Re: GRE over IPsec について教えてください。

この質問の投稿一覧へ

なし Re: GRE over IPsec について教えてください。

msg# 1.1.1
depth:
2
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-12-6 9:06
9tail  新米   投稿数: 2
ご回答ありがとうございます。

引用:

引用:
また、GRE over IPsecでもトンネル出口のIPが静的な設定なので、
neighbor関係の構築も実質静的になっています。
GREのメリットであるマルチキャストトラフィックを流せるという点をあえて利用しない、ということでしょうか?
イーサネットでは同一セグメントに3台のルーターがあっても
ospfを有効にするインタフェースを適切に設定すれば、
動的にNeighbor関係が確立され、後からルーターを追加しても設定の変更は不要でした。
フレームリレーのNBMAではマルチキャストができず、静的なNeighborの設定が必要で、後からルーターを追加する場合設定の変更が必要でした。
IPsecを利用する場合は2通りのやり方があります。
 1、GREを併用(sourceとdestinationの設定が必要)
 2、静的にNeighborを設定
しかし、どちらの方法もルーターを追加する場合は設定の変更が必要なので、実質静的であると考え
GREを併用する場合をしない場合と比較しても、優位性を見出せなかった次第です。

引用:
・crypto mapでマッチさせる条件に、全てのネイバを対象としたospfパケットのpermit文を追加し
これは失念していました。
そうすると、今ざっくりと想像しただけですが、GREを併用した方が設定は簡単そうですね。
引用:
それが「GRE over IPsecのメリット」なのではないでしょうか。
納得できました。
とは言え今はまだ(arashi1977さんからの)伝聞レベルなので、
ご教示頂いたGRE over IPsecのメリットを念頭に置きつつ学習を続け血肉にしていきます。


引用:
引用:
IPsec(ISAKMP)の設定の
 crypto isakmp key stiryng address peer-address
で対向のアドレスを指定しますが、
マルチアクセス環境での設定は以下の例のようになるのでしょうか?
やりかたは設計によって変わりますので、ご提示の方法でもいいですし、違う方法でもいいです。
以下の資料が参考になるでしょうか?
大変参考になりそうです。
本気で読むと数時間かかりそうなので、arashi1977さんへのお返事を先させて頂きました。
引用:
crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0
このような設定方法もあったんですね!
上記の設定や複数行の設定も可なら、グローバルでの設定かつ名前も番号も無いのも理解できます。
疑問2は完全に解消されました。
しかし、ご教示頂いた資料は後ほどしっかりと読ませて頂きます。


丁寧でわかりやすいご回答、ありがとうございました。
また、おそらく曖昧・不適切な表現が含まれていた質問から意図を汲み取って頂いた事にも感謝致します。

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.