IKE 用コール アドミッション制御に関する前提条件
-
このデバイスで IKE を設定します。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IKE 用コール アドミッション制御機能は、Cisco IOS ソフトウェアでのインターネット キー エクスチェンジ(IKE)プロトコルに対し、コール アドミッション制御(CAC)を適用したものです。CAC は、IKE と IPsec セキュリティ アソシエーション(SA)(つまり CAC へのコール)をルータが同時に確立できる数を制限します。
このデバイスで IKE を設定します。
デバイスが別のデバイスとの間で確立できるインターネット キー エクスチェンジ(IKE)セキュリティ アソシエーション(SA)の数を制限する方法には、次の 2 つがあります。
crypto call admission limit コマンドを入力して、IKE SA の絶対制限値を設定します。設定された制限値に達すると、デバイスは新しい IKE SA 要求をドロップします。
call admission limit コマンドを入力して、システムリソース制限値を設定します。チャージ単位で設定されたレベルのシステム リソースが使用されている場合、デバイスは新しい IKE SA 要求をドロップします。
コール アドミッション制御(CAC)は新しい SA のみ(つまり、ピア間に SA がまだ存在しないとき)に適用されます。既存の SA を保存するためにあらゆる処置が行われます。新しい SA 要求が拒否されるのは、システム リソースが不足しているか、あるいは設定された IKE SA 制限値に達したことが原因です。
SA(セキュリティ アソシエーション)は、2 つ以上のエンティティがセキュリティ サービスを使用して特定のデータ フローのために安全に通信する方法を記述したものです。IKE は接続のパラメータを識別するために、必ず SA を使用します。IKE では、独自に SA をネゴシエーションして確立できます。IKE SA は、IKE だけで使用され、双方向です。IKE SA は、IPsec を制限できません。
IKE は、ユーザが設定した SA 制限値に基づいて SA 要求をドロップします。IKE SA 制限値を設定するには、crypto call admission limit コマンドを入力します。ピア ルータから新しい SA 要求があると、IKE はアクティブな IKE SA の数とネゴシエーション中の SA の数が、設定された SA 制限値を満たしているか、超えているかを判別します。この数が制限値より大きい、または等しい場合、新しい SA 要求は拒否され、syslog が生成されます。このログには、SA 要求の送信元および宛先 IP アドレスが含まれます。
crypto call admission limit コマンドの ipsec sa number および ike sa number キーワードと引数のペアには、確立された IPsec SA と IKE SA の数の制限値を設定します。
Cisco リリースに基づいて、デバイスで設定できる内部 IKE ネゴシエーション接続の数を制限できます。このタイプの IKE 接続は、認証および実際の確立前のアグレッシブ モード IKE SA またはメイン モード IKE SA を表します。IKEv2 の最大内部ネゴシエーション CAC のデフォルト値は 40 です。
crypto call admission limit ike in-negotiation-sa number コマンドを使用すると、IKE が新しい SA 要求の拒否を開始する前にデバイスが確立できるインターネット キー エクスチェンジ(IKE)と IPsec セキュリティ アソシエーション(SA)の最大数を指定できます。
crypto call admission limit コマンドの all in-negotiation-sa number と ike in-negotiation-sa number のキーワードと引数のペアは、ネゴシエーション時のすべての SA とネゴシエーション時の IKE SA を制限します。
ルータの CPU サイクルまたはメモリ バッファが不足した場合に、IKE がそのことを認識できるように、CAC はグローバル情報リソース モニタをポーリングします。システム リソースの使用量レベルを表す制限値を 1 ~ 100000 までの範囲で設定できます。設定レベルのリソースが使用されると、IKE は SA 要求を廃棄します(新たに受け入れません)。システムリソース使用量の制限を設定するには、call admission limit コマンドを入力します。
新しい着信 SA 要求ごとに、ルータにかかる現在の負荷が数値に変換され、システムリソースの使用量レベルが表示されます。また、この数値と、call admission limit コマンドによって設定されたリソース制限値が比較されます。現在の負荷が、設定されたリソース制限値を超えると、IKE は新しい SA 要求を廃棄します。ルータの負荷には、アクティブな SA、CPU の使用量、および考慮される SA 要求が含まれます。
call admission load コマンドを実行すると、現在のシステムリソース使用量の倍率を表す 0 ~ 1000 の乗数値と 1 ~ 32 秒の負荷メトリックのポーリングレートが設定されます。システム リソースの使用量レベルの数値は、(倍率 * 現在のシステム リソースの使用量)/ 100 という式で計算されます。Cisco Technical Assistance Center(TAC)技術者からの指示がないかぎり、 call admission load コマンドを使用することは推奨しません。
IKE SA の絶対制限値を設定するには、次の作業を実行します。制限値に達すると、ルータは新しい IKE SA 要求を廃棄します。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
crypto call admission limit {all in-negotiation-sa number | ipsec sa number | ike {in-negotiation-sa number | sa number }} Example:
|
ネゴシエーション時の IKE SA の最大数、合計 SA 数、または IKE が新しい SA 要求を拒否し始める前に確立できる IKE SA まはた IPsec SA の最大数を指定します。IKEv1 の推奨 CAC 値は 40 です。 |
Step 4 |
exit Example:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
IKEv2 SA の絶対制限値を設定するには、次の作業を実行します。制限値に達すると、ルータは新しい IKE SA 要求を廃棄します。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
crypto ikev2 limit {max-in-negotiation-sa limit number | max-sa limit number } Example:
|
コール アドミッション制御を次のようにイネーブルにします。
|
Step 4 |
exit Example:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
システム リソースの制限値を設定するには、次の作業を実行します。負荷単位で設定されたレベルのシステム リソースが使用されている場合、ルータは新しい IKE SA 要求を廃棄します。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
call admission limit charge Example:
|
システム リソースを使用する場合、システム リソースのレベルを設定して、IKE による新しい SA 要求の受け入れを停止します。
|
Step 4 |
exit Example:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
IKE 設定の CAC を確認するには、次の手順を実行します。
Step 1 |
show call admission statistics このコマンドを使用して、グローバル CAC コンフィギュレーション パラメータおよび CAC の動作をモニタします。 Example:
|
Step 2 |
show crypto call admission statistics このコマンドを使用して、暗号 CAC 統計情報をモニタします。 Example:
|
次の例では、IKE が新しい SA 要求を拒否し始めるまでの SA の最大値を 25 に指定する方法を示します。
Router(config)# crypto call admission limit ike sa 25
次の例では、負荷単位で設定されたシステム リソースのレベルが 9000 に達したときに、IKE が SA 要求を廃棄するように指定する方法を示します。
Router(config)# call admission limit 9000
関連項目 |
マニュアル タイトル |
---|---|
Cisco IOS コマンド |
|
IKE の設定 |
「Configuring Internet Key Exchange for IPsec VPNs」 |
IKE コマンド |
『Cisco IOS Security Command Reference』 |
標準 |
タイトル |
---|---|
なし |
-- |
MIB |
MIB のリンク |
---|---|
なし |
選択したプラットフォーム、Cisco ソフトウェア リリース、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC |
タイトル |
---|---|
RFC 2409 |
『The Internet Key Exchange』 |
説明 |
リンク |
---|---|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
「Call Admission Control for IKE」 |
12.3(8)T 12.2(18)SXD1 12.4(6)T 12.2(33)SRA 12.2(33)SXH |
IKE 用コール アドミッション制御機能は、Cisco IOS ソフトウェアでのインターネット キー エクスチェンジ(IKE)プロトコルに対し、コール アドミッション制御(CAC)を適用したものです。 この機能は、Cisco IOS Release 12.3(8)T で導入されました。 この機能は Cisco IOS Release 12.2(18)SXD1 に統合され、Cisco 6500 および Cisco 7600 ルータに実装されました。 Cisco IOS Release 12.4(6)T では、ネゴシエーション時の IKE 接続数の制限を設定する機能が追加されました。 この機能に関する詳細については、次の各項を参照してください。 次のコマンドが導入または変更されました。call admission limit 、 clear crypto call admission statistics 、 crypto call admission limit 、 show call admission statistics 、 show crypto call admission statistics 。 |
IKEv1 の強化 |
15.1(3)T |
IKEv1 の強化機能とは、IKE 機能のコール アドミッション制御(CAC)に対して行われた拡張機能を表します。 この機能は、Cisco IOS Release 15.1(3)T で導入されました。 この機能に関する詳細については、次の各項を参照してください。 次のコマンドが導入または変更されました。crypto call admission limit 、 show crypto call admission statistics 。 |