8K GM スケールの改善

8K GM スケールの改善機能では、グループ メンバー(GM)の数を 8000 まで増やすことにより、Cooperative Protocol(COOP)通知メッセージの最適化をサポートします。

8K GM スケールの改善の前提条件

特定のプロトコル バージョンをアップグレードまたはダウングレードするには、グループ メンバー(GM)間で中断のない通信を確保するため、同じポリシー、キー、および GM データベースを維持します。

8K GM スケールの改善に関する情報

8K GM スケールの改善

Cooperative Protocol Announcement(COOP ANN)メッセージには複数のクライアントがあり、各クライアントはプロトコル バージョンに関連付けられます。COOP ANN メッセージは、最大 8000 のグループ メンバー(GM)を保留にし、続いて GM ヘッダーのプロトコル バージョンが上がるように最適化されています。

この機能はまた、GM ヘッダー プロトコル バージョンのアップグレードとダウングレードもサポートします。

8K GM スケールの改善の設定方法

グループ メンバー ヘッダーのプロトコル バージョンのアップグレードとダウングレード

始める前に

  • すべてのキー サーバ(KS)が、ネットワークを 4000 GM 以上に拡張する前に「最適化」プロトコル バージョンにアップグレードされることを確認します。

  • すべてのアップグレードされた KS が、最大で 4000 GM をサポートするネットワークに縮小する前に「基本」プロトコル バージョンにダウングレードされる必要があることを確認します。

手順の概要

  1. enable
  2. configure terminal
  3. crypto gdoi group group-name
  4. server local
  5. redundancy
  6. protocol version {base | optimize}
  7. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto gdoi group group-name

例:

Device(config)# crypto gdoi group GETVPN

GDOI グループを指定し、GDOI グループ コンフィギュレーション モードを開始します。

ステップ 4

server local

例:

Device(config-gdoi-group)# server local

ローカルに定義されているグループ サーバを特定し、GDOI のローカル サーバのコンフィギュレーション モードを開始します。

ステップ 5

redundancy

例:

Device(gdoi-local-server)# redundancy
GDOI COOP KS コンフィギュレーション モードを開始します。

(注)  

 

ローカル サーバの送信元アドレスが定義されていることを確認します。

ステップ 6

protocol version {base | optimize}

例:

Device(gdoi-coop-ks-config)# protocol version optimize
GM ヘッダーのプロトコル バージョンをアップグレードまたはダウングレードします。
  • base : 4000 GM までの COOP ANN メッセージをサポートします。

  • optimize : 8000 GM までの COOP ANN メッセージをサポートします。

ステップ 7

end

例:

Device(gdoi-coop-ks-config)# end

COOP KS コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

8K GM スケールの改善の設定例

例:グループ メンバー ヘッダーのプロトコル バージョンのアップグレード

Device> enable
Device# configure terminal
Device(config)# crypto gdoi group getvpn
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# redundancy
Device(gdoi-coop-ks-config)# protocol version optimize
Device(gdoi-coop-ks-config)# end

例:グループ メンバー ヘッダーのプロトコル バージョンのダウングレード

Device> enable
Device# configure terminal
Device(config)# crypto gdoi group getvpn
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# redundancy
Device(gdoi-coop-ks-config)# protocol version base
Device(gdoi-coop-ks-config)# end

GETVPN での IPSEC 暗号化および復号

GETVPN IPsec フローでは、予期される IPsec フローレコーダで着信トラフィックが復号されない場合があります。復号されたトラフィックは、任意の IPsec SA に記録できます(使用可能な場合)。復号は、ランダムな IPsec フローレコーダで行われる可能性があります。次に、例を示します。

Device# ping vrf cust1 48.1.1.1 so 38.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 48.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 38.1.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Device# show crypto session ivrf cust1  detail | sec permit ip 38.0.0.0
  IPSEC FLOW: permit ip 38.0.0.0/255.0.0.0 48.0.0.0/255.0.0.0 
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins
        Outbound: #pkts enc'ed 5 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins
 
Device# show crypto session ivrf cust1  detail | sec permit ip 48.0.0.0
  IPSEC FLOW: permit ip 48.0.0.0/255.0.0.0 38.0.0.0/255.0.0.0 
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 16 mins

Device# show crypto session ivrf cust1  detail | sec permit ip 45.0.0.0
  IPSEC FLOW: permit ip 45.0.0.0/255.0.0.0 35.0.0.0/255.0.0.0 
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 5 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 15 mins
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) KB Vol Rekey Disabled/1 hours, 15 mins

上記の例では、フロー着信トラフィックは、予期される IPsec フローで復号されません。

この問題を解決し、暗号化されたパケットと復号されたパケットの数を表示するには、次の show コマンドを使用します。次に、show コマンドの出力例を示します。

Device# show crypto gdoi group v6-cust-gdoi1 gm dataplane counters

Data-plane statistics for group v6-cust-gdoi1:
   #pkts encrypt            : 1912   #pkts decrypt            : 1914 
    #pkts tagged (send)      : 1841     #pkts untagged (rcv)     : 1834 
    #pkts no sa (send)       : 0        #pkts invalid sa (rcv)   : 0    
    #pkts encaps fail (send) : 0        #pkts decap fail (rcv)   : 0    
    #pkts invalid prot (rcv) : 0        #pkts verify fail (rcv)  : 0    
    #pkts not tagged (send)  : 0        #pkts not untagged (rcv) : 0    
    #pkts internal err (send): 0        #pkts internal err (rcv) : 0

8K GM スケールの改善のその他の参考資料

関連資料

関連項目

マニュアル タイトル

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command References』

エンタープライズ ネットワークの GET VPN の有効化のための基本的な導入ガイドライン

『Cisco IOS GET VPN Solutions Deployment Guide』

GET VPN ネットワークの設計と実装

『Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide』

標準および RFC

標準/RFC

タイトル

RFC 6407

『The Group Domain of Interpretation』

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
表 1. 機能情報

機能名

リリース

機能情報

8K GM スケールの改善

8K GM スケールの改善機能では、グループ メンバー(GM)の数を 8000 まで増やすことにより、Cooperative Protocol(COOP)通知メッセージの最適化をサポートします。

protocol コマンドが変更されました。