どうも！リョクちゃです。

前回の「VPN基礎」では、VPNの概念や種類を解説しました。
今回は、Cisco IOSを例にしたVPNの設定手順と実際のコマンド出力例を紹介します。

実践環境の想定

• 本社ルータ（R1）：グローバルIP 203.0.113.1
• 支社ルータ（R2）：グローバルIP 203.0.113.2
• 社内ネットワーク：
  ・ R1側：192.168.10.0/24
  ・ R2側：192.168.20.0/24

IPsec VPN の設定例（Cisco IOS）

1. ISAKMPフェーズ1（IKE設定）

# 暗号化方式と認証設定
crypto isakmp policy 10
 encryption aes
 hash sha
 authentication pre-share
 group 2
 lifetime 86400

# 事前共有鍵（PSK）
crypto isakmp key vpnkey address 203.0.113.2

2. フェーズ2 (IPsec設定)

crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
crypto map MYMAP 10 ipsec-isakmp
set peer 203.0.113.2
set transform-set MYSET
match address VPN_ACL

3. VPN対象トラフィックをACLで指定

ip access-list extended VPN_ACL
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

4. インターフェースに適用

interface GigabitEthernet0/0
crypto map MYMAP

動作確認コマンド

ISAKMPセッションの確認

R1# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
203.0.113.2     203.0.113.1     QM_IDLE        1001    ACTIVE

👉 QM_IDLE はPhase1とPhase2が正常に確立されている状態。

IPsecセッションの確認

R1# show crypto ipsec sa
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0)
current_peer 203.0.113.2
#pkts encaps: 120, #pkts decaps: 118

👉 pkts encaps/decaps がカウントされていれば、実際に暗号化トラフィックが流れている。

トラブルシュートのヒント

実務Tips

• NATとVPNの競合に注意
  NATの除外設定（ip nat inside source ...）が必要な場合あり。

• MTU調整
  VPNトンネルでパケット断片化が起きる場合はMTU値を調整。

• ログ活用
  debug crypto isakmp や debug crypto ipsec は詳細な原因分析に有効（本番環境では慎重に使用）。

まとめ

• VPNは設定だけでなく状態確認コマンドの理解が重要
• Phase1（ISAKMP）とPhase2（IPsec）のどこで失敗しているかを切り分けるのが基本
• 本番環境では安全性と冗長性を意識しつつテスト環境での事前検証がおすすめ

👉 次回は「VPN運用のベストプラクティス」として、監視やログ管理、可用性向上策を紹介します。