DMVPN - mGRE / NHRP / IPsec / PPPoE



 ◆ DMVPN - コンフィグ設定

 PPPoE接続環境において、mGRE、NHRP、IPsecを使用したDMVPNのコンフィグ設定例を紹介します。
 本コンフィグレーションは、多くの技術を組み合わせた設定となっているため、前提として以下の技術
 解説を順番に読んで頂いた後に理解できる内容となっています。

 ・ DMVPN(Dynamic Multipoint VPN)とは
 ・ DMVPN(Dynamic Multipoint VPN)- mGREのコンフィグ
 ・ DMVPN(Dynamic Multipoint VPN)- NHRPとは
 ・ DMVPN(Dynamic Multipoint VPN)- NHRPのコンフィグ
 ・ DMVPN(Dynamic Multipoint VPN)- mGRE、NHRP、IPsecのコンフィグ



 ◆ DMVPN - コンフィグ設定例( mGRE / NHRP / IPsec / PPPoE )

 前回紹介したDMVPN(mGRE、NHRP、IPsec)の設定に、PPPoE環境ならではのコンフィグを太文字で追記。
 あわせてインタフェースコンフィグレーションも追記しています。なお、MTUサイズとMSSサイズについては
 あくまでも参考値として下さい。選定するキャリアや実環境に応じた適切な値を設定しましょう。


    



 
◆ IKEフェーズ 1
設定パラメータ R1 R2 R3
暗号化アルゴリズム 3DES 3DES 3DES
ハッシュアルゴリズム MD5 MD5 MD5
認証方式 Pre-shared-key Pre-shared-key Pre-shared-key
DHグループ 2(1024bit) 2(1024bit) 2(1024bit)
Pre-shared key cisco cisco cisco
IKEキープアライブ 30秒 30秒 30秒


 
◆ IKEフェーズ 2
設定パラメータ R1 R2 R3
IPsecプロファイル名 PRO-DMVPN1 PRO-DMVPN1 PRO-DMVPN1
トランスフォームセット名 TS-IPSEC1 TS-IPSEC1 TS-IPSEC1
ESPトランスフォーム 3DES/ESP-MD5-HMAC 3DES/ESP-MD5-HMAC 3DES/ESP-MD5-HMAC



 R1(config)# crypto isakmp policy 1
 R1(config-isakmp)# encr 3des
 R1(config-isakmp)# hash md5
 R1(config-isakmp)# authentication pre-share
 R1(config-isakmp)# group 2


 R1(config)# crypto isakmp key cisco address 0.0.0.0
 R1(config)# crypto isakmp keepalive 30

 R1(config)# crypto ipsec transform-set TS-IPSEC1 esp-3des esp-md5-hmac
 R1(cfg-crypto-trans)# mode transport

 R1(config)# crypto ipsec profile PRO-DMVPN1
 R1(config-profile)# set transform-set TS-IPSEC1


 
R1(config)# interface tunnel0
 R1(config-if)# ip address 172.16.0.1 255.255.255.0
 R1(config-if)# ip mtu 1368
 R1(config-if)# tunnel source Dialer1
 R1(config-if)# tunnel mode gre multipoint
 R1(config-if)# tunnel key 10
 R1(config-if)# tunnel protection ipsec profile PRO-DMVPN1

 R1(config-if)# ip nhrp network-id 100
 R1(config-if)# ip nhrp map multicast dyanmic

 R1(config-if)# ip ospf network broadcast


 
R1(config)# router ospf 1
 R1(config-router)# network 172.16.0.1 0.0.0.0 area 0
 R1(config-router)# network 192.168.1.254 0.0.0.0 area 0



 R1(config)# interface Loopback0
 R1(config-if)# ip address 1.1.1.1 255.255.255.255

 R1(config)# interface GigabitEthernet0/0
 R1(config-if)# no ip address
 
R1(config-if)# pppoe enable
 R1(config-if)# pppoe-client dial-pool-number 1

 R1(config)# interface GigabitEthernet0/1
 R1(config-if)# ip address 192.168.1.254 255.255.255.0
 
R1(config-if)# ip tcp adjust-mss 1328


 R1(config)# interface Dialer1
 R1(config-if)# ip unnumbered Loopback0
 
R1(config-if)# ip mtu 1454
 R1(config-if)# encapsulation ppp
 R1(config-if)# dialer pool 1
 R1(config-if)# dialer-group 1
 R1(config-if)# ppp authentication chap callin
 
R1(config-if)# ppp chap hostname example@example.com
 R1(config-if)# ppp chap password example


 R1(config)# ip route 0.0.0.0 0.0.0.0 Dialer1
 R1(config)# dialer-list 1 protocol ip permit


 R2(config)#
crypto isakmp policy 1
 R2(config-isakmp)# encr 3des
 R2(config-isakmp)# hash md5
 R2(config-isakmp)# authentication pre-share
 R2(config-isakmp)# group 2

 R2(config)# crypto isakmp key cisco address 0.0.0.0
 R2(config)# crypto isakmp keepalive 30

 R2(config)# crypto ipsec transform-set TS-IPSEC1 esp-3des esp-md5-hmac
 R2(cfg-crypto-trans)# mode transport

 R2(config)# crypto ipsec profile PRO-DMVPN1
 R2(config-profile)# set transform-set TS-IPSEC1


 
R2(config)# interface tunnel0
 R2(config-if)# ip address 172.16.0.2 255.255.255.0
 R2(config-if)# tunnel source 2.2.2.2
 R2(config-if)# tunnel mode gre multipoint
 R2(config-if)# tunnel key 10
 R2(config-if)# tunnel protection ipsec profile PRO-DMVPN1

 R2(config-if)# ip nhrp network-id 100
 R2(config-if)# ip nhrp nhs 172.16.0.1
 R2(config-if)# ip nhrp map 172.16.0.1 1.1.1.1
 R2(config-if)# ip nhrp map multicast 1.1.1.1

 R2(config-if)# ip ospf network broadcast
 R2(config-if)# ip ospf priority 0

 
R2(config)# router ospf 1
 R2(config-router)# network 172.16.0.2 0.0.0.0 area 0
 R2(config-router)# network 192.168.2.254 0.0.0.0 area 0



 R2(config)# interface Loopback0
 R2(config-if)# ip address 2.2.2.2 255.255.255.255

 R2(config)# interface GigabitEthernet0/0
 R2(config-if)# no ip address
 
R2(config-if)# pppoe enable
 R2(config-if)# pppoe-client dial-pool-number 1

 R2(config)# interface GigabitEthernet0/1
 R2(config-if)# ip address 192.168.2.254 255.255.255.0
 
R2(config-if)# ip tcp adjust-mss 1328


 R2(config)# interface Dialer1
 R2(config-if)# ip unnumbered Loopback0
 
R2(config-if)# ip mtu 1454
 R2(config-if)# encapsulation ppp
 R2(config-if)# dialer pool 1
 R2(config-if)# dialer-group 1
 R2(config-if)# ppp authentication chap callin
 
R2(config-if)# ppp chap hostname example@example.com
 R2(config-if)# ppp chap password example


 R2(config)# ip route 0.0.0.0 0.0.0.0 Dialer1
 R2(config)# dialer-list 1 protocol ip permit


 R3(config)# crypto isakmp policy 1
 R3(config-isakmp)# encr 3des
 R3(config-isakmp)# hash md5
 R3(config-isakmp)# authentication pre-share
 R3(config-isakmp)# group 2

 R3(config)# crypto isakmp key cisco address 0.0.0.0
 R3(config)# crypto isakmp keepalive 30

 R3(config)# crypto ipsec transform-set TS-IPSEC1 esp-3des esp-md5-hmac
 R3(cfg-crypto-trans)# mode transport

 R3(config)# crypto ipsec profile PRO-DMVPN1
 R3(config-profile)# set transform-set TS-IPSEC1


 
R3(config)# interface tunnel0
 R3(config-if)# ip address 172.16.0.3 255.255.255.0
 R3(config-if)# tunnel source 3.3.3.3
 R3(config-if)# tunnel mode gre multipoint
 R2(config-if)# tunnel key 10
 R2(config-if)# tunnel protection ipsec profile PRO-DMVPN1

 R3(config-if)# ip nhrp network-id 100
 R3(config-if)# ip nhrp nhs 172.16.0.1
 R3(config-if)# ip nhrp map 172.16.0.1 1.1.1.1
 R3(config-if)# ip nhrp map multicast 1.1.1.1

 R3(config-if)# ip ospf network broadcast
 R3(config-if)# ip ospf priority 0

 
R3(config)# router ospf 1
 R3(config-router)# network 172.16.0.3 0.0.0.0 area 0
 R3(config-router)# network 192.168.3.254 0.0.0.0 area 0



 R3(config)# interface Loopback0
 R3(config-if)# ip address 3.3.3.3 255.255.255.255

 R3(config)# interface GigabitEthernet0/0
 R3(config-if)# no ip address
 
R3(config-if)# pppoe enable
 R3(config-if)# pppoe-client dial-pool-number 1

 R3(config)# interface GigabitEthernet0/1
 R3(config-if)# ip address 192.168.3.254 255.255.255.0
 
R3(config-if)# ip tcp adjust-mss 1328


 R3(config)# interface Dialer1
 R3(config-if)# ip unnumbered Loopback0
 
R3(config-if)# ip mtu 1454
 R3(config-if)# encapsulation ppp
 R3(config-if)# dialer pool 1
 R3(config-if)# dialer-group 1
 R3(config-if)# ppp authentication chap callin
 
R3(config-if)# ppp chap hostname example@example.com
 R3(config-if)# ppp chap password example


 R3(config)# ip route 0.0.0.0 0.0.0.0 Dialer1
 R3(config)# dialer-list 1 protocol ip permit




IPsec、IPsec-VPN、リモートアクセスVPN

ネットワークエンジニアとして

Copyright (C) 2002-2020 ネットワークエンジニアとして All Rights Reserved.