- はじめに
- Cisco IOS XR ソフトウェアでの ATM イン ターフェイスの設定
- Cisco IOS XR での双方向フォワーディング 検出の設定
- Cisco IOS XR ソフトウェアでのチャネライ ズド SONET の設定
- Cisco IOS XR ソフトウェアでの高密度波長 分割多重コントローラの設定
- Cisco IOS XR の診断の実行
- Cisco IOS XR ソフトウェアでのイーサネッ ト インターフェイスの設定
- Cisco IOS XR ソフトウェアでのフレームリ レーの設定
- Cisco IOS XR ソフトウェアでのリンク バン ドルの設定
- Cisco IOS XR ソフトウェアでの仮想のルー プバック インターフェイスおよびヌル イン ターフェイスの設定
- Cisco IOS XR ソフトウェアでの管理イーサ ネット インターフェイスの高度な設定と変更
- Cisco IOS XR ソフトウェアでの NetFlow の 設定
- Cisco IOS XR ソフトウェアでの POS イン ターフェイスの設定
- Cisco IOS XR ソフトウェアでの PPP の設定
- Cisco IOS XR ソフトウェアでの物理イン ターフェイスのプリコンフィギュレーション
- Cisco IOS XR ソフトウェアでのシリアル イ ンターフェイスの設定
- Cisco IOS XR ソフトウェアでの SRP イン ターフェイスの設定
- Cisco IOS XR ソフトウェアでのクリア チャ ネル SONET コントローラの設定
- Cisco IOS XR ソフトウェアでのクリア チャ ネル T3/E3 コントローラおよびチャネライズ ド T3 コントローラの設定
- Cisco IOS XR ソフトウェアでのトンネル イ ンターフェイスの設定
- Cisco IOS XR ソフトウェアでの 802.1Q VLAN インターフェイスの設定
- 索引
Cisco IOS XR インターフェイスおよびハードウェア コンポーネント コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月26日
章のタイトル: Cisco IOS XR ソフトウェアでのトンネル イ ンターフェイスの設定
Cisco IOS XR ソフトウェアでのトンネル インターフェイスの設定
ここでは、Cisco IOS XR ソフトウェアをサポートするルータで Tunnel-IPSec インターフェイスを設定する方法について説明します。トンネル インターフェイスは、別のトランスポート プロトコル内に任意のパケットのカプセル化を提供する仮想インターフェイスです。保護されていない公開ルートでも、Tunnel-IPSec インターフェイスによってセキュアな通信が可能になります。
仮想インターフェイスは、ルータ内部の論理パケット スイッチング エンティティです。仮想インターフェイスは、グローバル スコープを持ちますが、関連付けられた位置は持ちません。Cisco IOS XR ソフトウェアでは、物理インターフェイスを識別するために rack/slot/module/port 表記を使用していますが、インターフェイス名で仮想インターフェイスを識別した後は、グローバルに一意な数字による ID を使用します。この数字による ID は、たとえば、Loopback 0、Loopback 1、Null99999 です。Loopback 0 と Null 0 を同時に使用できるように、各仮想インターフェイス タイプの ID は一意です。
仮想インターフェイスのコントロール プレーンは、アクティブ RP上に存在します。設定とコントロール プレーンは、スタンバイ RP 上にミラーリングされ、スイッチオーバーが発生した場合には、仮想インターフェイスがそれまでのスタンバイ RP に移り、このスタンバイ RP が新たにアクティブ RP となります。
(注) 親インターフェイスに応じて、サブインターフェイスは物理インターフェイスまたは仮想インターフェイスになります。
仮想トンネルは、任意の RP または DRP で設定されますが、作成および操作は RP からだけ実行されます。
(注) トンネルには、モジュラ サービス カードとの 1 対 1 の関連付けはありません。
Cisco IOS XR ソフトウェアのトンネル インターフェイス設定機能の履歴
|
|
|
この章の構成
•
「関連情報」
トンネル インターフェイスを設定するための前提事項
この設定作業を行うには、Cisco IOS XR ソフトウェアのシステム管理者が、対応するコマンド タスク ID を含むタスク グループに関連付けられたユーザ グループにユーザを割り当てる必要があります。 すべてのコマンド タスク ID は、各コマンド リファレンスおよび『 Cisco IOS XR Task ID Reference Guide 』に記載されています。
タスク グループの割り当てについてサポートが必要な場合は、システム管理者に連絡してください。 ユーザ グループおよびタスク ID の詳細については、『 Cisco IOS XR Software System Security Configuration Guide 』の「 Configuring AAA Services on Cisco IOS XR Software 」モジュールを参照してください。
トンネル インターフェイスの設定に関する情報
トンネル インターフェイスを設定するには、次の概念を理解しておく必要があります。
トンネル インターフェイスの概要
トンネリングによって、トランスポート プロトコル内の任意のパケットをカプセル化できるようになります。この機能は、設定用の単純なインターフェイスを用意するために、仮想インターフェイスとして実装されます。トンネル インターフェイスは特定の「パッセンジャ」プロトコルや「トランスポート」プロトコルに関連付けられません。トンネル インターフェイスは、任意の標準のポイントツーポイント カプセル化スキームを実装するために必要なサービスを提供できるように設計されたアーキテクチャです。サポートされるトンネルはポイントツーポイント リンクなので、リンクごとに個別のトンネルを設定する必要があります。
トンネル インターフェイスを設定するには、必須の手順が 3 つあります。
1. トンネル インターフェイスを設定します。 interface tunnel-ipsec ID を指定します。
2. トンネルの発信元を設定します。 tunnel source { ip-address | interface-id } を指定します。
3. トンネルの宛先を設定します。 tunnel destination { ip-address | tunnel-id } を指定します。
仮想インターフェイスの命名規則
仮想インターフェイス名では、インターフェイスのラック、スロット、モジュール、およびポートを識別するために、 rack/slot/module/port という物理インターフェイスの表記方法を使用しません。仮想インターフェイスは、物理的なインターフェイスやサブインターフェイスには関連付けられないためです。
仮想インターフェイスでは、仮想インターフェイス タイプごとに、グローバルに一意な数字による ID を使用します。
Tunnel-IPSec の概要
IP Security(IPSec; IP セキュリティ)は、インターネット上のプライベート通信のセキュリティを確保するためのオープン スタンダードのフレームワークです。IPSec は、パブリック ネットワークやセキュアではないネットワークでデータを送信する必要がある、仮想プライベート ネットワーク(VPN)やファイアウォールなどのアプリケーションをサポートするために使用できます。ルータ IPSec プロトコル スイートには、IP レイヤにプライバシ、完全性、および認証サービスを提供するために使用できる一連の標準が用意されています。また、IPSec プロトコル スイートには、ネットワーク レイヤ セキュリティの主要な管理要件をサポートする暗号化技術も含まれます。
IPSec を使用すると、Secure Shell(SSH; セキュア シェル)または Secure Socket Layer(SSL; セキュア ソケット レイヤ)を使用する必要はありません。使用すると、同じデータの暗号化と復号化が 2 回実行され、不要なオーバーヘッドが生じます。IPSec デーモンは、RP と DRP の両方で実行されます。IPSec はルータのオプションの機能です。IPSec は、セキュアなトランスポートが必要なアプリケーションが複数あるユーザに適しています。クライアント側では、Cisco VPN 3000 Client や他のサードパーティ製 IPSec クライアント ソフトウェアを使用して、IPSec VPN を構築できます。
(注) IPSec トンネルはコントロール プレーンに存在するため、トンネルを始動または終了する必要はありません。IPSec トンネルへの送信は、RP または DRP からローカルで発信されたトラフィックの場合だけであり、Tunnel-IPSec に適用するプロファイルの一部として設定されたアクセス制御リスト(ACL)によって検出されます。
Tunnel-IPSec の命名規則
プロファイルは、インターフェイスの tunnel-ipsec のインターフェイス設定サブモードから入力されます。例:
クリプト プロファイル セット
クリプト プロファイル セットを設定し、トンネル インターフェイス(またはクリプト IPSec トランスポート)に適用する必要があります。クリプト IPSec トランスポートの使用の詳細については、「その他の参考資料」に記載されているリンクを参照してください。2 つの IPSec ピア間で IPSec が正常に動作するには、両方のピアのクリプト プロファイル エントリに互換性のある設定ステートメントを含める必要があります。
2 つのピアがセキュリティ アソシエーションの確立を試行するには、相手側ピアのクリプト プロファイル エントリのいずれかと互換性のあるクリプト プロファイル エントリが、各ピアに 1 つ以上必要です。2 つのクリプト プロファイル エントリに互換性があると判断するには、少なくとも次の基準を満たす必要があります。
• 互換性のあるクリプト アクセス リストを含む必要があります。応答側のピアが動的クリプト プロファイルを使用している場合、ローカルのクリプト アクセス リストのエントリは、ピアのクリプト アクセス リストから「許可」される必要があります。
• 各ピアは、相手側ピアを識別する必要があります(ただし、応答側ピアが動的クリプト プロファイルを使用している場合を除きます)。
• 少なくとも 1 つのトランスフォーム セットが共通している必要があります。
(注) クリプト プロファイルは共有できません。つまり、複数のインターフェイスに同じプロファイルは設定できません。
トンネル インターフェイスの設定方法
• 「Tunnel-IPSec インターフェイスの設定」(必須)
Tunnel-IPSec インターフェイスの設定
前提条件
profile コマンドを使用するには、クリプト コマンドの適切なタスク ID を含むタスク グループに関連付けられたユーザ グループに属している必要があります。 tunnel destination コマンドを使用するには、インターフェイス コマンドの適切なタスク ID を含むタスク グループに関連付けられたユーザ グループに属している必要があります。
ユーザ グループとタスク ID の詳細については、『 Cisco IOS XR System Security Configuration Guide 』の「 Configuring AAA Services on Cisco IOS XR Software 」モジュールを参照してください。
次のタスクは、Tunnel-IPSec インターフェイスを作成するために必要です。
• IPSec セキュリティ アソシエーションのグローバルな存続期間を設定する
前提条件のチェックポイント処理とクリプト プロファイルの設定方法、および IPSec セキュリティ アソシエーションのグローバルな存続期間を設定する方法の詳細については、『 Cisco IOS XR System Security Configuration Guide 』の「 Implementing IPSec Network Security on Cisco IOS XR Software 」モジュールを参照してください。
クリプト プロファイルの設定後は、IPSec トラフィックが通過する各トンネル インターフェイスにクリプト プロファイルを適用する必要があります。トンネル インターフェイスにクリプト プロファイル セットを適用すると、ルータは、クリプトで保護されるトラフィックの代理として、接続またはセキュリティ アソシエーションのネゴシエーション中に、クリプト プロファイル セットと照合してすべてのインターフェイスの トラフィックを評価し、指定したポリシーを使用するようになります。
手順の概要
2. interface tunnel-ipsec identifier
4. tunnel source { ip-address | interface-id }
詳細手順
トンネル インターフェイスの設定例
Tunnel-IPSec:例
次に、プロファイルを作成し、IPSec トンネルに適用するプロセスの例を示します。必要な準備手順についても示します。まずトランスフォーム セットを定義し、プロファイルを作成してから、IPSec トンネルを設定します。
関連情報
次に、各トランスポートにクリプト プロファイルを適用する必要があります。トランスポートにクリプト プロファイル セットを適用すると、ルータは、クリプトで保護されるトラフィックの代理として、接続またはセキュリティ アソシエーションのネゴシエーション中に、クリプト プロファイル セットと照合してすべてのインターフェイスの トラフィックを評価し、指定したポリシーを使用するようになります。
各トランスポートにクリプト プロファイルを適用する方法の詳細については、『 Cisco IOS XR System Security Configuration Guide』の「 Implementing IPSec Network Security on Cisco IOS XR Software」モジュールを参照してください。
その他の参考資料
ここでは、トンネル インターフェイスの設定に関連する参考資料を示します。
関連資料
規格
|
|
|
|---|---|
この機能によりサポートされた新規規格または改訂規格はありません。またこの機能による既存規格のサポートに変更はありません。 |
MIB
|
|
|
|---|---|
Cisco IOS XR ソフトウェアを使用して選択したプラットフォームの MIB を検索およびダウンロードするには、次の URL の Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。 |
シスコのテクニカル サポート
|
|
|
|---|---|
シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、テクニカル ヒント、ツールへのリンクなど、さまざまな技術的コンテンツを検索可能な形で提供しています。Cisco.com に登録されている場合は、次のページからログインしてさらに多くのコンテンツにアクセスできます。 |
フィードバック