この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
インターネット キー交換(IKE)は、IP Security(IPSec)標準と組み合わせて使用されるキー管理プロトコル標準です。 IPsec は、IP パケットに対して強力な認証や暗号化を実現する機能です。
IKE は、Oakley キー交換や Skeme キー交換をインターネット セキュリティ アソシエーションおよびキー管理プロトコル(ISAKMP)フレームワーク内部に実装したハイブリッド プロトコルです (ISAKMP、Oakley、および Skeme は、IKE により実装されるセキュリティ プロトコルです)。
IPSec の設定には必ずしも IKE は必要ありませんが、IKE では、IPSec 標準に対する新機能が追加されているほか、設定をより柔軟かつ容易に行えるよう、IPSec のサポートが強化されています。
このモジュールでは、Cisco ASR 9000 シリーズ ルータ で IKE を実装する手順について説明します。
(注) |
このモジュールで使用される IKE コマンドの詳細については、の「Internet Key Exchange Security Protocol Commands on Cisco ASR 9000 シリーズ ルータ」モジュールを参照してください。 このモジュールで使用される他のコマンドの説明については、コマンド リファレンスのマスター インデックスを参照するか、またはオンラインで検索してください。 |
リリース |
変更点 |
---|---|
リリース 3.7.2 |
この機能を追加しました。 |
インターネット キー交換を実装するには、次の前提条件を満たす必要があります。
IKE を実装するには、次の概念について理解しておく必要があります。
シスコでは次の標準を採用しています。
IKE での使用に備えて実装されているコンポーネント テクノロジーには次のものがあります。
(注) |
強力な暗号化(56 ビット データ暗号化機能セットを含むがこれに限らない)Cisco IOS XR イメージは、米国 政府により輸出が規制されるため、配布が制限されます。 米国以外の国でインストールされるイメージには、輸出許可が必要です。 お客様のご注文は、米国政府の規制により拒否される、または遅延することがあります。 詳細については、営業担当者または販売業者、あるいは export@cisco.com までお問い合わせください。 |
IKE は、X.509v3 証明書標準と相互運用します。 これは、認証で公開キーが必要な場合に IKE プロトコルにより使用されます。 この証明書サポートを使用すると、各デバイスに同等のデジタル ID カードを付与することで、保護されたネットワークを拡張できます。 2 つのデバイスが通信する際、デジタル証明書を交換することで ID を証明します。これにより、各ピアで公開キーを手動で交換したり、各ピアで共有キーを手動で指定したりする必要がなくなります。
IKE は、デフォルトでは、Cisco IOS XR ソフトウェアでディセーブルです。 IKE をイネーブルにしない場合、ピアでこれらの接続を確立する必要があります。
各ピアに IKE ポリシーを作成する必要があります。 IKE ポリシーを使い、IKE ネゴシエーション中に使用するセキュリティ パラメータの組み合わせを定義します。
IKE ポリシーを作成および設定する前に、次の概念について理解しておく必要があります。
IKE ネゴシエーションは保護する必要があるため、各 IKE ネゴシエーションは、共有(共通)の IKE ポリシーについて両ピアが同意することで開始されます。 このポリシーには、次の IKE ネゴシエーションを保護するために使用するセキュリティ パラメータとピアの認証方法を記述します。
両ピアがポリシーに同意すると、各ピアに確立されているセキュリティ アソシエーションによってポリシーのセキュリティ パラメータが識別され、ネゴシエーションにおける以降すべての IKE トラフィックに適用されます。
各ピアにおいて、複数のポリシーを優先順位付きで作成して、少なくとも 1 つのポリシーがリモート ピアのポリシーに一致するようにできます。
次の表に、各 IKE ポリシーで定義する 5 つのパラメータを示します。
パラメータ |
許容値 |
キーワード |
デフォルト値 |
---|---|---|---|
encryption algorithm |
56 ビット DES-CBC 168 ビット DES 128 ビット AES 192 ビット AES 256 ビット AES |
des 3des aes aes 192 aes 256 |
56 ビット DES-CBC |
Hash algorithm |
SHA-1(HMAC バリアント) MD5(HMAC バリアント) |
sha md5 |
SHA-1 |
Authentication method |
RSA シグニチャ RSA 暗号化ナンス 事前共有キー |
rsa-sig rsa-encr pre-share |
RSA シグニチャ |
Diffie-Hellman group identifier |
768 ビット Diffie-Hellman または 1024 ビット Diffie-Hellman 1536 ビット Diffie-Hellman |
1 2 5 |
768 ビット Diffie-Hellman |
Lifetime of the security association このライフタイムおよび使用方法については、lifetime コマンドのコマンド説明を参照してください。 |
任意の秒数 |
— | 86400 秒(1 日) |
これらのパラメータは、IKE セキュリティ アソシエーションが確立されるときに IKE ネゴシエーションに適用されます。
IKE ネゴシエーションが開始されると、IKE は、両ピア上で同一の IKE ポリシーを検索します。 ネゴシエーションを開始したピアがすべてのポリシーをリモート ピアに送信し、リモート ピアの方では一致するポリシーを探そうとします。 リモート ピアは、独自の優先順位が最も高いポリシー(最も小さい優先順位番号)と他のピアから受信したポリシーを比較することで、一致するポリシーを探します。 一致するポリシーが見つかるまで、リモート ピアは優先順位が高い順に各ポリシーをチェックします。
2 つのピアのポリシーが一致するのは、2 つのピアが同じ暗号化、ハッシュ、認証、Diffie-Hellman パラメータの各値を持ち、リモート ピアのポリシーに指定されているライフタイムが、比較しているポリシーのライフタイム以下の場合です (ライフタイムが同一でない場合は、リモート ピアのポリシーのライフタイムよりも短いライフタイムが使用されます)。
一致するポリシーが見つからなかった場合は、IKE はネゴシエーションを拒否し、IPSec は確立されません (関連情報については、特定のポリシー セットへの IKE ピアの制限の項を参照してください)。
一致するポリシーが見つかった場合、IKE は、ネゴシエーションを完了し、ISAKMP セキュリティ アソシエーション(SA)が作成されます。ISAKMP SA 事前共有キーまたは証明書を確立するには、一致するポリシーを設定する必要があります。 一致するポリシーがない場合、ISAKMP SA を確立できません。
(注) |
ポリシーに指定する認証方式によっては、追加の設定が必要な場合があります(IKE ポリシーに必要な追加設定の項を参照)。 ピアのポリシーに必要な比較設定がされていないと、一致するポリシーをリモート ピアで検索するときに、ピアはポリシーを送信しません。 |
Cisco VPN クライアントは、使用可能なすべてのポリシーで事前設定されていて、ハブに接続するときにこれらのすべてのポリシーを提案します。 次に、ハブは、「最初に見つかった」ポリシーを選択する必要があります。 ただし、ユーザによっては、IPSec ゲートウェイを介して接続するときにローカル ピアとリモート ピア間で強力な暗号化アルゴリズムの使用を制限する必要があります。 Cisco VPN クライアントでは、ユーザは、使用するポリシー(および暗号化アルゴリズム)を選択できませんが、このような制限を実装するポリシー セットを代わりに使用できます。 ピアとポリシー セット間の一致は、ポリシー セットで識別されるローカル IP アドレス(または SVI で設定されるトンネル ソース)との一致に基づいて、制限または許可されます。
たとえば、IPSec ハブは 6 つのポリシーが設定されていて、ポリシー セットがこれらの 6 つのうち 3 つだけ設定されているとします。 この場合、リモート クライアントがトンネルを開始しようとし、この SVI トンネル ソース アドレスを参照するときに、ポリシー セットから一致するポリシーがあるか確認されます。 IKE は、ポリシー セットで示された 3 つのポリシーで、優先順位の高いものから順に(小さい数字ほど、優先順位は高くなります)、一致するポリシーを探します。 これらの 3 つのポリシーから一致するポリシーが見つからなかった場合、トンネルは確立できません。
ローカル IP アドレスが特定の IKE ポリシーに制限されていない SVI に、リモート ピアが接続しようとすると、ポリシー一致の IKE ピア同意で説明されているデフォルトの動作が実行されます。
単一のポリシー セットには最大 5 つの ISAKMP ポリシーを設定できます。
IKE ピアを特定のポリシー セットに制限する方法については、このモジュールの「特定のポリシー セットへの IKE ピアの制限」を参照してください。
IKE 標準に従い、各パラメータの特定の値を選択できます。 ここでは、値を選択する基準について説明します。
サポートされているパラメータの値が 1 つしかないデバイスを使用する場合は、もう一方のデバイスでサポートされている値を設定する必要があります。 この制限を別にすれば、セキュリティとパフォーマンスには通常トレードオフの関係があり、パラメータ値の多くにはこのトレードオフがあります。 ネットワークのセキュリティ リスクのレベルと、そのリスクに対する許容度を評価する必要があります。 次のヒントは、各パラメータに指定する値を選択するときの参考にしてください。
それぞれが異なるパラメータ値の組み合わせを持つ、複数の IKE ポリシーを作成できます。 作成する各ポリシーに対して、一意の優先順位を割り当てます(1 ~ 10,000 で指定し、1 が最大の優先順位)。
各ピアで複数のポリシーを設定できますが、これらのうち少なくとも 1 つのポリシーに、リモート ピアのいずれかと同じ暗号化、ハッシュ、認証および Diffie-Hellman パラメータ値が含まれている必要があります (ライフタイム パラメータは同じである必要はありません。詳細については、ポリシー一致の IKE ピア同意を参照してください)。
ポリシーを設定しない場合は、デフォルト ポリシー(常に最小優先順位に設定され、各パラメータのデフォルト値を格納しているポリシー)が使用されます。
IKE ポリシーで指定した認証方式によっては、IKE および IPSec で正常に IKE ポリシーが使用できるようにするため、特定の追加の設定作業を実行する必要があります。
各認証方式では、次の設定が追加で必要です。
RSA 暗号化を設定し、シグニチャ モードがネゴシエーションされ、シグニチャ モードに証明書が使用されると、ピアはシグニチャと暗号キーを要求します。 基本的に、ルータは、設定でサポートされているだけキーを要求します。 RSA 暗号化が設定されていない場合は、ルータはシグニチャ キーだけを要求します。
IKE ポリシーで事前共有キーを使用するピアそれぞれについて ISAKMP ID を設定する必要があります。
2 つのピアが IKE を使って IPSec セキュリティ アソシエーションを確立する場合、各ピアが自分の ID をリモート ピアに送信します。 各ピアは、ルータの ISAKMP ID の設定に従い、ホスト名または IP アドレスを送信します。
デフォルトでは、ピアの ISAKMP ID は、ピアの IP アドレスです。 必要に応じて ID をピアのホスト名に変更します。 一般的に、すべてのピアの ID は同じ設定にします(すべてのピアで IP アドレスを設定するか、すべてのピアでホスト名を設定)。 お互いの識別にホスト名を使うピアと IP アドレスを使うピアが混在していると、リモート ピアの ID が識別されない場合にドメイン ネーム サーバ(DNS)ルックアップで ID を解決できなくなり、IKE ネゴシエーションが失敗することがあります。
ISAKMP プロファイルは、インターネット セキュリティ アソシエーションおよびキー管理プロトコル(ISAKMP)設定に関する拡張です。 これにより、フェーズ 1 ネゴシエーションに対する ISAKMP 設定のモジュール性がイネーブルになります。 このモジュール性により、各種 ISAKMP パラメータを各種 IP セキュリティ(IPSec)トンネルに適用し、各種 IPSec トンネルを各種 VPN 転送およびルーティング(VRF)インスタンスにマッピングできます。 現在、ISAKMP プロファイルは、Quality Of Service(QoS)、ルータ証明書管理およびマルチプロトコル ラベル スイッチング(MPLS)VPN 設定など多くのアプリケーションおよび拡張で使用されます。
ISAKMP プロファイルは、一連のピアの IKE フェーズ 1 および IKE フェーズ 1.5()設定のリポジトリです。 ISAKMP プロファイルは、一致識別基準の概念において一意に識別される着信 IPSec 接続にパラメータを適用します。 これらの基準は、着信 IKE 接続により提供され、IP アドレス、完全修飾ドメイン名(FQDN)およびグループ(バーチャル プライベート ネットワーク(VPN)リモート クライアント グルーピング)を含む IKE アイデンティティに基づきます。 一致識別基準のレベルにより、指定パラメータの適用範囲が決まります。 ISAKMP プロファイルは、トラスト ポイント、ピア アイデンティティ、および XAUTH 認証、許可、アカウンティング(AAA)リストなど、各プロファイルに固有なパラメータを提供します。 次に、ISAKMP プロファイルを使用する場合のガイドラインを示します。
(注) |
リモート アクセス IPSec、VRF 対応 IPSec および Xauth はサポートされていません。 |
Xauth を設定するには、次の手順を実行します。
インターネット キー公開(IKE)のコール アドミッション制御(CAC)は、Cisco IOS XR ソフトウェアの IKE プロトコルへの CAC の適用について記述します。 CAC は、主に、深刻なリソース減少からルータを保護し、クラッシュを防止します。 CAC は、ルータが同時に確立できる IKE セキュリティ アソシエーション(SA)(つまり、CAC へのコール)の数を制限します。 また、システムで許可されるアクティブな IKE SA の最大数、および IKE プロセスまたはグローバル CPU で消費される CPU 使用率を制限するオプションがあります。
crypto isakmp call admission limit コマンドを使用して、絶対 IKE SA 制限を設定できます。 制限値に達すると、ルータは新しい IKE SA 要求をドロップします。
IKE は接続のパラメータを識別するために、SA を使用します。 IKE では、独自に SA をネゴシエーションして確立できます。 IKE SA は双方向で、IKE だけに使用されます。 IKE SA は IPSec を制限できません。
システムで許可するアクティブな IKE SA の最大数を設定し、crypto isakmp call admission limit コマンドを使用することで IKE プロセスまたはグローバル CPU で消費される CPU リソースを制限できます。
IKE は、ユーザが設定した SA 制限値に基づいて SA 要求をドロップします。 IKE SA 制限値を設定するには、crypto isakmp call admission limit コマンドを使用します。 ピア ルータから新しい SA 要求があると、IKE はネゴシエーション中のアクティブな IKE SA の数が、設定された SA 制限値を満たしているか、超えているかを判別します。 この数が制限値より大きい、または等しい場合、新しい SA 要求は拒否され、syslog が生成されます。 このログには、SA 要求の送信元および宛先 IP アドレスが含まれます。
IKE SA は IPSec を制限できません。
IP Security(IPSec)VPN Monitoring モニタリング機能では、VPN セッション モニタリング拡張機能によって、バーチャル プライベート ネットワーク(VPN)のトラブルシューティングを行い、エンドユーザ インターフェイスをモニタリングできます。 セッション モニタリングには、次の拡張機能が含まれます。
IPSec VPN セキュリティ モニタリングを実装するには、次の概念を理解する必要があります。
暗号化セッションは、2 つの暗号エンドポイント間における一連の IPSec 接続(フロー)です。 2 つの暗号エンドポイントで、IKE をキーイング プロトコルとして使用している場合、それらの暗号エンドポイントは互いに対して IKE ピアになります。 一般に、暗号化セッションは、1 つの IKE セキュリティ アソシエーション(制御トラフィック用)と、少なくとも 2 つの IPSec セキュリティ アソシエーション(データ トラフィック用、各方向に 1 つ)で構成されています。 キー再生成中、または両サイドから同時に設定要求が行われたことにより、同じセッションの IKE セキュリティ アソシエーション(SA)と IPSec SA が重複したり、IKE SA または IPSec SA が重複したりする可能性があります。
Per-IKE Peer Description 機能を使用すれば、IKE ピアの選択に関する説明を入力できます。 一意なピアの説明(最大 80 文字)は、特定の IKE ピアを参照する場合に使用されます。 ピアの説明を追加するには、description (ISAKMP peer) コマンドを使用します。
この説明フィールドの主要な利用目的はモニタリングです(たとえば、show コマンドを使用するときや、ロギング(シスログ メッセージ)などのためです)。 説明フィールドは情報目的です。
アクティブ暗号化セッションのステータス情報のリストを取得するには、show crypto session コマンドを使用します。 このリストには、暗号化セッションに関する次の概要ステータスが含まれます。
(同じセッションの)同じピアには、最大 2 つの IKE SA または複数の IPSec SA が確立されます。その場合、IKE ピアの説明は、ピアと関連付けられている IKE SA と、セッションのフローのサービスを提供している IPSec SA 用に、異なる値で繰り返されます。
また、detail キーワードを指定して show crypto session コマンドを使用すると、セッションに関する詳細を取得できます。
clear crypto session コマンドを使用すると、1 つのコマンドで IKE と IPSec の両方をクリアできます。 特定の暗号化セッションや、すべてのセッションのサブセット(たとえば、あるリモート サイトへの単一のトンネル)をクリアするには、ローカルまたはリモート IP アドレス、ローカルまたはリモート ポート、フロント ドア VPN ルーティングおよび転送(FVRF)名、内部 VRF(IVRF)名といった、セッション固有のパラメータを指定する必要があります。 削除する単一のトンネルを指定する場合、リモート IP アドレスを使用するのが一般的です。
clear crypto session コマンドを使用する際にローカル IP アドレスをパラメータとして指定した場合、その IP アドレスをローカル暗号エンドポイント(IKE ローカル アドレス)として共有しているすべてのセッション(およびそれらの IKE SA と IPSec SA)がクリアされます。 パラメータを提供しない場合、ルータのすべての IPSec SA および IKE SA が削除されます。
ピアとは、IKE チャネルを確立し、それ自体と他のピア間で SA をネゴシエートできる IPSec 対応ノードのことです。 ピアと他のピアとの IP 接続は、ルーティング問題やピアのリロードなどの状況により失われ、パケット トラフィックが損失する場合があります(「ブラック ホール」と呼ばれることがあります)。
IPSec ネットワークの IKE セキュリティ プロトコルを設定するには、次の項で説明されている作業を実行します。 最初の 2 つの項の作業は必須です。残りの作業は、設定するパラメータに応じて、実行してください。
インターネット キー交換セキュリティ プロトコルをイネーブルまたはディセーブルにします。
IKE はデフォルトでディセーブルに設定されています。 IKE は個々のインターフェイスに対してイネーブルにする必要はありませんが、ルータのすべてのインターフェイスに対してグローバルにイネーブルにします。
IKE ポリシーを設定します。
1. configure
2. crypto isakmp policy priority
3. 次のいずれかを実行します。
4. hash {sha | md5}
5. authentication {pre-share | rsa-sig | rsa-encr}
6. group {1 | 2 | 5}
7. lifetime seconds
9. show crypto isakmp policy
RSA 暗号化ナンスを IKE ポリシーの認証方式として指定し、CA を使用しない場合、手動で RSA キーを設定します。
RSA キーを手動で設定するには、IKE ポリシーで RSA 暗号化ナンスを使用する IPSec ピアそれぞれについて、この作業を実行します。
RSA キーの生成方法については、「認証局相互運用性の実装」モジュールのRSA キー ペアの生成を参照してください。
ピアの ISAKMP ID を設定します。
IKE ポリシーで事前共有キーを使用する各ピアに対して、これらの手順を繰り返します。
1. configure
2. crypto isakmp identity {address | hostname}
3. host hostname address1 [address2...address8]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto isakmp identity {address | hostname} 例: RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp identity address |
(ローカル ピア)IP アドレスまたはホスト名により、ピアの ISAKMP ID を指定します。 IP アドレスおよびホスト名の使用方法については、crypto isakmp identity コマンドの説明を参照してください。 |
ステップ 3 | host hostname address1 [address2...address8] 例: RP/0/RSP0RP00/CPU0:router(config)# host host1 10.0.0.5 |
(すべてのリモート ピア)すべてのリモート ピアでピアのホスト名をその IP アドレスにマッピングします。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
この作業では、その他のすべてのピアの RSA 公開キーを設定します。
IKE ポリシーで RSA 暗号化ナンスを使用するピアそれぞれについて、必ず上記の作業を繰り返してください。
1. configure
2. crypto keyring keyring-name [vrf fvrf-name]
3. rsa-pubkey {address address | name fqdn} [encryption | signature]
4. address ip-address
5. key-string key-string
6. quit
8. show crypto pubkey-chain rsa [name key-name | address key-address]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto keyring keyring-name [vrf fvrf-name] 例: RP/0//CPU0:router(config)# crypto keyring vpnkeyring RP/0//CPU0:router(config-keyring)# |
IKE 認証時の暗号キーリングを定義します |
ステップ 3 | rsa-pubkey {address address | name fqdn} [encryption | signature] 例: RP/0//CPU0:router(config-keyring)# rsa-pubkey name host.vpn.com RP/0//CPU0:router(config-pubkey) |
インターネット キー交換(IKE)認証時の暗号化またはシグニチャに使用される Rivest, Shamir, and Adelman(RSA)手動キーを定義します。 |
ステップ 4 | address ip-address 例: RP/0//CPU0:router(config-pubkey)# address 10.5.5.1 |
リモート ピアの IP アドレスを指定します。 |
ステップ 5 | key-string key-string 例: RP/0//CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105 ... |
リモート ピアの RSA 公開キーを指定します。 |
ステップ 6 | quit 例: RP/0//CPU0:router(config-pubkey)# quit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 7 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 8 | show crypto pubkey-chain rsa [name key-name | address key-address] 例: RP/0//CPU0:router# show crypto pubkey-chain rsa |
(任意)ルータに保存されているすべての RSA 公開キーのリストを表示します。 |
この作業では、RSA 公開キーをルータにインポートします。
1. configure
2. crypto key import authentication rsa {address address | name fqdn}
4. show crypto key import authentication rsa {address address | name fqdn}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto key import authentication rsa {address address | name fqdn} 例: RP/0/RSP0RP00/CPU0:router(config)# crypto key import authentication rsa tftp://223.255.254.254/ssh/public.pub (in base64) RP/0/RSP0RP00/CPU0:router(config-keyring)# |
公開キーをルータにインポートします。 |
ステップ 3 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 4 | show crypto key import authentication rsa {address address | name fqdn} 例: RP/0/RSP0RP00/CPU0:router# show crypto key import authentication rsa |
(任意)ルータにインポートされたすべての RSA 公開キーのリストを表示します。 |
この作業では、RSA 公開キーをルータから削除します。
1. configure
2. zeroize crypto key import authentication rsa {address address | name fqdn}
4. show crypto pubkey-chain rsa [name key-name | address key-address]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | zeroize crypto key import authentication rsa {address address | name fqdn} 例: RP/0/RSP0RP00/CPU0:router(config)# zeroize crypto key import authentication rsa tftp://223.255.254.254/ssh/public.pub (in base64) RP/0/RSP0RP00/CPU0:router(config-keyring)# |
公開キーをルータから削除します。 |
ステップ 3 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 4 | show crypto pubkey-chain rsa [name key-name | address key-address] 例: RP/0/RSP0RP00/CPU0:router# show crypto pubkey-chain rsa |
(任意)ルータに保存されているすべての RSA 公開キーのリストを表示します。 |
この作業では、ISAKMP 事前共有キーを ISAKMP キーリングに設定します。
ISAKMP 事前共有キーを ISAKMP キーリングに設定するには、IKE ポリシーで事前共有キーを使用するピアそれぞれについて、以下の作業を実行します。
1. configure
2. crypto keyring keyring-name [vrf vrf-name]
3. pre-shared-key {address address [mask] | hostname hostname} key key
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto keyring keyring-name [vrf vrf-name] 例: RP/0/RSP0RP00/CPU0:router(config)# crypto keyring vpnkeyring RP/0/RSP0RP00/CPU0:router(config-keyring)# |
IKE 認証時の暗号キーリングを定義します。 |
ステップ 3 | pre-shared-key {address address [mask] | hostname hostname} key key 例: RP/0/RSP0RP00/CPU0:router(config-keyring)# pre-shared-key address 10.72.23.11 key vpnkey RP/0/RSP0RP00/CPU0:router(config-keyring)# pre-shared-key hostname mycisco.com key vpnkey |
IKE 認証の事前共有キーを定義します。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
コール アドミッション制御(CAC)を設定するには、次の作業を実行します。
この作業では、IKE セキュリティ アドミッション制限を設定します。
1. configure
2. crypto isakmp call admission limit {in-negotiation-sa number | sa number}
3. 次のいずれかを実行します。
4. show cyrpto isakmp call admission statistics
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例: RP/0/RSP0RP00/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto isakmp call admission limit {in-negotiation-sa number | sa number} 例: RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp call admission limit sa 25 |
IKE が新しい SA 要求の拒否を開始するまでにルータが確立できる、IKE SA の最大数を指定します。 |
ステップ 3 | 次のいずれかを実行します。
例: RP/0/RSP0RP00/CPU0:router(config)# end または RP/0/RSP0RP00/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 4 | show cyrpto isakmp call admission statistics 例: RP/0/RSP0RP00/CPU0:router# show crypto isakmp call admission statistics |
暗号化 CAC 統計情報をモニタします。 |
この作業では、システム リソース制限を設定します。
1. configure
2. crypto isakmp call admission limit {cpu {total percent | ike percent}}
3. 次のいずれかを実行します。
4. show cyrpto isakmp call admission statistics
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例: RP/0/RSP0RP00/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto isakmp call admission limit {cpu {total percent | ike percent}} 例: RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp call admission limit cpu total 90 |
IKE が新しい SA 要求の拒否を開始するまでにルータが確立できる、IKE SA の最大数を指定します。
|
ステップ 3 | 次のいずれかを実行します。
例: RP/0/RSP0RP00/CPU0:router(config)# end または RP/0/RSP0RP00/CPU0:router(config)# commit |
設定変更を保存します。
|
ステップ 4 | show cyrpto isakmp call admission statistics 例: RP/0/RSP0RP00/CPU0:router# show cyrpto isakmp call admission statistics |
暗号化 CAC 統計情報をモニタします。 |
暗号化キーリングは、事前共有キーおよび Rivest, Shamir, and Adelman(RSA)公開キーのリポジトリです。 ルータは 0 個以上のキーリングを保持できます。 オプションとして、各キーリングでは、キーリング内に定義されたキーが属する VRF を指定できます。
この作業では、暗号化キーリングを設定します。
(注) |
暗号化キーリングを設定する際は、次のガイドラインと制約事項に従ってください。
|
1. configure
2. crypto keyring keyring-name [vrf fvrf-name]
3. description string
4. local-address ip-address
5. pre-shared-key {address address [mask] | hostname hostname} key key
6. rsa-pubkey {address address | name fqdn} [encryption | signature]
7. key-string key-string
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto keyring keyring-name [vrf fvrf-name] 例:
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkey
|
IKE 認証時に使用する暗号化キーリングを定義します。 |
ステップ 3 | description string 例:
RP/0/RSP0/CPU0:router(config-keyring# description this is a sample keyring
|
キーリングの 1 行説明を作成します。 |
ステップ 4 | local-address ip-address 例:
RP/0/RSP0/CPU0:router(config-keyring)# local-address 10.40.1.1
|
ISAKMP キーリング設定の範囲を、ローカル ターミネーション アドレスまたはインターフェイスに限定します。 |
ステップ 5 | pre-shared-key {address address [mask] | hostname hostname} key key 例:
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 10.72.23.11 key vpnkey
|
IKE 認証に使用する事前共有キーを定義します。 |
ステップ 6 | rsa-pubkey {address address | name fqdn} [encryption | signature] 例:
RP/0/RSP0/CPU0:router(config-keyring)# rsa-pubkey name host.vpn.com
|
アドレスまたはホスト名によって Rivest, Shamir, and Adelman(RSA)公開キーを定義します。 |
ステップ 7 | key-string key-string 例:
RP/0/RSP0/CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105
|
リモート ピアの RSA 公開キーを手動で指定します。 |
ステップ 8 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
次に、IP セキュリティ(IPSec)VPN モニタリングを設定する方法について説明します。
この作業では、IKE ピアの説明を IPSec VPN セッションに追加できます。
1. configure
2. crypto isakmp peer {address ip-address | hostname hostname} [description string | vrf fvrf-name]
3. description string
5. show crypto isakmp peers [ip-address | vrf vrf-name]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto isakmp peer {address ip-address | hostname hostname} [description string | vrf fvrf-name] 例: RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp peer address 1040.40.40.2 RP/0/RSP0RP00/CPU0:router(config-isakmp-peer) |
アグレッシブ モードで、トンネル属性の認証、許可、アカウンティング(AAA)に関する IKE クエリー生成のための IPSec ピアをイネーブルにして、ISAKMP ピア コンフィギュレーション モードを開始します。 セッションの IPSec ピアを指定します。 |
ステップ 3 | description string 例: RP/0/RSP0RP00/CPU0:router(config-isakmp-peer)# description citeA |
1 行のテキスト文字列による IKE ピアの説明を追加します。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 5 | show crypto isakmp peers [ip-address | vrf vrf-name] 例: RP/0/RSP0RP00/CPU0:router# show crypto isakmp peers |
ピアの説明を表示します。 |
ユーザおよびグループの暗号化セッション(IP セキュリティ(IPSec)およびインターネット キー交換(IKE)セキュリティ アソシエーション(SA))を削除するには、EXEC モードで clear crypto session コマンドを使用します。
この作業では、サービス インターフェイスまたはトンネル インターフェイスの ISAKMP プロファイル(ピアのセットに対するコマンドのリポジトリ)を設定します。
(注) |
Cisco ASR 9000 Series Router はサービス インターフェイスのみをサポートします。 |
1. configure
2. crypto isakmp profile {local [local] profile-name}
3. description string
4. keepalive disable
5. self-identity {address | fqdn | user-fqdn user-fqdn}
6. keyring keyring-name
7. match identity {group group-name | address address [mask] vrf [fvrf] | host hostname | host domain domain-name | user username | user domain domain-name}
8. 次のいずれかを実行します。
9. set ipsec-profile profile-name
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | crypto isakmp profile {local [local] profile-name} 例: RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp profile local vpnprofile RP/0/RSP0RP00/CPU0:router(config-isa-prof)# |
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。
|
||
ステップ 3 | description string 例: RP/0/RSP0RP00/CPU0:router(config-isa-prof)# description this is a sample profile |
キーリングの説明を作成します。 |
||
ステップ 4 | keepalive disable 例: RP/0/RSP0RP00/CPU0:router(config-isa-prof)# keepalive disable |
ゲートウェイが DPD メッセージを Cisco IOS XR ピアに送信できるようにします。 |
||
ステップ 5 | self-identity {address | fqdn | user-fqdn user-fqdn} 例: RP/0/RSP0RP00/CPU0:router(config-isa-prof)# self-identity user-fqdn user@vpn.com |
ローカル IKE がリモート ピアに対して IKE 自身を識別させるために使用する ID を定義します。 |
||
ステップ 6 | keyring keyring-name 例: RP/0/RSP0RP00/CPU0:router(config-isa-prof)# keyring vpnkeyring |
ISAKMP プロファイルとともにキーリングを定義します。 |
||
ステップ 7 | match identity {group group-name | address address [mask] vrf [fvrf] | host hostname | host domain domain-name | user username | user domain domain-name} 例: RP/0/RSP0RP00/CPU0:router(config-isa-prof)# match identity group vpngroup RP/0/RSP0RP00/CPU0:router(config-isa-prof-match)# |
ISAKMP プロファイルのピアの ID を照合します。
|
||
ステップ 8 | 次のいずれかを実行します。
例: RP/0/RP0/CPU0:router(config-isa-prof-match)# set interface tunnel-ipsec 50 または RP/0/ RSP0 0 /CPU0:router(config-isa-prof-match)# set interface tunnel service - ipsec 50 gre 34 |
|
||
ステップ 9 | set ipsec-profile profile-name 例: RP/0/RSP0RP00/CPU0:router(config-isa-prof-match)# set ipsec-profile myprofile |
(任意)ローカルを送信元または終端とするトラフィックの IPSec サービス アソシエーション(SA)について IKE がネゴシエートし、ローカル エンドポイントが IKE の応答側である際に、IPSec プロファイル インスタンスを事前定義します。
|
||
ステップ 10 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
この作業では、定期的なキープアライブやオンデマンドの Dead Peer Detection(DPD)メッセージを設定します。
1. configure
2. crypto isakmp keepalivesecondsretry-seconds[periodic | on-demand]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | crypto isakmp keepalivesecondsretry-seconds[periodic | on-demand] 例: RP/0/RSP0/CPU0:router(config)# crypto isakmp keepalive 20 20 on-demand |
IKE セキュリティ アソシエーション(SA)機能を使用すると、2 つの IP セキュリティ(IPSec)ピア間の接続切断を検出するメカニズムが提供されます。 |
ステップ 3 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ここでは、次の設定例について説明します。
この例では、2 つの IKE ポリシー(最大のプライオリティとして policy 15、次のプライオリティとして policy 20)を作成し、最小のプライオリティとして既存のデフォルト プライオリティを使用する方法について説明します。
crypto isakmp policy 15 encryption 3des hash md5 authentication rsa-sig group 2 lifetime 5000 crypto isakmp policy 20 authentication pre-share lifetime 10000
この例では、暗号化アルゴリズム パラメータのデフォルト値のため、policy 20 の暗号化 des は記述した設定に表示されません。
この設定で show crypto isakmp policy コマンドを発行すると、出力は次のようになります。
Protection suite priority 15 encryption algorithm:3DES - Data Encryption Standard (168 bit keys) hash algorithm:Message Digest 5 authentication method:Rivest-Shamir-Adelman Signature Diffie-Hellman group:#2 (1024 bit) lifetime:5000 seconds, no volume limit Protection suite priority 20 encryption algorithm:DES - Data Encryption Standard (56 bit keys) hash algorithm:Secure Hash Standard authentication method:preshared Key Diffie-Hellman group:#1 (768 bit) lifetime:10000 seconds, no volume limit Default protection suite encryption algorithm:DES - Data Encryption Standard (56 bit keys) hash algorithm:Secure Hash Standard authentication method:Rivest-Shamir-Adelman Signature Diffie-Hellman group:#1 (768 bit) lifetime:86400 seconds, no volume limit
(注) |
ライフタイムに「no volume limit」と出力されていますが、time ライフタイム(86,400 秒など)だけは設定できます。volume-limit ライフタイムは設定できません。 |
最初の部分は、暗号化方式に関連した ISAKMP ポリシーの選択と SVI トンネル ソースの指定から構成されています。 次の例で、IP アドレス 1.1.1.1 に接続しているユーザには、ISAKMP ポリシーとして DES が採用されます。 ただし、IP アドレス 2.2.2.2 に接続しているユーザには、ISAKMP ポリシーとして AES のみが採用されます。
照合には、複数の ISAKMP ポリシー、または複数の IP アドレスを使用できます。 残りの設定、つまり SVI に設定されたグループ名に一致する ISAKMP プロファイルの設定も同様です。
この特定の例では、ポリシー セット内に 2 つのポリシー(policy 10 と policy 20)が設定されています。
例では、SVI1 トンネル ソースと SVI2 トンネル ソースは、それぞれ太字で local-address 10 1 . 10 1 .1.1 および local-address 10 2 . 10 2 .2.2 として指定されていることに注意してください。 以下に例を示します。
RP/0/RSP0RP00/CPU0:router:: configure RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp policy 10 RP/0/RSP0RP00/CPU0:router(config-isakmp)# encryption des << restricts use to DES only RP/0/RSP0RP00/CPU0:router(config-isakmp)# group 2 RP/0/RSP0RP00/CPU0:router(config-isakmp)## authentication pre-share RP/0/RSP0RP00/CPU0:router(config)## crypto isakmp policy 20 RP/0/RSP0RP00/CPU0:router(config-isakmp)# encryption aes << restricts use to AES only RP/0/RSP0RP00/CPU0:router(config-isakmp)# group 2 RP/0/RSP0RP00/CPU0:router(config-isakmp)# authentication pre-share RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp policy-set policy_1<< match ID RP/0/RSP0RP00/CPU0:router(config-isakmp-pol-set)# policy 10 << routing priority RP/0/RSP0RP00/CPU0:router(config-isakmp-pol-set)# match identity local-address 101.101.1.1 RP/0/RSP0RP00/CPU0:router(config)# crypto isakmp policy-set policy_2<< match ID RP/0/RSP0RP00/CPU0:router(config-isakmp-pol-set)# crypto isakmp policy-set policy_2<< match IDpolicy 20 RP/0/RSP0RP00/CPU0:router(config-isakmp-pol-set)# policy 20match identity local-address 2.2.2.2 RP/0/RSP0RP00/CPU0:router(config-isakmp-pol-set)# match identity local-address 10.10.2.2commit RP/0/RSP0RP00/CPU0:router(config-isakmp-pol-set)# commitexit RP/0/RSP0RP00/CPU0:router(config-isakmp-pol-set)# exit#
ここでは、IKE セキュリティ プロトコルの実装に関連する参考資料を紹介します。
関連項目 |
ドキュメント名 |
---|---|
IKE セキュリティ プロトコル コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例 |
『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』 |
IPSec-related オブジェクト トラッキング コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例 |
『Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference』 |
オブジェクト トラッキング設定手順、および例 |
『Cisco ASR 9000 Series Aggregation Services Router System Management Configuration Guide』 |
IPSec ネットワーク セキュリティ コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例 |
『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』 の IPSec ネットワーク セキュリティ コマンド |
標準 |
タイトル |
---|---|
この機能でサポートが追加または変更された標準はありません。また、この機能で変更された既存の標準のサポートはありません。 |
— |
MIB |
MIB リンク |
---|---|
— | Cisco IOS XR ソフトウェア を使用している MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用し、[Cisco Access Products] メニューからプラットフォームを選択します。http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
RFC |
タイトル |
---|---|
RFC 2401 |
『Security Architecture for the Internet Protocol』 |
RFC 2402 |
『IP Authentication Header』 |
RFC 2403 |
『The Use of HMAC-MD5-96 within ESP and AH』 |
RFC 2404 |
『The Use of HMAC-SHA-1-96 within ESP and AH』 |
RFC 2405 |
『The ESP DES-CBC Cipher Algorithm With Explicit IV』 |
RFC 2406 |
『IP Encapsulating Security Payload (ESP)』 |
RFC 2407 |
『The Internet IP Security Domain of Interpretation for ISAKMP』 |
RFC 2408 |
『Internet Security Association and Key Management Protocol (ISAKMP)』 |
RFC 2409 |
『The Internet Key Exchange (IKE)』 |
説明 |
リンク |
---|---|
シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |