概要
このドキュメントでは、Cisco Easy VPN クライアントおよび Cisco Easy VPN サーバを、Cisco IOS® バージョン 15.2(1)T 以降を実行している同じインターフェイスで使用する場合に発生する問題について説明します。
前提条件
要件
VPN の設定に関する知識があることが推奨されます。
ヒント:設定の詳細については、Easy VPN 設定ガイド、Cisco IOS リリース 15M&T を参照してください。
使用するコンポーネント
このドキュメントの情報は、Cisco IOS バージョン 15.2(1)T 以降に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
Cisco IOS バージョン 15.2(1)T 以前では、以降のバージョンではサポートされなくなった以下の機能がサポートされています。
- Easy VPN Remote と Easy VPN Server を同じインターフェイスでサポートする:この機能を使用すると、Easy VPN Remote および Easy VPN Server が同じインターフェイスでサポートされます。これにより、同じインターフェイスで、別の Easy VPN Server へのトンネルを確立すると同時に、Easy VPN Client を終端することができます。Easy VPN Remote を使用して、社内 Easy VPN Software Server へ接続すると同時に、ローカル ソフトウェア クライアント ユーザを終端する遠隔地などでは、この機能がよく使用されます。
- Easy VPN Remote とサイト間を同インターフェイスでサポートする:この機能を使用すると、Easy VPN Remote とサイト間(暗号マップ)が同じインターフェイスでサポートされ、別の Easy VPN Server へのトンネルの確立と別のサイト間を同時に同じインターフェイスで行うことができます。サイト間トンネルを介してリモート ルータを管理するとともに、Easy VPN Remote を使用して、リモート サイトから社内 Easy VPN サーバへの接続を行うサードパーティの VPN サービス プロバイダーなどでは、この機能がよく使用されます。
ヒント:付加的な情報については、Easy VPN 設定ガイド、Cisco IOS リリース 15M&T の Easy VPN Remote と Easy VPN Server を同じインターフェイスでサポートするセクションを参照してください。
問題
暗号マップを IOS Easy VPN ですでに設定されたインターフェイスに適用すると、暗号マップ コマンドはそのインターフェイスに適用されません。
Cisco IOS の動作の変更
Cisco IOS バージョン 15.2(1)T 以降では、複数のセキュリティ アソシエーション データベース(SADB)が各インターフェイスに追加されないため、この設定はサポートされていません。
注:この問題は、Cisco Bug ID CSCtx47112で追跡されています。Ezvpnに設定されている同じインターフェイスにクリプトマップを適用できません。
解決方法
この問題を解決するためには、暗号マップ設定をレガシー Easy VPN と分け、そのうちの 1 つを仮想トンネル インターフェイスベース(VTI ベース)の設定に移動させます。
- サイト間の暗号マップを、トンネル保護またはセキュア VTI(SVTI)付きの Generic Routing Encapsulation(GRE)/IPSec へ変更します。
- Easy VPN を FlexVPN に変更します。
フィードバック