FlexVPN スポーク間の前提条件
IKEv2、FlexVPN サーバー、および FlexVPN スポークを設定する必要があります。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
最新版発行日:2014 年 3 月 28 日
FlexVPN スポークツースポーク機能によって、FlexVPN クライアントは、仮想トンネル インターフェイス(VTI)、インターネット キー エクスチェンジ バージョン 2(IKEv2)、および Next Hop Resolution Protocol(NHRP)を活用して別の FlexVPN クライアントと直接の暗号トンネルを確立し、スポークツースポーク接続を構築することができます。
IKEv2、FlexVPN サーバー、および FlexVPN スポークを設定する必要があります。
FlexVPN は、シスコによる IKEv2 標準の実装であり、サイトツーサイト、リモート アクセス、ハブ アンド スポーク トポロジ、および部分メッシュ(スポークツースポーク ダイレクト)を組み合わせたユニファイド パラダイムと CLI を備えています。FlexVPN は、トンネル インターフェイス パラダイムを広範に使用し、かつ暗号マップを使用してレガシー VPN 実装との互換性を維持するシンプルなモジュラ フレームワークを提供します。
FlexVPN サーバーは、FlexVPN のサーバー側機能を提供します。FlexVPN クライアントは、FlexVPN クライアントと別の FlexVPN サーバーの間にセキュアな IPsec VPN トンネルを確立します。
NHRP は、Address Resolution Protocol(ARP)のようなプロトコルで、ノンブロードキャスト マルチアクセス(NBMA)ネットワークの問題を軽減します。NHRP を使用すると、NBMA ネットワークに接続されている NHRP は、ネットワークの一部である他のエンティティの NBMA アドレスを動的に学習します。このため、これらのエンティティは、トラフィックに中間ホップを使用せずに直接通信できるようになります。
FlexVPN スポークツースポーク機能は、NHRP と FlexVPN クライアント(スポーク)を統合して、既存の FlexVPN ネットワークにある別のクライアントとの直接の暗号化チャネルを確立します。接続は、仮想トンネル インターフェイス(VTI)、IKEv2、および NHRP を使用して構築されます。ここで、NHRP はネットワーク内の FlexVPN クライアントの解決に使用されます。
FlexVPN では、次のことが推奨されます。
FlexVPN IPv6 ダイレクト スポーク間機能は、FlexVPN スポークに対する IPv6 アドレスの使用をサポートします。IPv6 アドレスのサポートにより、IPv6 over IPv4、IPv4 over IPv6、および IPv6 over IPv6 の転送がサポートされます。
Note |
スポーク間 FlexVPN は、ダイナミック AAA 認証をサポートしていません。 |
次の図は、NHRP 解決要求と FlexVPN の応答を示します。
双方向のトラフィックにより、同様のイベントが、Spoke1、Spoke2、およびハブの両方向で発生します。明確にするために、Host1 から Host2 へのイベントについて説明します。Spoke1 と Spoke2 の背後にある別のネットワーク N2(192.168.2.0/24)の後に、ネットワーク N1 (192.168.1.0/24)があると仮定します。2 つのスポーク間のネットワークは、アクセス コントロール リスト(ACL)によって照合されます。これは、両方のスポークの IKEv2 ポリシーに ACL が適用されるためです。
両方のスポークからのプレフィックス情報と共に、ネットワークは IKEv2 情報のペイロード交換によってハブに伝達されます。ハブの IKEv2 によるルーティング テーブルへのルート追加が、次のように発生します。
192.168.1.0/24:Virtual Access Interface1 から接続される
192.168.2.0/24:Virtual Access Interface2 から接続される
このハブは IKEv2 から両方のスポークへ集約ルートをプッシュし、スポークはそれらのルーティング テーブルにこのルートをインストールします。次のようになります。
192.168.0.0/16:ネクスト ホップ <ハブのトンネル アドレス> - Interface Tunnel 1
Note |
また、ルーティング プロトコルは、ルーティング テーブルにルートを追加できます。 |
N1 から N2 へトラフィックが移動すると仮定すると、トラフィック フローは次のとおりです。
Host1 は、Host2 宛てのトラフィックを送信します。トラフィックは Spoke1 の LAN インターフェイスに到達し、ルートを検索し、集約ルートを見つけて、パケットを Interface Tunnel 1 にルーティングします。
トラフィックがハブの Virtual Access Interface1 に到達すると、トラフィックは、Virtual Access Interface2 から直接接続するか、ポイントツーポイントのトンネル インターフェイスを使用する、N2 のルート エントリ用のルート テーブルを検索します。
Host1 から Host2 へのトラフィックは、Virtual Access Interface1 と Virtual Access Interface2 を経由してハブを通過します。このハブは、入力インターフェイスおよび出力インターフェイス(Virtual Access Interface1 と Virtual Access Interface2)が同じ NHRP ネットワーク(両方のインターフェイスで設定されたネットワーク D)に属することを判断します。ハブは NHRP リダイレクト メッセージを Virtual Access Interface1 の Spoke1 に送信します。
リダイレクトを受信すると、Spoke1 は Host2 への解決要求をポイントツーポイント トンネル インターフェイス(リダイレクトを受信したのと同じインターフェイス)を経由して開始します。解決要求は、ルーティング パス(Spoke1-hub-spoke2)を通過します。解決要求を受信すると、Spoke2 は、それが出力点であり、その解決要求に応答する必要があることを判断します。
Spoke2 はトンネル インターフェイスの解決要求を受信し、トンネル インターフェイスから仮想テンプレート番号を取得します。仮想テンプレート番号を使用して、仮想アクセス インターフェイスを作成し、暗号チャネルを開始し、IKEv2 と IPSec のセキュリティ アソシエーション(SA)を確立します。2 つのスポーク間に暗号 SA が確立されると、Spoke2 は Spoke1 に必要な NHRP キャッシュ エントリとそのネットワークを、新しく作成した仮想アクセス インターフェイス以下に設置し、その仮想アクセス インターフェイスを介して解決の応答を送信します。
仮想アクセス インターフェイスから解決要求を受信した後、Spoke1 は Spoke2 に必要なキャッシュ エントリとそのネットワークを設置します。また、Spoke1 は、ハブを示す一時キャッシュ エントリを削除し、Tunnel Interface1 以下のネットワークを解決します。
NHRP は、ネクスト ホップ上書き(NHO)または H ルートとしてショートカット ルートを追加します。ショートカット スイッチングの詳細については、「DMVPN ネットワークにおける NHRP のショートカット スイッチング拡張」を参照してください。
FlexVPN サーバーとクライアントを設定する必要があります。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
interface virtual-template number type tunnel Example:
|
仮想アクセス インターフェイスの作成時にダイナミックに設定および適用される仮想テンプレート インターフェイスを作成します。 |
Step 4 |
ip unnumbered loopback number Example:
|
既存インターフェイス(通常はループバック インターフェイス)の IP アドレスを仮想トンネル インターフェイスに割り当てます。 |
Step 5 |
次のいずれかを実行します。
Example:
Example:
|
インターフェイスで NHRP を有効にします。 |
Step 6 |
ip nhrp redirect [ timeout seconds] Example:
|
トラフィックが NHRP ネットワークで転送されている場合、リダイレクト トラフィック通知を有効にします。重複するリダイレクトを送信しないようにするには、timeout キーワードと seconds 引数を使用して、作成したリダイレクト エントリの有効期限を指定します。 |
Step 7 |
exit Example:
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
このタスクを実行して、FlexVPN スポークのトンネル インターフェイスで NHRP ショートカットを設定します。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
interface tunnel number Example:
|
FlexVPN クライアント インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
Step 4 |
次のいずれかを実行します。
Example:
Example:
|
FlexVPN クライアントのトンネル インターフェイスで NHRP ショートカットを有効にします。これは、スポーク間トンネルの確立に必要です。この設定で指定する仮想テンプレート番号と、「FlexVPN スポークの仮想トンネル インターフェイスの設定」タスクで指定する仮想テンプレート番号は同じにする必要があります。 |
Step 5 |
exit Example:
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
Command or Action | Purpose | |||
---|---|---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
||
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
||
Step 3 |
interface virtual-template number type tunnel Example:
|
仮想アクセス インターフェイスの作成時にダイナミックに設定および適用される仮想テンプレート インターフェイスを作成します。 |
||
Step 4 |
ip unnumbered tunnel number Example:
|
FlexVPN トンネル インターフェイスの IPv4 アドレスを仮想トンネル インターフェイスに割り当てます。 |
||
Step 5 |
次のいずれかを実行します。
Example:
Example:
|
インターフェイスで NHRP を有効にします。 |
||
Step 6 |
次のいずれかを実行します。
Example:
Example:
|
インターフェイスで NHRP ショートカット スイッチングを有効にします。
|
||
Step 7 |
ip nhrp redirect [ timeout seconds] Example:
|
仮想トンネル インターフェイスで NHRP のリダイレクトを有効化します。ネットワークがあるスポークから別のスポークに移動する場合は、これが便利です。
|
||
Step 8 |
exit Example:
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
FlexVPN スポークの設定を確認するには、次のコマンドを使用します。
ステップ 1 |
show crypto ikev2 client flexvpn 例:
|
ステップ 2 |
show ipv6 route 例:
|
ステップ 3 |
show ipv6 nhrp 例:
例:
|
FlexVPN スポーク設定をトラブルシューティングするいくつかのヒントを示します。
問題 |
トラブルシューティングのヒント |
---|---|
スポークからハブへの接続は作成されません。 |
ハブで作成された仮想アクセス インターフェイスがないことが原因で、接続が作成されない場合があります。
|
スポーク間トンネルは作成されません。 |
トラフィックは、スポーク間トンネルを開始するため、ハブ経由でスポークからスポークに送られる必要があります。
|
次の例では、FlexVPN サーバーおよび FlexVPN クライアントで IKE 伝播されるスタティック ルーティングを使用して、FlexVPN スポーク間を設定する方法を示します。次は、FlexVPN サーバーの設定です。
hostname hub
!
crypto ikev2 authorization policy default
pool flex-pool
def-domain cisco.com
route set interface
route set access-list flex-route
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn hub.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Loopback0
ip address 172.16.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.0.100 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
ip nhrp network-id 1
ip nhrp redirect
tunnel protection ipsec profile default
!
ip local pool flex-pool 172.16.0.1 172.16.0.254
!
ip access-list standard flex-route
permit any
次は、最初の FlexVPN クライアントの設定です。
hostname spoke1
!
crypto ikev2 authorization policy default
route set interface
route set access-list flex-route
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn spoke1.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination 10.0.0.100
tunnel protection ipsec profile default
!
interface Ethernet0/0
ip address 10.0.0.110 255.255.255.0
!
interface Ethernet1/0
ip address 192.168.110.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Tunnel0
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel protection ipsec profile default
!
ip access-list standard flex-route
permit 192.168.110.0 0.0.0.255
次は、2 番目の FlexVPN クライアントの設定です。
hostname spoke2
!
crypto ikev2 authorization policy default
route set interface
route set access-list flex-route
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn spoke2.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination 10.0.0.100
tunnel protection ipsec profile default
!
interface Ethernet0/0
ip address 10.0.0.120 255.255.255.0
!
interface Ethernet1/0
ip address 192.168.120.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Tunnel0
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel protection ipsec profile default
!
ip access-list standard flex-route
permit 192.168.120.0 0.0.0.255
次の例では、FlexVPN サーバーおよび FlexVPN クライアントで BGP を使用する(ダイナミック ネイバー探索により)ダイナミック ルーティングを、FlexVPN スポーク間で設定する方法を示します。次は、FlexVPN サーバーの設定です。
hostname hub
!
crypto ikev2 authorization policy default
pool flex-pool
def-domain cisco.com
route set interface
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn hub.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Loopback0
ip address 172.16.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.0.100 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
ip nhrp network-id 1
ip nhrp redirect
tunnel protection ipsec profile default
!
ip local pool flex-pool 172.16.0.1 172.16.0.254
!
router bgp 65100
bgp router-id 10.0.0.100
bgp log-neighbor-changes
bgp listen range 172.16.0.0/24 peer-group spokes
neighbor spokes peer-group
neighbor spokes remote-as 65100
neighbor spokes transport connection-mode passive
neighbor spokes update-source Loopback0
!
address-family ipv4
neighbor spokes activate
neighbor spokes default-originate
neighbor spokes prefix-list no-default in
exit-address-family
!
ip prefix-list no-default seq 5 deny 0.0.0.0/0
ip prefix-list no-default seq 10 permit 0.0.0.0/0 le 32
次は、最初の FlexVPN クライアントの設定です。
hostname spoke1
!
crypto ikev2 authorization policy default
route set interface
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn spoke1.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination 10.0.0.100
tunnel protection ipsec profile default
!
interface Ethernet0/0
ip address 10.0.0.110 255.255.255.0
!
interface Ethernet1/0
ip address 192.168.110.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Tunnel0
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel protection ipsec profile default
!
router bgp 65100
bgp router-id 10.0.0.110
bgp log-neighbor-changes
neighbor hubs peer-group
neighbor hubs remote-as 65100
neighbor hubs update-source Tunnel0
neighbor 172.16.1.1 peer-group hubs
!
address-family ipv4
network 192.168.110.0
neighbor 172.16.1.1 activate
exit-address-family
次は、2 番目の FlexVPN クライアントの設定です。
hostname spoke2
!
crypto ikev2 authorization policy default
route set interface
route set access-list flex-route
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn spoke2.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination 10.0.0.100
tunnel protection ipsec profile default
!
interface Ethernet0/0
ip address 10.0.0.120 255.255.255.0
!
interface Ethernet1/0
ip address 192.168.120.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Tunnel0
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel protection ipsec profile default
!
router bgp 65100
bgp router-id 10.0.0.120
bgp log-neighbor-changes
neighbor hubs peer-group
neighbor hubs remote-as 65100
neighbor hubs update-source Tunnel0
neighbor 172.16.1.1 peer-group hubs
!
address-family ipv4
network 192.168.120.0
neighbor 172.16.1.1 activate
exit-address-family
関連項目 |
マニュアル タイトル |
---|---|
Cisco IOS コマンド |
|
セキュリティ コマンド |
|
ショートカット スイッチングの強化 |
『Shortcut Switching Enhancements for NHRP in DMVPN Networks』 |
説明 |
リンク |
---|---|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
FlexVPN スポーク間 |
FlexVPN スポーク間機能では、FlexVPN クライアントは別の FlexVPN クライアントとの直接暗号チャネルを確立できます。この機能は VTI、IKEv2、および NHRP を利用して、スポーク間接続を構築します。 この機能は、Cisco IOS Release 15.2(2)T で導入されました。 次のコマンドが導入または変更されました。 ip unnumbered loopback0, tunnel source, tunnel mode gre ip, nhrp network-id, ip nhrp redirect, ip nhrp shortcut. |
|
FlexVPN IPv6 ダイレクト スポーク間 |
FlexVPN IPv6 ダイレクト スポーク間機能は、FlexVPN スポークに対する IPv6 アドレスの使用をサポートします。IPv6 アドレスのサポートにより、IPv6 over IPv4、IPv4 over IPv6、および IPv6 over IPv6 の転送がサポートされます。 次のコマンドが導入または変更されました。 ipv6 nhrp shortcut. |