問題5490での解説の不明点
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
nasrin
投稿数: 2
投稿数: 2
問題5490の解説のステップ6で、
crypto mapを物理インタフェースと、
トンネルインタフェースの両方に設定しています。
しかし、参考URLにあるCiscoサイトを見てみると、
トンネルインタフェースには
crypto mapを設定する必要はないように見えます。
参考URLが2つあって、それぞれ内容が異なっているのですが、
どちらが正しいのでしょうか?
crypto mapを物理インタフェースと、
トンネルインタフェースの両方に設定しています。
しかし、参考URLにあるCiscoサイトを見てみると、
トンネルインタフェースには
crypto mapを設定する必要はないように見えます。
参考URLが2つあって、それぞれ内容が異なっているのですが、
どちらが正しいのでしょうか?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
このコンフィグでも暗号化通信は確立しますが、ご指摘の通りCrypto mapをTunnelインタフェースに適用するのは意味が無いですね…
おそらくこちらのほうがわかりやすいかと。
シスコ サポートコミュニティ - tunnel protection と Crypto map の違い
https://supportforums.cisco.com/ja/document/46441
引用:トンネルインタフェースにCrypto mapを適用しても、GRE over GREなパケットが通らない限り暗号化のトリガーが発動しません。この例であれば、S1/0に適用されているCrypto mapによって暗号化が行われることになります。
実機があるのであれば、例のコンフィグから、Serial1/0に適用されているCrypto mapを外すと、Tunnel0を通るパケットは暗号化されないことが確認できますよ
※全部小文字のCRYだと絵文字に変換されるので、わざとCryにしてます。読みにくかったらご容赦を
おそらくこちらのほうがわかりやすいかと。
シスコ サポートコミュニティ - tunnel protection と Crypto map の違い
https://supportforums.cisco.com/ja/document/46441
引用:
Crypto map の場合、暗号化対象のトラフィックをトリガーに SA が確立されます
実機があるのであれば、例のコンフィグから、Serial1/0に適用されているCrypto mapを外すと、Tunnel0を通るパケットは暗号化されないことが確認できますよ
※全部小文字のCRYだと絵文字に変換されるので、わざとCryにしてます。読みにくかったらご容赦を
nasrin
投稿数: 2
投稿数: 2
返信ありがとうございます!
すごく参考になるドキュメントでした。
どう考えてもトンネルインタフェースに
Crypto mapをかけるのはおかしいと思っていました。
また、年末に受験したのですが、その時の似たような問題でも
両方のインタフェースにCrypto mapがかかっていたので、
混乱してしまいました。
しかも35点足りずに不合格だったので、余計に私が間違っているのかどうかも
確証が持てず、悩んでいました。
他にも気になる点はあるので、根気よく調べて次回は合格したいと思います。
すごく参考になるドキュメントでした。
どう考えてもトンネルインタフェースに
Crypto mapをかけるのはおかしいと思っていました。
また、年末に受験したのですが、その時の似たような問題でも
両方のインタフェースにCrypto mapがかかっていたので、
混乱してしまいました。
しかも35点足りずに不合格だったので、余計に私が間違っているのかどうかも
確証が持てず、悩んでいました。
他にも気になる点はあるので、根気よく調べて次回は合格したいと思います。
