- PR -

Netscreen50を中心とするHUB&SPOKEの設定についての質問

投稿者	投稿内容
marid 会議室デビュー日: 2005/06/14 投稿数: 1	投稿日時: 2005-06-14 19:45 初めて書き込みをさせて頂きます、maridと申します。皆様、よろしくお願い致します。 Netscreen50をセンター拠点に置き、各拠点VPNルータ（全５拠点、他社ルータ）からHUB&SPOKEの構成でネットワークを構成しております。この度、VPNのポリシーを変更する事となり、従来の拠点からの通信はインターネットへのアクセスを含め、全てのパケットをセンターへVPNで通す設定としておりましたが、インターネットアクセスは拠点側ルータからバイパスさせる設定とし、NS50 でのPhase2ポリシー、ルーティングは以下の通り変更致しました。　センターNW：172.16.0.0/16 　センターDMZ：210.xxx.xxx.xxx/29 　各拠点：192.168.1～5.0/24（NS50では、各拠点に順にtunnel.1～5をbind） ※下記は、拠点１向けの設定を例に記載致します ●従来の設定　Local IP：0.0.0.0 　Remote IP：192.168.1.0/24 　Bind to：tunnel interface　tunnel.1 　Routing Table：192.168.1.0/24　tunnel.1 ●変更後　Local IP：172.16.0.0/16（センターNWとの通信用）　Remote IP：192.168.1.0/24 　Bind to：tunnel interface　tunnel.1 　Local IP：192.168.0.0/16（拠点間通信用）　Remote IP：192.168.1.0/24 　Bind to：tunnel interface　tunnel.6（新規作成）　Local IP：210.xxx.xxx.xxx/29（DMZ通信用）　Remote IP：192.168.1.0/24 　Bind to：tunnel interface　tunnel.7（新規作成）　Routing Table：192.168.1.0/24　tunnel.1 　　　　　　　　　192.168.1.0/24　tunnel.6 　　　　　　　　　192.168.1.0/24　tunnel.7 従来は一つだった宛先を、同一peerに対してアクセス先ごとに３つに分けたイメージになります。複数拠点において上記と同様の変更を行ってしまうと、変更を行った（宛先が3つ）の拠点間同士で通信が出来なくなる状態が発生しました。（拠点側からのセンターNW、DMZへのVPN通信は問題無し） Phase2のSA自体は、特に問題なく張れております。変更を行っていない、従来の設定のままの拠点に対しては、宛先3つの拠点からも特に問題無く通信ができます。 NS50でのルーティングがうまくいってないのではないかと考えたのですが、どのような設定をすれば良いか分かりませんでした。アドバイスを頂けますと有り難いです。
くおん大ベテラン会議室デビュー日: 2004/07/26 投稿数: 154	投稿日時: 2005-06-16 08:18 おはようございます。拠点－拠点間の通信が出来ないと言う事ですが、その拠点のルーティングはどのようになっているのでしょうか。また、センター側NetScreenにてvrはどのようになっているのでしょうか。現在の情報だけではなんとも言えないので、このあたりの情報をお願いします。

投稿者

投稿内容

marid: 会議室デビュー日: 2005/06/14; 投稿数: 1

投稿日時: 2005-06-14 19:45

初めて書き込みをさせて頂きます、maridと申します。
皆様、よろしくお願い致します。

Netscreen50をセンター拠点に置き、各拠点VPNルータ（全５拠点、他社ルータ）
からHUB&SPOKEの構成でネットワークを構成しております。
この度、VPNのポリシーを変更する事となり、従来の拠点からの通信はインターネッ
トへのアクセスを含め、全てのパケットをセンターへVPNで通す設定としておりまし
たが、インターネットアクセスは拠点側ルータからバイパスさせる設定とし、NS50
でのPhase2ポリシー、ルーティングは以下の通り変更致しました。

　センターNW：172.16.0.0/16
　センターDMZ：210.xxx.xxx.xxx/29
　各拠点：192.168.1～5.0/24（NS50では、各拠点に順にtunnel.1～5をbind）

※下記は、拠点１向けの設定を例に記載致します

●従来の設定
　Local IP：0.0.0.0
　Remote IP：192.168.1.0/24
　Bind to：tunnel interface　tunnel.1

　Routing Table：192.168.1.0/24　tunnel.1

●変更後
　Local IP：172.16.0.0/16（センターNWとの通信用）
　Remote IP：192.168.1.0/24
　Bind to：tunnel interface　tunnel.1

　Local IP：192.168.0.0/16（拠点間通信用）
　Remote IP：192.168.1.0/24
　Bind to：tunnel interface　tunnel.6（新規作成）

　Local IP：210.xxx.xxx.xxx/29（DMZ通信用）
　Remote IP：192.168.1.0/24
　Bind to：tunnel interface　tunnel.7（新規作成）

　Routing Table：192.168.1.0/24　tunnel.1
　　　　　　　　　192.168.1.0/24　tunnel.6
　　　　　　　　　192.168.1.0/24　tunnel.7

従来は一つだった宛先を、同一peerに対してアクセス先ごとに３つに分けたイメー
ジになります。
複数拠点において上記と同様の変更を行ってしまうと、変更を行った（宛先が3つ）
の拠点間同士で通信が出来なくなる状態が発生しました。
（拠点側からのセンターNW、DMZへのVPN通信は問題無し）
Phase2のSA自体は、特に問題なく張れております。
変更を行っていない、従来の設定のままの拠点に対しては、宛先3つの拠点からも
特に問題無く通信ができます。

NS50でのルーティングがうまくいってないのではないかと考えたのですが、どのよ
うな設定をすれば良いか分かりませんでした。
アドバイスを頂けますと有り難いです。

くおん: 大ベテラン; 会議室デビュー日: 2004/07/26; 投稿数: 154

投稿日時: 2005-06-16 08:18

おはようございます。

拠点－拠点間の通信が出来ないと言う事ですが、その拠点のルーティングはどのように
なっているのでしょうか。
また、センター側NetScreenにてvrはどのようになっているのでしょうか。

現在の情報だけではなんとも言えないので、このあたりの情報をお願いします。

＠IT SpecialPR

Netscreen50を中心とするHUB&SPOKEの設定についての質問

スキルアップ／キャリアアップ（JOB@IT）