$Date: 2023/08/22 10:46:22 $
マルチポイントトンネルとは、通常の IPsec トンネルのように接続先を 1 箇所しか持たない point-to-point トンネルとは異なり、複数の接続先を持つ point-to-multipoint トンネルのことです。マルチポイントトンネルでは、物理的には複数のトンネルで構成されている VPN を、あたかも複数の出入り口を持つトンネルがひとつだけ存在するかのように仮想化します。設定の上でも、複数拠点とのトンネル接続をひとつの TUNNEL インターフェースで収容するため、設定を簡素化することができます。例えば、ハブ・アンド・スポーク型の VPN において拠点を追加する際、point-to-point トンネルを使用している場合はセンター機器にも新規拠点用の TUNNEL インターフェースを追加する作業が必要ですが、マルチポイントトンネルではセンター機器に TUNNEL インターフェースを追加する作業が不要になります。
下図がマルチポイントトンネル の概念図になります。従来、センター機器には拠点数に応じた数の TUNNEL インターフェースが必要でしたが、マルチポイントトンネルではひとつで済むようになります。
ヤマハルーターでは以下の機種およびファームウェアで、マルチポイントトンネルをサポートしています。
機種 | ファームウェア | トンネル最大対地数(*1) | マルチポイントトンネル 最大対地数(*2) | 対応種別(*3) | |
---|---|---|---|---|---|
サーバー | クライアント | ||||
vRX VMware ESXi版 | すべてのリビジョン | 6000(通常モード) 1000(コンパクトモード) |
100 | ○ | ○ |
vRX Amazon EC2版 | |||||
RTX3510 | |||||
1000 (*4) | 1000(OSPF使用時:100) | ○ | ○ | ||
RTX1300 | 100 | 100 | ○ | ○ | |
RTX1220 | 100 | 100 | ○ | ○ | |
RTX830 | Rev.15.02.01 | 20 | 20 | × | ○ |
Rev.15.02.22以降 | 20 (*4) | 20 (*4) | × (*4) | ○ | |
NVR700W | Rev.15.00.10以降 | 20 | 20 | × | ○ |
RTX1210 | Rev.14.01.20以降 | 100 | 100 | ○ | ○ |
RTX5000 | Rev.14.00.26以降 | 3000 | 100 | ○ | ○ |
RTX3500 | 1000 | 100 | ○ | ○ |
(*1) | 機器全体のトンネル最大対地数です。 |
(*2) | トンネル最大対地数(*1)の内、マルチポイントトンネルで接続可能な最大対地数を示しています。point-to-point トンネルと併用する場合は、point-to-point トンネルで接続する対地数とマルチポイントトンネルで接続する対地数の合計がトンネル最大対地数(*1)を超えないように制御されます。なお、point-to-point トンネルは切断状態であってもトンネルインターフェースの設定があるだけで対地数に加算されます。例えば、RTX1210 で point-to-point トンネルインターフェースが 10 個設定されている場合、point-to-point トンネルインターフェースのトンネル種別や接続状態に関係なく、マルチポイントトンネルで接続可能な最大対地数は 90 となります。また、RTX3500 で point-to-point トンネルインターフェースが 950 個設定されている場合は、マルチポイントトンネルで接続可能な最大対地数は 50 となります。 |
(*3) | マルチポイントトンネルでは接続する各ルーターを tunnel type コマンドの ROLE オプションでサーバーかクライアントに割り当てます。その ROLE オプションで指定可能な種別が機種によって異なります。 |
(*4) | 拡張ライセンスをインポートすることで拡張可能です。詳細は拡張ライセンスの技術資料を参照してください。 |
用語 | 説明 |
---|---|
ハブ・アンド・スポーク型 VPN フルメッシュ型 VPN |
VPN の構成は大きく二つあり、ハブ・アンド・スポーク型とフルメッシュ型に分かれます。ハブ・アンド・スポーク型は、本社やデータセンターなどの中心設備に置かれているセンター・ルーターに全拠点のルーターがトンネルを接続し、拠点同士は直接接続されていない構成で、拠点間の通信は常にセンター・ルーターを経由します。フルメッシュ型は、センター・ルーターと拠点ルーターのすべてがメッシュ状にトンネルを接続している構成で、拠点間の通信はセンター・ルーターを経由せず、拠点同士で直接的に行われます。 |
ハブ・ルーター | ハブ・アンド・スポーク型の VPN 構成の中心に位置し、すべてのスポーク・ルーターとトンネル接続をしているルーターをハブ・ルーターと表現します。また、マルチポイントトンネルでサーバーの役目を担うルーターのこともハブ・ルーターと表現します。 |
スポーク・ルーター | ハブ・アンド・スポーク型の VPN 構成の端点に位置し、ハブ・ルーターとトンネル接続をしているルーターをスポーク・ルーターと表現します。また、マルチポイントトンネルでクライアントの役目を担うルーターのこともスポーク・ルーターと表現します。 |
物理トンネル | マルチポイントトンネルは point-to-point で物理的に接続している複数の実トンネルを集約した仮想的なトンネルですが、仮想的なマルチポイントトンネルと物理的に接続している実トンネルを区別して説明する必要がある場合、後者を物理トンネルと表現します。 |
マルチポイントトンネルは、point-to-point で物理的に接続している複数のトンネルを集約し、見かけ上ひとつのトンネルのみが存在しているかのように見せる仮想化トンネリング技術です。主に設定の簡略化を目的とするものであって、トンネル通信の実動作は point-to-point トンネルを複数使用して VPN を組んでいるときと変わりありません。マルチポイントトンネルはハブ・アンド・スポーク型の VPN が基本構成となり、同一のマルチポイントトンネルに接続するルーターの中からサーバーの役割を担うハブ・ルーターを 1 台以上選出します。また、マルチポイントトンネルには主に以下に示す制限があります。他の制限事項については「5-4. サポート機能」を参照してください。
TUNNEL インターフェース部分のみを抜粋した設定例を示します。ルーター全体の設定は「7. 設定例」を参照してください。
tunnel select 1 tunnel type multipoint server - - - - - - a tunnel multipoint local name hub - - - - - - b ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat - - - - - - c ipsec ike local address 1 203.0.113.1 - - - - - - d ipsec ike pre-shared-key 1 text common-password - - - - - - e ipsec ike remote address 1 any ipsec ike remote name 1 common-name key-id - - - - - - f ip tunnel address 10.0.0.1/24 - - - - - - g ip tunnel ospf area backbone - - - - - - h ip tunnel tcp mss limit auto tunnel enable 1
tunnel select 1 tunnel type multipoint - - - - - - a tunnel multipoint local name spoke-A - - - - - - b tunnel multipoint server 1 203.0.113.1 - - - - - - c ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 203.0.113.11 - - - - - - d ipsec ike local name 1 common-name key-id - - - - - - e ipsec ike pre-shared-key 1 text common-password ip tunnel address 10.0.0.11/24 - - - - - - f ip tunnel ospf area backbone - - - - - - g ip tunnel tcp mss limit auto tunnel enable 1
tunnel select 1 tunnel type multipoint tunnel multipoint local name spoke-B - - - - - - a tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 203.0.113.12 - - - - - - b ipsec ike local name 1 common-name key-id ipsec ike pre-shared-key 1 text common-password ip tunnel address 10.0.0.12/24 - - - - - - c ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1
a の名前にスポーク・ルーター B の名前を設定し、b 、c のアドレスにスポーク・ルーター B 用のアドレスを設定すること以外は、スポーク・ルーター A と変わりありません。
「5-1. 基本構成」の設定によるトンネルの接続後の各ルーターの経路情報は次のようになります。
# show ip route 宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報 10.0.0.0/24 - TUNNEL[1] implicit 10.0.0.1/32 10.0.0.11 TUNNEL[1] OSPF cost=3124 10.0.0.1/32 10.0.0.12 TUNNEL[1] OSPF cost=3124 10.0.0.11/32 - TUNNEL[1] implicit 10.0.0.12/32 - TUNNEL[1] implicit 192.168.0.0/24 192.168.0.1 LAN1 implicit 192.168.11.0/24 10.0.0.11 TUNNEL[1] OSPF cost=1563 192.168.12.0/24 10.0.0.12 TUNNEL[1] OSPF cost=1563 203.0.113.0/24 203.0.113.1 LAN2 implicit
ハブ・ルーターからは、スポーク・ルーター A の LAN 経路(192.168.11.0/24)もスポーク・ルーター B の LAN 経路(192.168.12.0/24)も共にマルチポイントトンネル TUNNEL[1] に接続されているように見えますが、ゲートウェイ・アドレスは各々のトンネル・アドレスに向けられます。なお、ハブ・ルーターでは実際に接続している物理トンネルは 2 本ありますが、それらはマルチポイントトンネル TUNNEL[1] として集約されて表示されます。
# show ip route 宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報 10.0.0.0/24 - TUNNEL[1] implicit 10.0.0.1/32 - TUNNEL[1] implicit 10.0.0.11/32 10.0.0.1 TUNNEL[1] OSPF cost=3124 10.0.0.12/32 10.0.0.1 TUNNEL[1] OSPF cost=3124 192.168.0.0/24 10.0.0.1 TUNNEL[1] OSPF cost=1563 192.168.11.0/24 192.168.11.1 LAN1 implicit 192.168.12.0/24 10.0.0.1 TUNNEL[1] OSPF cost=3125 203.0.113.0/24 203.0.113.11 LAN2 implicit
# show ip route 宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報 10.0.0.0/24 - TUNNEL[1] implicit 10.0.0.1/32 - TUNNEL[1] implicit 10.0.0.11/32 10.0.0.1 TUNNEL[1] OSPF cost=3124 10.0.0.12/32 10.0.0.1 TUNNEL[1] OSPF cost=3124 192.168.0.0/24 10.0.0.1 TUNNEL[1] OSPF cost=1563 192.168.11.0/24 10.0.0.1 TUNNEL[1] OSPF cost=3125 192.168.12.0/24 192.168.12.1 LAN1 implicit 203.0.113.0/24 203.0.113.12 LAN2 implicit
スポーク・ルーターからは、ハブ・ルーターの LAN 経路(192.168.0.0/24)と他のスポーク・ルーターの LAN 経路(192.168.1x.0/24)が共にマルチポイントトンネル TUNNEL[1] に接続されているように見え、ゲートウェイ・アドレスはハブ・ルーターのトンネル・アドレスに向けられます。したがって、スポーク・ルーター間の通信は常にハブ・ルーターを経由します。
動的ルーティング・プロトコルを使用せずにマルチポイントトンネルの先に存在する経路を静的に設定する場合は、ゲートウェイに対向機器のトンネル・アドレス(スポーク・ルーターの場合はハブ・ルーターのトンネル・アドレス)を指定します。ゲートウェイにマルチポイントトンネルのインターフェースを指定した場合は正しくルーティングさせることができません。
# ハブ・ルーター ○ ip route 192.168.11.0/24 gateway 10.0.0.11 ○ ip route 192.168.12.0/24 gateway 10.0.0.12 × ip route 192.168.11.0/24 gateway tunnel 1 × ip route 192.168.12.0/24 gateway tunnel 1 # スポーク・ルーター A ○ ip route 10.0.0.12 gateway 10.0.0.1 ○ ip route 192.168.0.0/24 gateway 10.0.0.1 ○ ip route 192.168.12.0/24 gateway 10.0.0.1 × ip route 10.0.0.12 gateway tunnel 1 × ip route 192.168.0.0/24 gateway tunnel 1 × ip route 192.168.12.0/24 gateway tunnel 1 # スポーク・ルーター B ○ ip route 10.0.0.11 gateway 10.0.0.1 ○ ip route 192.168.0.0/24 gateway 10.0.0.1 ○ ip route 192.168.11.0/24 gateway 10.0.0.1 × ip route 10.0.0.11 gateway tunnel 1 × ip route 192.168.0.0/24 gateway tunnel 1 × ip route 192.168.11.0/24 gateway tunnel 1
IPsec 経路自動追加機能は、IPsec 接続が確立したときに、Responder に Initiator の LAN 側ネットワーク宛の経路を自動的に追加する機能です。この機能を使うことで、OSPF を使用せずにスポーク・ルーターの LAN 経路をハブ・ルーターに自動的に追加することができます。詳細はIPsec 経路自動追加機能の技術資料を参照ください。
show status tunnel や show ipsec sa でマルチポイントトンネルのインターフェース番号を指定した場合は、接続中のすべての相手に関する情報が表示されます。また、show status tunnel up ではマルチポイントトンネルは接続中のインターフェース番号に加え、接続相手のトンネルアドレス、および、接続相手側で tunnel multipoint local name が設定されている場合はその名前が表示されます。show status tunnel down では接続中の相手が 1 台もいないマルチポイントトンネルのインターフェース番号のみが表示されます。スポーク・ルーター側において tunnel multipoint server コマンドで複数のハブ・ルーターを指定し、接続中のハブ・ルーターと接続していないハブ・ルーターが混在する場合には、show status tunnel up の方にインターフェース番号と接続中のハブ・ルーターのトンネルアドレスおよび名前が表示され、show status tunnel down の方には何も表示されません。トンネルインターフェースの合計数は、1 台以上の相手と接続しているマルチポイントトンネルを up、1 台も接続していないマルチポイントトンネルを down と見なしてカウントされます。「5-1. 基本構成」の設定によるトンネルの接続後の各ルーターのトンネル情報は次のようになります。
# show status tunnel 1 TUNNEL[1]: 説明: インタフェースの種類: IPsec (point-to-multipoint) [接続先 10.0.0.11 (spoke-A)] トンネルインタフェースは接続されています 開始: 2017/07/03 15:00:43 通信時間: 4分58秒 受信: (IPv4) 38 パケット [2812 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 42 パケット [3096 オクテット] (IPv6) 0 パケット [0 オクテット] [接続先 10.0.0.12 (spoke-B)] トンネルインタフェースは接続されています 開始: 2017/07/03 15:01:07 通信時間: 4分34秒 受信: (IPv4) 37 パケット [2756 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 40 パケット [2820 オクテット] (IPv6) 0 パケット [0 オクテット] # show status tunnel name=spoke-B # 名前指定も可能 TUNNEL[1]: 説明: インタフェースの種類: IPsec (point-to-multipoint) [接続先 10.0.0.12 (spoke-B)] トンネルインタフェースは接続されています 開始: 2017/07/03 15:01:07 通信時間: 4分36秒 受信: (IPv4) 37 パケット [2756 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 40 パケット [2820 オクテット] (IPv6) 0 パケット [0 オクテット] # show status tunnel up 接続されているトンネルインタフェース 合計: 1 (接続先合計: 2) トンネル番号(point-to-multipoint): 1 -> 10.0.0.11 (spoke-A) -> 10.0.0.12 (spoke-B) # show ipsec sa Total: isakmp:2 send:2 recv:2 sa sgw isakmp connection dir life[s] remote-id ---------------------------------------------------------------------------- 1 1 - isakmp - 28750 10.0.0.11 2 1 1 tun[0001]esp send 28751 10.0.0.11 3 1 1 tun[0001]esp recv 28751 10.0.0.11 4 1 - isakmp - 28774 10.0.0.12 5 1 4 tun[0001]esp send 28776 10.0.0.12 6 1 4 tun[0001]esp recv 28776 10.0.0.12 # show ipsec sa gateway 1 sgw flags local-id remote-id # of sa --------------------------------------------------------------------------- 1 U K 10.0.0.1 10.0.0.11 i:1 s:1 r:1 1 U K 10.0.0.1 10.0.0.12 i:1 s:1 r:1 # show ipsec sa gateway 1 detail SA[1] 寿命: 28670秒 自分側の識別子: 10.0.0.1 相手側の識別子: 10.0.0.11 (common-name) プロトコル: IKE アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit SPI: cd f6 3d 04 1f 0a 0d 9d 35 36 f5 a1 48 a9 c4 76 鍵 : 68 6d 11 a8 5f 31 fd 5c ---------------------------------------------------- SA[2] 寿命: 28671秒 自分側の識別子: 10.0.0.1 相手側の識別子: 10.0.0.11 (common-name) 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 89 b9 46 41 鍵 : 07 37 f6 d0 e7 d1 54 3d 10 98 b2 72 17 45 b1 c6 ---------------------------------------------------- SA[3] 寿命: 28671秒 自分側の識別子: 10.0.0.1 相手側の識別子: 10.0.0.11 (common-name) 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 56 76 3e f4 鍵 : e9 46 a0 59 86 cc 1d 35 a8 f0 21 a3 d7 3d 84 8b ---------------------------------------------------- SA[4] 寿命: 28673秒 自分側の識別子: 10.0.0.1 相手側の識別子: 10.0.0.12 (common-name) プロトコル: IKE アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit SPI: bf cc a7 30 b2 a5 31 8d 4c d0 8f 0e b1 7a ea b2 鍵 : e3 6d 84 ab f6 04 bd 3e ---------------------------------------------------- SA[5] 寿命: 28675秒 自分側の識別子: 10.0.0.1 相手側の識別子: 10.0.0.12 (common-name) 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 63 9d 24 1a 鍵 : d1 7a f3 2f 1e d2 97 fe 34 50 0b b8 5d 0e c1 d0 ---------------------------------------------------- SA[6] 寿命: 28675秒 自分側の識別子: 10.0.0.1 相手側の識別子: 10.0.0.12 (common-name) 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: ca a5 33 8e 鍵 : 85 c0 f2 b4 bc 82 56 ac f3 c9 1a e1 1a a1 ab 04 ----------------------------------------------------
# show status tunnel 1 TUNNEL[1]: 説明: インタフェースの種類: IPsec (point-to-multipoint) [接続先 10.0.0.1 (hub)] トンネルインタフェースは接続されています 開始: 2017/07/03 15:00:43 通信時間: 5分12秒 受信: (IPv4) 52 パケット [3636 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 50 パケット [3628 オクテット] (IPv6) 0 パケット [0 オクテット] # show status tunnel up 接続されているトンネルインタフェース 合計: 1 (接続先合計: 1) トンネル番号(point-to-multipoint): 1 -> 10.0.0.1 (hub) # show ipsec sa Total: isakmp:1 send:1 recv:1 sa sgw isakmp connection dir life[s] remote-id ---------------------------------------------------------------------------- 1 1 - isakmp - 28665 10.0.0.1 2 1 1 tun[0001]esp send 28667 10.0.0.1 3 1 1 tun[0001]esp recv 28667 10.0.0.1 # show ipsec sa gateway 1 sgw flags local-id remote-id # of sa --------------------------------------------------------------------------- 1 U K 10.0.0.11 10.0.0.1 i:1 s:1 r:1 # show ipsec sa gateway 1 detail SA[1] 寿命: 28607秒 自分側の識別子: 10.0.0.11 (common-name) 相手側の識別子: 10.0.0.1 プロトコル: IKE アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit SPI: cd f6 3d 04 1f 0a 0d 9d 35 36 f5 a1 48 a9 c4 76 鍵 : 68 6d 11 a8 5f 31 fd 5c ---------------------------------------------------- SA[2] 寿命: 28609秒 自分側の識別子: 10.0.0.11 (common-name) 相手側の識別子: 10.0.0.1 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 56 76 3e f4 鍵 : e9 46 a0 59 86 cc 1d 35 a8 f0 21 a3 d7 3d 84 8b ---------------------------------------------------- SA[3] 寿命: 28609秒 自分側の識別子: 10.0.0.11 (common-name) 相手側の識別子: 10.0.0.1 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 89 b9 46 41 鍵 : 07 37 f6 d0 e7 d1 54 3d 10 98 b2 72 17 45 b1 c6 ----------------------------------------------------
# show status tunnel 1 TUNNEL[1]: 説明: インタフェースの種類: IPsec (point-to-multipoint) [接続先 10.0.0.1 (hub)] トンネルインタフェースは接続されています 開始: 2017/07/03 15:01:07 通信時間: 4分49秒 受信: (IPv4) 47 パケット [3296 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 42 パケット [2956 オクテット] (IPv6) 0 パケット [0 オクテット] # show status tunnel up 接続されているトンネルインタフェース 合計: 1 (接続先合計: 1) トンネル番号(point-to-multipoint): 1 -> 10.0.0.1 (hub) # show ipsec sa Total: isakmp:1 send:1 recv:1 sa sgw isakmp connection dir life[s] remote-id ---------------------------------------------------------------------------- 1 1 - isakmp - 28736 10.0.0.1 2 1 1 tun[0001]esp send 28738 10.0.0.1 3 1 1 tun[0001]esp recv 28738 10.0.0.1 # show ipsec sa gateway 1 sgw flags local-id remote-id # of sa --------------------------------------------------------------------------- 1 U K 10.0.0.12 10.0.0.1 i:1 s:1 r:1 show ipsec sa gateway 1 detail SA[1] 寿命: 28665秒 自分側の識別子: 10.0.0.12 (common-name) 相手側の識別子: 10.0.0.1 プロトコル: IKE アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit SPI: bf cc a7 30 b2 a5 31 8d 4c d0 8f 0e b1 7a ea b2 鍵 : e3 6d 84 ab f6 04 bd 3e ---------------------------------------------------- SA[2] 寿命: 28667秒 自分側の識別子: 10.0.0.12 (common-name) 相手側の識別子: 10.0.0.1 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: ca a5 33 8e 鍵 : 85 c0 f2 b4 bc 82 56 ac f3 c9 1a e1 1a a1 ab 04 ---------------------------------------------------- SA[3] 寿命: 28667秒 自分側の識別子: 10.0.0.12 (common-name) 相手側の識別子: 10.0.0.1 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 63 9d 24 1a 鍵 : d1 7a f3 2f 1e d2 97 fe 34 50 0b b8 5d 0e c1 d0 ----------------------------------------------------
マルチポイントトンネルではアップ / ダウンの際に出力される SYSLOG は次のように接続相手ごとになります。
2017/07/03 20:12:54: IP Tunnel[1] Up (Remote:10.0.0.11 (spoke-A)) # Tunnel[1]でスポーク・ルーター A がアップ 2017/07/03 20:12:57: IP Tunnel[1] Up (Remote:10.0.0.12 (spoke-B)) # Tunnel[1]でスポーク・ルーター B がアップ 2017/07/03 20:19:24: IP Tunnel[1] Down (Remote:10.0.0.11 (spoke-A)) # Tunnel[1]でスポーク・ルーター A がダウン 2017/07/03 20:19:28: IP Tunnel[1] Down (Remote:10.0.0.12 (spoke-B)) # Tunnel[1]でスポーク・ルーター B がダウン
マルチポイントトンネルでは次に示す条件をすべて満たしている機器のステータス LED が点灯します。
マルチポイントトンネルで対応している機能と非対応の機能を下表に示します。
機能 | 対応 (○) 非対応 (×) | 備考 |
---|---|---|
ファストパス | ○ | |
IPv4 over IPv4 接続 | ○ | |
IPv6 over IPv4 接続 | ○ | |
IPv4 over IPv6 接続 | ○ | |
IPv6 over IPv6 接続 | ○ | |
numbered 接続 | ○ | |
unnumbered 接続 | × | |
IPsec IKEv1 トンネル | ○ | トンネルモードのみに対応し、トランスポートモードには非対応。 |
IPsec IKEv2 トンネル | × | |
IPIP トンネル | × | |
PPTP トンネル | × | |
L2TP/IPsec トンネル | × | |
L2TPv3 トンネル | × | |
L2TPv3/IPsec トンネル | × | |
IPUDP トンネル | × | |
データコネクトを利用した拠点間接続 | × | |
YMS-VPN7(ソフトウェアライセンス版) との接続 | × | |
YMS-VPN7(同時接続ライセンス版) との接続 | × | |
YMS-VPN8(ソフトウェアライセンス版) との接続 | × | |
YMS-VPN8(同時接続ライセンス版) との接続 | × | |
tunnel template コマンドを利用した設定 | × | マルチポイントトンネルの設定に関連するコマンドは tunnel template コマンドの展開対象にはなっていない。また、tunnel template コマンドで展開された TUNNEL インターフェースをマルチポイントトンネルに設定した場合の動作も非対応。 |
トンネル名称の設定(tunnel name) | ○ | |
IP フィルター(静的/動的) | ○ | すべての接続先に対して共通の設定となり、接続先ごとに IP フィルターを個別に設定することはできない。 |
パケット転送フィルター | ○ | すべての接続先に対して共通の設定となり、接続先ごとにパケット転送フィルターを個別に設定することはできない。 |
侵入検知 | ○ | すべての接続先に対して共通の設定となり、接続先ごとに検知種別や動作を個別に設定することはできない。 |
トンネル QoS | ○ | すべての接続先に対して共通の設定となり、接続先ごとに QoS を個別に設定することはできない。 |
SNMP による情報取得 | ○ | MIB 上ではすべての接続先を集約したひとつの TUNNEL インターフェースとして見え、接続先ごとに分別された情報を取得することはできない。 |
OSPF による IPv4 経路制御 | ○ | すべての接続先に対して共通の設定となり、接続先ごとに設定を切り替えることはできない。 |
OSPFv3 による IPv6 経路制御 | ○ | すべての接続先に対して共通の設定となり、接続先ごとに設定を切り替えることはできない。 |
BGP4 による経路制御 | × | |
RIP/RIPng による経路制御 | × | |
VRRP との連動 | ○ | ipsec ike local address コマンドで vrrp を指定している場合、VRRP マスターとして動作しているときだけ鍵交換が行われる。 |
NAT トラバーサル | ○ | |
ヤマハ独自方式の ESP カプセル化(ipsec ike esp-encapsulation) | ○ | |
トンネル内の NAT 変換 | × | |
IPComp によるデータ圧縮(ipsec ipcomp type) | ○ | |
統計記録(ip tunnel traffic list) | × | |
トンネルバックアップ | × | |
XAUTH によるユーザー認証 | × |
設定値 | 説明 |
---|---|
point-to-point | point-to-point トンネル |
multipoint | point-to-multipoint トンネル |
設定値 | 説明 |
---|---|
server | サーバーの役割を割り当てる |
client | クライアントの役割を割り当てる |
トンネルインターフェースの接続種別を、接続先を 1 箇所だけ持つ point-to-point トンネル、もしくは、複数の接続先を持つ point-to-multipoint トンネル(マルチポイントトンネル)に設定する。
ROLE オプションは TYPE に multipoint を設定した場合のみ設定可能なオプションで、マルチポイントトンネルでは同一のトンネルに接続する複数のルーターの中から server と client をそれぞれ 1 台以上指定する必要がある。
マルチポイントトンネルはハブ・アンド・スポーク型の構成を基本構成とし、通常はハブ・ルーターの ROLE オプションのみに server を指定する。なお、Rev.15.02.22 より前の RTX830、および NVR700W は server を指定できない。
RTX830 は、拡張ライセンス (YSL-VPN-EX1) がインポートされているときに role オプションに server を指定可能。
マルチポイントトンネルにおいて、サーバーの役割が割り当てられているルーターのアドレスを設定する。本コマンドは tunnel type コマンドで接続種別に multipoint 、ROLE オプションに client が設定されているトンネルインターフェース(マルチポイントトンネルのクライアント側のトンネルインターフェース)で有効になる。
本コマンドを複数設定し、複数のサーバーを指定している場合は、接続可能なサーバーすべてに対してトンネルが接続される。最大で 3 台のサーバーを指定できる。
マルチポイントトンネルはハブ・アンド・スポーク型の構成を基本構成とし、通常はハブ・ルーターがサーバーとなる。
マルチポイントトンネルで使用する自分の名前を設定する。
本コマンドで設定した名前はトンネル接続後に接続相手にも通知され、接続相手側でもトンネルの識別情報として SYSLOG 等で利用される。
選択されているトンネルインターフェースで接続できる相手の最大数を設定する。本コマンドは tunnel type コマンドの接続種別に multipoint、ROLE オプションに server が設定されているトンネルインターフェース(マルチポイントトンネルのサーバー側のトンネルインターフェース)で有効になる。
すべてのトンネルインターフェースの接続相手の合計数の上限は各機種ごとに定められているトンネル最大対地数となる。そのため、複数のトンネルインターフェースを使用する場合は、本コマンドで設定した最大数の制限だけでなく、各機種ごとのトンネル最大対地数の制限も受ける。接続相手の数が本コマンドで設定した最大数を下回っている場合でも、すべてのトンネルインターフェースの合計数が各機種ごとのトンネル最大対地数に達している場合は新たに接続することはできない。
RTX830は Rev.15.02.22 以降で使用可能。ただし、拡張ライセンスがインポートされていないときは使用不可。
NVR700W は使用不可。
RTX830 は、拡張ライセンス (YSL-VPN-EX1) がインポートされているときに本コマンドを使用可能。
設定値 | 説明 |
---|---|
up | 接続されているトンネルインターフェース一覧を表示する |
down | 接続されていないトンネルインターフェース一覧を表示する |
トンネルインタフェースの状態を表示する。
第 2 書式は、PPTP トンネルには対応していない。PPTP の対応機種では、PPTP トンネルは接続されていないトンネルインターフェースとして判定される。 また、L2TP/IPsec 機能および L2TPv3/IPsec 機能の対応機種では、L2TP トンネルは IPsec トンネルの状態に応じて接続状態が判定される。
第 3 書式では、マルチポイントトンネルインターフェースで接続している相手の中から NAME に指定した文字列を含む名前が付与されている接続相手の情報を抽出して表示する。なお、接続相手の名前は相手側の tunnel multipoint local name コマンドで設定する。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
例示用グローバルアドレスには、文書作成用途として RFC6890 で予約されている IP アドレスの中の 203.0.113.0/24 の範囲を使用しています。
ip route default gateway 203.0.113.254 ip lan1 address 192.168.0.1/24 ip lan1 ospf area backbone ip lan2 address 203.0.113.1/24 ip lan2 nat descriptor 1 tunnel select 1 tunnel type multipoint server tunnel multipoint local name honsya ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.0.1 ipsec ike pre-shared-key 1 text common-password ipsec ike remote address 1 any ipsec ike remote name 1 common-name key-id ip tunnel address 10.0.0.1/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp ospf use on ospf router id 192.168.0.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name tokyo tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.11.1 ipsec ike local name 1 common-name key-id ipsec ike pre-shared-key 1 text common-password ip tunnel address 10.0.0.11/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.11.1 udp 500 nat descriptor masquerade static 1 2 192.168.11.1 esp ospf use on ospf router id 192.168.11.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.2-192.168.11.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.12.1/24 ip lan1 ospf area backbone pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name osaka tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.12.1 ipsec ike local name 1 common-name key-id ipsec ike pre-shared-key 1 text common-password ip tunnel address 10.0.0.12/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.12.1 udp 500 nat descriptor masquerade static 1 2 192.168.12.1 esp ospf use on ospf router id 192.168.12.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.12.2-192.168.12.100/24 ospf configure refresh # 実行コマンド
ip lan2 address 203.0.113.1/24 ip lan2 nat descriptor 1 : nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp
LAN2 に固定グローバルアドレス(203.0.113.1)の設定と IP マスカレードの適用を行い、LAN の全端末とグローバルアドレスを共有させます。また、IP マスカレードを適用する場合は IPsec で使用される IKE / ESP パケットの転送先を LAN1 アドレスに向けます。
tunnel type multipoint server
TUNNEL インターフェースの接続種別に multipoint を設定し、本社ルーターはハブ・ルーターとなるため server を指定します。
tunnel multipoint local name honsya
マルチポイントトンネルで使用する自分の名前(honsya)を設定し、接続相手側から名前で識別できるようにします。
ipsec ike pre-shared-key 1 text common-password
事前共有鍵(common-password)を設定します。マルチポイントトンネルでは接続を許可するすべてのスポーク・ルーターに共通の事前共有鍵を設定する必要があります。0x で始まる十六進数列を設定する場合も同様です。
ipsec ike remote name 1 common-name key-id
接続相手の名前(common-name)を設定します。マルチポイントトンネルでは接続を許可するすべてのスポーク・ルーターに共通の名前を設定する必要があり、東京支社と大阪支社の双方の ipsec ike local name コマンドでこの名前を設定します。
ip tunnel address 10.0.0.1/24
トンネルのローカルアドレスを設定し、numbered トンネルにします。point-to-point トンネルの場合は ip tunnel remote address コマンドでトンネルのリモートアドレスも設定して初めて numbered トンネルになりますが、マルチポイントトンネルではトンネル接続時に自動的にリモートアドレスが設定されるため、ip tunnel remote address コマンドの設定は不要です。
ip lan1 ospf area backbone : ip tunnel ospf area backbone : ospf use on ospf router id 192.168.0.1 ospf area backbone
LAN1 と TUNNEL1 を OSPF のバックボーンエリアに指定し、本社と各支社間で動的に経路を交換させます。
ospf configure refresh # 実行コマンド
設定完了後に ospf configure refresh コマンドを実行し、OSPF関連の設定を有効にします。設定保存後にルーターを再起動する場合は当コマンドの実行は不要です。
pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 : nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.11.1 udp 500 nat descriptor masquerade static 1 2 192.168.11.1 esp
PP1 に PPPoE の設定と IP マスカレードの適用を行い、LAN の全端末とグローバルアドレスを共有させます。また、IP マスカレードを適用する場合は IPsec で使用される IKE / ESP パケットの転送先を LAN1 アドレスに向けます。
tunnel type multipoint tunnel multipoint server 1 203.0.113.1
TUNNEL インターフェースの接続種別に multipoint を設定し、東京支社ルーターはスポーク・ルーターとなるため client を指定します(デフォルト値のため省略)。マルチポイントトンネルのサーバーには本社の WAN 側アドレスを指定します。
tunnel multipoint local name tokyo
マルチポイントトンネルで使用する自分の名前(tokyo)を設定し、接続相手側から名前で識別できるようにします。
ipsec ike local name 1 common-name key-id
本社ルーターへの接続時に使用する自身の名前(common-name)を設定します。マルチポイントトンネルでは接続を許可するすべてのスポーク・ルーターに共通の名前を設定する必要があり、本社の ipsec ike remote name コマンドで設定されている名前を指定します。
ipsec ike pre-shared-key 1 text common-password
事前共有鍵(common-password)を設定します。マルチポイントトンネルでは接続するすべてのスポーク・ルーターに共通の事前共有鍵を設定する必要があります。0x で始まる十六進数列を設定する場合も同様です。
ip tunnel address 10.0.0.11/24
トンネルのローカルアドレスを設定し、numbered トンネルにします。point-to-point トンネルの場合は ip tunnel remote address コマンドでトンネルのリモートアドレスも設定して初めて numbered トンネルになりますが、マルチポイントトンネルではトンネル接続時に自動的にリモートアドレスが設定されるため、ip tunnel remote address コマンドの設定は不要です。
ip lan1 ospf area backbone : ip tunnel ospf area backbone : ospf use on ospf router id 192.168.11.1 ospf area backbone
LAN1 と TUNNEL1 を OSPF のバックボーンエリアに指定し、本社と各支社間で動的に経路を交換させます。
ospf configure refresh # 実行コマンド
設定完了後に ospf configure refresh コマンドを実行し、OSPF関連の設定を有効にします。設定保存後にルーターを再起動する場合は当コマンドの実行は不要です。
名前とアドレス以外に東京支社ルーターとの差異はありません。さらに拠点を追加する場合でも、ハブ・ルーター側の設定は変更せずに拠点側ルーターに東京支社・大阪支社と同様な設定を投入して設置するだけで、ハブ・ルーターの最大対地数までトンネルを接続することができます。
ip route default gateway 203.0.113.254 ip lan1 address 192.168.0.1/24 ip lan1 ospf area backbone ip lan2 address 203.0.113.1/24 ip lan2 nat descriptor 1 tunnel select 1 tunnel type multipoint server tunnel multipoint local name honsya-A ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.0.1 ipsec ike pre-shared-key 1 text common-password1 ipsec ike remote address 1 any ipsec ike remote name 1 common-name1 key-id ip tunnel address 10.0.0.1/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 2 tunnel type multipoint server tunnel multipoint local name honsya-B ipsec tunnel 102 ipsec sa policy 102 2 esp aes256-cbc sha256-hmac ipsec ike always-on 2 on ipsec ike keepalive use 2 on heartbeat ipsec ike local address 2 192.168.0.1 ipsec ike pre-shared-key 2 text common-password2 ipsec ike remote address 2 any ipsec ike remote name 2 common-name2 key-id ip tunnel address 10.0.1.1/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 2 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp ospf use on ospf router id 192.168.0.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name tokyo tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.11.1 ipsec ike local name 1 common-name1 key-id ipsec ike pre-shared-key 1 text common-password1 ip tunnel address 10.0.0.11/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.11.1 udp 500 nat descriptor masquerade static 1 2 192.168.11.1 esp ospf use on ospf router id 192.168.11.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.2-192.168.11.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.12.1/24 ip lan1 ospf area backbone pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name osaka tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.12.1 ipsec ike local name 1 common-name1 key-id ipsec ike pre-shared-key 1 text common-password1 ip tunnel address 10.0.0.12/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.12.1 udp 500 nat descriptor masquerade static 1 2 192.168.12.1 esp ospf use on ospf router id 192.168.12.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.12.2-192.168.12.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.13.1/24 ip lan1 ospf area backbone pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name nagoya tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes256-cbc sha256-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.13.1 ipsec ike local name 1 common-name2 key-id ipsec ike pre-shared-key 1 text common-password2 ip tunnel address 10.0.1.13/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.13.1 udp 500 nat descriptor masquerade static 1 2 192.168.13.1 esp ospf use on ospf router id 192.168.13.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.13.2-192.168.13.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.14.1/24 ip lan1 ospf area backbone pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name fukuoka tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes256-cbc sha256-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.14.1 ipsec ike local name 1 common-name2 key-id ipsec ike pre-shared-key 1 text common-password2 ip tunnel address 10.0.1.14/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.14.1 udp 500 nat descriptor masquerade static 1 2 192.168.14.1 esp ospf use on ospf router id 192.168.14.1 ospf area backbone ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.14.2-192.168.14.100/24 ospf configure refresh # 実行コマンド
# TUNNEL1 ipsec sa policy 101 1 esp aes-cbc sha-hmac : ipsec ike pre-shared-key 1 text common-password1 ipsec ike remote name 1 common-name1 key-id ip tunnel address 10.0.0.1/24 # TUNNEL2 ipsec sa policy 102 2 esp aes256-cbc sha256-hmac : ipsec ike pre-shared-key 2 text common-password2 ipsec ike remote name 2 common-name2 key-id ip tunnel address 10.0.1.1/24
トンネルごとに事前共有鍵や接続相手の名前、IPsec ポリシーなどは違うものを設定できます。東京支社と大阪支社は TUNNEL1 と、名古屋支社と福岡支社は TUNNEL2 と設定を一致させる必要があります。また、トンネルのローカルアドレスは各トンネルで異なるネットワークアドレスに属するアドレスを設定し、支社側のトンネルアドレスはそれぞれ接続先のトンネルと同一のネットワークアドレスに属するアドレスを設定します。
tunnel select 1 tunnel type multipoint tunnel multipoint local name tokyo tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.11.1 ipsec ike local name 1 common-name1 key-id ipsec ike pre-shared-key 1 text common-password1 ip tunnel address 10.0.0.11/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1
本社の TUNNEL1 へ接続するための設定です。本社の TUNNEL1 のトンネル設定に合わせます。
名前とアドレス以外に東京支社ルーターとの差異はありません。
tunnel select 1 tunnel type multipoint tunnel multipoint local name nagoya tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes256-cbc sha256-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.13.1 ipsec ike local name 1 common-name2 key-id ipsec ike pre-shared-key 1 text common-password2 ip tunnel address 10.0.1.13/24 ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1
本社の TUNNEL2 へ接続するための設定です。本社の TUNNEL2 のトンネル設定に合わせます。
名前とアドレス以外に名古屋支社ルーターとの差異はありません。
ip route default gateway 203.0.113.254 ip lan1 address 192.168.0.1/24 ip lan1 ospf area backbone ip lan2 address 203.0.113.1/24 ip lan2 nat descriptor 1 tunnel select 1 tunnel type multipoint server tunnel multipoint local name honsya-A ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.0.1 ipsec ike pre-shared-key 1 text common-password1 ipsec ike remote address 1 any ipsec ike remote name 1 common-name1 key-id ip tunnel address 10.0.0.1/24 ip tunnel ospf area 1 ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 2 tunnel type multipoint server tunnel multipoint local name honsya-B ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike always-on 2 on ipsec ike keepalive use 2 on heartbeat ipsec ike local address 2 192.168.0.1 ipsec ike pre-shared-key 2 text common-password2 ipsec ike remote address 2 any ipsec ike remote name 2 common-name2 key-id ip tunnel address 10.0.1.1/24 ip tunnel ospf area 2 ip tunnel tcp mss limit auto tunnel enable 2 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp ospf use on ospf router id 192.168.0.1 ospf area backbone ospf area 1 ospf area network 1 192.168.16.0/20 restrict ospf area 2 ospf area network 2 192.168.32.0/20 restrict ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.16.1/24 ip lan1 ospf area 1 pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name tokyo tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.16.1 ipsec ike local name 1 common-name1 key-id ipsec ike pre-shared-key 1 text common-password1 ip tunnel address 10.0.0.16/24 ip tunnel ospf area 1 ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.16.1 udp 500 nat descriptor masquerade static 1 2 192.168.16.1 esp ospf use on ospf router id 192.168.16.1 ospf area 1 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.16.2-192.168.16.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.17.1/24 ip lan1 ospf area 1 pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name osaka tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.17.1 ipsec ike local name 1 common-name1 key-id ipsec ike pre-shared-key 1 text common-password1 ip tunnel address 10.0.0.17/24 ip tunnel ospf area 1 ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.17.1 udp 500 nat descriptor masquerade static 1 2 192.168.17.1 esp ospf use on ospf router id 192.168.17.1 ospf area 1 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.17.2-192.168.17.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.32.1/24 ip lan1 ospf area 2 pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name nagoya tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.32.1 ipsec ike local name 1 common-name2 key-id ipsec ike pre-shared-key 1 text common-password2 ip tunnel address 10.0.1.32/24 ip tunnel ospf area 2 ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.32.1 udp 500 nat descriptor masquerade static 1 2 192.168.32.1 esp ospf use on ospf router id 192.168.32.1 ospf area 2 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.32.2-192.168.32.100/24 ospf configure refresh # 実行コマンド
ip route default gateway pp 1 ip lan1 address 192.168.33.1/24 ip lan1 ospf area 2 pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname MYNAME PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel type multipoint tunnel multipoint local name fukuoka tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.33.1 ipsec ike local name 1 common-name2 key-id ipsec ike pre-shared-key 1 text common-password2 ip tunnel address 10.0.1.33/24 ip tunnel ospf area 2 ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.33.1 udp 500 nat descriptor masquerade static 1 2 192.168.33.1 esp ospf use on ospf router id 192.168.33.1 ospf area 2 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.33.2-192.168.33.100/24 ospf configure refresh # 実行コマンド
ip lan1 ospf area backbone : # TUNNEL1 ip tunnel ospf area 1 : # TUNNEL2 ip tunnel ospf area 2 : ospf use on ospf router id 192.168.0.1 ospf area backbone ospf area 1 ospf area network 1 192.168.16.0/20 restrict ospf area 2 ospf area network 2 192.168.32.0/20 restrict
LAN1 を OSPF のバックボーンエリア、TUNNEL1 をエリア 1、TUNNEL2 をエリア 2 に指定し、192.168.16.0/20 に含まれる経路をエリア 1 のみに、192.168.32.0/20 に含まれる経路をエリア 2 のみに広告するように設定します。上記の設定であれば、東京支社の LAN 側アドレス 192.168.16.0/24 と 大阪支社の LAN 側アドレス 192.168.17.0/24 は共に ospf area network 1 で指定した 192.168.16.0/20 に含まれるため、エリア 1 のみで広告されるようになります。一方、名古屋支社の LAN 側アドレス 192.168.32.0/24 と 福岡支社の LAN 側アドレス 192.168.33.0/24 は共に ospf area network 2 で指定した 192.168.32.0/20 に含まれるため、エリア 2 のみで広告されるようになります。なお、全エリアに属している本社ルーターには全拠点の経路が広告されますが、バックボーンエリア(本社ルーターの LAN1 に存在する別のルーター)には拠点の経路が広告されないことに注意してください。
# TUNNEL1 ipsec sa policy 101 1 esp aes-cbc sha-hmac : ipsec ike pre-shared-key 1 text common-password1 ipsec ike remote name 1 common-name1 key-id ip tunnel address 10.0.0.1/24 # TUNNEL2 ipsec sa policy 102 2 esp aes-cbc sha-hmac : ipsec ike pre-shared-key 2 text common-password2 ipsec ike remote name 2 common-name2 key-id ip tunnel address 10.0.1.1/24
トンネルごとに事前共有鍵や接続相手の名前、IPsec ポリシーなどは違うものを設定できます。東京支社と大阪支社は TUNNEL1 と、名古屋支社と福岡支社は TUNNEL2 と設定を一致させる必要があります。また、トンネルのローカルアドレスは各トンネルで異なるネットワークアドレスに属するアドレスを設定し、支社側のトンネルアドレスはそれぞれ接続先のトンネルと同一のネットワークアドレスに属するアドレスを設定します。
ip lan1 address 192.168.16.1/24 ip lan1 ospf area 1 : ip tunnel ospf area 1 : ospf use on ospf router id 192.168.16.1 ospf area 1
LAN1 インターフェースに本社の ospf area network 1 で指定した 192.168.16.0/20 に含まれるアドレスを設定し、LAN1 と TUNNEL1 を OSPF のエリア 1 に指定することで、東京支社の経路がエリア 1 のみで広告されるようになります。
tunnel select 1 tunnel type multipoint tunnel multipoint local name tokyo tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.16.1 ipsec ike local name 1 common-name1 key-id ipsec ike pre-shared-key 1 text common-password1 ip tunnel address 10.0.0.16/24 ip tunnel ospf area 1 ip tunnel tcp mss limit auto tunnel enable 1
本社の TUNNEL1 へ接続するための設定です。本社の TUNNEL1 のトンネル設定に合わせます。
名前とアドレス以外に東京支社ルーターとの差異はありません。
ip lan1 address 192.168.32.1/24 ip lan1 ospf area 2 : ip tunnel ospf area 2 : ospf use on ospf router id 192.168.32.1 ospf area 2
LAN1 インターフェースに本社の ospf area network 2 で指定した 192.168.32.0/20 に含まれるアドレスを設定し、LAN1 と TUNNEL1 を OSPF のエリア 2 に指定することで、名古屋支社の経路がエリア 2 のみで広告されるようになります。
tunnel select 1 tunnel type multipoint tunnel multipoint local name nagoya tunnel multipoint server 1 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.32.1 ipsec ike local name 1 common-name2 key-id ipsec ike pre-shared-key 1 text common-password2 ip tunnel address 10.0.1.32/24 ip tunnel ospf area 2 ip tunnel tcp mss limit auto tunnel enable 1
本社の TUNNEL2 へ接続するための設定です。本社の TUNNEL2 のトンネル設定に合わせます。
名前とアドレス以外に名古屋支社ルーターとの差異はありません。
レベル | 出力メッセージ | 意味 |
---|---|---|
INFO | IP Tunnel[N] Up (Remote: IP_ADDRESS (NAME)) | TUNNEL[N] でトンネルアドレスに IP_ADDRESS、名前に NAME が付与されている対向機器と接続した (NAME は対向機器側で tunnel multipoint local name が設定されている場合に表示されます) |
IP Tunnel[N] Down (Remote: IP_ADDRESS (NAME)) | TUNNEL[N] でトンネルアドレスに IP_ADDRESS、名前に NAME が付与されている対向機器との接続がダウンした (NAME は対向機器側で tunnel multipoint local name が設定されている場合に表示されます) |
|
DEBUG | [TUNNEL] assigned connection(M) in multipoint tunnel[N] | TUNNEL[N] で対向機器と接続するためのコネクション(M) を割り当てた |
[TUNNEL] released connection(M) in multipoint tunnel[N] | TUNNEL[N] で対向機器との接続に使用していたコネクション(M) を解放した | |
[TUNNEL] reached limitation of the number of connections in multipoint tunnel[N] | TUNNEL[N] の接続先数が上限に達しているため、新しい接続要求を受け入れることができない | |
[OSPF] addition of TUNNEL[N] was reflected | TUNNEL[N] の接続先の追加が OSPF に反映された | |
[OSPF] deletion of TUNNEL[N] was reflected | TUNNEL[N] の接続先の削除が OSPF に反映された |