|
◆ DMVPN - コンフィグ設定
PPPoE接続環境において、mGRE、NHRP、IPsecを使用したDMVPNのコンフィグ設定例を紹介します。
本コンフィグレーションは、多くの技術を組み合わせた設定となっているため、前提として以下の技術
解説を順番に読んで頂いた後に理解できる内容となっています。
・ DMVPN(Dynamic Multipoint VPN)とは
・ DMVPN(Dynamic Multipoint VPN)- mGREのコンフィグ
・ DMVPN(Dynamic Multipoint VPN)- NHRPとは
・ DMVPN(Dynamic Multipoint VPN)- NHRPのコンフィグ
・ DMVPN(Dynamic Multipoint VPN)- mGRE、NHRP、IPsecのコンフィグ
◆ DMVPN - コンフィグ設定例( mGRE / NHRP / IPsec / PPPoE )
前回紹介したDMVPN(mGRE、NHRP、IPsec)の設定に、PPPoE環境ならではのコンフィグを太文字で追記。
あわせてインタフェースコンフィグレーションも追記しています。なお、MTUサイズとMSSサイズについては
あくまでも参考値として下さい。選定するキャリアや実環境に応じた適切な値を設定しましょう。
◆ IKEフェーズ 1
| 設定パラメータ |
R1 |
R2 |
R3 |
| 暗号化アルゴリズム |
3DES |
3DES |
3DES |
| ハッシュアルゴリズム |
MD5 |
MD5 |
MD5 |
| 認証方式 |
Pre-shared-key |
Pre-shared-key |
Pre-shared-key |
| DHグループ |
2(1024bit) |
2(1024bit) |
2(1024bit) |
| Pre-shared key |
cisco |
cisco |
cisco |
| IKEキープアライブ |
30秒 |
30秒 |
30秒 |
◆ IKEフェーズ 2
| 設定パラメータ |
R1 |
R2 |
R3 |
| IPsecプロファイル名 |
PRO-DMVPN1 |
PRO-DMVPN1 |
PRO-DMVPN1 |
| トランスフォームセット名 |
TS-IPSEC1 |
TS-IPSEC1 |
TS-IPSEC1 |
| ESPトランスフォーム |
3DES/ESP-MD5-HMAC |
3DES/ESP-MD5-HMAC |
3DES/ESP-MD5-HMAC |
R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config)# crypto isakmp key cisco address 0.0.0.0
R1(config)# crypto isakmp keepalive 30
R1(config)# crypto ipsec transform-set TS-IPSEC1 esp-3des esp-md5-hmac
R1(cfg-crypto-trans)# mode transport
R1(config)# crypto ipsec profile PRO-DMVPN1
R1(config-profile)# set transform-set TS-IPSEC1
R1(config)# interface tunnel0
R1(config-if)# ip address 172.16.0.1 255.255.255.0
R1(config-if)# ip mtu 1368
R1(config-if)# tunnel source Dialer1
R1(config-if)# tunnel mode gre multipoint
R1(config-if)# tunnel key 10
R1(config-if)# tunnel protection ipsec profile PRO-DMVPN1
R1(config-if)# ip nhrp network-id 100
R1(config-if)# ip nhrp map multicast dyanmic
R1(config-if)# ip ospf network broadcast
R1(config)# router ospf 1
R1(config-router)# network 172.16.0.1 0.0.0.0 area 0
R1(config-router)# network 192.168.1.254 0.0.0.0 area 0
R1(config)# interface Loopback0
R1(config-if)# ip address 1.1.1.1 255.255.255.255
R1(config)# interface GigabitEthernet0/0
R1(config-if)# no ip address
R1(config-if)# pppoe enable
R1(config-if)# pppoe-client dial-pool-number 1
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip address 192.168.1.254 255.255.255.0
R1(config-if)# ip tcp adjust-mss 1328
R1(config)# interface Dialer1
R1(config-if)# ip unnumbered Loopback0
R1(config-if)# ip mtu 1454
R1(config-if)# encapsulation ppp
R1(config-if)# dialer pool 1
R1(config-if)# dialer-group 1
R1(config-if)# ppp authentication chap callin
R1(config-if)# ppp chap hostname example@example.com
R1(config-if)# ppp chap password example
R1(config)# ip route 0.0.0.0 0.0.0.0 Dialer1
R1(config)# dialer-list 1 protocol ip permit
|
R2(config)# crypto isakmp policy 1
R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config)# crypto isakmp key cisco address 0.0.0.0
R2(config)# crypto isakmp keepalive 30
R2(config)# crypto ipsec transform-set TS-IPSEC1 esp-3des esp-md5-hmac
R2(cfg-crypto-trans)# mode transport
R2(config)# crypto ipsec profile PRO-DMVPN1
R2(config-profile)# set transform-set TS-IPSEC1
R2(config)# interface tunnel0
R2(config-if)# ip address 172.16.0.2 255.255.255.0
R2(config-if)# tunnel source 2.2.2.2
R2(config-if)# tunnel mode gre multipoint
R2(config-if)# tunnel key 10
R2(config-if)# tunnel protection ipsec profile PRO-DMVPN1
R2(config-if)# ip nhrp network-id 100
R2(config-if)# ip nhrp nhs 172.16.0.1
R2(config-if)# ip nhrp map 172.16.0.1 1.1.1.1
R2(config-if)# ip nhrp map multicast 1.1.1.1
R2(config-if)# ip ospf network broadcast
R2(config-if)# ip ospf priority 0
R2(config)# router ospf 1
R2(config-router)# network 172.16.0.2 0.0.0.0 area 0
R2(config-router)# network 192.168.2.254 0.0.0.0 area 0
R2(config)# interface Loopback0
R2(config-if)# ip address 2.2.2.2 255.255.255.255
R2(config)# interface GigabitEthernet0/0
R2(config-if)# no ip address
R2(config-if)# pppoe enable
R2(config-if)# pppoe-client dial-pool-number 1
R2(config)# interface GigabitEthernet0/1
R2(config-if)# ip address 192.168.2.254 255.255.255.0
R2(config-if)# ip tcp adjust-mss 1328
R2(config)# interface Dialer1
R2(config-if)# ip unnumbered Loopback0
R2(config-if)# ip mtu 1454
R2(config-if)# encapsulation ppp
R2(config-if)# dialer pool 1
R2(config-if)# dialer-group 1
R2(config-if)# ppp authentication chap callin
R2(config-if)# ppp chap hostname example@example.com
R2(config-if)# ppp chap password example
R2(config)# ip route 0.0.0.0 0.0.0.0 Dialer1
R2(config)# dialer-list 1 protocol ip permit
|
R3(config)# crypto isakmp policy 1
R3(config-isakmp)# encr 3des
R3(config-isakmp)# hash md5
R3(config-isakmp)# authentication pre-share
R3(config-isakmp)# group 2
R3(config)# crypto isakmp key cisco address 0.0.0.0
R3(config)# crypto isakmp keepalive 30
R3(config)# crypto ipsec transform-set TS-IPSEC1 esp-3des esp-md5-hmac
R3(cfg-crypto-trans)# mode transport
R3(config)# crypto ipsec profile PRO-DMVPN1
R3(config-profile)# set transform-set TS-IPSEC1
R3(config)# interface tunnel0
R3(config-if)# ip address 172.16.0.3 255.255.255.0
R3(config-if)# tunnel source 3.3.3.3
R3(config-if)# tunnel mode gre multipoint
R2(config-if)# tunnel key 10
R2(config-if)# tunnel protection ipsec profile PRO-DMVPN1
R3(config-if)# ip nhrp network-id 100
R3(config-if)# ip nhrp nhs 172.16.0.1
R3(config-if)# ip nhrp map 172.16.0.1 1.1.1.1
R3(config-if)# ip nhrp map multicast 1.1.1.1
R3(config-if)# ip ospf network broadcast
R3(config-if)# ip ospf priority 0
R3(config)# router ospf 1
R3(config-router)# network 172.16.0.3 0.0.0.0 area 0
R3(config-router)# network 192.168.3.254 0.0.0.0 area 0
R3(config)# interface Loopback0
R3(config-if)# ip address 3.3.3.3 255.255.255.255
R3(config)# interface GigabitEthernet0/0
R3(config-if)# no ip address
R3(config-if)# pppoe enable
R3(config-if)# pppoe-client dial-pool-number 1
R3(config)# interface GigabitEthernet0/1
R3(config-if)# ip address 192.168.3.254 255.255.255.0
R3(config-if)# ip tcp adjust-mss 1328
R3(config)# interface Dialer1
R3(config-if)# ip unnumbered Loopback0
R3(config-if)# ip mtu 1454
R3(config-if)# encapsulation ppp
R3(config-if)# dialer pool 1
R3(config-if)# dialer-group 1
R3(config-if)# ppp authentication chap callin
R3(config-if)# ppp chap hostname example@example.com
R3(config-if)# ppp chap password example
R3(config)# ip route 0.0.0.0 0.0.0.0 Dialer1
R3(config)# dialer-list 1 protocol ip permit
|
|