IPsec は、インターネット技術特別調査委員会（IETF）によって開発されたオープン規格のフレームワークです。IPSec は、インターネットなどの保護されていないネットワークを使用して機密情報を送信する場合に、セキュリティを提供します。IPsec はネットワーク層で機能し、Cisco ルータなどの参加している IPsec 装置（ピア）間のインターネット プロトコル（IP）パケットを保護および認証します。

IPSec は、次のネットワーク セキュリティ サービスを提供します。これらのサービスはオプションです。一般に、ローカル セキュリティ ポリシーにより、これらのサービスを 1 つ以上使用するよう指示されます。

• データ機密性：ネットワークにパケットを伝送する前に IPSec 送信側がパケットを暗号化できます。

• データ整合性：IPSec 受信者は、IPSec 送信者から送信されたパケットを認証し、伝送中にデータが変更されていないかを確認できます。

• データ送信元認証：IPSec 受信者は、送信された IPSec パケットの送信元を認証できます。

• アンチ リプレイ：IPsec 受信者は再送されたパケットを検出し、拒否できます。

IPSec を使用すれば、データを、観察、変更、またはスプーフィングされることを心配することなく、パブリック ネットワークを介して転送できます。これにより、インターネット、エクストラネット、およびリモート ユーザー アクセスを含む、バーチャル プライベート ネットワーク（VPN）などのアプリケーションが可能となります。

IPsec は、2 つのピア（2 台のルータなど）間にセキュア トンネルを確立します。機密性が高く、セキュア トンネルを介して送信する必要があるパケットを定義し、セキュア トンネルの特性を指定することによって、機密性の高いパケットを保護するパラメータを定義します。IPsec ピアによってこのように機密性の高いパケットが検出されたら、そのピアによって、適切な、セキュアなトンネルが設定され、そのパケットがトンネルからリモート ピアに送信されます。

VPN クライアントでは、DPD と呼ばれるキープアライブ メカニズムが使用され、IPsec トンネルの反対側の VPN デバイスが利用できるかどうかがチェックされます。ネットワークが極端にビジーだったり、信頼性が低下していたりした場合、ピアがこれからアクティブになることがないかどうか判断するまで VPN クライアントが待機する時間の秒数を増加できます。

トラフィックが受信されると、キープアライブ パケットは送信されません。これにより、DPD に関連したオーバーヘッドが低下します。高い負荷がかかっているネットワーク上では、トラフィックがトンネル上で受信されるために、送信されるキープアライブ パケットがきわめて少なくなるからです。さらに、DPD によってキープアライブ パケットが送信されるのは、送信されるユーザ トラフィックがある（そして受信されるユーザ トラフィックがない）場合だけです。

インターネット キー交換（IKE）を、発信ユーザ データが存在しているかどうかにかかわらず DPD によってキープアライブ パケットが送信されるように設定できます。つまり、受信ユーザ データがないかぎり、キープアライブパケットは設定されたキープアライブ インターバルで送信されます。

接続タイムアウトが発生した場合、現在のピアへの接続は終了します。set peer コマンドを使用すれば、最初のピアをデフォルトピアとして設定できます。デフォルト ピアが存在している状態で次回の接続が開始された場合、その接続は、ピア リスト内の次のピアではなく、デフォルト ピアに直接接続されます。デフォルト ピアの応答がない場合、ピア リスト内の次のピアが現在のピアとなり、クリプト マップを介した次からの接続では、そのピアが試行されます。

この機能は、物理リンク上のトラフィックがリモート ピアの障害により停止した場合に便利です。DPD によって、リモート ピアが使用できないことが示されますが、そのピアは現在のピアのままです。

デフォルト ピアによって、過去に使用不可になったがサービスに復帰した優先ピアへのフェールオーバーが容易になります。ユーザは、特定のピアに対してフェールオーバーのイベントにおけるプリファレンスを与えることが可能です。これは、元の障害の原因がリモート ピアの障害ではなく、ネットワーク接続の問題であった場合に便利です。

ルータでピアの IPSec セキュリティ アソシエーション（SA）を作成する場合、SA を維持するためのリソースを割り当てる必要があります。SA には、メモリと、複数の管理されたタイマーが必要です。ピアがアイドル状態だと、それらのリソースが無駄になってしまいます。あまりに多くのリソースがアイドル状態のピアによって浪費されてしまうと、ルータによる他のピアとの新しい SA の作成ができなくなる可能性があります。

IPsec SA アイドル タイマーを使用すると、アイドル状態のピアに関連した SA を削除することによってリソースの可用性を高めることが可能です。IPsec SA アイドル タイマーによってアイドル状態のピアによるリソースの浪費が防止されるので、必要に応じて新しい SA を作成するためにより多くのリソースを利用できるようになります。

IPsec SA アイドル タイマーが設定されていない場合、IPsec SA のグローバル ライフタイムだけが適用されます。SA は、ピアのアクティビティと関わりなく、グローバル タイマーが有効期限切れになるまで維持されます。

現在のピアへのすべての接続がタイムアウトした場合、次に接続が開始された時には、 set peer コマンドで設定されたデフォルトピアに直接接続されます。デフォルト ピアが設定されていない状態で接続タイムアウトが発生した場合、現在のピアはタイムアウトしたピアのままになります。

この機能拡張により、過去に使用不可になったが現在では稼働中の優先ピアに対するフェールオーバーが容易になります。

クリプト マップ セットには複数のエントリを含めることができ、それぞれが異なるアクセス リストに対応します。ルータでは、クリプト マップ エントリが順番に検索され、そのエントリ内で指定されたアクセス リストとパケットの照合が試行されます。

パケットが特定のアクセスリスト内の permit エントリと一致し、対応するクリプトマップエントリが Cisco としてタグが付けられていた場合、クリプトマップ内のピア設定ステートメントで指定されたリモートピアとの接続が確立されます。