Dynamic Multipoint VPN コンフィギュレーションガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Dynamic Multipoint VPN コンフィギュレーションガイド

Chapter Title

ダイナミックマルチポイント VPN

PDF - Complete Book (3.94 MB) PDF - This Chapter (1.75 MB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月26日

Dynamic Multipoint VPN 機能を使用すると、総称ルーティングカプセル化（GRE）トンネル、IP Security（IPsec）暗号化、および Next Hop Resolution Protocol（NHRP）を組み合わせることにより、目的に合せて大小さまざまな規模の IPsec バーチャルプライベートネットワーク（VPN）を構築できます。

（注）

セキュリティに対する脅威とそれに対抗するための暗号化技術は絶えず変化しています。暗号化に関するシスコの最新の推奨事項については、『Next Generation Encryption』（NGE）ホワイトペーパーを参照してください。

機能情報の確認
Dynamic Multipoint VPN の前提条件
Dynamic Multipoint VPN の制約事項
Dynamic Multipoint VPN について
Dynamic Multipoint VPN の設定方法
Dynamic Multipoint VPN 機能の設定例
その他の参考資料
Dynamic Multipoint VPN の機能情報
用語集

機能情報の確認

ご使用のソフトウェアリリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェアリリースのリリースノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、機能情報の表を参照してください。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

Dynamic Multipoint VPN の前提条件

マルチポイント GRE（mGRE）および IPsec トンネルを確立するには、crypto isakmp policy コマンドを使用して、インターネットキー交換（IKE）ポリシーを定義しておく必要があります。
DMVPN 内のトラフィックセグメンテーション機能（2547oDMVPN）を使用するには、mpls ip コマンドを使用して、マルチプロトコルラベルスイッチング（MPLS）を設定する必要があります。

Dynamic Multipoint VPN の制約事項

この機能の特長であるDynamic Multipoint VPN の制約事項を活用するためには、Internet Security Association Key Management Protocol（ISAKMP）認証に対して、IKE 証明書またはワイルドカード事前共有キーを使用する必要があります。

（注）

ただし、スポークルータが 1 つでもセキュリティを突破されると外部から VPN へ侵入できるため、ワイルドカード事前共有キーは使用しないことを強く推奨します。

DMVPN ネットワークのポイントツーポイント GRE トンネルまたはマルチポイント GRE トンネルでは、GRE トンネルキープアライブ（GRE インターフェイスでの keepalive コマンド）はサポートされていません。
ネットワークアドレス変換（NAT）のタイプが共にポートアドレス変換（PAT）である 2 つの NAT デバイスの背後にそれぞれスポークが配置されている場合、その 2 つのスポーク間で開始されるセッションは確立できません。
次に、NAT インターフェイスにおける PAT の 1 つの設定例を示します。
```
ip nat inside source list nat_acl interface FastEthernet0/0/1 overload
```

Dynamic Multipoint VPN について

Dynamic Multipoint VPN の利点
Dynamic Multipoint VPN の機能設計
IPsec プロファイル
DMVPN 内のトラフィックセグメンテーションのイネーブル化
NAT 透過性対応 DMVPN
DMVPN でのコールアドミッション制御
NHRP のレート制限メカニズム

Dynamic Multipoint VPN の利点

ハブルータ設定の軽減

ハブルータでは、クリプトマップ特性、暗号アクセスリスト、および GRE トンネルインターフェイスを定義するための設定行が、スポークルータごとに個別に用意されています。DMVPN 機能を使用すれば、ハブルータ上で mGRE トンネルインターフェイスおよび IPsec プロファイルをそれぞれ 1 つずつ設定するだけで、すべてのスポークルータに対応できるようになり、暗号アクセスリストを設定する必要もなくなります。そのため、ネットワークに新たなスポークルータが追加された場合でも、ハブルータにおける設定の情報量は変わりません。
DMVPN アーキテクチャでは、複数のスポークを 1 つのマルチポイント GRE インターフェイスにまとめることができます。これにより、IPsec のネイティブインストールで、物理インターフェイスまたは論理インターフェイスをスポークごとに別々に設定する必要はなくなります。

IPsec 暗号化の自動実行

GRE では、送信元および宛先のピアアドレスは、NHRP により設定または解決されます。これによって、直ちに、またはマルチポイント GRE トンネルに対し GRE のピアアドレスが NHRP を介して解決された時点で、ポイントツーポイント GRE トンネリングに対して IPsec がトリガーされます。

ダイナミックにアドレス指定されるスポークルータのサポート

ポイントツーポイント GRE および IPsec ハブアンドスポークによる VPN ネットワークでは、ハブルータを設定する際にスポークルータの物理インターフェイス IP アドレスが必要となります。これは、IP アドレスが GRE トンネル宛先アドレスとして設定される必要があるためです。一方、DMVPN 機能を使用すれば、スポークルータに対して、ダイナミック物理インターフェイス IP アドレス（通常はケーブル接続や DSL 接続に使用）を設定できます。スポークルータは、オンライン状態になると、ハブルータへ登録パケットを送信します。これらの登録パケットには、このスポークの現在の物理インターフェイス IP アドレスが記述されています。

スポークツースポークトンネルのダイナミック作成

DMVPN 機能を使用すると、ダイレクトトンネルに対するスポークツースポーク設定を行う必要がなくなります。現在、スポークルータ間でパケットを送信する必要がある場合は、要求されたターゲットスポークルータの宛先アドレスを NHRP を使用してダイナミックに指定できるようになっています（ハブルータが NHRP サーバとして動作し、送信元スポークルータの要求を処理します）。2 つのスポークルータ間には、データが直接転送されるように、IPsec トンネルがダイナミックに作成されます。

Dynamic Multipoint VPN の機能設計

Dynamic Multipoint VPN 機能は、GRE トンネル、IPsec 暗号化、および NHRP ルーティングを組み合わせることで、ユーザの設定操作を容易にするためのものです。設定は、暗号プロファイル、およびトンネルエンドポイントのダイナミックディスカバリを介して行われ、このうち暗号プロファイルを使用することで、スタティッククリプトマップを定義する必要がなくなります。

この機能は、シスコが開発した次の 2 つの拡張標準テクノロジーがベースになっています。

NHRP：クライアント/サーバプロトコル（ハブがサーバで、スポークはクライアント）。ハブには、各スポークのパブリックインターフェイスアドレスが格納された NHRP データベースが保持されます。各スポークでは、起動時にそれぞれの実際のアドレスが登録され、ダイレクトトンネルを確立する場合には、NHRP サーバに対し、宛先スポークの実際のアドレスに関する照会が行われます。
mGRE トンネルインターフェイス：1 つの GRE インターフェイスで複数の IPsec トンネルをサポートできるため、設定のデータ量が少なくなり、設定操作も簡単になります。

次の図に示したトポロジとそれに続く箇条書きは、この機能のしくみを説明したものです。

図 1. mGRE および IPsec の統合トポロジの例

各スポークとハブの間は、永続的な IPsec トンネルで接続されています。ネットワーク内に存在するスポーク間を接続するのは、永続的な IPsec トンネルではありません。各スポークは、NHRP サーバのクライアントとして登録されます。
各スポークでは、他のスポーク上にある宛先（プライベート）サブネットへパケットを送信する場合、NHRP サーバに対し、宛先（ターゲット）スポークの実際（外部）のアドレスについて照会が行われます。
発信側のスポークでは、ターゲットスポークのピアアドレスを「学習」すると、ターゲットスポークへのダイナミック IPsec トンネルを起動できるようになります。
スポーク間のトンネルは、マルチポイント GRE インターフェイス経由で構築されます。
スポーク間のリンクは、スポーク間にトラフィックが発生するたびにオンデマンドで確立されます。その後、パケットはハブを迂回し、スポーク間トンネルを使用できます。

（注）

スポークツースポークトンネルに対して不稼働度が事前に設定されている場合、ルータでは、それに基づいてトンネルが切断されリソースが確保されます（IPsec セキュリティアソシエーション（SA））。

IPsec プロファイル

IPsec プロファイルを使用すると、主要な IPsec ポリシー情報を 1 つの設定エンティティにまとめることができます。この設定エンティティは、他の設定項目から名前を指定して参照することが可能です。これによりユーザは、ただ 1 つの設定行で、GRE トンネル保護などの機能を設定できます。IPsec プロファイルを参照すれば、ユーザがクリプトマップの設定をすべて行う必要はなくなります。IPsec プロファイルに含まれているのは IPsec 情報だけで、アクセスリスト情報やピアリング情報は含まれていません。

DMVPN 内のトラフィックセグメンテーションのイネーブル化

Cisco IOS XE Release 2.5 は、PE-PE mGRE トンネルを使用することで DMVPN トンネル内の VPN トラフィックをセグメント化できるように機能拡張されています。この保護された mGRE トンネルを使用して、すべて（または一連）の VPN トラフィックを転送できます。

次の図とそれに続く箇条書きは、DMVPN 内でのトラフィックセグメンテーションのしくみを説明したものです。

図 2. DMVPN 内のトラフィックセグメンテーション

この図では、WAN-PE/ルートリフレクタがハブであり、クライアントがスポーク（PE ルータ）になっています。
VRF は 3 つあり、それぞれ「赤」、「緑」、「青」で表してあります。
各スポークは、ハブとネイバー関係にある（マルチプロトコル内部ボーダーゲートウェイプロトコル（MP-iBGP）ピアリング）と同時に、ハブへの GRE トンネルを持っています。
各スポークからは、そのルートおよび VPN-IPv4（VPNv4）プレフィックスがハブにアドバタイズされます。
ハブでは、アドバタイズされたルートをスポークに再アドバタイズする際、スポークから「学習」したすべての VPNv4 アドレスに対するネクストホップルートとして自身の IP を設定し、VPN ごとにローカルの MPLS ラベルを割り当てます。結果として、スポーク A からスポーク B へのトラフィックは、ハブを介してルーティングされることになります。

このプロセスを具体例で説明すると次のようになります。

スポーク A により、VPNv4 ルートがハブにアドバタイズされ、VPN にラベル x が割り当てられます。
ハブは、スポーク B にルートをアドバタイズする際にラベルを y に変更します。
スポーク B では、スポーク A に送信するトラフィックにラベル y が適用され、そのトラフィックがハブに送信されます。
ハブはラベル y を削除してラベル x を適用することで VPN ラベルを付け替え、トラフィックをスポーク A に送信します。

NAT 透過性対応 DMVPN

多くの場合、DMVPN スポークは NAT ルータの背後に配置されます。この NAT ルータは通常、スポークサイトのインターネットサービスプロバイダー（ISP）により制御され、スポークルータの外部インターフェイスアドレスが、プライベート IP アドレスに基づき ISP によって動的に割り当てられています（インターネット技術特別調査委員会（IETF）の RFC 1918 で規定）。

NAT 透過性対応 DMVPN の拡張機能により、NHRP では、IPsec トランスポートモード（DMVPN ネットワークで推奨される IPsec モード）が使用されている場合に限り、マッピングに対して NAT パブリックアドレスを学習および使用できます。NAT の背後に配置されていないスポークルータについては本来、アップグレードする必要はありませんが、NAT 透過性対応 DMVPN 機能を使用する場合は、事前にすべての DMVPN ルータを新しいコードにアップグレードすることを推奨します。NAT の後に配置されているスポークルータは、アップグレードされた後でも、ハブルータがアップグレードされるまでは、新しい設定（IPsec トランスポートモード）に切り替えることはできません。

この NAT 透過性の拡張機能を使用すれば、ハブ DMVPN ルータをスタティック NAT の背後に配置できます。この機能を使用するためには、DMVPN のスポークルータおよびハブルータすべてをアップグレードする必要があります。また IPsec ではトランスポートモードを使用する必要があります。

NAT 透過性対応の拡張機能を有効にするには、トランスフォームセットに対して IPsec トランスポートモードを使用する必要があります。また、NAT 透過性（IKE および IPsec）が有効であれば、（UDP ポートを使用して 2 つの IP アドレスを区別することにより）2 つのピア（IKE および IPsec）を同一の IP アドレスに変換できますが、DMVPN に対しては、この機能はサポートされません。DMVPN スポークの IP アドレスは、NAT 変換後、各 DMVPN スポークごとに一意であることが必要です。ただし、NAT 変換前の IP アドレスであれば、DMVPN スポーク間で重複していてもかまいません。

次の図に、NAT 透過性対応 DMVPN のシナリオを示します。

（注）

NAT の背後にある DMVPN スポークは、ダイナミックダイレクトスポークツースポークトンネルに関与します。これらのスポークは、PAT ではなく NAT を実行する NAT 機器の後に配置する必要があります。この NAT 機器では、スポークツースポーク接続の場合でも、スポークがスポークツーハブ接続と同じ外部 NAT IP アドレスに変換されます。1 つの NAT 機器の背後に DMVPN スポークが複数配置されている場合、その NAT 機器では、それらの各 DMVPN スポークを別々の外部 NAT IP アドレスに変換する必要があります。また、それらのスポーク間には、ダイレクトスポークツースポークトンネルを構築できない場合があります。スポークツースポークトンネルを形成できない場合、スポークツースポークパケットは、引き続きスポークツーハブ/スポークパスを介して転送されます。

図 3. NAT 透過性対応 DMVPN

DMVPN でのコールアドミッション制御

DMVPN ネットワークでは、確立しようとするトンネル数の増加に伴って、DMVPN ルータが「過負荷」状態になることも少なくありません。コールアドミッション制御を使用すると、一度に確立できるトンネルの数を制限できます。これにより、ルータのメモリや CPU リソースのオーバーフローを回避できます。

コールアドミッション制御は、DMVPN スポークにおいて、スポークルータが開始または受信しようとする ISAKMAP セッション（DMVPN トンネル）の数を制限する場合に有効です。このような制限を課す場合は、コールアドミッション制御の IKE SA 制限を設定します。これによりルータでは、現在の ISAKMP SA 数が制限数を超過すると、新たな ISAKMP セッション要求（着信および発信）が廃棄されます。

またコールアドミッション制御は、DMVPN ハブにおいて、同時に確立される DMVPN トンネル数のレートを制限する場合にも有効です。このようなレート制限を課す場合は、コールアドミッション制御のシステムリソース制限を設定します。これによりルータでは、システムの使用率が指定値を超過すると、新たな ISAKMP セッション要求（新たな DMVPN トンネル）が廃棄されます。新たなセッション要求が廃棄されることにより、DMVPN ハブルータでは現在の ISAKMP セッション要求の処理を完了できます。また、一度廃棄されたセッション要求でも、システムの使用率が低下した時点で再試行されれば、DMVPN ハブルータにより処理されます。

DMVPN でのコールアドミッション制御を使用するうえで、特別な設定は必要ありません。コールアドミッション制御の設定については、『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Call Admission Control for IKE」の章を参照してください。

NHRP のレート制限メカニズム

NHRP は、特定のインターフェイスから送信される NHRP パケットの総数を制限するためのレート制限メカニズムを備えています。ipnhrpmax-send コマンドを使用して設定されるデフォルト値は、インターフェイスあたり 10 秒ごとに 10,000 パケットです。制限数を超過した場合には、次のようなシステムメッセージが表示されます。

%NHRP-4-QUOTA: Max-send quota of [int]pkts/[int]Sec. exceeded on [chars]

このシステムメッセージの詳細については、『System Messages for Cisco IOS XE Software』を参照してください。

Dynamic Multipoint VPN の設定方法

ハブルータおよびスポークルータに対して mGRE/IPsec トンネルリングをイネーブルにするには、グローバル IPsec ポリシーテンプレートを使用して IPsec プロファイルを設定すること、および IPsec 暗号化に使用する mGRE トンネルを設定することが必要です。ここでは、次の手順について説明します。

IPsec プロファイルの設定
DMVPN 用のハブの設定
DMVPN 用のスポークの設定
VRF へのクリアテキストデータ IP パケット転送を設定
VRF への暗号化トンネルパケット転送の設定
DMVPN 内のトラフィックセグメンテーションの設定
Dynamic Multipoint VPN のトラブルシューティング

IPsec プロファイルの設定

IPsec プロファイルには、クリプトマップの設定に使用するものと同じコマンドが多く使用されます。ただし、それらすべてのコマンドが、各 IPsec プロファイルで有効であるわけではありません。IPsec プロファイルでは、IPsec ポリシーに対応するコマンドだけを発行できます。IPsec ピアアドレスや、暗号化するパケットを照合するためのアクセスコントロールリスト（ACL）を指定することはできません。

（注）

はじめる前に

IPsec プロファイルを設定する前に、cryptoipsectransform-set コマンドを使用してトランスフォームセットを定義する必要があります。

手順の概要

1. enable

2. configureterminal

3. cryptoipsecprofilename

4. settransform-settransform-set-name

5. setidentity

6. setsecurityassociationlifetime {secondsseconds | kilobyteskilobytes}

7. setpfs [group1 | group2]

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Router> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configureterminal 例： Router# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	cryptoipsecprofilename 例： Router(config)# crypto ipsec profile vpnprof	「スポークとハブ」および「スポークとスポーク」ルータ間での IPsec 暗号化に使用する IPsec パラメータを定義します。このコマンドを実行すると、クリプトマップコンフィギュレーションモードが開始されます。 name 引数には、IPsec プロファイルの名前を指定します。
ステップ 4	settransform-settransform-set-name 例： Router(config-crypto-map)# set transform-set trans2	IPsec プロファイルで使用できるトランスフォームセットを指定します。 transform-set-name 引数には、トランスフォームセットの名前を指定します。
ステップ 5	setidentity 例： Router(config-crypto-map)# set identity	（任意）IPsec プロファイルに対するアイデンティティの制限事項を指定します。
ステップ 6	setsecurityassociationlifetime {secondsseconds \| kilobyteskilobytes} 例： Router(config-crypto-map)# set security association lifetime seconds 1800	（任意）IPsec プロファイルに使用するグローバルライフタイムの値を上書きします。 secondsseconds オプションには、セキュリティアソシエーションの有効期間を秒数で指定します。また、kilobyteskilobytes オプションには、特定のセキュリティアソシエーションを使用してその有効期間内に IPsec ピア間で受け渡しできるトラフィックの量を指定します（単位は KB）。 seconds 引数のデフォルト値は 3600 秒です。
ステップ 7	setpfs [group1 \| group2] 例： Router(config-crypto-map)# set pfs group2	（任意）IPsec において、この IPsec プロファイルに対する新しいセキュリティアソシエーションが要求される際に、完全転送秘密（PFS）が必須となるよう指定します。このコマンドを指定しない場合は、デフォルト（group1）が有効になります。 group1 キーワードの場合、新たに Diffie-Hellman（DH）交換を実行する際に、IPsec で 768 ビット DH 素数モジュラスグループが使用されます。group2 キーワードの場合は、1024 ビット DH 素数モジュラスグループが使用されます。

DMVPN 用のハブの設定

mGRE/IPsec 統合用にハブルータを設定する（つまり、トンネルと、上記手順で設定した IPsec プロファイルとを関連付ける）場合は、次のコマンドを使用します。

（注）

NHRP ネットワーク ID は、ローカルに限って意味を持つため、それぞれ異なっていてもかまいません。導入やメンテナンスの点から見れば、（ipnhrpnetwork-id コマンドを使用して）1 つの DMVPN ネットワーク内にある全ルータに対して一意のネットワーク ID 番号を使用した方が合理的ですが、ここでは必ずしも同一である必要はありません。

手順の概要

1. enable

2. configureterminal

3. interfacetunnelnumber

4. ipaddressip-addressmasksecondary

5. ipmtubytes

6. ipnhrpauthenticationstring

7. ipnhrpmapmulticastdynamic

8. ipnhrpnetwork-idnumber

9. tunnelsource{ip-address | typenumber}

10. tunnelkeykey-number

11. tunnelmodegremultipoint

12. 次のいずれかを実行します。

tunnelprotectionipsecprofilename
tunnelprotectionpskkey

13. bandwidthkbps

14. iptcpadjust-mssmax-segment-size

15. ipnhrpholdtimeseconds

16. delaynumber

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Router> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configureterminal

例：

Router# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

interfacetunnelnumber

例：

Router(config)# 
interface tunnel 5

トンネルインターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始します。

number 引数には、作成または設定するトンネルインターフェイスの数を指定します。作成可能なトンネルインターフェイスの数に制限はありません。

ステップ 4

ipaddressip-addressmasksecondary

例：

Router(config-if)# ip address 10.0.0.1 255.255.255.0

トンネルインターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

（注）

同一の DMVPN ネットワーク内に存在するすべてのハブおよびスポークには、同じ IP サブネットに属するアドレスを指定する必要があります。

ステップ 5

ipmtubytes

例：

Router(config-if)# ip mtu 1400

各インターフェイスにおいて送信される IP パケットの最大伝送単位（MTU）のサイズをバイト単位で設定します。

ステップ 6

ipnhrpauthenticationstring

例：

Router(config-if)# ip nhrp authentication donttell

NHRP を使用するインターフェイス用の認証文字列を設定します。

（注）

同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じ NHRP 認証文字列を設定する必要があります。

ステップ 7

ipnhrpmapmulticastdynamic

例：

Router(config-if)# ip nhrp map multicast dynamic

NHRP において、スポークルータが自動的にマルチキャスト NHRP マッピングへ追加されるようにします。

（注）

Cisco IOS XE Denali 16.3 では、ipnhrpmapmulticastdynamic がデフォルトでイネーブルになっています。

ステップ 8

ipnhrpnetwork-idnumber

例：

Router(config-if)# ip nhrp network-id 99

インターフェイスに対して NHRP をイネーブルにします。

number 引数には、非ブロードキャストマルチアクセス（NBMA）ネットワークの、グローバルに一意である 32 ビットネットワーク識別子を指定します。範囲は 1 ～ 4294967295 です。

（注）

Cisco IOS XE Denali 16.3 では、ipnhrpnetwork-id がデフォルトでイネーブルになっています。

ステップ 9

tunnelsource{ip-address | typenumber}

例：

Router(config-if)# tunnel source Gigabitethernet 0/0/0

トンネルインターフェイスの送信元アドレスを設定します。

ステップ 10

tunnelkeykey-number

例：

Router(config-if)# tunnel key 100000

（任意）トンネルインターフェイスの ID キーをイネーブルにします。

key-number 引数には、トンネルキーを識別するための数値を 0 ～ 4,294,967,295 の範囲で指定します。

（注）

同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じキー値を設定する必要があります。

ステップ 11

tunnelmodegremultipoint

例：

Router(config-if)# 
tunnel mode gre multipoint

トンネルインターフェイスのカプセル化モードを mGRE に設定します。

ステップ 12

次のいずれかを実行します。

tunnelprotectionipsecprofilename
tunnelprotectionpskkey

例：

Router(config-if)# 
tunnel protection ipsec profile vpnprof

例：

Router(config-if)# 
tunnel protection psk test1

トンネルインターフェイスを IPsec プロファイルに関連付けます。

name 引数には、IPsec プロファイルの名前を指定します。この値は、cryptoipsecprofilename コマンドで指定した name と一致する必要があります。

または

デフォルトの IPsec プロファイルを作成して、事前共有キー（PSK）用のトンネル保護設定を簡略化します。

ステップ 13

bandwidthkbps

例：

Router(config-if)# bandwidth 1000

上位レベルプロトコルのインターフェイスに対する現在の帯域幅を設定します。

kbps 引数には、キロビット/秒単位の帯域幅を指定します。デフォルト値は 9 です。帯域幅の推奨値は 1000 以上です。
特にトンネルインターフェイス上で EIGRP を使用する場合は、帯域幅の値を必ず 1000 以上に設定してください。1 つのハブがサポートするスポークの数によっては、帯域幅の値をさらに大きくすることが必要となる場合もあります。

ステップ 14

iptcpadjust-mssmax-segment-size

例：

Router(config-if)# ip tcp adjust-mss 1360

ルータを通過する TCP パケットの最大セグメントサイズ（MSS）の値を調整します。

max-segment-size 引数には、最大セグメントサイズをバイト単位で指定します。範囲は 500 ～ 1460 です。
IP MTU のバイト数が 1400 に設定されている場合、MSS の推奨値は 1360 です。これらの推奨値を使用した場合、IP パケットのサイズは、トンネルに「適合」するように、TCP セッションによって瞬時に 1400 バイトまで縮小されます。

ステップ 15

ipnhrpholdtimeseconds

例：

Router(config-if)# ip nhrp holdtime 450

信頼できる NHRP 応答により NHRP NBMA アドレスが有効としてアドバタイズされる秒数を変更します。

seconds 引数には、信頼できる NHRP 応答により NBMA アドレスが有効としてアドバタイズされる時間を秒単位で指定します。推奨値の範囲は、300 ～ 600 秒です。

ステップ 16

delaynumber

例：

Router(config-if)# delay 1000

（任意）トンネルインターフェイスを介して学習したルートの EIGRP ルーティングメトリックを変更します。

number 引数には、遅延時間を秒単位で指定します。推奨値は 1000 です。

DMVPN 用のスポークの設定

mGRE/IPsec 統合用にスポークルータを設定する場合は、次のコマンドを使用します。

（注）

手順の概要

1. enable

2. configureterminal

3. interfacetunnelnumber

4. ipaddressip-addressmasksecondary

5. ipmtubytes

6. ipnhrpauthenticationstring

7. ipnhrpmaphub-tunnel-ip-addresshub-physical-ip-address

8. ipnhrpmapmulticasthub-physical-ip-address

9. ipnhrpnhshub-tunnel-ip-address

10. ipnhrpnetwork-idnumber

11. tunnelsource{ip-address | typenumber}

12. tunnelkeykey-number

13. 次のいずれかを実行します。

tunnelmodegremultipoint
tunneldestinationhub-physical-ip-address

14. 次のいずれかを実行します。

tunnelprotectionipsecprofilename
tunnelprotectionpskkey

15. bandwidthkbps

16. iptcpadjust-mssmax-segment-size

17. ipnhrpholdtimeseconds

18. delaynumber

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Router> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configureterminal

例：

Router# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

interfacetunnelnumber

例：

Router(config)# 
interface tunnel 5

トンネルインターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始します。

number 引数には、作成または設定するトンネルインターフェイスの数を指定します。作成可能なトンネルインターフェイスの数に制限はありません。

ステップ 4

ipaddressip-addressmasksecondary

例：

Router(config-if)# ip address 10.0.0.2 255.255.255.0

トンネルインターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

（注）

同一の DMVPN ネットワーク内に存在するすべてのハブおよびスポークには、同じ IP サブネットに属するアドレスを指定する必要があります。

ステップ 5

ipmtubytes

例：

Router(config-if)# ip mtu 1400

各インターフェイスにおいて送信される IP パケットの MTU サイズをバイト単位で設定します。

ステップ 6

ipnhrpauthenticationstring

例：

Router(config-if)# ip nhrp authentication donttell

NHRP を使用するインターフェイス用の認証文字列を設定します。

（注）

同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じ NHRP 認証文字列を設定する必要があります。

ステップ 7

ipnhrpmaphub-tunnel-ip-addresshub-physical-ip-address

例：

Router(config-if)# ip nhrp map 10.0.0.1 172.17.0.1

NBMA ネットワークに接続された IP 宛先の IP-to-NBMA アドレスマッピングをスタティックに設定します。

hub-tunnel-ip-address：ハブで NHRP サーバを定義します。これはハブのスタティックパブリック IP アドレスに、永続的にマッピングされます。
hub-physical-ip-address：ハブのスタティックパブリック IP アドレスを定義します。

ステップ 8

ipnhrpmapmulticasthub-physical-ip-address

例：

Router(config-if)# ip nhrp map multicast 172.17.0.1

スポークとハブの間でダイナミックルーティングプロトコルを使用可能にし、マルチキャストパケットをハブルータへ送信します。

ステップ 9

ipnhrpnhshub-tunnel-ip-address

例：

Router(config-if)# ip nhrp nhs 10.0.0.1

ハブルータを NHRP ネクストホップサーバとして設定します。

ステップ 10

ipnhrpnetwork-idnumber

例：

Router(config-if)# ip nhrp network-id 99

インターフェイスに対して NHRP をイネーブルにします。

number 引数には、NBMA ネットワークのグローバルに一意である 32 ビットネットワーク識別子を指定します。範囲は 1 ～ 4294967295 です。

（注）

Cisco IOS XE Denali 16.3 では、ipnhrpnetwork-id がデフォルトでイネーブルになっています。

ステップ 11

tunnelsource{ip-address | typenumber}

例：

Router(config-if)# tunnel source Gigabitethernet 0/0/0

トンネルインターフェイスの送信元アドレスを設定します。

ステップ 12

tunnelkeykey-number

例：

Router(config-if)# tunnel key 100000

（任意）トンネルインターフェイスの ID キーをイネーブルにします。

key-number 引数には、トンネルキーを識別するための数値を 0 ～ 4,294,967,295 の範囲で指定します。
同一の DMVPN ネットワーク内に存在するハブおよびスポークに対しては、すべて同じキー値を設定する必要があります。

ステップ 13

次のいずれかを実行します。

tunnelmodegremultipoint
tunneldestinationhub-physical-ip-address

例：

Router(config-if)# tunnel mode gre multipoint

例：

Router(config-if)# tunnel destination 172.17.0.1

トンネルインターフェイスのカプセル化モードを mGRE に設定します。

このコマンドを使用するのは、データトラフィックにダイナミックスポークツースポークトラフィックを使用できる場合です。

トンネルインターフェイスの宛先を指定します。

このコマンドを使用するのは、データトラフィックにハブアンドスポークトラフィックを使用できる場合です。

ステップ 14

次のいずれかを実行します。

tunnelprotectionipsecprofilename
tunnelprotectionpskkey

例：

Router(config-if)# tunnel protection ipsec profile vpnprof

例：

Router(config-if)# 
tunnel protection psk test1

トンネルインターフェイスを IPsec プロファイルに関連付けます。

name 引数には、IPsec プロファイルの名前を指定します。この値は、cryptoipsecprofilename コマンドで指定した name と一致する必要があります。

または

デフォルトの IPsec プロファイルを作成して、事前共有キー（PSK）用のトンネル保護設定を簡略化します。

ステップ 15

bandwidthkbps

例：

Router(config-if)# bandwidth 1000

上位レベルプロトコルのインターフェイスに対する現在の帯域幅を設定します。

kbps 引数には、キロビット/秒単位の帯域幅を指定します。デフォルト値は 9 です。帯域幅の推奨値は 1000 以上です。
スポークの帯域幅設定は、DMVPN ハブの帯域幅設定と同じである必要はありません。通常は、すべてのスポークに対して、同一または類似の帯域幅を使用する方が便利です。

ステップ 16

iptcpadjust-mssmax-segment-size

例：

Router(config-if)# ip tcp adjust-mss 1360

ルータを通過する TCP パケットの MSS 値を調整します。

max-segment-size 引数には、最大セグメントサイズをバイト単位で指定します。範囲は 500 ～ 1460 です。
IP MTU のバイト数が 1400 に設定されている場合、MSS の推奨数値は 1360 です。これらの推奨値を使用した場合、IP パケットのサイズは、トンネルに「適合」するように、TCP セッションによって瞬時に 1400 バイトまで縮小されます。

ステップ 17

ipnhrpholdtimeseconds

例：

Router(config-if)# ip nhrp holdtime 450

信頼できる NHRP 応答により NHRP NBMA アドレスが有効としてアドバタイズされる秒数を変更します。

seconds 引数には、信頼できる NHRP 応答により NBMA アドレスが有効としてアドバタイズされる時間を秒単位で指定します。推奨値の範囲は、300 ～ 600 秒です。

ステップ 18

delaynumber

例：

Router(config-if)# delay 1000

（任意）トンネルインターフェイスを介して学習したルートの EIGRP ルーティングメトリックを変更します。

number 引数には、遅延時間を秒単位で指定します。推奨値は 1000 です。

VRF へのクリアテキストデータ IP パケット転送を設定

VRF へのクリアテキストデータ IP パケット転送を設定するには、次の手順を実行します。ここで説明する設定は、「Blue」という VRF が設定済みであることが前提になっています。

（注）

VRF（Blue）を設定するには、グローバルコンフィギュレーションモードで ip vrf vrf-name コマンドを使用します。

手順の概要

1. enable

2. configure terminal

3. interfacetypenumber

4. ipvrfforwardingvrf-name

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Router> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Router# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interfacetypenumber 例： Router(config)# interface tunnel 0	インターフェイスタイプを設定し、インターフェイスコンフィギュレーションモードを開始します。
ステップ 4	ipvrfforwardingvrf-name 例： Router(config-if)# ip vrf forwarding Blue	VRF へのクリアテキストデータ IP パケット転送を許可します。

VRF への暗号化トンネルパケット転送の設定

VRF への暗号化トンネルパケット転送に関する設定手順は、次のとおりです。ここで説明する設定は、「Red」という VRF が設定済みであることが前提になっています。

（注）

VRF（Red）を設定するには、グローバルコンフィギュレーションモードで ip vrf vrf-name コマンドを使用します。

手順の概要

1. enable

2. configure terminal

3. interfacetypenumber

4. tunnelvrfvrf-name

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Router> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Router# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interfacetypenumber 例： Router(config)# interface tunnel 0	インターフェイスタイプを設定し、インターフェイスコンフィギュレーションモードを開始します。
ステップ 4	tunnelvrfvrf-name 例： Router(config-if)# tunnel vrf RED	VPN VRF インスタンスを特定のトンネル宛先、インターフェイス、またはサブインターフェイスに関連付けて、VRF への暗号化トンネルパケット転送を許可します。

DMVPN 内のトラフィックセグメンテーションの設定

Cisco IOS XE Release 2.5 では、トラフィックセグメンテーションの設定時に使用する新しいコマンドは導入されていません。ただし、DMVPN トンネル内のトラフィックをセグメント化するには、以降の項で説明する作業を完了する必要があります。

前提条件
VPN トンネルでの MPLS のイネーブル化
ハブルータでマルチプロトコル BGP を設定
スポークルータでのマルチプロトコル BGP の設定

前提条件

次の作業では、DMVPN トンネル、および「Red」と「Blue」の 2 つの VRF が設定済みであることを前提としています。

Red または Blue の VRF を設定するには、グローバルコンフィギュレーションモードで ip vrf vrf-name コマンドを使用します。

DMVPN トンネルの設定については、DMVPN 用のハブの設定およびDMVPN 用のスポークの設定を参照してください。VRF 設定の詳細については、VRF へのクリアテキストデータ IP パケット転送を設定およびVRF への暗号化トンネルパケット転送の設定を参照してください。

VPN トンネルでの MPLS のイネーブル化

DMVPN トンネル内のトラフィックセグメンテーションは MPLS に依存するため、トラフィックをセグメント化する VRF インスタンスごとに MPLS を設定する必要があります。

（注）

Cisco ASR 1000 シリーズアグリゲーションサービスルータでは、分散スイッチングのみがサポートされます。分散スイッチング用の ip multicast-routing [vrf vrf-name] [distributed]、debug ip bgp vpnv4 unicast、および ip cef distributed コマンドを使用してください。

手順の概要

1. enable

2. configure terminal

3. interfacetypenumber

4. mplsip

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Router> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Router# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interfacetypenumber 例： Router(config)# interface tunnel 0	インターフェイスタイプを設定し、インターフェイスコンフィギュレーションモードを開始します。
ステップ 4	mplsip 例： Router(config-if)# mpls ip	指定したトンネルインターフェイスに対してパケットの MPLS タギングをイネーブルにします。

ハブルータでマルチプロトコル BGP を設定

VPN トラフィックに適用する VPNv4 プレフィックスおよびラベルのアドバタイズをイネーブルにするためには、MP-iBGP を設定する必要があります。BGP を使用して、ハブをルートリフレクタとして設定します。すべてのトラフィックが強制的にハブ経由でルーティングされるようにするには、BGP ルートリフレクタがルートリフレクタクライアント（スポーク）に VPNv4 プレフィックスをアドバタイズする際に、自身をネクストホップとして指定するように設定します。

BGP ルーティングプロトコルの詳細については、『Cisco IOS XE IP Routing: BGP Configuration Guide』の「Cisco BGP Overview」の章を参照してください。

手順の概要

1. enable

2. configure terminal

3. routerbgpautonomous-system-number

4. neighboripaddressremote-asas-number

5. neighboripaddressupdate-sourceinterface

6. address-familyvpnv4

7. neighboripaddressactivate

8. neighboripaddresssend-communityextended

9. neighboripaddressroute-reflector-client

10. neighboripaddressroute-mapnexthopout

11. exit

12. address-familyipv4vrf-name

13. redistributeconnected

14. route-mapmap-tag [permit| deny] [sequence-number]

15. setipnext-hopipaddress

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Router> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Router# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	routerbgpautonomous-system-number 例： Router(config)# router bgp 1	BGP ルーティングプロセスの設定をイネーブルにします。
ステップ 4	neighboripaddressremote-asas-number 例： Router(config-router)# neighbor 10.0.0.11 remote-as 1	BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテーブルにエントリを追加します。
ステップ 5	neighboripaddressupdate-sourceinterface 例： Router(config-router)# neighbor 10.10.10.11 update-source Tunnel1	BGP セッションで TCP 接続の動作インターフェイスが使用できるよう、Cisco IOS XE ソフトウェアを設定します。
ステップ 6	address-familyvpnv4 例： Router(config)# address-family vpnv4	アドレスファミリコンフィギュレーションモードを開始し、VPNv4 アドレスプレフィックスを使用するルーティングセッションを設定します。
ステップ 7	neighboripaddressactivate 例： Router(config-router-af)# neighbor 10.0.0.11 activate	BGP ネイバーとの情報交換をイネーブルにします。
ステップ 8	neighboripaddresssend-communityextended 例： Router(config-router-af)# neighbor 10.0.0.11 send-community extended	拡張コミュニティの属性が BGP ネイバーに送信されるよう指定します。
ステップ 9	neighboripaddressroute-reflector-client 例： Router(config-router-af)# neighbor 10.0.0.11 route-reflector-client	ルータを BGP ルートリフレクタとして設定し、指定したネイバーをそのクライアントとして設定します。
ステップ 10	neighboripaddressroute-mapnexthopout 例： Router(config-router-af)# neighbor 10.0.0.11 route-map nexthop out	すべてのトラフィックが強制的にハブ経由でルーティングされるようにします。
ステップ 11	exit 例： Router(config-router-af)# exit	VPNv4 のアドレスファミリコンフィギュレーションモードを終了します。
ステップ 12	address-familyipv4vrf-name 例： Router(config)# address-family ipv4 red	アドレスファミリコンフィギュレーションモードを開始し、標準 IPv4 アドレスプレフィックスを使用するルーティングセッションを設定します。
ステップ 13	redistributeconnected 例： Router(config-router-af)# redistribute connected	インターフェイス上で IP をイネーブルにしたことにより自動的に確立されたルートを、あるルーティングドメインから別のルーティングドメインへ再分配します。
ステップ 14	route-mapmap-tag [permit\| deny] [sequence-number] 例： Router(config-router-af)# route-map cisco permit 10	ルートマップコンフィギュレーションモードを開始し、スポークにアドバタイズされるネクストホップを設定します。
ステップ 15	setipnext-hopipaddress 例： Router(config-route-map)# set ip next-hop 10.0.0.1	ネクストホップがハブになるように設定します。

スポークルータでのマルチプロトコル BGP の設定

DMVPN トンネル内のトラフィックをセグメント化するには、スポークルータとハブの両方でマルチプロトコル iBGP（MP-iBGP）を設定する必要があります。DMVPN 内のスポークルータごとに、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. routerbgpautonomous-system-number

4. neighboripaddressremote-asas-number

5. neighboripaddressupdate-sourceinterface

6. address-familyvpnv4

7. neighboripaddressactivate

8. neighboripaddresssend-communityextended

9. exit

10. address-familyipv4vrf-name

11. redistributeconnected

12. exit

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Router> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Router# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

routerbgpautonomous-system-number

例：

Router(config)# router bgp 1

BGP コンフィギュレーションモードを開始します。

ステップ 4

neighboripaddressremote-asas-number

例：

Router(config-router)# neighbor 10.0.0.1 remote-as 1

BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテーブルにエントリを追加します。

ステップ 5

neighboripaddressupdate-sourceinterface

例：

Router(config-router)# neighbor 10.10.10.1 update-source Tunnel1

BGP セッションで TCP 接続の動作インターフェイスが使用できるよう、Cisco IOS XE ソフトウェアを設定します。

ステップ 6

address-familyvpnv4

例：

Router(config)# address-family vpnv4

アドレスファミリコンフィギュレーションモードを開始し、VPNv4 アドレスプレフィックスを使用するルーティングセッションを設定します。

ステップ 7

neighboripaddressactivate

例：

Router(config-router-af)# neighbor 10.0.0.1 activate

BGP ネイバーとの情報交換をイネーブルにします。

ステップ 8

neighboripaddresssend-communityextended

例：

Router(config-router-af)# neighbor 10.0.0.1 send-community extended

拡張コミュニティの属性が BGP ネイバーに送信されるよう指定します。

ステップ 9

exit

例：

Router(config-router-af)# exit

アドレスファミリコンフィギュレーションモードを終了します。

ステップ 10

address-familyipv4vrf-name

例：

Router(config)# address-family ipv4 red

アドレスファミリコンフィギュレーションモードを開始し、標準 IPv4 アドレスプレフィックスを使用するルーティングセッションを設定します。

ステップ 11

redistributeconnected

例：

Router(config-router-af)# redistribute connected

インターフェイス上で IP をイネーブルにしたことにより自動的に確立されたルートを、あるルーティングドメインから別のルーティングドメインへ再分配します。

ステップ 12

exit

例：

Router(config-router-af)# exit

アドレスファミリコンフィギュレーションモードを終了します。

（注）

VRF ごとにステップ 10 ～ 12 を繰り返します。

Dynamic Multipoint VPN のトラブルシューティング

DMVPN を設定した後、DMVPN が正常に動作していることを確認したり、DMVPN 統計情報またはセッションをクリアしたり、DMVPN をデバッグしたりするには、この作業の該当する手順を実行します。これらのコマンドは任意の順序で使用できます。

（注）

手順の概要

1. cleardmvpnsession

2. cleardmvpnstatistics

3. debugdmvpn

4. debugdmvpncondition

5. debugnhrpcondition

6. debugnhrperror

7. loggingdmvpn

8. showcryptoipsecsa

9. showcryptoisakmpsa

10. showcryptomap

11. showdmvpn

12. showipnhrptraffic

手順の詳細

ステップ 1	cleardmvpnsession このコマンドは DMVPN セッションをクリアします。次の例では、指定したトンネルのダイナミック DMVPN セッションのみがクリアされます。例： Router# `clear dmvpn session interface tunnel 5` 次の例では、指定したトンネルのすべての DMVPN セッション（スタティックセッションとダイナミックセッションの両方）がクリアされます。例： Router# `clear dmvpn session interface tunnel 5 static`
ステップ 2	cleardmvpnstatistics このコマンドは、DMVPN 関連のカウンタをクリアする場合に使用します。次の例では、指定したトンネルインターフェイスの DMVPN 関連セッションカウンタをクリアする方法を示します。例： Router# `clear dmvpn statistics interface tunnel 5`
ステップ 3	debugdmvpn このコマンドは、DMVPN セッションをデバッグする場合に使用します。DMVPN のデバッグは、ある特定の条件に応じてイネーブル化/ディセーブル化を切り替えることができます。DMVPN のデバッグには、次のように 3 つのレベルがあります。下位のレベルほど、細部のデバッグを実行できます。エラーレベル詳細レベルパケットレベル次の例では、NHRP、ソケット、トンネル保護、および暗号情報に対するエラーデバッグをすべて表示する条件付き DMVPN デバッグをイネーブルにする方法を示します。例： Router# `debug dmvpn error all`
ステップ 4	debugdmvpncondition このコマンドは、条件付きデバッグ DMVPN セッションの情報を表示します。次の例では、特定のトンネルインターフェイスに対して条件付きデバッグをイネーブルにする方法を示します。例： Router# `debug dmvpn condition interface tunnel 5`
ステップ 5	debugnhrpcondition このコマンドは、特定の条件に基づくデバッグをイネーブルまたはディセーブルにします。次に、条件付き NHRP デバッグをイネーブルにするためのコマンドの使用例を示します。例： Router# `debug nhrp condition`
ステップ 6	debugnhrperror このコマンドは、NHRP エラーアクティビティに関する情報を表示します。次に、NHRP のエラーメッセージに対するデバッグをイネーブルにするためのコマンドの使用例を示します。例： Router# `debug nhrp error`
ステップ 7	loggingdmvpn このコマンドは、DMVPN のシステムロギングをイネーブルにする場合に使用します。次の例では、20 秒ごとに 1 つのメッセージが生成される DMVPN のシステムロギングをイネーブルにする方法を示します。例： Router(config)# `logging dmvpn rate-limit 20` 次に、DMVPN メッセージがリスト表示されたシステムログの例を示します。例： %DMVPN-7-CRYPTO_SS: Tunnel101-192.0.2.1 socket is UP %DMVPN-5-NHRP_NHS: Tunnel101 192.0.2.251 is UP %DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel1 Registered. %DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel101 came UP. %DMVPN-3-NHRP_ERROR: Registration Request failed for 192.0.2.251 on Tunnel101
ステップ 8	showcryptoipsecsa このコマンドは、現在の SA によって使用されている設定を表示します。次に、アクティブなデバイスの IPsec SA ステータスだけが表示される出力例を示します。例： Router# `show crypto ipsec sa active` interface: gigabitethernet0/0/0 Crypto map tag: to-peer-outside, local addr 209.165.201.3 protected vrf: (none local ident (addr/mask/prot/port): (192.168.0.1/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.16.0.1/255.255.255.255/0/0) current_peer 209.165.200.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 209.165.201.3, remote crypto endpt.: 209.165.200.225 path mtu 1500, media mtu 1500 current outbound spi: 0xD42904F0(3559458032) inbound esp sas: spi: 0xD3E9ABD0(3555306448) transform: esp-3des , in use settings ={Tunnel, } conn id: 2006, flow_id: 6, crypto map: to-peer-outside sa timing: remaining key lifetime (k/sec): (4586265/3542) HA last key lifetime sent(k): (4586267) ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C IV size: 8 bytes replay detection support: Y Status: ACTIVE
ステップ 9	showcryptoisakmpsa このコマンドは、ピアの現在の IKE SA をすべて表示します。たとえば次の例は、2 つのピア間の IKE ネゴシエーションが正常に実行された後に表示される出力です。例： Router# `show crypto isakmp sa` dst src state conn-id slot 172.17.63.19 172.16.175.76 QM_IDLE 2 0 172.17.63.19 172.17.63.20 QM_IDLE 1 0 172.16.175.75 172.17.63.19 QM_IDLE 3 0
ステップ 10	showcryptomap このコマンドは、クリプトマップの設定を表示します。次に、クリプトマップの設定が完了した後に表示される出力例を示します。例： Router# `show crypto map` Crypto Map "Tunnel5-head-0" 10 ipsec-isakmp Profile name: vpnprof Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={trans2, } Crypto Map "Tunnel5-head-0" 20 ipsec-isakmp Map is a PROFILE INSTANCE. Peer = 172.16.175.75 Extended IP access list access-list permit gre host 172.17.63.19 host 172.16.175.75 Current peer: 172.16.175.75 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={trans2, } Crypto Map "Tunnel5-head-0" 30 ipsec-isakmp Map is a PROFILE INSTANCE. Peer = 172.17.63.20 Extended IP access list access-list permit gre host 172.17.63.19 host 172.17.63.20 Current peer: 172.17.63.20 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={trans2, } Crypto Map "Tunnel5-head-0" 40 ipsec-isakmp Map is a PROFILE INSTANCE. Peer = 172.16.175.76 Extended IP access list access-list permit gre host 172.17.63.19 host 172.16.175.76 Current peer: 172.16.175.76 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={trans2, } Interfaces using crypto map Tunnel5-head-0: Tunnel5
ステップ 11	showdmvpn このコマンドは、DMVPN 固有のセッション情報を表示します。次に、サマリー情報の出力例を示します。例： Router# `show dmvpn` Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete N - NATed, L - Local, X - No Socket # Ent --> Number of NHRP entries with same NBMA peer ! The line below indicates that the sessions are being displayed for Tunnel1. ! Tunnel1 is acting as a spoke and is a peer with three other NBMA peers. Tunnel1, Type: Spoke, NBMA Peers: 3, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 2 192.0.2.21 192.0.2.116 IKE 3w0d D 1 192.0.2.102 192.0.2.11 NHRP 02:40:51 S 1 192.0.2.225 192.0.2.10 UP 3w0d S Tunnel2, Type: Spoke, NBMA Peers: 1, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 192.0.2.25 192.0.2.171 IKE never S
ステップ 12	showipnhrptraffic このコマンドは、NHRP の統計情報を表示します。次に、特定のトンネル（tunnel7）に関する出力例を示します。例： Router# s `how ip nhrp traffic interface tunnel7` Tunnel7: Max-send limit:10000Pkts/10Sec, Usage:0% Sent: Total 79 18 Resolution Request 10 Resolution Reply 42 Registration Request 0 Registration Reply 3 Purge Request 6 Purge Reply 0 Error Indication 0 Traffic Indication Rcvd: Total 69 10 Resolution Request 15 Resolution Reply 0 Registration Request 36 Registration Reply 6 Purge Request 2 Purge Reply 0 Error Indication 0 Traffic Indication

次の作業

「DMVPN 用のハブの設定」と「DMVPN 用のスポークの設定」の項に進みます。

Dynamic Multipoint VPN 機能の設定例

DMVPN 用のハブ設定例
DMVPN 用のスポーク設定例
BGP 専用トラフィックセグメンテーションでの 2547oDMVPN の例
エンタープライズブランチトラフィックセグメンテーションでの 2547oDMVPN の例

DMVPN 用のハブ設定例

次に、マルチポイント GRE/IPsec 統合用のハブルータの設定例を示します。これは、すべてのスポークルータが対話可能なグローバル IPsec ポリシーテンプレートを使用した設定方法で、各スポークに対する個別の設定を明示的に行う必要はありません。ここでは、EIGRP が、プライベート物理インターフェイスおよびトンネルインターフェイスを介して実行されるように設定されています。

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile vpnprof
set transform-set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
! Ensures longer packets are fragmented before they are encrypted; otherwise, the receiving router would have to do the reassembly.
ip mtu 1400
! The following line must match on all nodes that “want to use” this mGRE tunnel:
ip nhrp authentication donttell
! Note that the next line is required only on the hub.
ip nhrp map multicast dynamic
! The following line must match on all nodes that want to use this mGRE tunnel:
ip nhrp network-id 99
ip nhrp holdtime 300
! Turns off split horizon on the mGRE tunnel interface; otherwise, EIGRP will not advertise routes that are learned via the mGRE interface back out that interface.
no ip split-horizon eigrp 1
! Enables dynamic, direct spoke-to-spoke tunnels when using EIGRP.
no ip next-hop-self eigrp 1
ip tcp adjust-mss 1360
delay 1000
! Sets IPsec peer address to Ethernet interface’s public address.
tunnel source Gigabitethernet 0/0/0
tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel.
tunnel key 100000
tunnel protection ipsec profile vpnprof
!
interface FastEthernet0/0/0
ip address 172.17.0.1 255.255.255.0
!
interface FastEthernet0/0/1
ip address 192.168.0.1 255.255.255.0
!
router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.0.0 0.0.0.255
!

ISAKMP プロファイルの定義および設定の詳細については、『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Certificate to ISAKMP Profile Mapping」の章を参照してください。

DMVPN 用のスポーク設定例

次の例は、すべてのスポークを、トンネルとローカルインターフェイスアドレス以外は同じ内容で設定する方法で、ユーザが行うべき設定操作を軽減できます。

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
 mode transport
!
crypto ipsec profile vpnprof
 set transform-set trans2
!
interface Tunnel0
 bandwidth 1000
 ip address 10.0.0.2 255.255.255.0
 ip mtu 1400
! The following line must match on all nodes that want to use this mGRE tunnel:
 ip nhrp authentication donttell
! Definition of NHRP server at the hub (10.0.0.1), which is permanently mapped to the static public address of the hub (172.17.0.1).
 ip nhrp map 10.0.0.1 172.17.0.1
! Sends multicast packets to the hub router, and enables the use of a dynamic routing protocol between the spoke and the hub.
 ip nhrp map multicast 172.17.0.1
! The following line must match on all nodes that want to use this mGRE tunnel:
 ip nhrp network-id 99 
 ip nhrp holdtime 300
! Configures the hub router as the NHRP next-hop server.
 ip nhrp nhs 10.0.0.1
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source Gigabitethernet 0/0/0
 tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel:
 tunnel key 100000
 tunnel protection ipsec profile vpnprof
!
! This is a spoke, so the public address might be dynamically assigned via DHCP.
interface FastEthernet0/0/0
 ip address dhcp hostname Spoke1
!
interface FastEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0
!
! EIGRP is configured to run over the inside physical interface and the tunnel.
router eigrp 1
 network 10.0.0.0 0.0.0.255
 network 192.168.1.0 0.0.0.255

BGP 専用トラフィックセグメンテーションでの 2547oDMVPN の例

次に、PE デバイスとして動作する 2 つのスポーク間でトラフィックをセグメント化するためのトラフィックセグメンテーションの設定例を示します。

ハブの設定

hostname hub-pe1
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
 rd 2:2
 route-target export 2:2
 route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
 rd 1:1
 route-target export 1:1
 route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des 
 mode transport
crypto ipsec profile prof
 set transform-set t1 
interface Tunnel1
 ip address 10.9.9.1 255.255.255.0
 no ip redirects
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
!The command below enables MPLS on the DMVPN network:
mpls ip
 tunnel source Gigabitethernet 0/0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile prof
interface Loopback0
 ip address 10.0.0.1 255.255.255.255
interface Ethernet0/0/0
 ip address 172.0.0.1 255.255.255.0
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix: 
router bgp 1
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.0.0.11 remote-as 1
 neighbor 10.0.0.11 update-source Tunnel1
 neighbor 10.0.0.12 remote-as 1
 neighbor 10.0.0.12 update-source Tunnel1
 no auto-summary
 address-family vpnv4
 neighbor 10.0.0.11 activate
 neighbor 10.0.0.11 send-community extended
 neighbor 10.0.0.11 route-reflector-client
 neighbor 10.0.0.11 route-map nexthop out
 neighbor 10.0.0.12 activate
 neighbor 10.0.0.12 send-community extended
 neighbor 10.0.0.12 route-reflector-client
 neighbor 10.0.0.12 route-map nexthop out
 exit
 address-family ipv4 vrf red
 redistribute connected
 no synchronization
 exit
 address-family ipv4 vrf blue
 redistribute connected
 no synchronization
 exit
no ip http server
no ip http secure-server
!In this route map information, the hub sets the next hop to itself, and the VPN prefixes are advertised:
route-map cisco permit 10
 set ip next-hop 10.0.0.1
control-plane
line con 0
 logging synchronous
line aux 0
line vty 0 4
 no login
end

スポークの設定

スポーク 2

hostname spoke-pe2
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
 rd 2:2
 route-target export 2:2
 route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
 rd 1:1
 route-target export 1:1
 route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des 
 mode transport
crypto ipsec profile prof
 set transform-set t1 
interface Tunnel1
 ip address 10.0.0.11 255.255.255.0
 no ip redirects
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp map 10.0.0.1 172.0.0.1
 ip nhrp map multicast 172.0.0.1
 ip nhrp network-id 1
 ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
 mpls ip
 tunnel source Gigabitethernet 0/0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile prof
interface Loopback0
 ip address 10.9.9.11 255.255.255.255
interface FastEthernet0/0/0
 ip address 172.0.0.11 255.255.255.0
!
!
interface FastEthernet1/0/0
 ip vrf forwarding red
 ip address 192.168.11.2 255.255.255.0
interface FastEthernet2/0/0
 ip vrf forwarding blue
 ip address 192.168.11.2 255.255.255.0
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.0.0.1 remote-as 1
 neighbor 10.0.0.1 update-source Tunnel1
 no auto-summary
 address-family vpnv4
 neighbor 10.0.0.1 activate
 neighbor 10.0.0.1 send-community extended
 exit
!
 address-family ipv4 vrf red
 redistribute connected
 no synchronization
 exit
 !
 address-family ipv4 vrf blue
 redistribute connected
 no synchronization
 exit
no ip http server
no ip http secure-server
control-plane
line con 0
 logging synchronous
line aux 0
line vty 0 4
 no login
end

スポーク 3

hostname spoke-PE3
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
 rd 2:2
 route-target export 2:2
 route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
 rd 1:1
 route-target export 1:1
 route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des 
 mode transport
crypto ipsec profile prof
 set transform-set t1 
interface Tunnel1
 ip address 10.0.0.12 255.255.255.0
 no ip redirects
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp map 10.0.0.1 172.0.0.1
 ip nhrp map multicast 172.0.0.1
 ip nhrp network-id 1
 ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
 mpls ip
 tunnel source Gigabitethernet 0/0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile prof
!
interface Loopback0
 ip address 10.9.9.12 255.255.255.255
interface FastEthernet0/0/0
 ip address 172.0.0.12 255.255.255.0
interface FastEthernet1/0/0
 ip vrf forwarding red
 ip address 192.168.12.2 255.255.255.0
interface FastEthernet2/0/0
 ip vrf forwarding blue
 ip address 192.168.12.2 255.255.255.0
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.0.0.1 remote-as 1
 neighbor 10.0.0.1 update-source Tunnel1
 no auto-summary
 address-family vpnv4
 neighbor 10.0.0.1 activate
 neighbor 10.0.0.1 send-community extended
 exit
 address-family ipv4 vrf red
 redistribute connected
 no synchronization
 exit
 address-family ipv4 vrf blue
 redistribute connected
 no synchronization
 exit
no ip http server
no ip http secure-server
control-plane
line con 0
 logging synchronous
line aux 0
line vty 0 4
 no login
end

エンタープライズブランチトラフィックセグメンテーションでの 2547oDMVPN の例

次に、企業のブランチオフィスに配置されている 2 つのスポーク間でトラフィックをセグメント化するための設定例を示します。この例では、DMVPN 内の BGP ネイバーに到達するルートを学習するように、EIGRP が設定されています。

ハブの設定

hostname HUB
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
 rd 2:2
 route-target export 2:2
 route-target import 2:2
!This refers to the forwarding table for VRF red:
ip vrf red
 rd 1:1
 route-target export 1:1
 route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des 
 mode transport
crypto ipsec profile prof
 set transform-set t1 
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0
 no ip redirects
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
no ip split-horizon eigrp 1
!The command below enables MPLS on the DMVPN network:
 mpls ip
 tunnel source Gigabitethernet 0/0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile prof
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
 ip address 10.9.9.1 255.255.255.255
interface FastEthernet0/0/0
 ip address 172.0.0.1 255.255.255.0
!EIGRP is configured to learn the BGP peer addresses (10.9.9.x networks)
router eigrp 1
 network 10.9.9.1 0.0.0.0
 network 10.0.0.0 0.0.0.255
 no auto-summary
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix: 
router bgp 1
 no synchronization
 bgp router-id 10.9.9.1
 bgp log-neighbor-changes
 neighbor 10.9.9.11 remote-as 1
 neighbor 10.9.9.11 update-source Loopback0
 neighbor 10.9.9.12 remote-as 1
 neighbor 10.9.9.12 update-source Loopback0
 no auto-summary
 address-family vpnv4
 neighbor 10.9.9.11 activate
 neighbor 10.9.9.11 send-community extended
 neighbor 10.9.9.11 route-reflector-client
 neighbor 10.9.9.12 activate
 neighbor 10.9.9.12 send-community extended
 neighbor 10.9.9.12 route-reflector-client
 exit
 address-family ipv4 vrf red
 redistribute connected
 no synchronization
 exit
 address-family ipv4 vrf blue
 redistribute connected
 no synchronization
 exit
no ip http server
no ip http secure-server
control-plane
line con 0
 logging synchronous
line aux 0
line vty 0 4
 no login
end

スポークの設定

スポーク 2

hostname Spoke2
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
 rd 2:2
 route-target export 2:2
 route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
 rd 1:1
 route-target export 1:1
 route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des 
 mode transport
crypto ipsec profile prof
 set transform-set t1 
interface Tunnel1
 ip address 10.0.0.11 255.255.255.0
 no ip redirects
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp map 10.0.0.1 172.0.0.1
 ip nhrp map multicast 172.0.0.1
 ip nhrp network-id 1
 ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
 mpls ip
 tunnel source Gigabitethernet 0/0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile prof
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
 ip address 10.9.9.11 255.255.255.255
interface FastEthernet0/0/0
 ip address 172.0.0.11 255.255.255.0
interface FastEthernet1/0/0
 ip vrf forwarding red
 ip address 192.168.11.2 255.255.255.0
interface FastEthernet2/0/0
 ip vrf forwarding blue
 ip address 192.168.11.2 255.255.255.0
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
router eigrp 1
 network 10.9.9.11 0.0.0.0
 network 10.0.0.0 0.0.0.255
 no auto-summary
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
 no synchronization
 bgp router-id 10.9.9.11
 bgp log-neighbor-changes
 neighbor 10.9.9.1 remote-as 1
 neighbor 10.9.9.1 update-source Loopback0
 no auto-summary
 address-family vpnv4
 neighbor 10.9.9.1 activate
 neighbor 10.9.9.1 send-community extended
 exit
 address-family ipv4 vrf red
 redistribute connected
 no synchronization
 exit
 address-family ipv4 vrf blue
 redistribute connected
 no synchronization
 exit
no ip http server
no ip http secure-server
control-plane
line con 0
 logging synchronous
line aux 0
line vty 0 4
 no login
end

スポーク 3

hostname Spoke3
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
 rd 2:2
 route-target export 2:2
 route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
 rd 1:1
 route-target export 1:1
 route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des 
 mode transport
crypto ipsec profile prof
 set transform-set t1 
interface Tunnel1
 ip address 10.0.0.12 255.255.255.0
 no ip redirects
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp map 10.0.0.1 172.0.0.1
 ip nhrp map multicast 172.0.0.1
 ip nhrp network-id 1
 ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
 mpls ip
 tunnel source Gigabitethernet 0/0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile prof
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
 ip address 10.9.9.12 255.255.255.255
interface FastEthernet0/0/0
 ip address 172.0.0.12 255.255.255.0
interface FastEthernet1/0/0
 ip vrf forwarding red
 ip address 192.168.12.2 255.255.255.0
interface FastEthernet2/0/0
 ip vrf forwarding blue
 ip address 192.168.12.2 255.255.255.0
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
router eigrp 1
 network 10.9.9.12 0.0.0.0
 network 10.0.0.0 0.0.0.255
 no auto-summary
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop information to set itself as the next-hop and assigns a new VPN label for the prefixes learned from the spokes and advertises the VPN prefix:
router bgp 1
 no synchronization
 bgp router-id 10.9.9.12
 bgp log-neighbor-changes
 neighbor 10.9.9.1 remote-as 1
 neighbor 10.9.9.1 update-source Loopback0
 no auto-summary
 address-family vpnv4
 neighbor 10.9.9.1 activate
 neighbor 10.9.9.1 send-community extended
 exit
 address-family ipv4 vrf red
 redistribute connected
 no synchronization
 exit
 address-family ipv4 vrf blue
 redistribute connected
 no synchronization
 exit
no ip http server
no ip http secure-server
control-plane
line con 0
 logging synchronous
line aux 0
line vty 0 4
 no login
end

コマンドの出力例：show mpls ldp bindings

Spoke2# show mpls ldp bindings
  tib entry: 10.9.9.1/32, rev 8
        local binding:  tag: 16
        remote binding: tsr: 10.9.9.1:0, tag: imp-null
  tib entry: 10.9.9.11/32, rev 4
        local binding:  tag: imp-null
        remote binding: tsr: 10.9.9.1:0, tag: 16
  tib entry: 10.9.9.12/32, rev 10
        local binding:  tag: 17
        remote binding: tsr: 10.9.9.1:0, tag: 17
  tib entry: 10.0.0.0/24, rev 6
        local binding:  tag: imp-null
        remote binding: tsr: 10.9.9.1:0, tag: imp-null
  tib entry: 172.0.0.0/24, rev 3
        local binding:  tag: imp-null
        remote binding: tsr: 10.9.9.1:0, tag: imp-null
Spoke2#

コマンドの出力例：show mpls forwarding-table

Spoke2# show mpls forwarding-table
 
Local  Outgoing    Prefix            Bytes tag  Outgoing   Next Hop    
tag    tag or VC   or Tunnel Id      switched   interface              
16     Pop tag     10.9.9.1/32        0          Tu1        10.0.0.1     
17     17          10.9.9.12/32       0          Tu1        10.0.0.1     
18     Aggregate   192.168.11.0/24[V]   \
                                     0                                  
19     Aggregate   192.168.11.0/24[V]   \
                                     0 
Spoke2#

コマンドの出力例：show ip route vrf red

Spoke2# show ip route vrf red
Routing Table: red
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
B    192.168.12.0/24 [200/0] via 10.9.9.12, 00:00:02
C    192.168.11.0/24 is directly connected, FastEthernet1/0/0
Spoke2#

コマンドの出力例：show ip route vrf blue

Spoke2# show ip route vrf blue
Routing Table: blue
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
B    192.168.12.0/24 [200/0] via 10.9.9.12, 00:00:08
C    192.168.11.0/24 is directly connected, FastEthernet2/0/0
Spoke2#
Spoke2# show ip cef vrf red 192.168.12.0
192.168.12.0/24, version 5, epoch 0
0 packets, 0 bytes
  tag information set
    local tag: VPN-route-head
    fast tag rewrite with Tu1, 10.0.0.1, tags imposed: {17 18}
  via 10.9.9.12, 0 dependencies, recursive
    next hop 10.0.0.1, Tunnel1 via 10.9.9.12/32
    valid adjacency
    tag rewrite with Tu1, 10.0.0.1, tags imposed: {17 18}
Spoke2#

コマンドの出力例：show ip bgp neighbors

Spoke2# show ip bgp neighbors
 
BGP neighbor is 10.9.9.1,  remote AS 1, internal link
  BGP version 4, remote router ID 10.9.9.1
  BGP state = Established, up for 00:02:09
  Last read 00:00:08, last write 00:00:08, hold time is 180, keepalive interval is 60 seconds
  Neighbor capabilities:
    Route refresh: advertised and received(old & new)
    Address family IPv4 Unicast: advertised and received
    Address family VPNv4 Unicast: advertised and received
  Message statistics:
    InQ depth is 0
    OutQ depth is 0
                         Sent       Rcvd
    Opens:                  1          1
    Notifications:          0          0
    Updates:                4          4
    Keepalives:             4          4
    Route Refresh:          0          0
    Total:                  9          9
  Default minimum time between advertisement runs is 0 seconds
 For address family: IPv4 Unicast
  BGP table version 1, neighbor version 1/0
 Output queue size : 0
  Index 1, Offset 0, Mask 0x2
  1 update-group member
                                 Sent       Rcvd
  Prefix activity:               ----       ----
    Prefixes Current:               0          0
    Prefixes Total:                 0          0
    Implicit Withdraw:              0          0
    Explicit Withdraw:              0          0
    Used as bestpath:             n/a          0
    Used as multipath:            n/a          0
                                   Outbound    Inbound
  Local Policy Denied Prefixes:    --------    -------
    Total:                                0          0
  Number of NLRIs in the update sent: max 0, min 0
 For address family: VPNv4 Unicast
  BGP table version 9, neighbor version 9/0
 Output queue size : 0
  Index 1, Offset 0, Mask 0x2
  1 update-group member
                                 Sent       Rcvd
  Prefix activity:               ----       ----
    Prefixes Current:               2          2 (Consumes 136 bytes)
    Prefixes Total:                 4          2
    Implicit Withdraw:              2          0
    Explicit Withdraw:              0          0
    Used as bestpath:             n/a          2
    Used as multipath:            n/a          0
                                   Outbound    Inbound
  Local Policy Denied Prefixes:    --------    -------
    ORIGINATOR loop:                    n/a          2
    Bestpath from this peer:              4        n/a
    Total:                                4          2
  Number of NLRIs in the update sent: max 1, min 1
  Connections established 1; dropped 0
  Last reset never
Connection state is ESTAB, I/O status: 1, unread input bytes: 0        
Connection is ECN Disabled
Local host: 10.9.9.11, Local port: 179
Foreign host: 10.9.9.1, Foreign port: 12365
Enqueued packets for retransmit: 0, input: 0  mis-ordered: 0 (0 bytes)
Event Timers (current time is 0x2D0F0):
Timer          Starts    Wakeups            Next
Retrans             6          0             0x0
TimeWait            0          0             0x0
AckHold             7          3             0x0
SendWnd             0          0             0x0
KeepAlive           0          0             0x0
GiveUp              0          0             0x0
PmtuAger            0          0             0x0
DeadWait            0          0             0x0
iss: 3328307266  snduna: 3328307756  sndnxt: 3328307756     sndwnd:  15895
irs: 4023050141  rcvnxt: 4023050687  rcvwnd:      16384  delrcvwnd:      0
SRTT: 165 ms, RTTO: 1457 ms, RTV: 1292 ms, KRTT: 0 ms
minRTT: 0 ms, maxRTT: 300 ms, ACK hold: 200 ms
Flags: passive open, nagle, gen tcbs
IP Precedence value : 6
Datagrams (max data segment is 536 bytes):
Rcvd: 13 (out of order: 0), with data: 7, total data bytes: 545
Sent: 11 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0), with data: 6, total data bytes: 489
Spoke2#

その他の参考資料

関連項目	マニュアルタイトル
Cisco IOS コマンド	『Cisco IOS Master Commands List, All Releases』
コールアドミッション制御	『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Call Admission Control for IKE」の章
IKE の設定作業（IKE ポリシーの定義など）	『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Configuring Internet Key Exchange for IPSec VPNs」の章
IPsec の設定作業	『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Configuring Security for VPNs with IPsec」の章
VRF 対応 IPsec の設定	『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「VRF-Aware IPsec」の章
MPLS の設定	『Cisco IOS XE Multiprotocol Label Switching Configuration Guide』の「Multiprotocol Label Switching (MPLS) on Cisco Routers」の章
BGP の設定	『Cisco IOS XE IP Routing: BGP Configuration Guide』の「Cisco BGP Overview」の章
システムメッセージ	『System Messages for Cisco IOS XE Software』
ISAKMP プロファイルの定義と設定	『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Certificate to ISAKMP Profile Mapping」の章
セキュリティコマンド	『Cisco IOS Security Command Reference』
推奨される暗号化アルゴリズム	『Next Generation Encryption』

標準

標準	タイトル
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。	--

MIB

MIB	MIB のリンク
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。	選択したプラットフォーム、Cisco ソフトウェアリリース、およびフィーチャセットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco ソフトウェアリリース、およびフィーチャセットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC	タイトル
RFC 2547	『BGP/MPLS VPNs』

シスコのテクニカルサポート

説明	リンク
右の URL にアクセスして、シスコのテクニカルサポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。	http://www.cisco.com/cisco/web/support/index.html

説明

リンク

右の URL にアクセスして、シスコのテクニカルサポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

Dynamic Multipoint VPN の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、 www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

表 1 Dynamic Multipoint VPN の機能情報
機能名	リリース	機能情報
DMVPN フェーズ 1	Cisco IOS XE Release 2.1	DMVPN 機能を使用すると、GRE トンネル、IPsec 暗号化、および NHRP を組み合わせることにより、目的に合せて大小さまざまな規模の IPsec VPN を構築できます。
DMVPN フェーズ 2	Cisco IOS XE Release 2.1	DMVPN スポークツースポーク機能は、実稼働環境での使用にも十分対応できるようになりました。
NAT 透過性対応 DMVPN	Cisco IOS XE Release 2.1	ネットワークアドレス変換透過性（NAT-T）対応 DMVPN の拡張機能が追加されました。また、DMVPN ハブツースポーク機能は、実稼働環境での使用にも十分対応できるようになりました。
DMVPN の管理を容易にするための拡張機能	Cisco IOS XE Release 2.5	DMVPN セッションは、デバッグ、表示出力、セッションとカウンタの制御、およびシステムログ情報に関する DMVPN 専用コマンドを使用することで、より容易に管理できるようになりました。この機能に関する詳細については、次の項を参照してください。 Dynamic Multipoint VPN のトラブルシューティングこの機能により、次のコマンドが導入または変更されました。cleardmvpnsession、cleardmvpnstatistics、debugdmvpn、debugdmvpncondition、debugnhrpcondition、debugnhrperror、loggingdmvpn、showdmvpn、showipnhrptraffic
DMVPN：DMVPN 内のトラフィックセグメンテーションのイネーブル化	Cisco IOS XE Release 2.5	2547oDMVPN 機能を使用すると、各 VRF の送信元および宛先を示す MPLS ラベルを VRF インスタンスに適用することにより、DMVPN トンネル内の VPN トラフィックをセグメント化できます。

用語集

AM：アグレッシブモード。IKE ネゴシエーション実行中のモードです。MM と比較すると、AM はいくつかのプロセスが省略されているため動作は速くなりますが、セキュリティ性能は低くなります。Cisco IOS XE ソフトウェアでは、アグレッシブモードを開始した IKE ピアにアグレッシブモードで応答します。

GRE：総称ルーティングカプセル化。トンネルを構成することにより、共有 WAN 全体に特定の経路を確保するとともに、特定の宛先へトラフィックを確実に送り届けるため新たなパケットヘッダーでトラフィックをカプセル化します。トラフィックにとってトンネルの入口となるのはエンドポイントに限られるため、プライベートなネットワークを実現できます。トンネルそのものは、暗号化のように高い機密性を確保する手段にはなりませんが、暗号化されたトラフィックをトンネル経由で送信することは可能です。

GRE トンネリングを使用すると、非 IP トラフィックを IP にカプセル化して、インターネットや IP ネットワーク上に送信することもできます。非 IP トラフィックに該当するのは、インターネットパケット交換（IPX）プロトコルや AppleTalk プロトコルなどのトラフィックです。

IKE：インターネットキー交換。Oakley キー交換や Skeme キー交換を ISAKMP フレームワーク内部に実装したハイブリッドプロトコルです。IKE は、他のプロトコルでも使用できますが、初期実装されるのは IPsec です。IKE は、IPsec ピアを認証し、IPsec キーをネゴシエーションし、IPsec セキュリティアソシエーションを実行します。

IPSec：IP セキュリティ。インターネット技術特別調査委員会（IETF）によって開発されたオープン規格のフレームワークです。IPSec は、インターネットなどの保護されていないネットワークを使用して機密情報を送信する場合に、セキュリティを提供します。IPsec はネットワーク層で機能し、Cisco ルータなどの参加している IPsec 装置（ピア）間の IP パケットを保護および認証します。

ISAKMP：Internet Security Association Key Management Protocol。ペイロード形式、キー交換プロトコル実装の方法、およびセキュリティアソシエーションのネゴシエーションを定義するプロトコルフレームワークです。

MM：メインモード。MM では、IKE ピアに対してより多くのセキュリティプロポーザルが提供されます。そのため MM は、アグレッシブモードに比べると動作速度は劣りますが、セキュリティ性能や柔軟性の面では優れたモードです。IKE 認証（RSA シグニチャ、RSA 暗号、または事前共有キー）では、MM がデフォルトで開始されます。

NHRP：Next Hop Resolution Protocol。ルータ、アクセスサーバ、およびホストは、NHRP を使用して、NBMA ネットワークに接続された他のルータおよびホストのアドレスを検出できます。

シスコによる NHRP の実装では、IETF ドラフトバージョン 11 の NBMA Next Hop Resolution Protocol（NHRP）をサポートしています。

また、IP バージョン 4 およびインターネットパケット交換（IPX）ネットワーク層をサポートしているほか、リンク層では、ATM、FastEthernet、SMDS、およびマルチポイントトンネルネットワークもサポートしています。NHRP は FastEthernet 上で使用できますが、FastEthernet ではブロードキャストが可能であるため、NHRP を FastEthernet メディアに実装する必要はありません。IPX に対して FastEthernet のサポートは不要です（サポートはありません）。

PFS：Perfect Forward Secrecy。これは、導き出される共有秘密値に関連する暗号特性です。PFS を使用すると、1 つのキーが損なわれても、これ以降のキーは前のキーの取得元から取得されないため、前および以降のキーには影響しません。

SA：セキュリティアソシエーション。2 つ以上のエンティティ間で、安全な通信を行うためのセキュリティサービスをどのように使用するかを規定したものです。たとえば IPsec の SA では、IPsec 接続の際に使用される暗号化アルゴリズム（使用される場合）、認証アルゴリズム、および共有セッションキーが定義されます。

IPsec および IKE では、接続パラメータの識別に必ず SA が使用されます。IKE では、独自に SA をネゴシエーションして確立できます。IPsec の SA は、IKE により確立することも、ユーザ設定により確立することもできます。

トランスフォーム：データフローに対し、データ認証、データの機密性の確保、およびデータ圧縮を目的として行われる一連の処理。たとえば、トランスフォームには、HMAC MD5 認証アルゴリズムを使用する ESP プロトコル、56 ビット DES 暗号規格アルゴリズムを使用する AH プロトコルおよび HMAC-SHA 認証アルゴリズムを使用する ESP プロトコルなどがあります。

VPN：バーチャルプライベートネットワーク。複数のピアで構成されるフレームワークで、各ピア間では、他のパブリックインフラストラクチャを介して機密データがセキュアに転送されます。このフレームワークでは、すべてのデータをトンネルして暗号化するプロトコルによって、着信ネットワークトラフィックおよび発信ネットワークトラフィックが保護されます。また、ネットワークをローカルトポロジの外部にまで拡張できるほか、リモートユーザがダイレクトネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Dynamic Multipoint VPN コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ダイナミック マルチポイント VPN

機能情報の確認

Dynamic Multipoint VPN の前提条件

Dynamic Multipoint VPN の制約事項

Dynamic Multipoint VPN について

Dynamic Multipoint VPN の利点

ハブ ルータ設定の軽減

IPsec 暗号化の自動実行

ダイナミックにアドレス指定されるスポーク ルータのサポート

スポークツースポーク トンネルのダイナミック作成

Dynamic Multipoint VPN の機能設計

IPsec プロファイル

DMVPN 内のトラフィック セグメンテーションのイネーブル化

NAT 透過性対応 DMVPN

DMVPN でのコール アドミッション制御

NHRP のレート制限メカニズム

Dynamic Multipoint VPN の設定方法

IPsec プロファイルの設定

DMVPN 用のハブの設定

DMVPN 用のスポークの設定

VRF へのクリアテキスト データ IP パケット転送を設定

VRF への暗号化トンネル パケット転送の設定

DMVPN 内のトラフィック セグメンテーションの設定

前提条件

VPN トンネルでの MPLS のイネーブル化

ハブ ルータでマルチプロトコル BGP を設定

スポーク ルータでのマルチプロトコル BGP の設定

Dynamic Multipoint VPN のトラブルシューティング

次の作業

Dynamic Multipoint VPN 機能の設定例

DMVPN 用のハブ設定例

DMVPN 用のスポーク設定例

BGP 専用トラフィック セグメンテーションでの 2547oDMVPN の例

ハブの設定

スポークの設定

スポーク 2

スポーク 3

エンタープライズ ブランチ トラフィック セグメンテーションでの 2547oDMVPN の例

ハブの設定

スポークの設定

スポーク 2

スポーク 3

コマンドの出力例：show mpls ldp bindings

コマンドの出力例：show mpls forwarding-table

コマンドの出力例：show ip route vrf red

コマンドの出力例：show ip route vrf blue

コマンドの出力例：show ip bgp neighbors

その他の参考資料

関連資料

標準

MIB

RFC

シスコのテクニカル サポート

Dynamic Multipoint VPN の機能情報

用語集

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Dynamic Multipoint VPN コンフィギュレーションガイド

章のタイトル：ダイナミックマルチポイント VPN

ハブルータ設定の軽減

ダイナミックにアドレス指定されるスポークルータのサポート

スポークツースポークトンネルのダイナミック作成

DMVPN 内のトラフィックセグメンテーションのイネーブル化

DMVPN でのコールアドミッション制御

VRF へのクリアテキストデータ IP パケット転送を設定

VRF への暗号化トンネルパケット転送の設定

DMVPN 内のトラフィックセグメンテーションの設定

ハブルータでマルチプロトコル BGP を設定

スポークルータでのマルチプロトコル BGP の設定

BGP 専用トラフィックセグメンテーションでの 2547oDMVPN の例

エンタープライズブランチトラフィックセグメンテーションでの 2547oDMVPN の例

シスコのテクニカルサポート