IPsec VPN ハイアベイラビリティ拡張機能
IPsec VPN ハイアベイラビリティ拡張機能に関する情報
- Reverse Route Injection
- ホットスタンバイルータプロトコルおよび IPsec
IPsec VPN ハイアベイラビリティ拡張機能の設定方法
HSRP を使用した仮想トンネルインターフェイスでのハイアベイラビリティ冗長性の設定
- デバイス A および B の IPsec 仮想トンネルインターフェイスでの HA の設定
- リモートデバイスでの IPsec 仮想トンネルインターフェイスの設定
IPsec VPN ハイアベイラビリティ拡張機能の設定例
その他の参考資料
IPsec VPN ハイアベイラビリティ拡張機能の機能情報

IPsec VPN ハイアベイラビリティ拡張機能

IPsec VPN ハイアベイラビリティ拡張機能：逆ルート注入（RRI）およびホットスタンバイルータプロトコル（HSRP）と IPsec。これらの 2 つの機能を一緒に使用すると、VPN におけるネットワーク設計を簡素化できるほか、ゲートウェイリストを定義する場合にリモートピアの設定の複雑さを低減することができます。

Note

セキュリティに対する脅威は、脅威からの保護に役立つ暗号化技術と同様に絶え間なく変化しています。シスコの暗号化に関する最新の推奨事項の詳細は、『Next Generation Encryption』（NGE）ホワイトペーパーを参照してください。

IPsec VPN ハイアベイラビリティ拡張機能に関する情報

Reverse Route Injection

逆ルート注入（RRI）は、冗長性やロードバランシングが求められるバーチャルプライベートネットワーク（VPN）のネットワーク設計を簡素化します。RRI は、ダイナミッククリプトマップとスタティッククリプトマップのどちらを使用する場合でも適用できます。

RRI には次の利点があります。

複数の（冗長な）VPN ヘッドエンドデバイスがある環境で、IPsec トラフィックを特定の VPN ヘッドエンドデバイスにルーティングできます。
特に、リモートデバイスのルートフラッピングが多く発生する環境で IKE キープアライブを使用するとき、ヘッドエンドデバイス間のリモートセッションの予測可能なフェールオーバー時間を保証します（ルート収束の効果は考慮されません。これは、使用されるルーティングプロトコルとネットワークの規模によって異なるためです）。
ルートが動的にアップストリームデバイスで学習されるので、アップストリームデバイス上でスタティックルートを管理する必要はありません。

ダイナミッククリプトマップと連動する場合、リモートピアが RRI 対応のルータとの IPsec セキュリティアソシエーション（SA）を確立すると、スタティックルートが、そのリモートピアによって保護されたサブネットまたはホストごとに作成されます。スタティッククリプトマップの場合、スタティックルートが拡張アクセスリストルールの各宛先に対して作成されます。アクセスコントロールリスト（ACL）を持つスタティッククリプトマップで RRI を使用すると、IPsec SA のネゴシエーションがなくても、ルートは常に存在します。

Note

RRI を使用する ACL では、any キーワードを使用できません。

作成されたルートは任意のダイナミックルーティングプロトコルに注入され、周囲のデバイスに配布されます。このトラフィックフローでは、IPsec を正しい SA 全体に転送するために適切な RRI ルータに誘導し、IPsec ポリシーの不一致およびパケット喪失を回避する必要があります。

次の図は、RRI 設定機能のトポロジを示します。リモート A にルータ A がサービスを提供し、リモート B はルータ B に接続します。このようにして、セントラルサイトにある VPN ゲートウェイ全体にロードバランシングを提供します。セントラルサイトのデバイスの RRI により、ネットワーク内部の他のルータは、正しい転送判断を自動的に実行できるようになります。また、RRI により、内部ルータのスタティックルートを管理する必要がなくなります。

ホットスタンバイルータプロトコルおよび IPsec

ホットスタンバイルータプロトコル（HSRP）は、1 つのルータのアベイラビリティに頼らなくても、イーサネットネットワークのホストから IP トラフィックをルーティングすることで、ネットワークのハイアベイラビリティを実現します。HSRP は、ICMP Router Discovery Protocol（IRDP）などのルータディスカバリプロトコルをサポートしないホスト、および選択したルータがリロードしたときまたはオフになったときに新しいルータに切り替える機能を備えていないホストには特に便利です。この機能がないと、ルータ障害が原因でデフォルトゲートウェイを失うルータはネットワークと通信できません。

HSRP は、スタンバイコマンドラインインターフェイス（CLI）コマンドを使用して LAN インターフェイス上に設定できます。インターフェイスから、ローカル IPsec ID またはローカルトンネルエンドポイントとしてスタンバイ IP アドレスを使用できます。

スタンバイ IP アドレスをトンネルエンドポイントとして使用すると、HSRP を使用してフェールオーバーを VPN ルータに適用できます。リモート VPN ゲートウェイは、HSRP グループ内のアクティブデバイスに所属するスタンバイアドレスを使用してローカル VPN ルータに接続します。フェールオーバーの際、スタンバイデバイスはスタンバイ IP アドレスの所有権を引き継いで、リモート VPN ゲートウェイへのサービスを開始します。

フェールオーバーは、HSRP を使用して VPN ルータに適用できます。リモート VPN ゲートウェイは、HSRP グループ内のアクティブデバイスに所属するスタンバイアドレスを使用してローカル VPN ルータに接続します。この機能では、定義の必要があるのは HSRP スタンバイアドレスだけなので、ゲートウェイリストの定義に関してリモートピア上での設定の複雑さが軽減されます。

次の図は、拡張 HSRP 機能のトポロジを示します。トラフィックは、スタンバイグループのアクティブ装置である、アクティブルータ P でサービスが提供されています。フェールオーバーが発生した場合、トラフィックは、元のスタンバイ装置であるルータ S に迂回されます。ルータ S は新しいアクティブルータの役割を想定し、スタンバイ IP アドレスの所有権を引き継ぎます。

Note

フェールオーバーの場合、HSRP は、VPN ルータ間の IPsec 状態情報の転送を促進しません。つまり、この状態の転送が行われない場合、リモートに対する SA が削除され、インターネットキー交換（IKE）および IPsec SA を再確立する必要があります。IPsec フェールオーバーをさらに効率的に行うために、IKE キープアライブをすべてのルータ上でイネーブルにすることを推奨します。

IPsec VPN ハイアベイラビリティ拡張機能の設定方法

ダイナミッククリプトマップでの逆ルート注入の設定

標準スタティッククリプトマップエントリのようなダイナミッククリプトマップエントリは各セットにグループ化されます。セットは、すべて同じダイナミックマップ名を持つダイナミッククリプトマップエントリのグループですが、ダイナミックシーケンス番号はそれぞれ異なります。セットの各メンバーは、RRI に設定できます。

ダイナミッククリプトマップエントリを作成し、RRI をイネーブルにするには、この項の手順を実行します。

SUMMARY STEPS

enable
configure terminal
crypto dynamic-map map-name seq-num
set transform-set
reverse-route

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Router> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Router# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	crypto dynamic-map `map-name` `seq-num` Example: `Router(config)# crypto dynamic-map mymap`	ダイナミッククリプトマップエントリを作成し、クリプトマップコンフィギュレーションモードを開始します。
Step 4	set transform-set Example: `Router(config-crypto-m)#set transform-set`	このクリプトマップエントリで許可するトランスフォームセットを指定します。複数のトランスフォームセットをプライオリティの順に表示します（最もプライオリティの高いものを先頭に表示）。このエントリは、ダイナミッククリプトマップエントリで必要とされる唯一の設定文です。
Step 5	reverse-route Example: `Router(config-crypto-m)#reverse-route`	送信元プロキシの情報を作成します。

スタティッククリプトマップでの逆ルート注入の設定

スタティッククリプトマップに RRI を設定する前に、次の内容に注意してください。

逆ルートが mymap 2 でイネーブルになっていない場合、ルートはアクセスリスト 102 に基づいて作成されません。RRI は、デフォルトでイネーブルになっておらず、ルータ設定に表示されません。
アップストリームデバイスに VPN ルートを配布するには、ルーティングプロトコルをイネーブルにしてください。
RRI 用に設定された VPN ルータ上でシスコエクスプレスフォワーディング（CEF）が実行されている場合は、ネクストホップデバイスを使用して、RRI 注入されたネットワークごとに隣接を設定する必要があります。これらのルートに対してネクストホップがルーティングテーブルで明示的に定義されていないので、プロキシ ARP をネクストホップルータ上でイネーブルにする必要があります（このルータによりそのデバイスのレイヤ 2 アドレスを使用して CEF 隣接関係を設定できます）。RRI 注入ルートが多い場合、RRI ルートが表す各サブネットからエントリがデバイスごとに作成されるので、隣接関係テーブルが非常に大きくなることがあります。

スタティッククリプトマップセットに RRI を追加するには、この項の手順を実行します。

SUMMARY STEPS

enable
configure terminal
crypto map map-name seq-num ipsec-isakmp
set peer ip-address
reverse-route
match address
set transform-set transform-set-name

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Router> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Router# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	crypto map `map-name` `seq-num` ipsec-isakmp Example: `Router(config)#crypto map mymap 3 ipsec-isakmp`	ダイナミッククリプトマップセットをスタティッククリプトマップセットに追加し、インターフェイスコンフィギュレーションモードを開始します。
Step 4	set peer `ip-address` Example: `Router(config-if)#set peer 209.165.200.248`	クリプトマップエントリに対して IPsec ピアの IP アドレスを指定します。
Step 5	reverse-route Example: `Router (config-if)#reverse-route`	スタティックルートをクリプトアクセスコントロールリスト（ACL）に基づいて動的に作成します。
Step 6	match address Example: `Router(config-if)# match address`	クリプトマップエントリの拡張アクセスリストを指定します。
Step 7	set transform-set `transform-set-name` Example: `Router (config-if)# set transform-set my_t_set1`	このクリプトマップエントリで許可するトランスフォームセットを指定します。複数のトランスフォームセットをプライオリティ順（最高のプライオリティのものが最初）に列挙します。

IPsec を使用した HSRP の設定

IPsec を使用して HSRP を設定する場合、次の条件を満たさなければならないことがあります。

スタンバイ IP アドレスまたはスタンバイ名をインターフェイス上で変更した場合、HSRP をインターフェイス上のクリプトマップに適用するときに、クリプトマップを再度適用する必要があります。
HSRP がインターフェイス上のクリプトマップに適用され、そのインターフェイスからスタンバイ IP アドレスまたはスタンバイ名を削除した場合、暗号トンネルエンドポイントは、そのインターフェイスの実際の IP アドレスに再初期化されます。
IPsec フェールオーバーの要件があるインターフェイスにスタンバイ IP アドレスおよびスタンバイ名を追加する場合、適切な冗長情報を使用してクリプトマップを再度適用する必要があります。
スタンバイプライオリティは、アクティブルータとスタンバイルータ上で等しくなる必要があります。等しくない場合、プライオリティが高いルータがアクティブルータを引き継ぎます。以前アクティブだったルータが再度アップ状態になり、ただちにアクティブロールを引き継いたためスタンバイの報告がされず同期化しない場合、接続は廃棄されます。
HSRP 追跡されるインターフェイスの、スタンバイルータおよびアクティブルータ上の IP アドレスは、他方のルータより低く、あるいは高くする必要があります。プライオリティが等しい（HA 要件）場合、HSRP はアクティブ状態に基づいた IP アドレスを割り当てます。ルータ A のパブリック IP アドレスはルータ B のパブリック IP アドレスよりも低いが、プライベートインターフェイスに関してはその逆になるようなアドレッシング方式が存在する場合、アクティブ/スタンバイとスタンバイ/アクティブのように分裂した状況が発生し、接続が切断される可能性があります。

Note

IPsec を使用せずに HSRP を設定するには、『IP Application Services Configuration Guide』の「Configuring IP Services」モジュールを参照してください。

インターフェイスにクリプトマップセットを適用するには、この項の手順を実行します。

SUMMARY STEPS

enable
configure terminal
interface type slot / port
standby name group-name
standby ip ip-address
crypto map map-name redundancy [standby-name ]

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Router>enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Router#configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	interface `type` `slot` / `port` Example: `Router(config)#interface GigabitEthernet 0/0`	インターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。
Step 4	standby name `group-name` Example: `Router(config-if)#standby name mygroup`	スタンバイのグループ名を指定します。
Step 5	standby ip `ip-address` Example: `Router(config-if)#standby ip 209.165.200.249`	スタンバイグループの IP アドレスを指定します。グループ内のデバイスごとにこのコマンドが必要です。
Step 6	crypto map `map-name` redundancy [`standby-name` ] Example: `Router (config-if)#crypto map mymap redundancy`	IPsec のトンネルエンドポイントとして IP 冗長アドレスを指定します。

VPN IPsec 暗号設定の確認

SUMMARY STEPS

enable
show crypto ipsec transform-set
show crypto map [interface interface | tag map-name ]
show crypto ipsec sa [map map-name | address | identity ] [detail ]
show crypto dynamic-map [tag map-name ]

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Router> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	show crypto ipsec transform-set Example: `Router#show crypto ipsec transform-set`	トランスフォームセットの設定を表示します。
Step 3	show crypto map [interface `interface` \| tag `map-name` ] Example: `Router#show crypto map tag mycryptomap`	クリプトマップコンフィギュレーションを表示します。
Step 4	show crypto ipsec sa [map `map-name` \| address \| identity ] [detail ] Example: `Router#show crypto ipsec sa address detail`	IPsec SA に関する情報を表示します。
Step 5	show crypto dynamic-map [tag `map-name` ] Example: `Router#show crypto dynamic-map tag mymap`	ダイナミッククリプトマップに関する情報を表示します。

HSRP を使用した仮想トンネルインターフェイスでのハイアベイラビリティ冗長性の設定

Hot Standby Router Protocol（HSRP）を使用して、仮想トンネルインターフェイス（VTI）で IPsec のハイアベイラビリティ（HA）冗長性を設定し、アクティブ HSRP デバイスとリモートデバイスの間で IPsec セッションを確立できます。このトポロジでは、リモートデバイスが、優先順位設定に基づいて HSRP アクティブデバイスとの IPsec セッションを確立します。優先順位が高いデバイスが、アクティブデバイスとして動作します。アクティブデバイスがダウンすると、スタンバイデバイスから新しい IPsec セッションが確立されます。

図 3. HSRP を使用した仮想トンネルインターフェイスの冗長性ハイアベイラビリティを示すトポロジ

HSRP を使用して仮想トンネルインターフェイスの HA 冗長性を設定するには、次の手順を実行します。

デバイス A とデバイス B を HA 設定で設定します。
VTI トンネルの送信元アドレスは、物理インターフェイスの VIP アドレスを指す必要があります。
HSRP ペアのアクティブデバイスへの IPsec セッションを確立するようにリモートデバイスを設定します。

デバイス A および B の IPsec 仮想トンネルインターフェイスでの HA の設定

SUMMARY STEPS

enable
configure terminal
crypto IPsec profile profile-name
set transform-set transform-set-name [transform-set-name2...transform-set-name6]
set ikev2 profile ikev2 profile-name
crypto ikev2 dpd interval retry-interval {on-demand | periodic}
exit
interface type number
ip address address mask
tunnel source ip address
tunnel mode ipsec ipv4
tunnel destination ip-address
tunnel protection IPsec profile profile-name
exit
interface type slot/port number
ip address address mask
standbygroup-number ip [IP [secondary]]
standbygroup-number priority priority name
standbygroup-number preempt
standbygroup-number name name
standbygroup-number track type [interface-priority]
negotiate auto
exit
interface type slot/port number
ip address address mask
standbygroup-number ip [IP [secondary]]
standbygroup-number priority priority name
standbygroup-number preempt
standbygroup-number track type [interface-priority]
negotiate auto
exit
同じ手順を繰り返して、デバイス B を設定します。

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	crypto IPsec profile `profile-name` Example: `Device(config)# crypto IPsec profile TUNNEL-PROFILE-SITE`	2 つの IPsec デバイス間の IPsec 暗号化に使用される IPsec パラメータを定義して、IPsec プロファイルコンフィギュレーションモードを開始します。
Step 4	set transform-set `transform-set-name` [`transform-set-name2...transform-set-name6`] Example: `Device(config-ipsec-profile)# set transform-set tset1`	使用可能なトランスフォームセットを指定します。
Step 5	set ikev2 profile `ikev2 profile-name` Example: `Device(config-ipsec-profile)# set ikev2-profile ikev2profile`	使用可能なトランスフォームセットを指定します。
Step 6	crypto ikev2 dpd `interval retry-interval` {on-demand \| periodic} Example: `Device(config-ikev2-profile)# crypto ikev2 dpd 10 2 periodic`	この手順は任意です。（任意）プロファイルと一致したピアの Dead Peer Detection（DPD; デッドピア検出）をグローバルに設定します。デフォルトでは、Dead Peer Detection（DPD; デッドピア検出）は無効化されています。
Step 7	exit Example: `Device(ipsec-profile)# exit`	IPsec プロファイルコンフィギュレーションモードを終了して、グローバルコンフィギュレーションモードを開始します。
Step 8	interface `type` `number` Example: `Device(config)# interface tunnel 10`	トンネルが設定されるインターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。
Step 9	ip address `address` `mask` Example: `Device(config-if)# ip address 10.10.10.1 255.255.255.0`	IP アドレスおよびマスクを指定します。
Step 10	tunnel source `ip address` Example: `Device(config-if)# tunnel source 2.2.2.1`	トンネル送信元アドレスを指定します。IPsec HA の場合、このトンネル送信元アドレスは、トンネルを終端する物理インターフェイスの HSRP VIP（仮想 IP）アドレスを指す必要があります。
Step 11	tunnel mode ipsec ipv4 Example: `Device(config-if)# tunnel mode ipsec ipv4`	トンネルのモードを定義します。
Step 12	tunnel destination `ip-address` Example: `Device(config-if)# tunnel destination 3.3.3.5`	トンネルの宛先の IP アドレスを指定します。
Step 13	tunnel protection IPsec profile `profile-name` Example: `Device(config-if)# tunnel protection IPsec profile TUNNEL-PROFILE-SITE`	トンネルインターフェイスを IPsec プロファイルに関連付けます。
Step 14	exit Example: `Device(config-if)# exit`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。
Step 15	interface type slot/port `number` Example: `Device(config)# interface GigabitEthernet0/0/0`	ギガビットイーサネットインターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。
Step 16	ip address `address` `mask` Example: `Device(config-if)# ip address 2.2.2.2 255.255.255.0`	IP アドレスおよびマスクを指定します。
Step 17	standby`group-number` ip [`IP` [secondary]] Example: `Device(config-if)# standby 1 ip 2.2.2.1`	Hot Standby Router Protocol（HSRP）をアクティブにするスタンバイ IPアドレスを指定します。
Step 18	standby`group-number` priority `priority name` Example: `Device(config-if)# standby 1 priority 105`	Hot Standby Router Protocol（HSRP）をアクティブにするスタンバイ優先順位を指定します。
Step 19	standby`group-number` preempt Example: `Device(config-if)# standby 1 preempt`	Hot Standby Router Protocol（HSRP）をアクティブにするスタンバイプリエンプトを指定します。
Step 20	standby`group-number` name `name` Example: `Device(config-if)# standby 1 name IPSEC-VTI-HA`	Hot Standby Router Protocol（HSRP）をアクティブにするスタンバイ名を指定します。
Step 21	standby`group-number` track `type` [`interface-priority`] Example: `Device(config-if)# standby 1 track 200 decrement 10`	他のインターフェイスを追跡するインターフェイスを指定します。これにより、他のインターフェイスの 1 つがダウンした場合は、そのデバイスのホットスタンバイ優先順位が減少します。
Step 22	negotiate auto Example: `Device(config-if)# negotiation auto`	ギガビットイーサネットインターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーションプロトコルで設定できるようにします。
Step 23	exit Example: `Device(config-if)# exit`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。
Step 24	interface type slot/port `number` Example: `Device(config)# interface GigabitEthernet0/0/1`	ギガビットイーサネットインターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。
Step 25	ip address `address` `mask` Example: `Device(config-if)# ip address 1.1.1.2 255.255.255.0`	IP アドレスおよびマスクを指定します。
Step 26	standby`group-number` ip [`IP` [secondary]] Example: `Device(config-if)# standby 2 ip 1.1.1.1`	Hot Standby Router Protocol（HSRP）をアクティブにするスタンバイ IPアドレスを指定します。
Step 27	standby`group-number` priority `priority name` Example: `Device(config-if)# standby 2 priority 105`	Hot Standby Router Protocol（HSRP）をアクティブにするスタンバイ優先順位を指定します。
Step 28	standby`group-number` preempt Example: `Device(config-if)# standby 2 preempt`	Hot Standby Router Protocol（HSRP）をアクティブにするスタンバイプリエンプトを指定します。
Step 29	standby`group-number` track `type` [`interface-priority`] Example: `Device(config-if)# standby 2 track 100 decrement 10`	他のインターフェイスを追跡するインターフェイスを指定します。これにより、他のインターフェイスの 1 つがダウンした場合は、そのデバイスのホットスタンバイ優先順位が減少します。
Step 30	negotiate auto Example: `Device(config-if)# negotiation auto`	ギガビットイーサネットインターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーションプロトコルで設定できるようにします。
Step 31	exit Example: `Device(config-if)# exit`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。
Step 32	同じ手順を繰り返して、デバイス B を設定します。

リモートデバイスでの IPsec 仮想トンネルインターフェイスの設定

SUMMARY STEPS

enable
configure terminal
crypto IPsec profile profile-name
set transform-set transform-set-name [transform-set-name2...transform-set-name6]
set ikev2 profile ikev2 profile-name
crypto ikev2 dpd interval retry-interval {on-demand | periodic}
exit
interface type number
ip address address mask
tunnel source interface-type interface-number
tunnel mode ipsec ipv4
tunnel destination ip-address
tunnel protection IPsec profile profile-name
exit
interface type slot/port number
ip address address mask
negotiate auto
exit

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	crypto IPsec profile `profile-name` Example: `Device(config)# crypto IPsec profile TUNNEL-PROFILE-SITE`	2 つの IPsec デバイス間の IPsec 暗号化に使用される IPsec パラメータを定義して、IPsec プロファイルコンフィギュレーションモードを開始します。
Step 4	set transform-set `transform-set-name` [`transform-set-name2...transform-set-name6`] Example: `Device(config-ipsec-profile)# set transform-set tset1`	使用可能なトランスフォームセットを指定します。
Step 5	set ikev2 profile `ikev2 profile-name` Example: `Device(config-ipsec-profile)# set ikev2-profile ikev2profile`	使用可能なトランスフォームセットを指定します。
Step 6	crypto ikev2 dpd `interval retry-interval` {on-demand \| periodic} Example: `Device(config-ikev2-profile)# crypto ikev2 dpd 10 2 periodic`	この手順は任意です。（任意）プロファイルと一致したピアの Dead Peer Detection（DPD; デッドピア検出）をグローバルに設定します。デフォルトでは、Dead Peer Detection（DPD; デッドピア検出）は無効化されています。
Step 7	exit Example: `Device(ipsec-profile)# exit`	IPsec プロファイルコンフィギュレーションモードを終了して、グローバルコンフィギュレーションモードを開始します。
Step 8	interface `type` `number` Example: `Device(config)# interface tunnel 10`	トンネルが設定されるインターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。
Step 9	ip address `address` `mask` Example: `Device(config-if)# ip address 10.10.10.254 255.255.255.0`	IP アドレスおよびマスクを指定します。
Step 10	tunnel source `interface-type` `interface-number` Example: `Device(config-if)# tunnel source 3.3.3.5`	トンネルの送信元インターフェイスを指定します。
Step 11	tunnel mode ipsec ipv4 Example: `Device(config-if)# tunnel mode ipsec ipv4`	トンネルのモードを定義します。
Step 12	tunnel destination `ip-address` Example: `Device(config-if)# tunnel destination 2.2.2.1`	トンネルの宛先の IP アドレスを指定します。
Step 13	tunnel protection IPsec profile `profile-name` Example: `Device(config-if)# tunnel protection IPsec profile TUNNEL-PROFILE-SITE`	トンネルインターフェイスを IPsec プロファイルに関連付けます。
Step 14	exit Example: `Device(config-if)# exit`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。
Step 15	interface type slot/port `number` Example: `Device(config)# interface GigabitEthernet0/0/1`	ギガビットイーサネットインターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。
Step 16	ip address `address` `mask` Example: `Device(config-if)# ip address 3.3.3.5 255.255.255.0`	IP アドレスおよびマスクを指定します。
Step 17	negotiate auto Example: `Device(config-if)# negotiation auto`	ギガビットイーサネットインターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーションプロトコルで設定できるようにします。
Step 18	exit Example: `Device(config-if)# exit`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

IPsec VPN ハイアベイラビリティ拡張機能の設定例

例：ダイナミッククリプトマップでの逆ルート注入の設定

次の例では、ダイナミッククリプトマップテンプレートの定義で reverse-route コマンドを使用することにより、接続しているリモート IPsec ピアによって保護されている、すべてのリモートプロキシ（サブネットまたはホスト）に対してルートが確実に作成されるようにします。


crypto dynamic mydynmap 1
 set transform-set my-transform-set
 reverse-route

このテンプレートは、「親」クリプトマップ文に関連付けられてから、インターフェイスに適用されます。


crypto map mymap 3 ipsec-isakmp dynamic mydynmap
 interface FastEthernet 0/0
 crypto map mymap

例：スタティッククリプトマップでの逆ルート注入の設定

RRI は、暗号化されたトラフィックを VPN ルータに転送し、他のトラフィックをすべて別のルータに転送する必要があるトポロジに適したソリューションです。このようなシナリオでは、RRI により、デバイスにスタティックルートを手動で定義する必要はなくなります。

単一の VPN ルータが使用され、すべてのトラフィックがそのルータのネットワークのパスに出入りするときに VPN ルータを通過する場合、RRI は不要です。

リモートプロキシの VPN ルータに手動でスタティックルートを定義し、これらのルートを永続的にルーティングテーブルにインストールする場合には、同じリモートプロキシをカバーするクリプトマップインスタンスで RRI をイネーブルにしないでください。この場合、ユーザ定義のスタティックルートが RRI によって削除されません。

ルーティングコンバージェンスの影響で、ルートのアドバタイズ（リンク状態と定期的な更新）に使用される、ルーティングプロトコルに基づくフェールオーバーの成否が左右されることがあります。ルーティングステートの変更が検出された直後に、ルーティングアップデートが確実に送信されるようにして、コンバージェンス時間を短縮するには、OSPF などのリンクステートルーティングプロトコルを使用することを推奨します。

次の例では、RRI が mymap 2 に対してではなく、mymap 1 に対してイネーブルにされています。インターフェイスにクリプトマップが適用されると、ルートが次のようなアクセスリスト 101 に基づいて作成されます。


IP route 172.17.11.0 255.255.255.0 FastEthernet 0/0
crypto map mymap 1 ipsec-isakmp
 set peer 172.17.11.1
 reverse-route
 set transform-set my-transform-set
 match address 101
crypto map mymap 2 ipsec-isakmp
 set peer 10.1.1.1
 set transform-set my-transform-set
 match address 102
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.17.11.0 0.0.0.255 
access-list 102 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.255.255
interface FastEthernet 0/0
 crypto map mymap

例：IPsec を使用した HSRP の設定

次の例では、すべてのリモート VPN ゲートウェイを、192.168.0.3 を介してルータに接続する方法を示します。インターフェイス上のクリプトマップは、このスタンバイアドレスを mymap のすべてのインスタンスのローカルトンネルエンドポイントとしてバインドすると同時に、group1 と呼ばれる同じスタンバイグループに属しているアクティブデバイスとスタンバイデバイスの間で HSRP フェールオーバーが確実に行われるようにします。

RRI により、HSRP グループ内のアクティブデバイスだけが、リモートプロキシへのネクストホップ VPN ゲートウェイとして、内部のデバイスにアドバタイズできることにも注意してください。フェールオーバーが発生すると、ルートは、以前アクティブだったデバイス上から削除され、新たにアクティブになったデバイス上に作成されます。


crypto map mymap 1 ipsec-isakmp
 set peer 10.1.1.1
 reverse-route
 set transform-set esp-aes-sha
 match address 102
Interface FastEthernet 0/0
 ip address 192.168.0.2 255.255.255.0
 standby name group1
 standby ip 192.168.0.3
 crypto map mymap redundancy group1
access-list 102 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.255.255

スタンバイ名はスタンバイグループ内のすべてのデバイスに設定する必要があり、スタンバイアドレスはグループの少なくとも 1 つのメンバーに設定する必要があります。スタンバイ名がルータから削除されると、IPsec SA は削除されます。スタンバイ名が再度追加された場合、使用される名前が同じかどうかにかかわらず、（冗長オプションを使用して）クリプトマップをインターフェイスに再度適用する必要があります。

例：HSRP を使用した VTI での HA 冗長性の設定

次に、HSRP を使用して VTI の HA 冗長性を設定し、内部ネットワーク内のデバイスとリモートデバイス間の IPsec セッションを確立する例を示します。

Device A

crypto ipsec profile TUNNEL-PROFILE-SITE
 set transform-set tset1
 set ikev2-profile ikev2profile
crypto ikev2 dpd 10 2 periodic
!        
interface Tunnel10
 ip address 10.10.10.1 255.255.255.0
 tunnel source 2.2.2.1 
 tunnel mode ipsec ipv4
 tunnel destination 3.3.3.5
 tunnel protection ipsec profile TUNNEL-PROFILE-SITE
!
interface GigabitEthernet0/0/0
 ip address 2.2.2.2 255.255.255.0
 standby 1 ip 2.2.2.1
 standby 1 priority 105
 standby 1 preempt
 standby 1 name IPSEC-VTI-HA
 standby 1 track 200 decrement 10
 negotiation auto
!
interface GigabitEthernet0/0/1 
 ip address 1.1.1.2 255.255.255.0
 standby 2 ip 1.1.1.1
 standby 2 priority 105
 standby 2 preempt
 standby 2 track 100 decrement 10
 negotiation auto

Device B
 
crypto ipsec profile TUNNEL-PROFILE-SITE
 set transform-set tset1
 set ikev2-profile ikev2profile
crypto ikev2 dpd 10 2 periodic
!        
interface Tunnel10
 ip address 10.10.10.2 255.255.255.0
 tunnel source 2.2.2.1
 tunnel mode ipsec ipv4
 tunnel destination 3.3.3.5
 tunnel protection ipsec profile TUNNEL-PROFILE-SITE
!
interface GigabitEthernet0/0/0
 ip address 2.2.2.3 255.255.255.0
 standby 1 ip 2.2.2.1
 standby 1 priority 110
 standby 1 preempt
 standby 1 name IPSEC-VTI-HA
 standby 1 track 200 decrement 10
 negotiation auto
!
interface GigabitEthernet0/0/1
 ip address 1.1.1.3 255.255.255.0
 standby 2 ip 1.1.1.1
 standby 2 priority 110
 standby 2 preempt
 standby 2 track 100 decrement 10
 negotiation auto

 Remote Device

crypto ipsec profile TUNNEL-PROFILE-SITE
 set transform-set tset1
 set ikev2-profile ikev2profile
crypto ikev2 dpd 10 2 periodic
!
interface Tunnel10
 ip address 10.10.10.254 255.255.255.0
 tunnel source 3.3.3.5
 tunnel mode ipsec ipv4
 tunnel destination 2.2.2.1
 tunnel protection ipsec profile TUNNEL-PROFILE-SITE
!
interface GigabitEthernet0/0/1
 ip address 3.3.3.5 255.255.255.0
 negotiation auto

その他の参考資料

関連項目	マニュアルタイトル
Cisco IOS コマンド	『Cisco IOS Master Command List, All Releases』
IPsec を使用しない HSRP の設定	『IP Application Services Configuration Guide』の「Configuring IP Services」モジュール
IP security（IPsec）用のステートフルフェールオーバーの設定	『Security Configuration Guide: Secure Connectivity』の「Stateful Failover for IPsec」モジュール
推奨される暗号化アルゴリズム	『Next Generation Encryption』

MIB


MIB	MIB のリンク
なし	選択したプラットフォーム、Cisco ソフトウェアリリース、およびフィーチャセットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs

シスコのテクニカルサポート


説明	リンク
右の URL にアクセスして、シスコのテクニカルサポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。	http://www.cisco.com/cisco/web/support/index.html

IPsec VPN ハイアベイラビリティ拡張機能の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

Table 1. IPsec VPN ハイアベイラビリティ拡張機能の機能情報
機能名	リリース	機能情報
IPsec VPN ハイアベイラビリティ拡張機能	Cisco IOS XE 3.1.0S	IPsec VPN ハイアベイラビリティ拡張機能は次の 2 つの機能から構成されます。逆ルート注入（RRI）およびホットスタンバイルータプロトコル（HSRP）と IPsec。これらの 2 つの機能を一緒に使用すると、VPN におけるネットワーク設計を簡素化できるほか、ゲートウェイリストを定義する場合にリモートピアの設定の複雑さを低減することができます。次のコマンドが導入または変更されました。crypto map （インターフェイス IPsec）、reverse-route 。

Cisco IOS XE 17.x セキュリティおよび VPN 設定ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： IPsec VPN ハイ アベイラビリティ拡張機能

IPsec VPN ハイ アベイラビリティ拡張機能

IPsec VPN ハイ アベイラビリティ拡張機能に関する情報

Reverse Route Injection

ホットスタンバイ ルータ プロトコルおよび IPsec

IPsec VPN ハイ アベイラビリティ拡張機能の設定方法

ダイナミック クリプト マップでの逆ルート注入の設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

スタティック クリプト マップでの逆ルート注入の設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Example:

Example:

IPsec を使用した HSRP の設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Example:

VPN IPsec 暗号設定の確認

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

HSRP を使用した仮想トンネルインターフェイスでのハイアベイラビリティ冗長性の設定

デバイス A および B の IPsec 仮想トンネルインターフェイスでの HA の設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

章のタイトル： IPsec VPN ハイアベイラビリティ拡張機能

IPsec VPN ハイアベイラビリティ拡張機能

IPsec VPN ハイアベイラビリティ拡張機能に関する情報

ホットスタンバイルータプロトコルおよび IPsec

IPsec VPN ハイアベイラビリティ拡張機能の設定方法

ダイナミッククリプトマップでの逆ルート注入の設定

スタティッククリプトマップでの逆ルート注入の設定

IPsec VPN ハイアベイラビリティ拡張機能の設定例

例：ダイナミッククリプトマップでの逆ルート注入の設定

例：スタティッククリプトマップでの逆ルート注入の設定

シスコのテクニカルサポート

IPsec VPN ハイアベイラビリティ拡張機能の機能情報