使用上のガイドライン

このコマンドは、適用するアクセス ポリシーを含んだデバイス上に設定されているグローバル アイデンティティ ポリシーを参照します。ポリシー クラス コンフィギュレーション サブモードでは、単一のアイデンティティ ポリシーのみを設定できます。アイデンティティ ポリシーをデバイスに定義しなかった場合、ポリシーの適用時にエラーが生成されます。

使用上のガイドライン

SIP（シリアル インターフェイス プロセッサ）または SPA で IPv4、IPv6、または MPLS などの高プライオリティ パケットを分類するには、ingress-class map class-mapindex コマンドを使用して分類テンプレートを定義します。分類テンプレート固有の詳細はテンプレートで定義されています。また、テンプレートは、plim qos input class-map コマンドを使用してインターフェイスにアタッチされます。分類テンプレートは、no コマンド形式を使用して削除できます各 SIP では、62 の入力分類テンプレートがサポートされています。Cisco ASR 1000 シリーズ ルータに適用できる入力分類テンプレートの合計数は、キャリア カードに 62 を掛けた数値に等しくなります。

（注）	分類テンプレートがインターフェイスによって使用されている場合、そのテンプレートを削除することはできません。

使用上のガイドライン

ip header-compression disable-feedback コマンドは、衛星リンクで使用するよう設計されています。衛星リンクでは、上方リンクへのパスは下方リンクへのパスと異なります。パスが異なる場合は、コンテキスト ステータス メッセージを活用できません。

ip header-compression disable-feedback コマンドは、Real-time Transport Protocol（RTP）または TCP ヘッダー圧縮のいずれかとともに使用できます。

使用上のガイドライン

ip header-compression max-header コマンドの max-header-size 引数は、圧縮するヘッダーのサイズを制限するために使用できます。

使用上のガイドライン

ip header-compression max-period コマンドを使用すると、コンテキスト ステータスが変化した後、フル IP パケット ヘッダーが送信される期間が急激に長くなります。この急激な期間の増加により、ヘッダーの圧縮メカニズムとヘッダーの圧縮解除メカニズムとの間でメッセージ交換が必要になることを回避できます。

デフォルトでは、ip header-compression max-period コマンドは User Datagram Protocol（UDP）トラフィックのみで動作します。ただし、frame-relay ip rtp header-compression コマンドまたは frame-relay map ip rtp header-compression コマンドのいずれかで periodic refresh キーワードが設定されている場合、ip header-compression max-period コマンドは UDP トラフィックと Real-time Transport Protocol（RTP）トラフィックの両方で動作します。

使用上のガイドライン

ip header-compression max-time コマンドは、受信者のコンテキスト ステータスが失われた場合に、多数のパケット損失を回避するように設計されています。

パケットを送信予定で、最後に IP ヘッダーを更新してから最大の時間数が経過した場合、フル ヘッダーが送信されます。

デフォルトでは、ip header-compression max-time コマンドは User Datagram Protocol（UDP）トラフィックのみで動作します。ただし、frame-relay ip rtp header-compression コマンドまたは frame-relay map ip rtp header-compression コマンドのいずれかで periodic refresh キーワードが設定されている場合、ip header-compression max-time コマンドは、UDP トラフィックと Real-time Transport Protocol（RTP）トラフィックの両方で動作します。

使用上のガイドライン

Enhanced CRTP は、コンプレッサがデコンプレッサでのコンテキストを更新する方法を変更することによって、破損を減らします。コンプレッサは、変更を複数回送信し、コンプレッサとデコンプレッサの同期を維持します。この方式は、ホスト間のリンク品質を表す packet-drops の数によって特徴付けられます。更新を繰り返すことで、パケット損失によるコンテキスト破損の確率が最小化されます。

packet-drops 引数の値は各コンテキストに依存せずに維持され、すべてのコンテキストで同一である必要はありません。

使用上のガイドライン

ip header-compression old-iphc-comp コマンドは、IPHC 形式の圧縮またはサービス ポリシー ベースの圧縮が設定されている場合にのみ設定する必要があります。

使用上のガイドライン

ip header-compression old-iphc-decomp コマンドは、IPHC 形式の圧縮またはサービス ポリシー ベースの圧縮が設定されている場合にのみ設定する必要があります。

使用上のガイドライン

NBAR では、カスタム プロトコルを使用してカスタム アプリケーションを識別できます。カスタム プロトコルは、NBAR でサポートされないスタティック ポートベースのプロトコルとアプリケーションをサポートします。

NBAR を使用すると、プロトコルの属性プロファイルを設定し、プロファイルをプロトコルにアタッチできます。

ip nbar attribute-map コマンドを使用すると、NBAR 属性プロファイルを作成できます。このコマンドを使用すると、さまざまな属性をカスタム プロトコルに割り当てることができる属性マップ サブモードが開始されます。この属性プロファイルは、ip nbar attribute-set protocol-name profile-name コマンドを使用して、プロトコルにアタッチできます。

使用上のガイドライン

Network-Based Application Recognition（NBAR）は、カスタム プロトコルを使用したカスタム アプリケーションの識別をサポートします。カスタム プロトコルは、NBAR でサポートされないスタティック ポートベースのプロトコルとアプリケーションをサポートします。

NBAR を使用すると、プロトコルの属性プロファイルを設定し、プロファイルをプロトコルにアタッチできます。

ip nbar attribute-set コマンドを使用し、属性プロファイルをプロトコルにアタッチできます。プロファイルをプロトコルにアタッチした後は、パラメータを追加または削除することでプロファイルを編集できます。アタッチされた属性プロファイルを、プロトコルから削除することもできます。

（注）	属性マップが定義されない場合、コマンド出力には「Unrecognized command」と表示されます。これは、コマンドを個別に実行した場合、コマンド ラインに表示されること、またはバッチ コマンドの実行に対する出力ログ ファイルに表示されることがあります。

使用上のガイドライン

ホスト名に基づくカスタム アプリケーションを作成するために、情報が使用されます。

使用上のガイドライン

細粒モードの分類は、細粒モードと粗粒モードが別々に導入される以前の NBAR の機能とパフォーマンスと等価です。細粒モードは、既存の設定に対して完全な後方互換性を提供します。

使用上のガイドライン

ipv6inip キーワードは、プロトコル 41 を経由し、IPv4 トンネルを介して伝送される IPv6 トラフィックのアプリケーション分類を有効にします。プロトコル 41 には、ISATAP、6to4、6rd などのトンネル タイプが含まれています。

teredo キーワードは、Teredo トンネルを介して伝送される IPv6 トラフィックのアプリケーション分類を有効にします。Teredo トンネルは、UDP 経由のポート 3544 と ポート 3545 という 2 つの共通するデフォルト ポートで識別され、IPv4 トンネル エンドポイントに存在します。

使用上のガイドライン

追加のスタティック ポート アプリケーションを分類および監視するか、NBAR がサポートしていないスタティック ポート トラフィックを分類できるようにするには、グローバル コンフィギュレーション モードで、ip nbar custom コマンドを使用します。

カスタム プロトコルの最初の 3 文字は、すべての定義済みプロトコルに対して一意でなければなりません。一意でない場合、あいまいなコマンドであることを示すエラー メッセージが表示されます。

NBAR は、最大 128 のプロトコルをサポートできます。

カスタム プロトコルの設定時に variable キーワードを入力すると、一部の NBAR クラス マップの show 出力に変数のトラフィック統計情報が表示されます。

protocol 引数は、アプリケーションによって実装されたプロトコルを表します。次に記載されている要素のセットに進む前に、プロトコルを TCP または UDP として指定します。

{ port-number [ id selector-id] | range start-value end-value}

カスタム プロトコルごとに最大 24 個の変数値をクラス マップで設定できます。たとえば、次の設定では、4 つの変数が使用されます。

Device(config)# ip nbar custom ftdd 23 variable scid 1 tcp range 5001 5005
Device(config)# class-map match-any active-craft
Device(config-cmap)# match protocol ftdd scid 0x15
Device(config-cmap)# match protocol ftdd scid 0x21
Device(config-cmap)# exit
Device(config)# class-map match-any passive-craft
Device(config-cmap)# match protocol ftdd scid 0x11
Device(config-cmap)# match protocol ftdd scid 0x22

使用上のガイドライン

IP アドレスとポートベースの設定を使用してカスタム プロトコルを設定するには、グローバル コンフィギュレーション モードで、ip nbar custom transport コマンドを使用します。

NBAR は、すべてのカスタム アプリケーションを含む、最大 110 のユーザ定義カスタム プロトコルをサポートできます。

カスタム IP アドレスとポート設定の場合、IP アドレスとポート番号は 8 個までに制限されます。

ip nbar custom transport コマンドをサポートするため、カスタム コンフィギュレーション モード（config-custom）が導入されます。

使用上のガイドライン

ip nbar pdlm コマンドは、特定のバージョンの NBAR によって認識されるプロトコルのリストを拡張したり、既存のプロトコルの認識能力を強化するために使用します。NBAR には、実行時に外部の PDLM が提供される場合があります。ほとんどの場合、PDLM は NBAR を有効にし、新しい Cisco IOS イメージやルータのリロードなしで新しいプロトコルを認識できるようにします。新しい PDLM を提供できるのはシスコのみです。

利用可能な PDLM のリストは、Cisco.com でオンラインで表示できます。

使用上のガイドライン

ip nbar port-map コマンドにより、Internet Assigned Numbers Authority（IANA）によって割り当てられたウェルノウン ポート以外のポート番号を使用し、NBAR で検索するプロトコルまたはプロトコル名を指定します。たとえば、このコマンドを使用して、23 以外のポートで Telnet を検索するように NBAR を設定します。このコマンドを使用すると、最大 16 ポートを指定できます。

NBAR プロトコルの一部は、ポートを確認する以外にも、トラフィック分類のためにヒューリスティックなアプローチに従います。ip nbar port-map コマンドを使用し、異なるポートをプロトコルに適用する場合、プロトコルのヒューリスティックな特性は変更されません。ポート番号を追加するメリットは、パフォーマンスが向上することです。

既存のポート マップに属さないポートに対して定義済みポート マップを最初に設定した場合にのみ、定義済みポート マップからウェルノウン ポートを削除できます。たとえば、カスタム ポート マップ X を定義し、ポート 20 と関連付けたい場合は、それができないことを示すエラーが表示されます。ただし、最初にポート マップ A を別のポート（ポート 100 など）に関連付けてからポート 20 との関連付けを削除した場合、カスタム ポート マップ X をポート 20 に関連付けることができます。

（注）	最善の結果を得るには、Citrix または BitTorrent プロトコルを設定しないでください。

使用上のガイドライン

NBAR で認識されるすべてのプロトコルに対してトラフィック統計情報を維持するように NBAR を設定するには、 ip nbar protocol-discovery コマンドを使用します。プロトコル ディスカバリは、QoS ポリシーを開発および適用できるように、インターフェイスを通過するアプリケーション プロトコルを検出するための容易な方法を提供します。プロトコル ディスカバリ機能は、NBAR でサポートされているすべてのプロトコル トラフィックを検出します。プロトコル ディスカバリは、入力トラフィックと出力トラフィックの両方をモニタするために使用でき、有効なサービス ポリシーがあってもなくても適用できます。

Cisco IOS XE Release 3.3S、L3、および L4 では、Internet Assigned Numbers Authority（IANA）プロトコルは IPv4 および IPv6 パケットに対してサポートされています。

ipv4 キーワードを入力して IPv4 パケットのプロトコル ディスカバリ統計情報収集を有効にするか、ipv6 キーワードを入力して IPv6 パケットのプロトコル ディスカバリ統計情報収集を有効にします。次のいずれかのキーワードを指定すると、指定した IP バージョンのみの Protocol Discovery 統計情報収集が可能になります。どちらのキーワードも指定しなかった場合は、IPv4 と IPv6 の両方の統計情報収集が有効になります。指定したキーワードのみの統計情報収集が有効になるため、このコマンドの no 形式を使用してキーワードを無効にする必要はありません。

レイヤ 2/3 Etherchannel サポート

Cisco IOS Release 12.2(18)ZYA は、Supervisor 32/PISA を搭載した Catalyst 6500 シリーズ スイッチ用に設計されているため、ip nbar protocol-discovery コマンドは、レイヤ 2 およびレイヤ 3 Etherchannel の両方でサポートされます。

使用上のガイドライン

ip nbar protocol-pack コマンドを使用すると、複数のプロトコル記述言語（PDL）ファイルとマニフェスト ファイルを 1 つの圧縮ファイルにまとめたプロトコル パックを簡単にロードできます。このコマンドが導入される前は、PDL を個別にロードする必要がありました。このコマンドを使用すると、プロトコルのセットをロードできます。このプロトコルは、ネットワーク上での分類のために、NBAR が追加のプロトコルを認識するのに役立ちます。

次の状況では、force キーワードを使用します。

• Cisco IOS イメージに存在するデフォルトのプロトコル パック バージョンよりも低いバージョンの特定のプロトコル パックをロードする場合。

• 新しいバージョンにアップグレードすることになるか、低いバージョンのプロトコル パックに戻すことになるかに関わらず、既存のプロトコル パック バージョンを維持する場合。

• アクティブなプロトコル チェックを上書きする場合。

使用上のガイドライン

サポートされているプロトコルのリストを表示するには、match protocol ? または show ip nbar port-map コマンドを入力します。

特定のプロトコルのリンク期間経過を設定するには、ip nbar resources protocol コマンドに、protocol-name 引数を含める必要があります。protocol-name 引数を含めないと、すべてのプロトコルのリンク期間経過タイマーは、指定されたリンク期間経過値に設定されます。

特定のプロトコルのリンク期間経過をリセットするには、no ip nbar resources protocol コマンドに、protocol-name 引数を含める必要があります。protocol-name 引数を含めないと、すべてのプロトコルのリンク期間経過タイマーは 120 に設定されます。

存在しないプロトコル名を入力すると、次のエラー メッセージが表示されます。

%NBAR ERROR: <entered string> is not a valid protocol

指定したプロトコルに関連付けられたすべての状態のノードのリンク期間経過をリセットすることに加え、プロトコル名とそのリンク期間経過は、デバイスのリセットが発生する可能性に備えて NVRAM に保存されます。

使用上のガイドライン

ip nbar resources system コマンドは NBAR に対してシステム全体で影響するため、パラメータを任意に変更しないでください。パラメータを任意に変更すると、NBAR の非効率な動作や正しくない動作につながる可能性があります。デフォルト値は、ほとんどのインスタンスで有効です。

使用上のガイドライン

ip options コマンドを使用すると、IP オプション パケットをフィルタ処理し、ルータ、およびダウンストリームのルータとホストの IP オプションの効果を軽減できます。

破棄モードと無視モードは相互に排他的です。つまり、破棄モードが設定されている場合に無視モードを設定すると、無視モードによって破棄モードが上書きされます。

Cisco 10720 インターネット ルータ

ip options ignore コマンドはサポートされていません。破棄モード（ip options drop コマンド）のみがサポートされています。

Cisco 10000 シリーズ ルータ

このコマンドは、PRE3 でのみ利用できます。PRE2 はこのコマンドをサポートしません。

ip options ignore コマンドはサポートされていません。ルータは、ip options drop コマンドのみをサポートします。

使用上のガイドライン

rtp と udp のいずれも選択しない場合、指定した方式またはすべての方式に対して RSVP 圧縮予測を有効または無効にするには、ip rsvp admission-control compression predict コマンドを使用します。フローごとに圧縮率を計算するために RSVP が使用する、デフォルトの圧縮パラメータを調整できます。

ip rsvp admission-control compression predict コマンドを使用して圧縮方式またはパケットごとに保存されるバイト数を変更した場合、これらの値は新しいフローにのみ影響し、既存のフローには影響を及ぼしません。

圧縮には、アグレッシブとコンサーバティブという 2 つのアプローチがあります。コンサーバティブで圧縮を予測する場合、パケットごとの保存バイト数を少なく想定しますが、保証される Quality of Service（QoS）は高くなる可能性があります。呼び出しごとに許可される帯域幅はより大きくなりますが、各リンクが対応できる呼び出しの数は少なくなります。アグレッシブで圧縮を予測する場合、パケットごとの保存バイト数を多く想定しますが、保証される Quality of Service（QoS）は低くなる可能性があります。呼び出しごとに許可される帯域幅はより小さくなりますが、各リンクが対応できる呼び出しの数は大きくなります。

使用上のガイドライン

ルータで集約を有効にすると、ルータはアグリゲータ、デアグリゲータ、または内部ルータとして機能します。アグリゲータおよびデアグリゲータの機能を実行するには、RSVP プロセスが、ルータ上で RSVP-E2E-IGNORE プロトコル タイプ（134）を認識する必要があります。そうしないと、メッセージはルータのデータ プレーンによってデータとして転送されます。 ip rsvp aggregation ip コマンドは、RSVP で RSVP-E2E-IGNORE プロトコルを使用したメッセージの識別を有効にします。その後、エンドツーエンド（E2E）予約の集約とデアグリゲーション動作を指定する追加のコマンドを設定します。

ip rsvp aggregation ip コマンドは、ルータが RSVP-E2E-IGNORE メッセージを受信するように登録します。内部ルータでは、RSVP 集約予約のみを処理するため、このコマンドを発行する必要はありません。この手順を実行すると、内部ルータが無駄にすべての RSVP-E2E-IGNORE メッセージを処理するため、パフォーマンスが低下することがあります。

（注）	RSVP 集約を内部ルータでグローバルにイネーブルにする場合は、すべてのインターフェイスを内部として設定する必要があります。設定しないと、インターフェイスは外部に戻され、RSVP-E2E-IGNORE パケットは破棄されます。

使用上のガイドライン

E2E 予約が集約にマッピングされるように単一のグローバル ルールを設定するには、ip rsvp aggregation ip map コマンドを使用します。

ip rsvp aggregation ip map コマンドを使用する前に、RSVP エンドポイントのグループを定義し、グループの予約が単一の DSCP に集約されるように ACL を設定する必要があります。ACL は、標準 ACL にすることも拡張 ACL にすることもできます。

標準 ACL

• IP アドレスは、RSVP PATH メッセージの送信者テンプレートまたは RSVP RESV メッセージ フィルタ指定に一致します。これは、IP 送信元アドレスまたは RSVP 送信側です。

拡張 ACL の有無

ip rsvp aggregation ip map コマンド内で使用される ACL は、RSVP メッセージ オブジェクトに対して、拡張 ACL を次のように照合します。

• 送信元 IP アドレスとポートは、RSVP PATH メッセージの送信者テンプレートまたは RSVP RESV メッセージ フィルタ指定に一致します。これは、IP 送信元または RSVP 送信元です。

• 宛先 IP アドレスとポートは、RSVP PATH/RESV メッセージ セッション オブジェクトの IP アドレスに一致します。これは、IP 宛先アドレスまたは RSVP 受信者です。

• プロトコルは、RSVP PATH/RESV メッセージ セッション オブジェクト プロトコルを照合します。プロトコルが IP の場合、上記のように送信元または宛先アドレスを照合します。

（注）	従来の（集約されない）RSVP では、セッションは、予約メッセージ セッション オブジェクト中で、宛先 IP アドレスとプロトコル情報によって識別されます。RSVP 集約では、セッションは集約 RSVP メッセージのセッション オブジェクト内で宛先 IP アドレスと DSCP によって識別されます。E2E 予約は、E2E 予約セッション オブジェクトのみ、あるいは、セッション オブジェクトと送信者テンプレートまたはフィルタ指定の組み合わせによって識別される特定の集約 RSVP セッションにマッピングされます。

使用上のガイドライン

ip rsvp aggregation ip reservation dscp コマンドを使用して、トークン バケット パラメータを静的に設定できます。

デアグリゲータで収集 RESV メッセージ用に flowspec オブジェクトを構成しやすくするには、data-rate 、burst-size 、および peak-rate 引数が必要です。既存の RSVP プロシージャは、フローに対して確立された予約のサイズが PATH sender_tspec と RESV flowspec の最小値に設定されるように指定します。そのため、集約 PATH の sender_tspec data-rate 、burst-size 、または peak-rate 引数が、デアグリゲータで設定されている data-rate 、burst-size 、または peak-rate 引数よりも大きい場合、集約 RESV flowspec オブジェクトは PATH メッセージおよび設定された値から data-rate 、burst-size 、および peak-rate の最小値を含むことになります。

集約にマップされているエンドツーエンド（E2E）予約の合計帯域幅よりも厳格さが低い値へと集約予約サイズが変更された場合、プリエンプションが発生することがあります。

集約帯域幅が小さくなった場合に、プリエンプションが必要かつip rsvp policy preempt コマンドの発行によって有効になっていない場合、変更は拒否され、次のメッセージが表示される可能性があります。

RSVP:AGG: Command not accepted.
RSVP-AGG: This change requires some E2E reservations to be removed and 
RSVP:AGG: preemption is not enabled. Issue 'ip rsvp policy preempt'
RSVP:AGG: in order to make this change.

使用上のガイドライン

このコマンドは、エンドツーエンド（E2E）メッセージがインターフェイスに到達するまで、ルータに影響はありません。

ルータが E2E のすべてのフローの内部ノードである場合は、集約コマンドを設定する必要はありません。RSVP は、IP データグラムとして転送される RSVP-E2E-IGNORE メッセージの通知を取得することはありません。ただし、ルータには集約をサポートするイメージがロードされているため、ルータは集約シグナリング メッセージを正しく処理します。

内部ノードで集約を有効にした場合は、そのすべてのインターフェイスを内部として設定する必要があります。そうしないと、すべてのインターフェイスの役割が外部となり、ルータに到着するすべての E2E Path（E2E-IGNORE）メッセージが廃棄されます。

つまり、内部ルータについては次の 2 つの選択肢があります。

• RSVP 集約コンフィギュレーション コマンドを入力しない。

• 集約を有効にし、すべてのインターフェイスを内部として設定する。

インターフェイスの内部の役割が設定されていない場合、そのインターフェイスにインストールされているすべての集約および E2E 予約は停止します。

追加の必要な設定コマンド

アグリゲータまたはデアグリゲータの RSVP インターフェイス、および内部ルータのインターフェイスで集約を有効にする場合は、次のコマンドも設定する必要があります。

• ip rsvp resource-provider none

• ip rsvp data-packet classification none

これらのコマンドを設定する理由は、Cisco IOS Release 12.2(33)SRC と Cisco IOS XE Release 2.6 がコントロール プレーンの集約のみをサポートするためです。RSVP データ パケット分類子は、集約をサポートしていません。データ プレーン集計は、RSVP スケーラビリティ拡張機能を使用して実行する必要があります。

使用上のガイドライン

各 RSVP 予約は、特定のピーク セル レート（PCR）、平均セル レート（SCR）、および最大バースト サイズを備えた ATM SVC に対応します。PCR は、ピーク レートとも呼ばれ、ユーザが設定することも、デフォルトのライン レートにすることもできます。

RSVP によって制御される負荷予約は、データのピーク レートを定義しません。慣例により、このような予約の許容ピーク レートは無限大とされ、通常非常に大きい数によって表されます。これらの状況下では、制御される負荷予約が ATM SVC に変換され、SVC の PCR はこれに対応して大きくなり、スイッチの範囲外となる可能性があります。ip rsvp atm-peak-rate-limit コマンドを使用して、ピーク レートを制限できます。

RSVP SVC のピーク レート制限は、次の条件により決定されます。

• ピーク レートのデフォルトが、ライン レートになっている。

• 設定されたピーク レート リミッタよりもピーク レートが大きい場合、ピーク レートはピーク レート リミッタよりも小さくされる。

• ピーク レートを予約帯域幅よりも小さくすることはできません。これが該当する場合、ピーク レートは予約帯域幅まで引き上げられます。

（注）	RSVP スペースから ATM スペースに適用される帯域幅変換は、ピーク レートにも適用されます。

ピーク レート制限は、ルータにローカルなものであり、RSVP の通常のメッセージングには影響しません。SVC セットアップのみが影響を受けます。大きなピーク レートは、変更されずに次のホストに送信されます。

サブインターフェイスに確立された RSVP SVC の場合、サブインターフェイスに適用されるピーク レート制限は、そのサブインターフェイスに作成されたすべての SVC に影響します。ピーク レート制限がメイン インターフェイスに適用される場合、そのメイン インターフェイスの制限値がサブインターフェイスに適用される制限よりも低かったとしても、メイン インターフェイスのサブインターフェイスに作成された SVC に影響することはありません。

特定のインターフェイスまたはサブインターフェイスに対して、そのインターフェイスに適用されたピーク レート制限は、インターフェイスに作成された新しい SVC にのみ影響し、既存の SVC には影響しません。

（注）	このコマンドは、ip rsvp svc-required コマンドをサポートするインターフェイス上でのみ利用可能です。

インターフェイスまたはサブインターフェイスに設定されたピーク レート制限を特定するには（存在する場合）、show ip rsvp atm-peak-rate-limit コマンドを使用します。

使用上のガイドライン

他の RSVP 認証設定コマンドを再入力することなく RSVP 認証を無効にしてから再有効化するには、ip rsvp authentication コマンドを使用します。以前にキーを設定していない限り、認証を有効にしないでください。ip rsvp authentication key コマンドの前にこのコマンドを発行すると、キーを指定するまで RSVP がすべてのメッセージを破棄することを示す警告メッセージが表示されます。no ip rsvp authentication コマンドは、RSVP 暗号化認証を無効にします。ただし、このコマンドが、他の設定済みの認証パラメータを自動的に削除することはありません。設定から削除する場合は、特定の no ip rsvp authentication コマンドを発行する必要があります。たとえば、no ip rsvp authentication key 、 no ip rsvp authentication type 、または no ip rsvp authentication window-size などです。

ip rsvp authentication コマンドは、 ip rsvp neighbor コマンドと類似しています。ただし、ip rsvp authentication コマンドは、より優れた認証を提供し、システム ロギングを実行します。

使用上のガイドライン

ip rsvp authentication challenge コマンドでは、ネットワーク上で新しい RSVP が検出された場合、RSVP でチャレンジレスポンス ハンドシェイクを実行する必要があります。このハンドシェイクを実行することで、ルータは再起動後に、信頼されている RSVP ネイバーによる起動時の RSVP メッセージ リプレイ アタックを阻止することができます（特に、長期間動作していない場合）。ルータの再起動後、信頼されている RSVP ネイバーからメッセージが非常に早く到着した場合、信頼されていないノードがリプレイ アタックを試みる前に、ルータは信頼されているノードとのセキュリティ アソシエーションを再確立するため、チャレンジは必要ない可能性があります。

マルチプロトコル ラベル スイッチング（MPLS）トラフィック エンジニアリング（TE）ラベル スイッチド パス（LSP）が移動するインターフェイスで RSVP 認証を有効にし、その認証でルータのステートフル スイッチオーバー（SSO）が有効になっている場合、次のことが発生します。

• チャレンジが無効になっている（ip rsvp authentication challenge コマンドを指定しなかった）場合、LSP が適切に回復します。

• チャレンジが有効になっている（ip rsvp authentication challenge コマンドを指定した）場合、さらに RSVP シグナリング メッセージが必要であり、LSP が回復するのにより長い時間がかかります。または、フォワーディング ステートがタイムアウトし、回復しない可能性があります。タイムアウトが発生すると、ヘッドエンド ルータが新しい LSP にシグナルを送信し、データ パケットの転送が中断されます。

RSVP 認証チャレンジを有効にした場合、ip rsvp signalling refresh reduction コマンドを使用した RSVP リフレッシュ削減の有効化を検討してください。チャレンジ ハンドシェイクの進行中は、ハンドシェイクを開始したルータがチャレンジに対する有効なレスポンスを受信するまで、ハンドシェイクを開始した受信側のルータではチャレンジの対象となっているノードからのすべての RSVP メッセージが破棄されます。

（注）

ネイバーが最初のチャレンジ メッセージに応答しない場合、Cisco IOS ソフトウェアは 1 秒後に別のチャレンジ メッセージを送信し、2 秒間待機します。2 回目のチャレンジに対するレスポンスを受信しなかった場合、Cisco IOS ソフトウェアはさらにチャレンジを送信し、4 秒間待機します。3 回目のチャレンジに対するレスポンスを受信しなかった場合、Cisco IOS ソフトウェアは 4 回目のチャレンジを送信し、8 秒間待機します。4 回目のチャレンジに対するレスポンスがない場合、Cisco IOS ソフトウェアはそのネイバーへの現在のチャレンジを停止し、システム エラー メッセージをログに記録し、ネイバーとのセキュリティ アソシエーションを作成しません。このような Exponential Backoff は、ネットワークまたはビジー状態のネイバーによって破棄されたチャレンジから回復するために使用されます。

リフレッシュ削減を有効にすると、チャレンジの対象となっているノードは、破棄されたメッセージをハンドシェイクの完了後により迅速に再送信できます。これにより、ルータの再起動時に、迅速に予約状態が再確立されます。

リプレイ アタックに対するルータの脆弱性を可能な限り低減するため、認証チャレンジを有効にしてください。

使用上のガイドライン

認証アルゴリズムのキーを選択するには、ip rsvp authentication key コマンドを選択します。このキーは、8 ～ 40 文字のパスフレーズです。これには、スペースを含めることができます。スペースを使用する場合、引用符は必要ありません。キーは、複数の単語で構成できます。可能な限り長いパスフレーズを作成することをお勧めします。このキーは、このインターフェイスのすべての RSVP ネイバーに対して同じである必要があります。すべてのパスワードと同様に、攻撃者が簡単に推測できないように、パスワードは慎重に選択する必要があります。

いくつかのガイドラインを、次に示します。

• 大文字と小文字、数字、および記号を含めます。

• 1 単語だけを使用する場合、どの言語のどのような辞書、スペルのリスト、その他の単語の一覧にも含まれていない単語を使用します。

• 書き留めておく必要がないように、覚えやすいものを使用します。

• ファイルやスクリプト内のクリア テキスト、または端末に貼り付けた紙でパスワードが知られることがないようにします。

デフォルトでは、RSVP 認証キーはルータ設定ファイル内にクリア テキストで保存されますが、必要に応じて設定ファイル内に暗号化されたテキストとして保存できます。キーの暗号化を有効にするには、グローバル設定の key config-key 1 string コマンドを使用します。このコマンドの入力後、各 ip rsvp authentication key コマンドのパスフレーズ パラメータは、設定ファイルの保存時に Data Encryption Standard（DES; データ暗号規格）によって暗号化されます。後から no key config-key 1 string コマンドを発行する場合、RSVP 認証キーは設定の保存時にクリア テキストで再度保存されます。

string 引数は 設定ファイルに保存されません。ルータのプライベート NVRAM にのみ保存され、show running-config コマンドまたは show config コマンドの出力に表示されません。したがって、別のルータに設定ファイルをコピーする場合、ルータが起動して RSVP 認証が正しく動作していないと、そのファイル内の暗号化された RSVP キーは RSVP で正しく復号できません。この状態から回復するには、新しいルータで次の手順を実行します。

1. 認証キーを持つ各 RSVP インターフェイスに対して、古いキーをクリアするため、no ip rsvp authentication key コマンドを発行します。

2. RSVP インターフェイスの同じセットに対して、ip rsvp authentication key コマンドを発行し、正しいクリア テキスト キーを再構成します。

3. グローバルな key config-key 1 string コマンドを発行し、新しいルータに対して RSVP キーを再度暗号化します。

4. 設定を保存します。

使用上のガイドライン

キー チェーンを選択するには、ip rsvp authentication key-chain コマンドを使用します。

（注）	同じルータ インターフェイスで ip rsvp authentication key コマンドと ip rsvp authentication key-chain コマンドを使用することはできません。これらのコマンドは相互排他的ですが、エラー メッセージは表示されません。

使用上のガイドライン

RSVP で信頼されたネイバーとのセキュリティ アソシエーションを終了するタイミングを示すには、 ip rsvp authentication lifetime コマンドを使用します。アソシエーションのライフタイムが期限切れになっても、1 つ以上のライフタイムが有効であれば、その期間中に RSVP による認証メッセージは受信され、セキュリティ アソシエーションのライフタイムが RSVP によって設定された値にリセットされます。ネイバーが RSVP シグナリング メッセージの送信を停止した（つまり最後の予約が解除された）場合、アソシエーションのライフタイム期間終了時と同様に、セキュリティ アソシエーションに使用されていたメモリが開放されます。RSVP ネイバーがシグナリングを再開した場合、アソシエーションを再作成できます。ライフタイムを短い期間に設定すると、有効期間が短い予約をルータが多数処理する場合に、メモリの回復が早くなります。ライフタイムを長い期間に設定すると、新しい認証予約を確立するときにルータのワークロードが低減されます。

ライフタイムの期限が切れる前にセキュリティ アソシエーションを開放するには、clear ip rsvp authentication コマンドを使用します。

使用上のガイドライン

オプションのキーワードを省略すると、ip rsvp authentication neighbor コマンドは、ネイバーの RSVP 暗号化認証を有効にします。オプションのキーワードを使用すると、グローバル デフォルトが継承されます。

ネイバーごとの認証を有効にするには、ip rsvp authentication neighbor コマンド （または、認証を無効にするには、no ip rsvp authentication neighbor コマンド）を発行する必要があります。ip rsvp authentication コマンドを、neighbor なしで発行する場合、このコマンドは、ネイバーごと、またはインターフェイスごとに定義されたキーの有無に関わらずすべてのネイバーおよびインターフェイスに対する認証を有効にします。ip rsvp authentication neighbor コマンドを発行すると、認証はそのネイバーに対してのみ有効になります。

アクセス コントロール リスト

1 つの ACL で、特定のネイバーが RSVP メッセージをルータから受信するために使用する、すべての物理および論理インターフェイスを記述できます。これは、2 つのネイバー間に複数のルートが存在する場合に便利です。1 つの ACL で、自身のルータとともに多数の異なるネイバーを指定できます。ただし、これは一般的には、ネットワークのセキュリティ プラクティスとして優れているとは見なされません。

番号付きの場合、ACL は 1 ～ 99 の範囲内または 1300 ～ 1999 の範囲内になっている必要があり、合計 798 の番号付き ACL がネイバー キーを設定するために使用されます（一部は他の目的に使用されないことを想定）。標準の名前付き IP ACL の数に制限はありません。ACL で使用する IP アドレスには、少なくともネイバーの物理インターフェイス アドレスが含まれている必要があります。マルチプロトコル ラベル スイッチング（MPLS）トラフィック エンジニアリング（TE）を使用している場合などは、必要に応じて、ルータ ID アドレスを追加できます。

標準 ACL は送信元または宛先アドレスのみを処理しますが、拡張 ACL は 5 タプルを処理し、設定がより複雑なため、RSVP ネイバー用の名前付きまたは番号付き標準 IP ACL を作成するには、既存の ip access-list standard コマンドを使用する必要があります。RSVP CLI は、標準以外の ACL を指定した場合にエラー メッセージを返します。

Router(config)# ip rsvp authentication neighbor access-list 10 key-chain wednesday
% Invalid access list name.
RSVP error: unable to find/create ACL

また、名前付き標準 IP ACL も推奨されます。ネイバー ルータのホスト名を ACL 名の一部として含めることができ、ルータ設定内でネイバーごとの ACL を識別しやすくなるためです。

有効な名前付きまたは番号付き ACL が指定されていても、存在しないか、または有効でないキー チェーンがその ACL に関連付けられている場合、RSVP CLI はエラー メッセージを表示します。キー チェーンがないと、そのネイバーが送受信する RSVP メッセージが破棄される可能性があるためです。

Router(config)# ip rsvp authentication neighbor access-list myneighbor key-chain xyz
RSVP error: Invalid argument(s)

キー チェーン

key-chain パラメータでは、キーは有効期限の昇順で使用されます。名前に関する唯一の制限として、スペースを含めることはできません。key-chain パラメータはオプションです。つまり、RSVP ネイバーに対する他のオプションの認証パラメータを変更しようとする場合には省略できます。ただし、キーを探す場合、期限切れでないキーを少なくとも 1 つ持つ、有効なキー チェーンを参照する key-chain パラメータが含まれていないと、RSVP はip rsvp authentication neighbor access-list コマンドを無視します。

エラー状態と警告状態

RSVP CLI は、RSVP にすでに割り当てられた他のチェーン内のキー ID と重複するチェーン内のキー ID があった場合、次の例のようにエラーを返します。

Router(config)# ip rsvp authentication neighbor access-list myneighbor key-chain abc
RSVP error: key chains abc and xyz contain duplicate key ID 1
RSVP error: Invalid argument(s)

指定されたキー チェーンが存在しないか、少なくとも 1 つの期限切れでないキーが含まれていない場合、RSVP CLI は、エラーを返します。

キー チェーンが適切に定義され、RSVP が後からそのネイバーにメッセージを送信しようとしても、有効かつ期限切れでないネイバーごとまたはインターフェイスごとのキーを見つけられない場合、RSVP は RSVP_AUTH_NO_KEYS_LEFT システム メッセージを生成し、そのネイバーのキーが取得できなかったことを示します。

キー チェーンが有限の期限切れ時間を持つキーを含んでいる場合、RSVP は RSVP_AUTH_ONE_KEY_EXPIRED メッセージを生成して各キーが期限切れになったタイミングを示します。

RSVP が誤ったダイジェスト タイプを持つネイバーからメッセージを受信した場合、RSVP は RSVP_MSG_AUTH_TYPE_MISMATCH システム メッセージを生成し、そのネイバーと不一致のダイジェスト タイプがあることを示します。

すでにウィンドウ内にあるか、またはウィンドウ外にある重複メッセージを RSVP が受信した場合、RSVP は BAD_RSVP_MSG_RCVD_AUTH_DUP または BAD_RSVP_MSG_RCVD_AUTH_WIN エラー メッセージをログに記録し、メッセージのシーケンス番号が無効であることを示します。

ネイバーのチャレンジが失敗したか、またはタイムアウトになった場合、RSVP は BAD_RSVP_MSG_RCVD_AUTH_COOKIE システムメッセージ、または RSVP_MSG_AUTH_CHALLENGE_TIMEOUT メッセージを生成し、指定されたネイバーがチャレンジに対して正しく応答することに失敗したことを示します。

使用上のガイドライン

アルゴリズムを指定して RSVP メッセージの暗号化署名を生成するには、ip rsvp authentication type コマンドを使用します。アルゴリズムを指定しない場合は、md5 が使用されます。

ip rsvp authentication neighbor type コマンドではなく ip rsvp authentication type コマンドを使用する場合、タイプのグローバル デフォルトが変更されます。

事前定義済みの no ip rsvp authentication type command is not supported in Cisco IOS Releases 12.0S and 12.2S because every security association must have a digest type, and you cannot disable it. Use the default ip rsvp authentication type command to remove the authentication type from a configuration and force the type to its default.

Cisco IOS T リリースでは、no ip rsvp authentication type コマンドがサポートされますが、default ip rsvp authentication type コマンドをお勧めします。 to remove the authentication type from a configuration and force the type to its default.

使用上のガイドライン

順序どおりでなくても受信できる RSVP 認証済みメッセージの最大数を指定するには、ip rsvp authentication window-size コマンドを使用します。すべての RSVP 認証済みメッセージには、RSVP メッセージの再送を防止するためのシーケンス番号が付けられています。

1 つのメッセージに設定されたデフォルト ウィンドウ サイズの場合、重複する認証済みメッセージはリプレイ アタックと見なされるため、このようなメッセージは拒否されます。ただし、場合によっては、RSVP メッセージのバーストが RSVP ネイバー間で並べ替えられることがあります。この事象が定期的に発生し、メッセージのバーストを送信しているノードの信頼性を確認できる場合は、ip rsvp authentication window-size コマンド オプションを使用して、再編成されたバーストが RSVP によって廃棄されないようにバースト サイズを変更してください。RSVP は、これらのバースト内の重複メッセージもチェックします。

使用上のガイドライン

RSVP は、distributed Cisco Express Forwarding（dCEF; 分散型シスコ エクスプレス フォワーディング）で設定できません。

RSVP は、RSVP を実装しないシステムとの後方互換性を提供できるように無効になっています。

重み付けランダム早期検出（WRED）または均等化キューイングを最初に有効にします。

このコマンドを DS-TE の IETF 標準モードで使用する場合、rdm およびその引数または mam およびその引数のいずれかを使用する必要があり、両方は使用できません。各選択肢の詳細については、『Russian Dolls Bandwidth Constraints Model for Diffserv-aware MPLS Traffic Engineering』（F. Le Faucheur 著）（RFC 4127）および『Maximum Allocation Bandwidth Constraints Model for Diffserv-aware MPLS Traffic Engineering』（F. Le Faucheur and W. Lai 著）（RFC 4125）を参照してください。

帯域幅のサブプール部分のみを削除するには、このコマンドの no 形式を、sub-pool キーワードとともに使用します。

入力コール アドミッション制御（CAC）を有効にするには、ip rsvp bandwidth ingress コマンドを使用します。インターフェイスの入力 CAC 機能を無効にするには、no ip rsvp bandwidth コマンドを使用します。ただし、このコマンドはまた、インターフェイスの RSVP を無効にします。インターフェイスの入力機能のみを無効にするには、ip rsvp bandwidth interface-bandwidth single-flow-bandwidth コマンドを使用します。

ip rsvp bandwidth コマンドに関連するすべての設定は、IPv4 セッションと IPv6 セッションの両方に適用可能です。IPv4 セッションと IPv6 セッションは、共通の帯域幅プールに十分な帯域幅がある場合にのみ許可されます。IPv4 予約と IPv6 予約に、別々の帯域幅制限を適用することはできません。

使用上のガイドライン

ip rsvp bandwidth ignore コマンドを使用して、トンネルの任意の RSVP 帯域幅設定を無視できます。RSVP 帯域幅を再設定する必要がある場合、 ip rsvp bandwidth または ip rsvp bandwidth percent コマンドを使用します。

使用上のガイドライン

RSVP は、distributed Cisco Express Forwarding（dCEF; 分散型シスコ エクスプレス フォワーディング）で設定できません。

RSVP は、RSVP を実装しないシステムとの後方互換性を提供できるように無効になっています。

重み付けランダム早期検出（WRED）または均等化キューイングを最初に有効にします。

RSVP 帯域幅プールを、インターフェイスの帯域幅の指定されたパーセンテージに設定するには、ip rsvp bandwidth percent コマンドを使用します。ip rsvp bandwidth percent コマンドを発行すると、インターフェイスの帯域幅の変化に応じて、RSVP 帯域幅プールは動的に調整されます。

インターフェイスの帯域幅のあるパーセンテージを RSVP 帯域幅として設定するには、ip rsvp bandwidth percent percent-bandwidth percent flow-bandwidth コマンド を 使用できます。RSVP 帯域幅は、RSVP コネクション アドミッション制御（CAC）に使用されます。このコマンドは、オーバーサブスクリプションを許可します。つまり、100% を超えるインターフェイスの帯域幅が RSVP 帯域幅として、およびフローごとの帯域幅として使用されるように設定できます。

バンドルのメンバー リンクで ip rsvp bandwidth rsvp-bandwidth コマンドを使用し、RSVP に使用される帯域幅の量として絶対値を設定するように選択できます。ip rsvp bandwidth percent rsvp-bandwidth コマンドを使用すると、RSVP 帯域幅は、インターフェイスの帯域幅の変化と並行して変化するようになります。バンドルの RSVP 帯域幅は、バンドル インターフェイスの帯域幅にのみ依存します。このバンドル インターフェイスはさらに、メンバー リンクの RSVP 帯域幅ではなく、インターフェイス帯域幅に依存します。

ip rsvp bandwidth percent コマンドは、RSVP 帯域幅の動的更新がサポートされていないインターフェイスではブロックされます。サポートされていないインターフェイスで RSVP クライアントが ip rsvp bandwidth percent コマンドを設定しようとすると、デバッグ メッセージが表示されます。

Cisco IOS Release 15.1(2)T では、ip rsvp bandwidth percent コマンドは、Multilevel Precedence and Preemption（MLPP）およびマルチリンク フレーム リレー（MFR）インターフェイスでサポートされています。