2.28. ダイナミックVPNの設定

UNIVERGE IX-R/IX-V シリーズでは、ダイナミックVPN機能が利用できます。

2.28.1. ダイナミックVPNの概要

ダイナミックVPNでは、ハブ(センタ側)とスポーク(拠点側)の構成において、スポーク間の動的なVPN接続を行うことができます。

センタ側はダイナミック用のトンネルを設定するのみで複数拠点とVPNを接続することができます。また、拠点側は、センタ側との接続設定を行うのみで、拠点間のVPN設定は行わずにVPNの接続ができます。

センタと拠点間は起動時にVPNを接続し、VPNは接続したままとなります。拠点間のVPNは拠点間の通信が発生した時に、VPNを接続し、無通信状態が継続するとVPNを切断します。

ダイナミックVPNでは以下の機能を使用します。

  • 動的接続対応機能:NHRP

  • VPN機能:IKEv2+GREトンネル

  • ルーティング機能:BGP、スタティックルート

2.28.1.1. 制限事項

  • 対向装置にIX-R/IX-V以外を使用する場合は、以下の装置とダイナミックVPN接続が可能です。これら以外の装置とは接続できません。

    • IX:Ver9.2以降

    • WA:Ver8.6以降

  • NAT配下の装置とは直接VPN接続は行わず、センタ側を経由します。

  • GREのキープアライブ機能は使用できません。

  • ダイナミックVPNのトンネルには以下は送信できません。

    • IPv6パケット

    • Ethernetフレーム

    • マルチキャストパケット

    • ブロードキャストパケット

  • ダイナミックVPNトンネルとIKEv2/IPsecトンネルを同時に利用する場合、以下の制限があります。

    • IPsecトンネル側のpeerが固定(any以外)の場合、ダイナミックVPNのトンネル番号はIPsecのトンネル番号よりも老番にする必要があります。

    • IPsecのトンネル側のpeerが不定(any)の場合、IPsecのトンネル番号はダイナミックVPNのトンネル番号よりも老番にする必要があります。

端末の設定は、端末ごとに設定方法が異なるため、端末側の設定は別途設定マニュアルを参照してください。

2.28.2. 設定例

2.28.2.1. 基本構成

1台のセンタと複数拠点を使用する構成です。

../_images/23-2_dmvpn1.svg

図 2.28.1 基本構成

リスト 2.28.1 設定例:センタ側
ip route default 172.16.0.254

ikev2 authentication psk id ipv4 169.254.0.254 key char test

route-map redist-connect permit 10
  match interface GigaEthernet2.0
!
route-map set-nexthop permit 10
  set ip next-hop 169.254.0.254
!
router bgp 65534
  address-family ipv4 unicast
    redistribute connected route-map redist-connect
  peer-group dmvpn-group remote-as 65534
    listen range 169.254.0.0/24
    connect-interval 10
    timers 5 15
    route-reflector-client
    address-family ipv4 route-map set-nexthop out
!
interface GigaEthernet0.0
  ip address 172.16.0.1/24
  no shutdown
!
interface Tunnel0.0
  tunnel mode mgre ipsec-ikev2
  ip address 169.254.0.254/24
  ip tcp adjust-mss auto
  ikev2 local-authentication psk id ipv4 169.254.0.254
  ikev2 outgoing-interface GigaEthernet0.0 172.16.0.254
  ikev2 ipsec-mode transport
  ikev2 peer any authentication psk
  no shutdown
リスト 2.28.2 設定例:拠点1側
拠点2側も同様な設定となります。

ip route default 172.16.1.254

nhrp local GigaEthernet1.0
!
ikev2 authentication psk id ipv4 169.254.0.1 key char test
!
route-map redist-connect permit 10
  match interface GigaEthernet1.0
!
router bgp 65534
  neighbor 169.254.0.254 remote-as 65534
  neighbor 169.254.0.254 connect-interval 10
  neighbor 169.254.0.254 timers 5 15
  address-family ipv4 unicast
    redistribute connected route-map redist-connect
!
interface GigaEthernet0.0
  ip address 172.16.1.1/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.254/24
  no shutdown
!
interface Tunnel0.0
  tunnel mode mgre ipsec-ikev2
  ip address 169.254.0.1/24
  ip tcp adjust-mss auto
  nhrp nhs 169.254.0.254/24 nbma 172.16.0.1
  ikev2 dpd interval 10
  ikev2 local-authentication psk id ipv4 169.254.0.1
  ikev2 outgoing-interface GigaEthernet0.0 172.16.1.254
  ikev2 ipsec-mode transport
  ikev2 peer any authentication psk
  no shutdown

2.28.2.2. センタ冗長構成

センタ装置を複数台用意して、冗長構成にすることも可能です。

../_images/23-2_dmvpn2.svg

図 2.28.2 センタ冗長構成

トンネルインタフェースでnhrp shortcut-priorityコマンドを設定することで、ショートカット経路の優先度を簡単に設定することができます(値の小さい方が優先、設定なしが最低優先)。

センタ1, 2側の設定例は、基本構成と同一のため省略します。ただし、センタ1とセンタ2のトンネルインタフェースのアドレスは、異なるものを使用してください。

リスト 2.28.3 設定例:拠点1, 2側
拠点1の例を示します。拠点2も同様です。

ip route default 172.16.1.254
!
nhrp local GigaEthernet1.0
!
ikev2 authentication psk id ipv4 169.254.0.1 key char test
ikev2 authentication psk id ipv4 169.254.1.1 key char himitsu
!
route-map redist-connect permit 10
  match interface GigaEthernet1.0
!
route-map set-ip permit 10
  set local-preference 50
!
router bgp 65534
  neighbor 169.254.0.254 remote-as 65534
  neighbor 169.254.0.254 connect-interval 10
  neighbor 169.254.1.254 remote-as 65534
  neighbor 169.254.1.254 connect-interval 10
  address-family ipv4 unicast
    neighbor 169.254.1.254 route-map set-ip in
    redistribute connected route-map redist-connect
!
interface GigaEthernet0.0
  ip address 172.16.1.1/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.254/24
  no shutdown
!
interface Tunnel0.0
  tunnel mode mgre ipsec-ikev2
  ip address 169.254.0.1/24
  nhrp shortcut-priority 1
  nhrp nhs 169.254.0.254/24 nbma 172.16.0.1
  ikev2 dpd interval 10
  ikev2 local-authentication psk id ipv4 169.254.0.1
  ikev2 outgoing-interface GigaEthernet0.0 172.16.1.254
  ikev2 ipsec-mode transport
  ikev2 peer any authentication psk
  no shutdown
!
interface Tunnel1.0
  tunnel mode mgre ipsec-ikev2
  ip address 169.254.1.1/24
  nhrp nhs 169.254.1.254/24 nbma 172.16.10.1
  ikev2 dpd interval 10
  ikev2 local-authentication psk id ipv4 169.254.1.1
  ikev2 outgoing-interface GigaEthernet0.0 172.16.1.254
  ikev2 ipsec-mode transport
  ikev2 peer any authentication psk
  no shutdown

2.28.3. 各機能の設定

2.28.3.1. NHRP機能

宛先ネットワークへのトンネルのネクストホップのアドレス解決のために、NHRP(NextHop Resolution Protocol)を使用しています。

センタ側はNHRPの設定は必要ありません。

拠点側はセンタ側に接続するための設定を設定します。接続先にFQDNを指定することができます。

NHRPでは、拠点(スポーク)間の通信をする際にトンネルの宛先のIPアドレスを解決します。解決したIPアドレスを使用してVPNの接続を行います。また、NHRPではトンネルのIPアドレスの解決を行うため、必ずトンネルのIPアドレスの設定が必要となります。

設定方法は以下のとおりです。

  • グローバルコンフィグモード

    項目

    説明

    nhrp local

    ローカルインタフェースの設定

    nhrp disable-traffic-indication

    拠点間の動的接続抑止設定

    nhrp holding-time

    NHRPキャッシュの生存時間設定

  • インタフェースコンフィグモード

    項目

    説明

    nhrp nhs

    接続するセンタの設定

    nhrp register-holding-time

    登録用NHRPキャッシュの生存時間設定

    nhrp max-connections

    センタ側最大接続数の設定
    リスト 2.28.4 設定例
    NHRPの設定は不要です。
拠点側は、センタ(HUB)のトンネルアドレスと物理アドレスを設定します。

nhrp local GigaEthernet2.0

interface Tunnel0.0
  tunnel mode mgre ipsec-ikev2
  ip address 169.254.0.1/24
  nhrp nhs 169.254.0.254/24 nbma 10.0.0.254
   :

2.28.3.2. VPN機能

VPN機能としてGREトンネルとIKEv2を使用します。

センタ側は1つのトンネルですべての拠点のVPN接続を行います。

ダイナミックVPNでは、拠点間通信のIPアドレス解決用にGREトンネルにネットワークを割り当て、各装置にアドレスを設定する必要があります。

設定方法は以下のとおりです。

  • インタフェースコンフィグモード

    項目

    説明

    tunnel mode mgre ipsec-ikev2

    ダイナミックVPN設定

    ikev2 peer

    ピア設定

    ikev2 outgoing-interface

    出力インタフェース設定

    ikev2 local-authentication

    自装置認証設定

    ikev2 ipsec-mode transport

    トランスポートモード設定

  • IKEv2プロファイルコンフィグモード

    項目

    説明

    outgoing-interface

    出力インタフェース設定

    local-authentication

    自装置認証設定

    ipsec-mode transport

    トランスポートモード設定
    リスト 2.28.5 設定例:トンネル・IKEv2設定
    トンネルモードはmgre ipsec-ikev2を設定してください。
Unnumbered設定は行わず、アドレスを設定してください。
接続先は、NHRPで制御するためピアはanyで設定します。
認証設定はセンタ側と拠点側で同じ事前共有鍵を使用してください。
また、自装置のIDはトンネルのアドレスを使用してください。
IPsec動作モードはトランスポートを使用してください。

ikev2 authentication psk id ipv4 169.254.0.1 key char test

interface Tunnel0.0
  tunnel mode mgre ipsec-ikev2
  ip address 169.254.0.1/24
  nhrp nhs 169.254.255.254/24 nbma 10.0.0.254
  ikev2 local-authentication psk id ipv4 169.254.0.1
  ikev2 outgoing-interface GigaEthernet0.0 172.16.1.254
  ikev2 ipsec-mode transport
  ikev2 peer any authentication psk
  no shutdown

2.28.3.3. ルーティング機能

ルーティングの設定ではスタティックルートとBGPを使用することができます。

BGPではピアを動的に学習するため、拠点追加時の設定の追加が不要となります。スタティックルートでの運用も可能ですが、拠点追加毎に設定の追加が必要となります。

以下、BGPの場合の設定方法を説明します。

  • BGPコンフィグモード

    項目

    説明

    peer-group

    ピアグループ設定(センタ側)

    bgp listen limit

    動的ピア接続最大数

    neighbor remote-as

    ピア設定(拠点側)

  • BGPピアグループコンフィグモード

    項目

    説明

    listen range

    ピア範囲指定(センタ側)

    route-reflector-client

    ルートリフレクタ設定

    address-family ipv4 route-map

    ルートマップ設定
    リスト 2.28.6 設定例
    ・共通設定
同一VPN内の装置はすべて同じASに設定してください。
同一VPN内の装置はkeepalive, holdtimeはすべて同じ値に設定してください。
他の装置からアクセスされる経路については、再配信設定してください。
ダイナミックVPNのトンネルのネットワークは再配信しないでください。

・センタ側設定
センタ側は事前に拠点側のアドレスは特定できません。そのため、ピア設定は範囲指定します。
トンネルに設定したネットワークアドレスを含む範囲を設定してください。
拠点間はピア接続設定を行わないため、ルートリフレクタを設定してください。
センタ側がネクストホップとなるようにネクストホップを設定してください。

route-map set-nexthop permit 10
  set ip next-hop 169.254.0.254

router bgp 65534
  peer-group dmvpn-group remote-as 65534
    listen range 169.254.0.0/24
    route-reflector-client
    address-family ipv4 route-map set-nexthop out

・拠点側設定
センタ側とピア接続してください。

router bgp 65534
  neighbor 169.254.255.254 remote-as 65534
  address-family ipv4 unicast
    redistribute connected

2.28.4. 動作

2.28.4.1. 接続動作

拠点側は最初にVPNの接続を行います。VPN接続完了後、センタ側へNHRPの登録要求を行います。センタに登録されると拠点間の動的なVPN接続が可能となります。

../_images/23-2_dmvpn3.svg

図 2.28.3 接続動作

2.28.4.2. 拠点間接続

拠点間のVPNはトラフィックが発生した場合に接続を行います。別拠点宛の最初のパケットはセンタ側に送信されます。その後、NHRPにより宛先ネットワークに転送するためのネクストホップのアドレス解決を行い、解決したアドレスに対してVPN接続を行います。VPN接続が完了した時点で、解決したネクストホップを使用したスタティックルートが登録され、拠点間は直接通信を行います。

センタは別拠点宛のトラフィックを受信した場合、トラフィック通知監視のためトリガパケット情報を作成し、送信元の拠点にトラフィック通知を送信します。拠点間のVPNが接続し、拠点間の通信を開始した後、一定時間(120秒)経過するとトリガパケット情報を削除します。同時に処理を行えるトラフィック通知監視数が装置の最大に達した場合、トラフィック通知を送信せず、センタ経由の通信のままとなります。また、トラフィック通知を抑止することにより、拠点間の動的接続を抑止することができます。

  • グローバルコンフィグモード

    項目

    説明

    nhrp disable-traffic-indication

    拠点間の動的接続抑止設定
../_images/23-2_dmvpn4.svg

図 2.28.4 拠点間接続

2.28.4.3. 切断

トンネル切断の検出には、IKEv2 DPD機能を使用します。障害時はSAが削除されトンネルがダウンします。また、出力インタフェースダウン時にもトンネルはダウンします。

BGPのキープアライブでは、障害時にはBGPのピアがダウンし、経路情報は削除されますが、トンネルはダウンしません。

  • インタフェースコンフィグモード

    項目

    説明

    ikev2 dpd interval

    IKEv2 DPDタイマー設定

  • IKEv2プロファイルコンフィグモード

    項目

    説明

    dpd interval

    IKEv2 DPDタイマー設定

  • BGPコンフィグモード、BGPピアグループコンフィグモード

    項目

    説明

    timers

    BGPタイマー設定

2.28.5. 状態確認

ダイナミックVPNの情報は以下のコマンドで参照できます。

一度接続した拠点の情報は、VPNが切断してもクリアされるまでは情報は削除されません。

  • 表示コマンド

    項目

    説明

    show dmvpn

    ダイナミックVPN状態表示