津村彰氏コラム 第21回「YNEを使って無償でマルチポイントトンネルを試してみよう」

1.  はじめに

以前のコラムにて、ヤマハ ルーターの対応機種同士では「マルチポイントトンネル」を使い、柔軟にLANを拡張可能な事をお伝えいたしました。また併せて、YNEの検証ルームを使い、実機を使った検証作業を無償でいつでも行えることをお伝えいたしました。

今回はこの2つを併せ、実際にマルチポイントトンネルをYNEの検証ルームにて実機検証してみたいと思います。

2.  マルチポイントトンネルとは?

ヤマハ ルーターの対応機種同士では、IPSec(アグレッシブモード)及びOSPFをベースとした「マルチポイントトンネル」を使用し、センタールーターへの設定追加無しにVPN拠点の追加が可能な事をお伝えしました。

詳細は以下のコラムにてご紹介しておりますので、ご一読いただけますと幸いです。

津村彰氏コラム第16回 マルチポイントトンネルを使ってLANを拡張しよう

 

3.  検証ルームとは?

ヤマハのエンジニアコミュニティ「YNE」では、ヤマハ ルーター・スイッチの実機検証を行う事が出来る「検証ルーム」を無償で提供しております。

ここでは、24時間遠隔操作にて、ルーター・スイッチの実機を遠隔操作し、実機検証を行う事ができます。

詳細は以下のコラムにてご紹介しておりますので、ご一読いただけますと幸いです。

津村彰氏コラム 第20回「YNEの検証ルームで実機検証をしてみよう」

4.  検証環境

今回、RTX1210を2台使用し、片側をセンタールーター(桜坂拠点)、片側をスポークルーター(室見拠点)として使用します。

YNEでは、インターネットの代わりとして10.128.253.0/24のセグメントが提供されており、DHCPもしくはPPPoEにてアドレスを取得する事ができます。今回はDHCPにて固定IPアドレスを取得します。

また、動作確認用PCではインターネットブラウザのみ使用可能ですので、今回は室見拠点のRTX1210を遠隔管理する事で、実際の挙動を確認したいと思います。

5.  検証のポイント

設定の際は、検証ルームの「クリップボード」を使い、ローカルPCから遠隔環境へコンフィグを流し込みます。

コンフィグを流し込んで保存した後、OPSFインスタンスを起動する為、一度ルーターを再起動します。

併せて、動作確認PC(管理画面が表示されているブラウザ)が利用できなくなりますので、以下の画面にてIPアドレスの再取得、およびURLの変更を行います。

5.1.   センタールーター(桜坂拠点)コンフィグ

console character en.ascii

console lines infinity

console prompt Sakurazaka-rt

ip lan1 address 192.168.10.1/24

ip lan1 ospf area backbone

ip lan2 address dhcp

pp disable all

no tunnel enable all

pp disable all

no tunnel enable all

tunnel select 1

tunnel type multipoint server

tunnel multipoint local name Sakurazaka

ipsec tunnel 101

ipsec sa policy 101 1 esp aes-cbc sha-hmac

ipsec ike always-on 1 on

ipsec ike keepalive use 1 on heartbeat

ipsec ike local address 1 10.128.253.27

ipsec ike pre-shared-key 1 text Kyusyu-nw

ipsec ike remote address 1 any

ipsec ike remote name 1 common-name key-id

ip tunnel address 10.0.0.10/24

ip tunnel ospf area backbone

ip tunnel tcp mss limit auto

tunnel enable 1

ospf use on

ospf router id 10.0.0.10

ospf log interface neighbor packet

ospf area backbone

ipsec auto refresh on

dhcp service server

dhcp server rfc2131 compliant except remain-silent

dhcp scope 1 192.168.10.2-192.168.10.254/24

5.2.   スポークルーター(室見拠点)コンフィグ

console character en.ascii

console lines infinity

console prompt Muromi-rt

ip lan1 address 192.168.20.1/24

ip lan1 ospf area backbone

ip lan2 address dhcp

pp disable all

no tunnel enable all

tunnel select 1

tunnel type multipoint

tunnel multipoint local name Muromi

tunnel multipoint server 1 10.128.253.27

ipsec tunnel 101

ipsec sa policy 101 1 esp aes-cbc sha-hmac

ipsec ike always-on 1 on

ipsec ike keepalive use 1 on heartbeat

ipsec ike local address 1 10.128.253.28

ipsec ike local name 1 common-name key-id

ipsec ike pre-shared-key 1 text Kyusyu-nw

ip tunnel address 10.0.0.20/24

ip tunnel ospf area backbone

ip tunnel tcp mss limit auto

tunnel enable 1

ospf use on

ospf router id 10.0.0.20

ospf log interface neighbor packet

ospf area backbone

ipsec auto refresh on

dhcp service server

dhcp server rfc2131 compliant except remain-silent

dhcp scope 1 192.168.20.2-192.168.20.254/24

ルーター毎の可変部分については、黄色でマークしました。

上記のトポロジー図と照らし合わせ、実際の検証環境に応じて変更してください。

 

6.  動作検証

6.1.   IPSecの接続が正常である事を確認する

センタールーターである桜坂拠点では、以下のようにIPSecのSAが確立できていれば正常です。

 

Sakurazaka-rt# show ipsec sa

Total: isakmp:2 send:2 recv:2

 

sa    sgw isakmp connection    dir  life[s] remote-id

—————————————————————————-

1     1    –     isakmp        –    26457   10.0.0.20

2     1    1     tun[0001]esp  send 26458   10.0.0.20

3     1    1     tun[0001]esp  recv 26458   10.0.0.20

 

ここでは、remote-idとして10.0.0.20(室見拠点)とトンネルが確立できている事が確認します。

 

次にスポークルーターである室見拠点では、以下のようにIPSecのSAが確立できていれば正常です。

Muromi-rt# show ipsec sa

Total: isakmp:1 send:1 recv:1

 

sa    sgw isakmp connection    dir  life[s] remote-id

—————————————————————————-

1     1    –     isakmp        –    26356   10.0.0.10

2     1    1     tun[0001]esp  send 26358   10.0.0.10

3     1    1     tun[0001]esp  recv 26358   10.0.0.10

 

6.2.   OSPFのネイバーが確立できている事を確認する

次に、OSPFによりセンタールーターとスポークルーター間でネイバー(経路交換)が確立できている事を確認します。

センタールーターである桜坂拠点では、以下のようにOSPFのネイバーが表示されれば成功です。

Sakurazaka-rt# show status ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface

10.0.0.20         0   FULL/  –        00:00:33    10.0.0.20       TUNNEL[1]

 

次にスポークルーターである室見拠点では、以下のようにOSPFのネイバーが表示されれば成功です。

Muromi-rt# show status ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface

10.0.0.10         0   FULL/  –        00:00:40    10.0.0.10       TUNNEL[1]

 

6.3.   桜坂拠点から室見拠点ルーターへログインする

以前のコラムでは、LAN1配下のPC同士にてPingでの疎通試験を行いましたが、YNE検証ルームの動作確認用PCでは、一般的なブラウザのみ使用できます。

ここでは動作確認として、桜坂拠点の動作確認用PC1(192.168.10.2)から、室見拠点のルーターの管理画面へログインし、マルチポイントトンネルの正常性を確認します。

 

室見拠点のルーターへ、動作確認用PC1からログイン出来るよう、以下のコンフィグを追加します。

httpd host 192.168.10.2 192.168.20.2

 

次に、動作確認用PC1のブラウザにおいて、室見拠点のルーターのLAN1側アドレス「192.168.20.1」にアクセスします。

結果として、以下の画面の通り、2つのブラウザから、同一のルーターにログイン出来れば成功です。

桜坂拠点の動作確認用PC1から室見拠点のルーターへは、マルチポイントトンネルを経由して接続されている事が確認できました。

7.  おわりに

今回はYNEの検証ルームを使い、本格的な検証作業が無償で、いつでも、どこでも行える事をご紹介しました。

検証ルームでは、「実機は2台まで」「インターネット接続はなし」という限られた環境ではありますが、遠隔操作で実機を操作する事が可能であり、今回のような本格的な検証も可能です。

ぜひこれを機に、検証ルームを試してみてください。