IPV6を使用したIKEv1ルートベースのサイト間VPN

はじめに

このドキュメントでは、Internet Key Exchange(IKEv)バージョン1(IKEv1/ISAKMP)プロトコルを使用して、2台のCiscoルータ間にIPv6、ルートベースのサイト間トンネルを設定する設定について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco IOS®/Cisco IOS® XEのCLI設定に関する基礎知識
• Internet Security Association and Key Management Protocol(ISAKMP)およびIPSecプロトコルに関する基礎知識
• IPv6アドレッシングおよびルーティングの理解

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

• ローカルルータとして17.03.04aを実行するCisco IOS XE
• リモートルータとして17.03.04aを実行するCisco IOS

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

ネットワーク図

コンフィギュレーション

ローカルルータ

ステップ 1：IPv6ユニキャストルーティングを有効にします。

ipv6 unicast-routing

ステップ 2：ルータ インターフェイスの設定.

interface GigabitEthernet1
ipv6 address 2001:DB8:0:A::1/64
no shutdown

interface GigabitEthernet2
ipv6 address FC00::1/64
no shutdown

ステップ 3：IPv6デフォルトルートを設定します。

ipv6 route ::/0 GigabitEthernet1

ステップ 4：Phase 1ポリシーを設定します。

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

ステップ 5：事前共有キーを使用してキーリングを設定します。

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:B::1/128 key cisco123

手順 6：ISAKMPプロファイルを設定します。

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:B::1/128 

手順 7：フェーズ2ポリシーを設定します。

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

ステップ 8：IPSecプロファイルを設定します。

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

ステップ 9：トンネル インターフェイスを設定します。

interface Tunnel0
 no ip address
 ipv6 address 2012::1/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:B::1
 tunnel protection ipsec profile Prof1
end

ステップ 10：対象トラフィックのルートを設定します。

ipv6 route FC00::/64 2012::1

ローカルルータの最終設定

ipv6 unicast-routing
!
interface GigabitEthernet1
ipv6 address 2001:DB8:0:A::1/64
no shutdown

!

interface GigabitEthernet2
ipv6 address FC00::1/64
no shutdown

!

ipv6 route ::/0 GigabitEthernet1

!

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

!

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:B::1/128 key cisco123

!

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:B::1/128 

!

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

!

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

!

interface Tunnel0
 no ip address
 ipv6 address 2012::1/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:B::1
 tunnel protection ipsec profile Prof1
end

!

ipv6 route FC00::/64 2012::1

リモートルータの最終設定

ipv6 unicast-routing
!
interface GigabitEthernet1
ipv6 address 2001:DB8:0:B::1/64
no shutdown

!

interface GigabitEthernet2
ipv6 address FC01::1/64
no shutdown

!

ipv6 route ::/0 GigabitEthernet1

!

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

!

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:A::1/128 key cisco123

!

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:A::1/128 

!

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

!

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

!

interface Tunnel0
 no ip address
 ipv6 address 2012::2/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:A::1
 tunnel protection ipsec profile Prof1
end

!

ipv6 route FC00::/64 2012::1

トラブルシュート

トンネルをトラブルシューティングするには、debugコマンドを使用します。

• debug crypto isakmp
• debug crypto isakmpエラー
• debug crypto ipsec
• debug crypto ipsec error