N]	TUNNEL[N] で対向機器と接続するためのコネクション(M) を割り当てた
	[TUNNEL] released connection(M) in multipoint tunnel[N]	TUNNEL[N] で対向機器との接続に使用していたコネクション(M) を解放した
	[TUNNEL] reached limitation of the number of connections in multipoint tunnel[N]	TUNNEL[N] の接続先数が上限に達しているため、新しい接続要求を受け入れることができない
	[OSPF] addition of TUNNEL[N] was reflected	TUNNEL[N] の接続先の追加が OSPF に反映された
	[OSPF] deletion of TUNNEL[N] was reflected	TUNNEL[N] の接続先の削除が OSPF に反映された

マルチポイントトンネル

1. 概要

2. 対応機種とファームウェアリビジョン

3. 用語の定義

4. 注意事項

5. 詳細

5-1. 基本構成

TUNNEL インターフェース (IPsec IKEv1) の設定例

構成図

ハブ・ルーター

スポーク・ルーター A

スポーク・ルーター B

5-2. ルーティング

ハブ・ルーター

スポーク・ルーター A

スポーク・ルーター B

静的経路の設定

IPsec 経路自動追加機能を使う

5-3. トンネル情報

ハブ・ルーター

スポーク・ルーター A

スポーク・ルーター B

ハブ・ルーター

5-4. ステータス LED

5-5. サポート機能

6. コマンド

7. 設定例

7-1. 本社と複数拠点をマルチポイントトンネルで接続する

7-2. マルチポイントトンネルを 2 本用いて拠点ごとに IPsec の設定を分ける

7-3. マルチポイントトンネルを 2 本用いて各拠点の通信可能エリアを分ける

7-4. OSPF を使用せずに IPsec 経路自動追加機能を使用して、マルチポイントトンネルで接続する

8. SYSLOG メッセージ一覧

9. 関連情報