8K GM スケールの改善の前提条件
特定のプロトコル バージョンをアップグレードまたはダウングレードするには、グループ メンバー(GM)間で中断のない通信を確保するため、同じポリシー、キー、および GM データベースを維持します。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
8K GM スケールの改善機能では、グループ メンバー(GM)の数を 8000 まで増やすことにより、Cooperative Protocol(COOP)通知メッセージの最適化をサポートします。
特定のプロトコル バージョンをアップグレードまたはダウングレードするには、グループ メンバー(GM)間で中断のない通信を確保するため、同じポリシー、キー、および GM データベースを維持します。
8K GM スケールの改善に関する情報
Cooperative Protocol Announcement(COOP ANN)メッセージには複数のクライアントがあり、各クライアントはプロトコル バージョンに関連付けられます。COOP ANN メッセージは、最大 8000 のグループ メンバー(GM)を保留にし、続いて GM ヘッダーのプロトコル バージョンが上がるように最適化されています。
この機能はまた、GM ヘッダー プロトコル バージョンのアップグレードとダウングレードもサポートします。
8K GM スケールの改善の設定方法
すべてのキー サーバ(KS)が、ネットワークを 4000 GM 以上に拡張する前に「最適化」プロトコル バージョンにアップグレードされることを確認します。
すべてのアップグレードされた KS が、最大で 4000 GM をサポートするネットワークに縮小する前に「基本」プロトコル バージョンにダウングレードされる必要があることを確認します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
crypto gdoi group group-name 例:
|
GDOI グループを指定し、GDOI グループ コンフィギュレーション モードを開始します。 |
||
ステップ 4 |
server local 例:
|
ローカルに定義されているグループ サーバを特定し、GDOI のローカル サーバのコンフィギュレーション モードを開始します。 |
||
ステップ 5 |
redundancy 例:
|
|
||
ステップ 6 |
protocol version {base | optimize} 例:
|
|
||
ステップ 7 |
end 例:
|
COOP KS コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
8K GM スケールの改善の設定例
Device> enable
Device# configure terminal
Device(config)# crypto gdoi group getvpn
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# redundancy
Device(gdoi-coop-ks-config)# protocol version optimize
Device(gdoi-coop-ks-config)# end
Device> enable
Device# configure terminal
Device(config)# crypto gdoi group getvpn
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# redundancy
Device(gdoi-coop-ks-config)# protocol version base
Device(gdoi-coop-ks-config)# end
GETVPN IPsec フローでは、予期される IPsec フローレコーダで着信トラフィックが復号されない場合があります。復号されたトラフィックは、任意の IPsec SA に記録できます(使用可能な場合)。復号は、ランダムな IPsec フローレコーダで行われる可能性があります。次に、例を示します。
Device# ping vrf cust1 48.1.1.1 so 38.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 48.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 38.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Device# show crypto session ivrf cust1 detail | sec permit ip 38.0.0.0
IPSEC FLOW: permit ip 38.0.0.0/255.0.0.0 48.0.0.0/255.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins
Outbound: #pkts enc'ed 5 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins
Device# show crypto session ivrf cust1 detail | sec permit ip 48.0.0.0
IPSEC FLOW: permit ip 48.0.0.0/255.0.0.0 38.0.0.0/255.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins
Device# show crypto session ivrf cust1 detail | sec permit ip 45.0.0.0
IPSEC FLOW: permit ip 45.0.0.0/255.0.0.0 35.0.0.0/255.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 5 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 15 mins
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 15 mins
上記の例では、フロー着信トラフィックは、予期される IPsec フローで復号されません。
この問題を解決し、暗号化されたパケットと復号されたパケットの数を表示するには、次の show コマンドを使用します。次に、show コマンドの出力例を示します。
Device# show crypto gdoi group v6-cust-gdoi1 gm dataplane counters
Data-plane statistics for group v6-cust-gdoi1:
#pkts encrypt : 1912 #pkts decrypt : 1914
#pkts tagged (send) : 1841 #pkts untagged (rcv) : 1834
#pkts no sa (send) : 0 #pkts invalid sa (rcv) : 0
#pkts encaps fail (send) : 0 #pkts decap fail (rcv) : 0
#pkts invalid prot (rcv) : 0 #pkts verify fail (rcv) : 0
#pkts not tagged (send) : 0 #pkts not untagged (rcv) : 0
#pkts internal err (send): 0 #pkts internal err (rcv) : 0
関連項目 |
マニュアル タイトル |
---|---|
Cisco IOS セキュリティ コマンド |
『Cisco IOS Security Command References』 |
エンタープライズ ネットワークの GET VPN の有効化のための基本的な導入ガイドライン |
『Cisco IOS GET VPN Solutions Deployment Guide』 |
GET VPN ネットワークの設計と実装 |
『Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide』 |
標準/RFC |
タイトル |
---|---|
RFC 6407 |
『The Group Domain of Interpretation』 |
説明 |
リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
8K GM スケールの改善 |
8K GM スケールの改善機能では、グループ メンバー(GM)の数を 8000 まで増やすことにより、Cooperative Protocol(COOP)通知メッセージの最適化をサポートします。 protocol コマンドが変更されました。 |