- はじめに
-
- 認証の設定
- RADIUS 許可の変更
- AAA 認証のメッセージ バナー
- サーバ グループ レベルでの AAA ドメイン ストリッピング
- AAA Double Authentication Secured by Absolute Timeout
- AAA RADIUS レコードのスロットリング
- RADIUS パケット オブ ディスコネクト
- AAA 認可および AAA 認証のキャッシュ
- 認可の設定
- アカウンティングの設定
- AAA-SERVER-MIB Set Operation
- Per VRF AAA
- AAA の IPv6 サポート
- TACACS+ over IPv6
- AAA Dead-Server Detection
- Login Password Retry Lockout
- MSCHAP バージョン 2
- AAA ブロードキャスト アカウンティング - 必須応答サポート
- コモン クライテリアに準拠したパスワードの強度と管理
- AAA 用のセキュアな可逆パスワード
-
- IP アクセス リストの概要
- IP アクセス リストの作成とインターフェイスへの適用
- IP オプション、TCP フラグ、非隣接ポート、をフィルタする IP アクセス リストの作成
- FQDN ACL の設定
- IP アクセス リストの精緻化
- IP 名前付きアクセス コントロール リスト
- 注釈付きの IP アクセス リスト エントリ
- 標準 IP アクセス リストのロギング
- IP アクセス リスト エントリ シーケンス番号
- ロック アンド キー セキュリティの設定(ダイナミックアクセス リスト)
- ACL IP オプションの選択的ドロップ
- ACL 管理性を使用した IP アクセス リスト データの表示及びクリア
- ACL Syslog 相関
- IPv6 アクセス コントロール リスト
- IPv6 ACL 未決定トランスポートサポート
- テンプレート ACL の設定
- IPv6 テンプレート ACL
- IPv4 ACL チェーニング サポート
- 共通 ACL による IPv6 ACL チェーニング
- ホップ バイ ホップ フィルタリングに対応するための IPv6 ACL の拡張
- セキュリティ(ACL)の拡張機能
- ACL の IPv6 オブジェクトグループ
-
- RADIUS の設定
- 複数の UDP ポート用の RADIUS
- 許可用の AAA Dialed Number Information Service(DNIS)マップ
- AAA サーバグループ
- RADIUS アカウンティング内の Framed-Route
- RFC-2867 RADIUS トンネル アカウンティング
- RADIUS 論理回線 ID
- RADIUS ルート ダウンロード
- RADIUS サーバー ロード バランシング
- RADIUS サーバー障害発生時順序変更
- アカウンティングの RADIUS 個別再送信カウンタ
- RADIUS VC ロギング
- RADIUS 集中型フィルタ管理
- RADIUS EAP サポート
- コール接続時の RADIUS 暫定アップデート
- ロード バランシングおよびフェールオーバー用の RADIUS トンネル プリファレンス
-
- 『RADIUS Attributes Overview and RADIUS IETF Attributes』
- RADIUS ベンダー固有属性
- RADIUS ベンダー固有属性および RADIUS Disconnect-Cause 属性値
- Connect-Info RADIUS 属性 77
- 暗号化されたベンダー固有属性
- アクセス要求内の RADIUS 属性 8 Framed-IP-Address
- RADIUS 属性 82 トンネル割り当て ID
- RADIUS トンネル属性拡張
- RADIUS 属性 66 Tunnel-Client-Endpoint 拡張
- RADIUS 属性値スクリーニング
- RADIUS 属性 55 Event-Timestamp
- RADIUS 属性 104
- RADIUS NAS-IP-Address 属性設定可能性
- サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマット
-
- Cisco TrustSec の概要
- Cisco TrustSec SGT Exchange Protocol IPv4
- TrustSec SGT の処理:L2 SGT のインポジションと転送
- Cisco TrustSec SGT Exchange Protocol IPv4 の前提条件
- 双方向 SXP サポートの有効化
- Cisco TrustSec インターフェイスと SGT のマッピング
- Cisco TrustSec サブネットと SGT のマッピング
- Cisco TrustSec フィールドの Flexible NetFlow エクスポート
- Cisco TrustSec SGT キャッシング
- CTS SGACL のサポート
- TrustSec 動作データへの外部アクセス
-
- ゾーンベース ポリシー ファイアウォール
- ゾーンベース ポリシー ファイアウォールの IPv6 サポート
- VRF 対応 Cisco IOS XE ファイアウォール
- レイヤ 2 トランスペアレント ファイアウォール
- ゾーンベース ポリシー ファイアウォールに対するネストされたクラス マップ サポート
- ゾーン不一致処理
- ファイアウォール ステートフル シャーシ間冗長性の設定
- Cisco CSR1000v ルータに対するファイアウォール ボックスツーボックス ハイ アベイラビリティ サポート
- ゾーンベース ファイアウォールと NAT に対するシャーシ間非対称ルーティング サポート
- IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
- ICMP のファイアウォール ステートフル インスペクション
- LISP とゾーンベース ファイアウォールの統合と相互運用性
- アプリケーション認識型ファイアウォール
- Skinny Client Control Protocol のファイアウォール サポート
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
- VRF 対応ソフトウェア インフラストラクチャの設定
- IPv6 ファイアウォールに対する FTP66 ALG サポート
- 分散型サービス妨害攻撃に対する保護
- ファイアウォール リソース管理の設定
- IPv6 ファイアウォールでの分散型サービス妨害攻撃の防止およびリソース管理のサポート
- フローあたりの同時パケットの設定可能数
- ファイアウォール高速ロギング
- TCP リセット セグメント制御
- ゾーンベース ポリシー ファイアウォールでの TCP ウィンドウ スケーリングのルーズ チェック オプション
- ゾーンベース ポリシー ファイアウォールでの ALG と AIC の有効化
- ファイアウォール TCP SYN Cookie の設定
- ACL のオブジェクト グループ
- Cisco ファイアウォール SIP 機能拡張 ALG
- ファイアウォールと NAT に対する MSRPC ALG サポート
- ファイアウォールと NAT に対する Sun RPC ALG サポート
- ゾーンベース ファイアウォール ALG および AIC 条件付きデバッグおよびパケットトレースのサポート
- ファイアウォールと NAT に対するハイ アベイラビリティ サポートを使用した ALG - H.323 vTCP
- NAT とファイアウォールの SIP ALG 強化
- DoS 攻撃に対する SIP ALG レジリエンス
-
- Cisco Group Encrypted Transport VPN
- GET VPN GM の削除とポリシー トリガー
- GET VPN の GDOI MIB サポート
- GET VPN の復元力
- GETVPN 復元力 GM - エラー検出
- GETVPN CRL チェック
- スイート B での GET VPN のサポート
- Cisco TrustSec の IPsec インライン タギングの GET VPN サポート
- GETVPN GDOI バイパス
- GETVPN G-IKEv2
- 8K GM スケールの改善
- GET VPN 相互運用性
- GETVPN の Perfect Forward Secrecy
- Index
暗号条件付きデバッグ サポート
暗号条件付きデバッグ サポート機能では、新しい debug コマンドが導入され、これらのコマンドにより、ユーザは、ピア IP アドレス、暗号エンジンの接続 ID、セキュリティ パラメータ インデックス(SPI)などの事前に定義された暗号条件に基づいて IP セキュリティ(IPSec)トンネルをデバッグできます。特定の IPsec 処理に限定してデバッグ メッセージを表示し、デバッグ出力の量を減らすことにより、多数のトンネルを使用するルータを効率的にトラブルシューティングできます。
暗号条件付きデバッグ サポートの制約事項
-
条件付きデバッグは、特定のピアまたは機能に関連するインターネット キー交換(IKE)および IPSec の問題をトラブルシューティングする際に役立ちますが、デバッグ条件が多すぎると、そのデバッグ条件を定義およびチェックできない場合があります。デバッグ条件値を保管するために空き領域が余分に必要となるため、CPU の処理オーバーヘッドが増加し、メモリ使用量も増加します。したがって、大量のトラフィックを処理するルータで暗号条件付きデバッグをイネーブルにする場合は、注意が必要です。
暗号条件付きデバッグ サポートに関する情報
サポートされる条件タイプ
Note |
ipv4 または ipv6 キーワードを指定した debug crypto condition peer コマンドは、ハードウェア プラットフォーム固有のデバッグ出力を提供できます。残りの条件フィルタは、プラットフォーム固有のデバッグ出力を提供しません。 |
条件タイプ(キーワード) |
説明 |
---|---|
connid 1 |
1 ~ 32766 の整数。現在の IPSec 処理で、この値が暗号エンジンのあるインターフェイスへの接続 ID として使用されている場合、関連するデバッグ メッセージが表示されます。 |
FVRF |
バーチャル プライベート ネットワーク(VPN)ルーティング/転送(VRF)インスタンスの名前を表す文字列。この VRF インスタンスが、現在の IPSec 処理で、前面扉 VRF(FVRF)として使用されている場合、関連するデバッグ メッセージが表示されます。 |
ikev2 |
IKEv2 プロファイルの名前文字列。IKEv2 プロファイル名が指定された場合は、関連するデバッグ メッセージが表示されます。 |
isakmp |
ISAKMP プロファイルの名前文字列。ISAKMP プロファイル名が指定された場合は、関連するデバッグ メッセージが表示されます。 |
IVRF |
VRF インスタンスの名前を表す文字列。この VRF インスタンスが、現在の IPSec 処理で、内部 VRF(IVRF)として使用されている場合、関連するデバッグ メッセージが表示されます。 |
local |
IPv4 または IPv6 ローカル アドレスの名前文字列。 |
peer group |
Unity グループ名を表す文字列。このグループ名をピアがアイデンティティとして使用している場合、関連するデバッグ メッセージが表示されます。 |
peer hostname |
完全修飾ドメイン名(FQDN)を表す文字列。この文字列をピアがアイデンティティとして使用している場合、関連するデバッグ メッセージが示されます(たとえば、ピアがこの FQDN 文字列を使用して IKE Xauth をイネーブルにする場合)。 |
peer ipv4 または peer ipv6 |
単一の IP アドレス。現在の IPSec 処理が、このピアの IP アドレスに関係している場合、関連するデバッグ メッセージが表示されます。 |
peer subnet |
ピアの IP アドレスの範囲を指定するサブネットおよびサブネットマスク。現在の IPSec ピアの IP アドレスが、指定したサブネット範囲に属する場合、関連するデバッグ メッセージが表示されます。 |
peer username |
ユーザ名を表す文字列。このユーザ名をピアがアイデンティティとして使用している場合、関連するデバッグ メッセージが示されます(たとえば、ピアがこのユーザ名を使用して IKE 拡張認証(Xauth)をイネーブルにする場合)。 |
session |
暗号セッションに関する情報を提供します。 |
SPI |
32 ビットの符号なし整数。現在の IPSec 処理がこの値を SPI として使用する場合、関連するデバッグ メッセージが表示されます。 |
unmatched |
コンテキスト情報が使用できない場合にデバッグ メッセージを提供します。 |
暗号条件付きデバッグ サポートのイネーブル化方法
暗号条件付きデバッグ メッセージのイネーブル化
パフォーマンス上の考慮事項
-
暗号条件付きデバッギングをイネーブルにする前に、使用するデバッグ条件タイプ(デバッグ フィルタとしても知られる)および値を決める必要があります。デバッグ メッセージの量は、定義する条件数によって異なります。
Note |
多数のデバッグ条件を指定すると、CPU サイクルが消費され、ルータのパフォーマンスに悪影響を及ぼすことがあります。 |
-
ルータによって条件付きデバッグが実行されるのは、最低 1 つのグローバル crypto debug コマンド(debug crypto isakmp 、debug crypto ipsec 、および debug crypto engine )がイネーブルに設定されている場合に限られます。この要件により、条件付きデバッグを使用していないときは、ルータのパフォーマンスに影響が出ないようになっています。
暗号条件付きデバッグのディセーブル化
暗号条件付きデバッグをディセーブルにするには、発行済みのグローバルな暗号デバッグ CLI を事前にディセーブルにする必要があります。その後で、条件付デバッグをディセーブルにできます。
Note |
reset キーワードを使用すると、設定されたすべての条件を同時にディセーブルにできます。 |
SUMMARY STEPS
- enable
- debug crypto condition [connid integer engine-id integer ] [flowid integer engine-id integer ] [fvrf string ] [ivrf string ] [peer [group string ] [hostname string ] [ipv4 ipaddress ] [subnet subnet mask ] [username string ]] [spi integer ] [reset ]
- show crypto debug-condition {[peer ] [connid ] [spi ] [fvrf ] [ivrf ] [unmatched ]}
- debug crypto isakmp
- debug crypto ipsec
- debug crypto engine
- debug crypto condition unmatched [isakmp | ipsec | engine ]
DETAILED STEPS
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
debug crypto condition [connid integer engine-id integer ] [flowid integer engine-id integer ] [fvrf string ] [ivrf string ] [peer [group string ] [hostname string ] [ipv4 ipaddress ] [subnet subnet mask ] [username string ]] [spi integer ] [reset ] Example:
|
条件付きデバッグ フィルタを定義します。 |
Step 3 |
show crypto debug-condition {[peer ] [connid ] [spi ] [fvrf ] [ivrf ] [unmatched ]} Example:
|
ルータ上ですでにイネーブルに設定されている暗号デバッグ条件を表示します。 |
Step 4 |
debug crypto isakmp Example:
|
グローバル IKE デバッグをイネーブルにします。 |
Step 5 |
debug crypto ipsec Example:
|
グローバル IPSec デバッグをイネーブルにします。 |
Step 6 |
debug crypto engine Example:
|
グローバル暗号エンジン デバッグをイネーブルにします。 |
Step 7 |
debug crypto condition unmatched [isakmp | ipsec | engine ] Example:
|
(任意)デバッグ条件をチェックするためのコンテキスト情報がない場合、デバッグ条件付き暗号メッセージを表示します。 オプションのキーワードを指定しない場合は、暗号関連のすべての情報が表示されます。 |
暗号エラー デバッグ メッセージのイネーブル化
暗号エラー デバッグ フィルタリングをイネーブルにするには、次の作業を実行する必要があります。
デバッグ暗号エラー CLI
debug crypto error コマンドを有効にすると、エラーに関連するデバッグメッセージだけが表示されます。これにより、IKE ネゴシエーションなどの暗号処理がシステム内で失敗した理由を簡単に判別できます。
Note |
このコマンドをイネーブルにする場合は、グローバル暗号 debug コマンドがイネーブルに設定されていないことを確認してください。設定されていると、グローバル コマンドによってエラー関連のデバッグ メッセージが上書きされます。 |
SUMMARY STEPS
- enable
- debug crypto isakmp | ipsec | engine } error
DETAILED STEPS
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
debug crypto isakmp | ipsec | engine } error Example:
|
暗号エリアに関するエラー デバッグ メッセージだけをイネーブルにします。 |
暗号条件付きデバッグ CLI の設定例
暗号条件付きデバッグのイネーブル化の例
次の例では、ピアの IP アドレスが 10.1.1.1、10.1.1.2、または 10.1.1.3 で、暗号エンジン 0 の接続 ID に 2000 が使用されている場合のデバッグ メッセージの表示例を示します。また、この例では、グローバルデバッグ暗号 CLI をイネーブルする方法と、show crypto debug-condition コマンドをイネーブルにして条件付きの設定を確認する方法も示します。
Router#
debug crypto condition connid 2000 engine-id 1
Router#
debug crypto condition peer ipv4 10.1.1.1
Router#
debug crypto condition peer ipv4 10.1.1.2
Router#
debug crypto condition peer ipv4 10.1.1.3
Router#
debug crypto condition unmatched
! Verify crypto conditional settings.
Router#
show crypto debug-condition
Crypto conditional debug currently is turned ON
IKE debug context unmatched flag:ON
IPsec debug context unmatched flag:ON
Crypto Engine debug context unmatched flag:ON
IKE peer IP address filters:
10.1.1.1 10.1.1.2 10.1.1.3
Connection-id filters:[connid:engine_id]2000:1,
! Enable global crypto CLIs to start conditional debugging.
Router#
debug crypto isakmp
Router#
debug crypto ipsec
Router#
debug crypto engine
暗号条件付きデバッグのディセーブル化の例
次の例では、すべての暗号条件付き設定をディセーブルにし、またこれらの設定がディセーブルになったことを確認する方法を示します。
Router#
debug crypto condition reset
! Verify that all crypto conditional settings have been disabled.
Router#
show crypto debug-condition
Crypto conditional debug currently is turned OFF
IKE debug context unmatched flag:OFF
IPsec debug context unmatched flag:OFF
Crypto Engine debug context unmatched flag:OFF
その他の参考資料
ここでは、暗号条件付きデバッグ サポート機能に関する関連資料について説明します。
関連資料
関連項目 |
マニュアル タイトル |
---|---|
IPSec および IKE 設定作業 |
『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Internet Key Exchange for IPsec VPNs」の章 |
IPSec および IKE コマンド |
『Cisco IOS Security Command Reference』 |
標準
標準 |
タイトル |
---|---|
なし |
-- |
MIB
MIB |
MIB のリンク |
---|---|
なし |
選択したプラットフォーム、Cisco IOS XE リリース、およびフィーチャ セットの MIB を検索してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
RFC |
タイトル |
---|---|
なし |
-- |
シスコのテクニカル サポート
説明 |
リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
暗号条件付きデバッグ サポートに関する機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。