この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IKEv2 ロード バランサ機能は、FlexVPN ゲートウェイのクラスタを有効にするためのサポートを提供し、FlexVPN ゲートウェイ間で受信インターネット キー エクスチェンジ バージョン 2(IKEv2)の接続要求を配信します。この機能は、システムおよび暗号の負荷率に基づいて最も負荷の小さい FlexVPN ゲートウェイに受信 FlexVPN または AnyConnect クライアントの要求をリダイレクトします。
サーバー側の設定として、Hot Standby Router Protocol(HSRP)および FlexVPN サーバー(IKEv2 プロファイル)が設定されていること。
クライアント側の設定として、FlexVPN クライアントが設定されていること。
Cisco IOS XE 17.13.1a リリースでは、IKEv2 ロードバランサは、C8500-12X プラットフォームでのみサポートされます。
IKEv2 要求のリダイレクトは、FQDN(完全修飾ドメイン名)ではなく IP アドレスを使用する場合にのみサポートされます。
クラスタで設定できるノード数の上限は 10 です。
Cisco IOS XE 17.13.1a リリースでは、IPv6 展開で IKEv2 を設定する場合、IKEv2 ロードバランサは単一の VIP(仮想 IP アドレス)のみをサポートします。
ヘッドエンドシステムの場合は、「オンデマンド」ベースで動作するように DPD を設定することをお勧めします。定期的な DPD チェックは、過剰なコントロール プレーン トラフィックを生成し、CPU 使用率の増加やシステムの不安定化につながる可能性があるため、避ける必要があります。
アイドルタイマーは、2 つの IPSec SA ピア間にトラフィックがない場合に期限切れになるように設定されます。有効期限が切れると、システムはセッションを削除します。
IKEv2 ロード バランサに関する情報
IKEv2 ロード バランサ サポート機能は、リモート アクセス クライアントからの要求を、Hot Standby Router Protocol(HSRP)グループまたはクラスタ内の最低負荷ゲートウェイ(LLG)にリダイレクトすることで、クラスタロード バランシング(CLB)ソリューションを提供します。HSRP クラスタは、LAN またはエンタープライズ ネットワーク内のゲートウェイまたは FlexVPN サーバーのグループです。CLB ソリューションは、要求の HSRP クラスタ内 LLG へのリダイレクトにより、RFC 5685 で定義されたインターネット キー エクスチェンジ バージョン 2(IKEv2)リダイレクト メカニズムと連携します。
 Note |
クラスタネットワークを計画するには、ネットワークでホストされるクライアントの数を考慮し、クラスタヘッドエンドで許可される SA の最大数を定義することが重要です。 |
次の図は、IPv4 と IPv6 の両方の展開における IKEv2 クラスタのロード バランシング ソリューションの仕組みを示します。
アクティブ HSRP ゲートウェイは、HSRP グループのプライマリとして選択され、グループの仮想 IP アドレス(VIP)の所有権を取得します。プライマリはクラスタ内にゲートウェイのリストを保持して、各ゲートウェイの負荷を追跡し、FlexVPN クライアントの要求を LLG にリダイレクトします。
残りのゲートウェイは従属と呼ばれ、負荷の更新をプライマリに定期的に送信します。
IKEv2 クライアントが HSRP VIP に接続すると、要求はまずプライマリに到達し、クラスタ内の LLG に順番にリダイレクトされます。
Note |
IPv6 環境で IKEv2 クラスタロードバランシングを設定するには、WAN の VIP および IPv6 アドレスがクラスタの同じサブネットにある必要があります。 |
CLB ソリューションのコンポーネントは次のとおりです。
HSRP
CLB プライマリ
CLB 従属
CLB 通信
IKEv2 リダイレクト メカニズム
Hot Standby Router Protocol(HSRP)は、プライマリ HSRP またはアクティブルータ(AR)を選択するために使用されます。専用デバイスを選択する HSRP では、グループ内の 1 つのデバイスに VIP を設定する必要があります。このアドレスは、グループ内の他デバイスによって学習されます。プライマリに割り当てられた IP アドレスは、グループの VIP として使用されます。HSRP アクティブルータ(「プライマリ CLB」とも呼ばれる)は IKEv2 要求を受信し、クラスタの LLG にこれらの要求をリダイレクトします。リダイレクトが IKEv2 プロトコル レベルで実行されると、以下を実行できるようになります。
FlexVPN クライアントからのすべての要求は、VIP が FlexVPN クライアントで設定されると、プライマリ HSRP で受信される。FlexVPN クライアントが知る必要があるのは HSRP クラスタの VIP のみであるため、FlexVPN クライアントの設定は最小化される。
プライマリ CLB はプライマリ HSRP と同じゲートウェイで実行されるため、すべての従属 CLB の負荷情報が維持される。プライマリ CLB では、要求の効率的なリダイレクトが可能なため、複数のリダイレクトやループを防ぐことができる。
プライマリ CLB は、プライマリ HSRP またはアクティブルータ(AR)上で動作します。プライマリは、従属 CLB から更新を受信し、その負荷条件に基づいてそれらをソートし、負荷が最小のゲートウェイ(LLG)を計算します。プライマリは、LLG の IP アドレスを IKEv2(FlexVPN サーバー上)に送信します。IP アドレスは、LLG との IKEv2 セッションを開始した発信側(FlexVPN クライアント)に送信されます。プライマリは受信する IKEv2 クライアント接続を LLG にリダイレクトします。詳細については、IKEv2 リダイレクト メカニズムを参照してください。
Note |
プライマリルータの IKEv2 クラスタがシャットダウンされると、セカンダリルータの IKEv2 クラスタもシャットダウン状態になります。 |
従属 CLB は、アクティブルータ(AR)上を除いた、HSRP グループ内のすべてのデバイスで動作します。従属は、サーバーに負荷更新を定期的に送信します。従属 CLB は、プライマリ CLB に情報を提供する、フル機能の IKEv2 ゲートウェイです。更新以外にも、従属 CLB は活動管理のメッセージをプライマリ CLB に送信します。
CLB 負荷管理メカニズムは、プライマリ CLB と従属 CLB 間で動作する、TCP ベースのプロトコルです。CLB 負荷管理メカニズムは、プライマリ CLB に従属 CLB の負荷について情報を提供します。この情報に基づいて、プライマリ CLB は、新しく受信する各 IKEv2 接続のセッションを処理する LLG を選択します。
Note |
セカンダリノードは、クラスタ IP を定期的に更新します。同期の問題を回避するために、ネットワーク管理ルーチン内でこれらの更新を適切に管理してください。 |
IKEv2 ロード バランサ サポート機能は、設定が簡単でコスト効率に優れています。
FlexVPN クライアントは、クラスタ内のすべてのゲートウェイの IP アドレスを知る必要はありません。クライアントが知っておく必要があるのは、クラスタの仮想 IP アドレスのみです。
すべての暗号化セッションは、クラスタ内のノードにリダイレクトされます。
IKEv2 リダイレクト メカニズムによって、VPN ゲートウェイは負荷条件およびメンテナンス要件に基づいて FlexVPN クライアント要求を別の VPN ゲートウェイにリダイレクトできます。
IKEv2 リダイレクト メカニズムは、セキュリティ アソシエーション(SA)の初期化(IKE_SA_INIT)と SA 認証(IKE_AUTH)で実行されます。
FlexVPN クライアントまたは AnyConnect クライアントは、最初の IKE_SA_INIT 要求に REDIRECT_SUPPORTED 通知メッセージを含めることで、インターネット キー エクスチェンジ バージョン 2(IKEv2)リダイレクト メカニズムのサポートを示します。crypto ikev2 redirect client コマンドを使用して、クライアントのリダイレクト メカニズムを有効にします。crypto ikev2 redirect gateway init コマンドを使用して、ゲートウェイの IKE_SA_INIT でのリダイレクトを有効にします。
IKEv2 要求を別の新しいゲートウェイにリダイレクトするには、IKE_SA_INIT 要求を受信するゲートウェイが、暗号ロード バランサ(CLB)モジュールのサポートによって、新しいゲートウェイ(この場合は LLG)の IP アドレスまたは完全修飾ドメイン名(FQDN)を選択します。このゲートウェイは、REDIRECT 通知メッセージを含む IKE_SA_INIT 応答で応答します。通知には、IKE_SA_INIT 要求内のペイロードからの新しいゲートウェイやナンス値などの情報が含まれます。IKE_SA_INIT 応答を受信したクライアントは、IKE_SA_INIT 要求で送信されたナンス値とリダイレクト通知で指定されたゲートウェイ情報を検証し、リダイレクト通知が設定のとおりかどうかを確認します。
Note |
ナンス値が一致しない場合、クライアントはその応答を破棄して別の応答を待って、発信側のサービス妨害(DoS)攻撃を防ぎます。IKE_SA_INIT 応答内に攻撃者が不正なリダイレクト ペイロードが挿入すると、DoS 攻撃が発生する場合があります。 |
新しいゲートウェイとの IKE_SA_INIT 交換では、クライアント メッセージに REDIRECTED_FROM 通知ペイロードが含まれます。REDIRECTED_FROM 通知ペイロードは、クライアントにリダイレクトされる送信元 VPN ゲートウェイの IP アドレスで構成されています。IKEv2 交換は、送信元ゲートウェイでの処理と同じように処理されます。
Note |
新しいゲートウェイもクライアントの目的を果たせない場合、クライアントは新しいゲートウェイによって再度リダイレクトされることがあります。クライアントでは、リダイレクト後の新しいゲートウェイとの IKE_SA_INIT 交換に、REDIRECT_SUPPORTED ペイロードは再度含まれません。新しいゲートウェイとの IKE_SA_INIT 交換内に REDIRECTED_FROM 通知ペイロードが存在することは、クライアントが IKEv2 リダイレクト メカニズムをサポートすることを、新しいゲートウェイに示します。 |
詳細なセキュリティ分析によって、IKE_AUTH 中のリダイレクトは IKE_INIT 中のリダイレクトと比較してより安全でも危険でもないことが示されました。ただし、パフォーマンスと拡張性の理由により、シスコは IKE_INIT 中のリダイレクトを推奨します。crypto ikev2 redirect gateway auth コマンドを使用して、ゲートウェイのリダイレクト メカニズムを有効にします。redirect gateway auth コマンドを使用して、選択した IKEv2 プロファイル認証時のリダイレクトを有効にします。
この方法では、クライアント認証ペイロードは、リダイレクト通知ペイロードを送信する前に検証されます。また、クライアントでも、リダイレクト通知に従って動作する前に、ゲートウェイ認証ペイロードが検証されます。任所ペイロードが交換され、正常に検証されると、IKEv2 セキュリティ アソシエーション(SA)が正常に検証され、要求のリダイレクトを決定する INITIAL_CONTACT が処理されます。リダイレクトが有効な場合、ゲートウェイでは IKE SA が作成され、リダイレクト通知で IKE_AUTH 応答が送信されます。
この方法では、子 SA は作成されません。IKE_AUTH には、子 SA に関連するペイロードは含まれません。IKE_AUTH 応答を受信すると、クライアントは、ゲートウェイ認証ペイロードを検証し、削除通知を送信してそのゲートウェイがある IKEv2 SA を削除します。クライアントは、リダイレクト通知ペイロードに従って動作し、新しいゲートウェイとの接続を確立します。クライアントは、削除通知の確認応答を待たずに、新しいゲートウェイとの接続を確立します。IKE_AUTH 交換で Extensible Authentication Protocol(EAP:拡張可能認証プロトコル)認証が呼び出される場合、ゲートウェイでは、リダイレクト ペイロードの送信を最初と最後の IKE_AUTH 応答のどちらで送信するかを選択します。リダイレクトごとに認証情報を指定する必要がないため、EAP 認証は最初の IKE_AUTH 応答に含まれます。
IKEv2 リダイレクト メカニズムは、RFC 5685 に基づいています。ゲートウェイ(IKEv2 応答側)は、標準を実装するクライアント(IKEv2 発信側)と互換性があります。同様に、クライアント(発信者)の実装では、標準を実装しているサード パーティ製サーバー(応答側)との互換性が必要です。負荷管理メカニズムは Cisco 独自のもので、Cisco IOS デバイスでのみサポートされます。
クライアント要求は、正しくない設定またはサービス妨害(DoS)攻撃を理由として、順番に複数回リダイレクトできます。場合によっては、クライアントを他のゲートウェイにリダイレクトする複数のゲートウェイによってクライアントがループに入り、その結果クライアントへのサービスが拒否されることがあります。これを防ぐには、max-redirects number キーワード/引数ペアを指定して crypto ikev2 redirect client コマンドを使用し、特定の IKEv2 セキュリティ アソシエーション(SA)設定について特定数を超えるリダイレクトを受け入れないようにクライアントを設定します。
IKEv2 クラスタの再接続機能によって、Cisco AnyConnect クライアントはクラスタ内のサーバーに再接続できます。crypto ikev2 reconnect key は、クライアントにプッシュされた不明瞭なデータを暗号化するためにサーバーに導入されています。障害を検出すると、クライアントは、認証クレデンシャルの入力を再度要求せずに新規または既存のサーバーと再接続します。
キー インデックス値は 2 つのみ(1 および 2)です。いずれかの時点で、これを使用して設定されたキーの 1 つがアクティブになります。IOS サーバーで再接続キーの CLI を使用して再接続キーが設定されている場合、Cisco IOS サーバーは再接続データを復号できます。これは、キーがバックアップ キーのみの場合にも当てはまります。
この機能は、authentication コマンドで IKEv2 プロファイルの認証方式として anyconnect-eap キーワードを指定した場合にはサポートされません。
IPv4 展開の IKEv2 ロードバランサの設定方法
Hot Standby Router Protocol(HSRP)は、プライマリ HSRP またはアクティブルータ(AR)を選択するために使用されます。専用デバイスを選択する HSRP では、グループ内の 1 つのデバイスに VIP を設定する必要があります。このアドレスは、グループ内の他デバイスによって学習されます。プライマリに割り当てられた IP アドレスは、グループの VIP として使用されます。HSRP アクティブルータ(「プライマリ CLB」とも呼ばれる)は IKEv2 要求を受信し、クラスタの LLG にこれらの要求をリダイレクトします。リダイレクトが IKEv2 プロトコル レベルで実行されると、以下を実行できるようになります。
FlexVPN クライアントからのすべての要求は、VIP が FlexVPN クライアントで設定されると、プライマリ HSRP で受信される。FlexVPN クライアントが知る必要があるのは HSRP クラスタの VIP のみであるため、FlexVPN クライアントの設定は最小化される。
プライマリ CLB はプライマリ HSRP と同じゲートウェイで実行されるため、すべての従属 CLB の負荷情報が維持される。プライマリ CLB では、要求の効率的なリダイレクトが可能なため、複数のリダイレクトやループを防ぐことができる。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
interface type number Example: |
インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 4 |
ip address ip-address mask [secondary] Example: |
インターフェイスのプライマリ IP アドレスまたはセカンダリ IP アドレスを指定します。 |
|
Step 5 |
standby [group-number] priority priority Example: |
HSRP 優先度を設定します。 |
|
Step 6 |
standby group-name Example: |
HSRP スタンバイ グループの名前を指定します。 |
|
Step 7 |
exit Example: |
グローバル コンフィギュレーション モードに戻ります。 |
|
Step 8 |
手順 3 ~ 7 を繰り返して、別のクラスタに HSRP グループを設定します。 |
— |
Note |
Cisco IOS XE 17.14.1a 以降では、負荷不足の正規化のデフォルト設定が 5 に更新されました。展開でカスタム設定が必要な場合を除き、ご使用の設定がこの新しいデフォルトに適合していることを確認してください。 |
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
crypto ikev2 cluster Example: |
IKEv2 クラスタ ポリシーを定義し、IKEv2 クラスタ コンフィギュレーション モードを開始します。 |
||
|
Step 4 |
holdtime milliseconds Example: |
(オプション)ピアからのメッセージを受信する時間をミリ秒単位で指定します。
|
||
|
Step 5 |
master { overload-limit percent | weight { crypto-load weight-number | system-load weight-number}} Example: |
HSRP クラスタのプライマリの設定を指定します。
|
||
|
Step 6 |
port port-number Example: |
(任意)クラスタプライマリのリッスンポートを指定します。 |
||
|
Step 7 |
slave { hello milliseconds | max-session number | priority number | update milliseconds} Example: |
HSRP グループの従属ゲートウェイ設定を指定します。
|
||
|
Step 8 |
standby-group group-name Example: |
従属が含まれている HSRP グループを定義します。
|
||
|
Step 9 |
shutdown Example: |
(オプション)IKEv2 クラスタ ポリシーを無効にします。 |
||
|
Step 10 |
exit Example: |
IKEv2 クラスタ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
||
|
Step 11 |
crypto ikev2 reconnect key key index active name Example: |
セッション再接続の IKEv2 不透明型データ サポートを有効にします。
|
||
|
Step 12 |
end Example: |
IKEv2 クラスタ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
crypto ikev2 redirect gateway init Example: |
SA 開始中に、ゲートウェイで IKEv2 リダイレクト メカニズムを有効にします。 |
|
Step 4 |
end Example: |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
crypto ikev2 redirect client [max-redirects number] Example: |
FlexVPN クライアントで IKEv2 リダイレクト メカニズムを有効にします。
|
|
Step 4 |
end Example: |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
デッドピア検出を使用すれば、ルータに対し、そのインターネット キー エクスチェンジ(IKE)ピアの活性を定期的に照会するよう設定できます。DPD は一部の設定ではオプションですが、IKEv2 クラスタ機能には推奨され、すべての条件下でクラスタロードバランシング(CLB)には必須です。クラスタ設定をセットアップするときに、プライマリノードとセカンダリノードの両方で DPD が設定されていることを確認します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
dpd interval retry-interval {on-demand | periodic} Example: |
ピアを次のようにライブでチェックできるようにします。
|
|
Step 4 |
exit Example: |
グローバル コンフィギュレーション モードに戻ります。 |
IPv4 展開の IKEv2 ロードバランサの設定例
次の例では、プライオリティ 110 で Hot Standby Router Protocol(HSRP)グループのアクティブ ルータとして設定された RouterA を示します。デフォルトのプライオリティ レベルは 100 です。この HSRP グループには、group1 のグループ名が割り当てられます。グループ名は、クラスタ ポリシーに記載されています。
Device(config)# hostname RouterA
Device(config)# interface GigabitEthernet 0/0/0
Device(config-if)# ip address 10.0.0.1 255.255.255.0
Device(config-if)# standby 1 priority 110
Device(config-if)# standby group1
Device(config-if)# end次の例は、IKEv2 で負荷管理メカニズムを設定する方法を示します。
Device> enable
Device# configure terminal
Device(config)# crypto ikev2 cluster
Device(config-ikev2-cluster)# holdtime 10000
Device(config-ikev2-cluster)# master crypto-load 10
Device(config-ikev2-cluster)# port 2000
Device(config-ikev2-cluster)# slave priority 90
Device(config-ikev2-cluster)# standby-group group1
Device(config-ikev2-cluster)# shutdown
Device(config-ikev2-cluster)# end次の例は、クライアント上およびゲートウェイでの開始中にリダイレクト メカニズムを有効にする方法を示します。
Device> enable
Device# configure terminal
Device(config)# crypto ikev2 redirect client
Device(config)# crypto ikev2 redirect gateway init
Device(config)# end次の例は、サーバーで再接続キーを有効にする方法を示します。
Device> enable
Device# configure terminal
Device(config)# crypto ikev2 reconnect key 1 active key
Device(config)# crypto ikev2 reconnect key 2 test
Device(config)# endIPv6 展開の IKEv2 ロードバランサの設定方法
Note |
Cisco IOS XE 17.13.1a 以降、IPv6 トポロジでの IKEv2 クラスタのロードバランシングサポートが導入されました。IPv6 トポロジの設定手順で、IPv4 トポロジで使用されるキーワード master および slave に対応するキーワード primary および secondary を参照するようになりました。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
interface type number Example: |
インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 4 |
ip address ip-address mask [secondary] Example: |
インターフェイスのプライマリ IP アドレスまたはセカンダリ IP アドレスを指定します。 |
|
Step 5 |
standby [group-number] priority priority Example: |
HSRP 優先度を設定します。 |
|
Step 6 |
standby group-name Example: |
HSRP スタンバイ グループの名前を指定します。 |
|
Step 7 |
standby delay mimimum [seconds] Example: |
HSRP 優先度を設定します。 |
|
Step 8 |
standby version 2 Example: |
HSRP 優先度を設定します。 |
|
Step 9 |
exit Example: |
グローバル コンフィギュレーション モードに戻ります。 |
|
Step 10 |
手順 3 ~ 7 を繰り返して、別のクラスタに HSRP グループを設定します。 |
— |
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
crypto ikev2 cluster Example: |
IKEv2 クラスタ ポリシーを定義し、IKEv2 クラスタ コンフィギュレーション モードを開始します。 |
||
|
Step 4 |
holdtime milliseconds Example: |
(オプション)ピアからのメッセージを受信する時間をミリ秒単位で指定します。
|
||
|
Step 5 |
primary { overload-limit percent | weight { crypto-load weight-number | system-load weight-number}} Example: |
HSRP クラスタのプライマリの設定を指定します。
|
||
|
Step 6 |
port port-number Example: |
(任意)クラスタプライマリのリッスンポートを指定します。 |
||
|
Step 7 |
secondary { hello milliseconds | max-session number | priority number | update milliseconds} Example: |
HSRP グループの従属ゲートウェイ設定を指定します。
|
||
|
Step 8 |
standby-group group-name Example: |
従属が含まれている HSRP グループを定義します。
|
||
|
Step 9 |
shutdown Example: |
(オプション)IKEv2 クラスタ ポリシーを無効にします。 |
||
|
Step 10 |
exit Example: |
IKEv2 クラスタ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
||
|
Step 11 |
end Example: |
IKEv2 クラスタ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
crypto ikev2 redirect gateway init Example: |
SA 開始中に、ゲートウェイで IKEv2 リダイレクト メカニズムを有効にします。 |
|
Step 4 |
end Example: |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
crypto ikev2 redirect client [max-redirects number] Example: |
FlexVPN クライアントで IKEv2 リダイレクト メカニズムを有効にします。
|
|
Step 4 |
end Example: |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
IKEv2 ロードバランササポートのオプションパラメータの設定
指定した時間が経過した後に非アクティブなピアの SA をドロップするように IPSec SA アイドルタイマーを設定できます。この設定は、オプションです。
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
crypto ipsec security-association idle-time seconds Example: |
IPsec SA アイドル タイマーを設定します。 seconds 引数では、アイドル タイマーが非アクティブ ピアによる SA の維持を許可する時間を秒単位で指定します。seconds 引数の有効な値の範囲は 60 ~ 86400 です。
|
||
|
Step 4 |
exit Example: |
グローバル コンフィギュレーション モードに戻ります。 |
デッドピア検出を使用すれば、ルータに対し、そのインターネット キー エクスチェンジ(IKE)ピアの活性を定期的に照会するよう設定できます。DPD は一部の設定ではオプションですが、IKEv2 クラスタ機能には推奨され、すべての条件下でクラスタロードバランシング(CLB)には必須です。クラスタ設定をセットアップするときに、プライマリノードとセカンダリノードの両方で DPD が設定されていることを確認します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
dpd interval retry-interval {on-demand | periodic} Example: |
ピアを次のようにライブでチェックできるようにします。
|
|
Step 4 |
exit Example: |
グローバル コンフィギュレーション モードに戻ります。 |
IPv6 展開の IKEv2 ロードバランサの設定例
次の例では、プライオリティ 110 で Hot Standby Router Protocol(HSRP)グループのアクティブ ルータとして設定された RouterA を示します。デフォルトのプライオリティ レベルは 100 です。この HSRP グループには、group1 のグループ名が割り当てられます。グループ名は、クラスタ ポリシーに記載されています。
Device(config)# hostname RouterA
Device(config)# interface GigabitEthernet 0/0/0
Device(config-if)# ip address 2001:DB8::1
Device(config-if)# standby 1 priority 110
Device(config-if)# standby group 1
Device(config-if)# standby version 1
Device(config-if)# end次の例は、IKEv2 で負荷管理メカニズムを設定する方法を示します。
Device> enable
Device# configure terminal
Device(config)# crypto ikev2 cluster
Device(config-ikev2-cluster)# holdtime 10000
Device(config-ikev2-cluster)# primary crypto-load 10
Device(config-ikev2-cluster)# port 2000
Device(config-ikev2-cluster)# secondary priority 90
Device(config-ikev2-cluster)# standby-group group1
Device(config-ikev2-cluster)# shutdown
Device(config-ikev2-cluster)# end次の例は、クライアント上およびゲートウェイでの開始中にリダイレクト メカニズムを有効にする方法を示します。
Device> enable
Device# configure terminal
Device(config)# crypto ikev2 redirect client
Device(config)# crypto ikev2 redirect gateway init
Device(config)# endインターネット キー エクスチェンジ バージョン 2(IKEv2)クラスタポリシーの設定を表示するには、特権 EXEC モードで show crypto ikev2 cluster コマンドを使用します。
次に、HSRP プライマリゲートウェイに関する show crypto ikev2 cluster コマンドの出力例を示します。
Device# show crypto ikev2 cluster
Role : CLB Primary
Status : Up
CLB Secondary : 2
Cluster IP : 2001:DB8::10
Hold time : 15000 msec
Overload limit : 80%
Codes : '*' Least loaded, '-' Overloaded
Load statistics:
Gateway Role Last-seen Prio Load IKE FQDN
-------------------------------------------------------------
2001:DB8::1 Primary -- 100 26.6% 3996
2001:DB8::2 Second 00:01.452 100 26.6% 3999
2001:DB8::3 Second 00:00.271 100 26.6% 4006
Note |
セカンダリサーバーは、更新メッセージの設定に基づいて、暗号負荷とシステム負荷の詳細を共有します。これらの要素は、LLG の識別に役立ちます。これらの詳細は静的ではないため、負荷は均等または直線的に分散されません。 |
次に、HSRP セカンダリゲートウェイに関する show crypto ikev2 cluster コマンドの出力例を示します。
Role : CLB Secondary
Status : Up
Cluster IP : 1:1:1::100
Hold time : 15000 msec
Hello-interval : 5000 msec
Update-interval: 6000 msec
Load statistics:
Gateway Last-Ack Prio Load IKE FQDN
------------------------------------------------------
1:1:1::2 00:02.671 100 51.0% 2793
インターネット キー エクスチェンジ バージョン 2(IKEv2)クラスタポリシーの設定と追加の詳細を表示するには、特権 EXEC モードで show crypto ikev2 cluster details コマンドを使用します。
Device# show crypto ikev2 cluster details
Gateway Priority In-neg Crypto CPU Mem Composite Prioritized
---------------------------------------------------------------------------------------
1:1:1::6 100 2.5% 17.4% 43% 20% 43.0% 43.0%
1:1:1::3 100 0.0% 17.5% 39% 23% 39.0% 39.0%
1:1:1::2 100 0.0% 17.0% 40% 18% 40.0% 40.0%
1:1:1::5 100 0.0% 18.9% 43% 17% 43.0% 43.0%
1:1:1::1 100 0.0% 16.3% 40% 19% 40.0% 40.0%
1:1:1::4 100 0.0% 16.3% 42% 16% 42.0% 42.0%
インターネット キー エクスチェンジ バージョン 2(IKEv2)セキュリティ アソシエーション(SA)の統計を表示するには、特権 EXEC モードで show crypto ikev2 cluster stats command を使用します。
Device# show crypto ikev2 cluster stats
Gateway Priority In-neg Crypto CPU Mem Composite Prioritized
---------------------------------------------------------------------------------------
1:1:1::6 100 2.5% 17.4% 43% 20% 43.0% 43.0%
1:1:1::3 100 0.0% 17.5% 39% 23% 39.0% 39.0%
1:1:1::2 100 0.0% 17.0% 40% 18% 40.0% 40.0%
1:1:1::5 100 0.0% 18.9% 43% 17% 43.0% 43.0%
1:1:1::1 100 0.0% 16.3% 40% 19% 40.0% 40.0%
1:1:1::4 100 0.0% 16.3% 42% 16% 42.0% 42.0%
|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS コマンド |
|
|
セキュリティ コマンド |
|
|
HSRP コンフィギュレーション |
『Configuring HSRP』 |
|
HSRP コマンド |
『Cisco IOS First Hop Redundancy Protocols Command Reference』 |
|
標準/RFC |
タイトル |
|---|---|
|
RFC 5685 |
Redirect Mechanism for the Internet Key Exchange Protocol Version 2 (IKEv2) |
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
AnyConnect のクラスタ再接続との IKEv2 高速コンバージェンス |
15.6(1)T Cisco IOS XE リリース 3.17S |
AnyConnect のクラスタ再接続との IKEv2 高速コンバージェンス機能では、Cisco AnyConnect クライアントはクラスタ内の任意のサーバーと再接続できます。 次のコマンドが導入または変更されました: crypto ikev2 reconnect key |
|
IKEv2 ロード バランサのサポート |
Cisco IOS XE Release 3.8S |
IKEv2 ロード バランサ サポート機能は、要求を最低負荷ゲートウェイにリダイレクトすることで、FlexVPN クライアントから受信する IKEv2 要求を、IKEv2 FlexVPN サーバー間またはゲートウェイ間で分散します。 次のコマンドが導入または変更されました。 crypto ikev2 cluster, crypto ikev2 redirect, holdtime, primary (IKEv2), port (IKEv2), redirect gateway, subordinate (IKEv2), standby-group, show crypto ikev2 cluster, show crypto ikev2 sa. |
|
IPv6 展開での IKEv2 ロードバランサのサポート |
Cisco IOS XE リリース 17.13.1a |
IPv6 展開での IKEv2 ロードバランサのサポートは、C8500-12X プラットフォーム用にのみ導入されました。 |
フィードバック