ステップ 1 |
enable
|
|
ステップ 2 |
configure terminal
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3 |
crypto ikev2 profile profile-name
Device(config)# crypto ikev2 profile profile1
|
IKEv2 プロファイルを定義し、IKEv2 プロファイル コンフィギュレーション モードを開始します。
|
ステップ 4 |
description line-of-description
Device(config-ikev2-profile)# description This is an IKEv2 profile
|
|
ステップ 5 |
aaa accounting {psk | cert | eap } list-name
Device(config-ikev2-profile)# aaa accounting eap list1
|
(任意)IPsec セッションの認証、認可、およびアカウンティング(AAA)アカウンティング方式リストを有効にします。
(注)
|
psk 、cert 、または eap キーワードが指定されなかった場合は、ピア認証方式に関係なく、AAA アカウンティング方式リストが使用されます。
|
|
ステップ 6 |
authentication {local {rsa-sig | pre-share [key {0 | 6 } password}] | ecdsa-sig | eap [gtc | md5 | ms-chapv2 ] [ username username] [password {0 | 6 } password}]} | remote {eap [query-identity | timeout seconds] | rsa-sig | pre-share [key {0 | 6 } password}] | ecdsa-sig }}
Device(config-ikev2-profile)# authentication local ecdsa-sig
|
ローカルまたはリモートの認証方式を指定します。
-
rsa-sig :認証方式として RSA-sig を指定します。
-
pre-share :認証方式として事前共有キーを指定します。
-
ecdsa-sig :認証方式として ECDSA-sig を指定します。
-
eap :リモート認証方式として EAP を指定します。
-
query-identity :ピアに EAP ID を問い合わせます。
-
timeout seconds :最初の IKE_AUTH 応答を返してから次の IKE_AUTH 要求を受け取るまでの期間を秒単位で指定します。
(注)
|
ローカル認証方式は 1 つしか指定できませんが、リモート認証方式は複数指定できます。
|
|
ステップ 7 |
dpd interval retry-interval {on-demand | periodic }
Device(config-ikev2-profile)# dpd 30 6 on-demand
|
(任意)プロファイルと一致したピアのデッド ピア検出(DPD)をグローバルに設定します。
(注)
|
この手順の例では、着信 ESP トラフィックがない場合、最初の DPD が 30 秒後に送信されます。6 秒間(指定された再試行間隔)待機した後、DPD 再試行が 6 秒間隔でアグレッシブに 5 回送信されます。そのため、合計 66 秒(30
+ 6 + 6 X 5 = 66)が経過すると、DPD によって暗号化セッションが切断されます。
|
|
ステップ 8 |
identity local {address {ipv4-address | ipv6-address } | dn | email email-string | fqdn fqdn-string | key-id opaque-string }
Device(config-ikev2-profile)# identity local email abc@example.com
|
(任意)ローカル IKEv2 ID タイプを指定します。
(注)
|
ローカル認証方式が事前共有キーの場合は、デフォルトのローカル ID が IP アドレスになります。ローカル認証方式が Rivest、Shamir、および Adleman(RSA)署名の場合は、デフォルトのローカル ID が識別名になります。
|
|
ステップ 9 |
initial-contact force
Device(config-ikev2-profile)# initial-contact force
|
初期連絡先通知が IKE_AUTH 交換で受信されなかった場合に、初期連絡先処理を強制します。
|
ステップ 10 |
ivrf name
Device(config-ikev2-profile)# ivrf vrf1
|
(任意)IKEv2 プロファイルがクリプト マップにアタッチされている場合に、ユーザ定義の VPN ルーティングおよび転送(VRF)またはグローバル VRF を指定します。
(注)
|
IVRF は、クリア テキスト パケット用の VRF を指定します。IVRF のデフォルト値は FVRF です。
|
|
ステップ 11 |
keyring {local keyring-name | aaa list-name [name-mangler mangler-name | password password ] }
Device(config-ikev2-profile)# keyring aaa keyring1 name-mangler mangler1
|
ローカルまたはリモートの事前共有キー認証方式で使用する必要があるローカルまたは AAA ベースのキーリングを指定します。
(注)
|
1 つのキーリングしか指定することができません。ローカル AAA は AAA ベースの事前共有キーに対してサポートされません。
|
(注)
|
リリースによっては、local キーワードと name-mangler mangler-name キーワード引数ペアを使用する必要があります。
|
(注)
|
AAA を使用する場合、Radius アクセス要求のデフォルト パスワードは「cisco」です。パスワードを変更するには、keyring コマンド内で password キーワードを使用します。
|
|
ステップ 12 |
lifetime seconds
Device(config-ikev2-profile)# lifetime 1000
|
IKEv2 SA のライフタイムを秒単位で指定します。
|
ステップ 13 |
match {address local {ipv4-address | ipv6-address | interface name } | certificate certificate-map | fvrf {fvrf-name | any } | identity remote address {ipv4-address [mask ] | ipv6-address prefix } | {email [domain string] | fqdn [domain string]} string | key-id opaque-string }
Device(config-ikev2-profile)# match address local interface Ethernet 2/0
|
match ステートメントを使用して、ピア用の IKEv2 プロファイルを選択します。
|
ステップ 14 |
nat keepalive seconds
Device(config-ikev2-profile)# nat keepalive 500
|
(任意)NAT キープアライブを有効にして、その期間を秒単位で指定します。
|
ステップ 15 |
pki trustpoint trustpoint-label [sign | verify ]
Device(config-ikev2-profile)# pki trustpoint tsp1 sign
|
RSA 署名認証方式で使用する Public Key Infrastructure(PKI)トラストポイントを指定します。
(注)
|
sign または verify キーワードが指定されていない場合、トラストポイントは署名と検証に使用されます。
|
(注)
|
IKEv1 とは対照的に、証明書ベースの認証を成功させるためにトラストポイントを IKEv2 プロファイル内で設定する必要があります。このコマンドが設定内に存在しない場合は、グローバルに設定されたトラストポイントのフォールバックが存在しません。トラストポイント設定は
IKEv2 イニシエータおよびレスポンダに適用されます。
|
|
ステップ 16 |
virtual-template number mode auto
Device(config-ikev2-profile)# virtual-template 1 mode auto
|
(任意)仮想アクセス インターフェイス(VAI)の複製用の仮想テンプレートを指定します。
- mode auto :トンネル モード自動選択機能を有効にします。
(注)
|
IPsec ダイナミック仮想トンネル インターフェイス(DVTI)では、仮想テンプレートを IKEv2 セッションが開始されない IKEv2 プロファイル内で指定する必要があります。
|
|
ステップ 17 |
shutdown
Device(config-ikev2-profile)# shutdown
|
(任意)IKEv2 プロファイルをシャット ダウンします。
|
ステップ 18 |
end
Device(config-ikev2-profile)# end
|
IKEv2 プロファイル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
|