VPN SIP は、IPSec 静的仮想トンネル インターフェイス（SVTI）を使用します。IPSec SVTI は、IPSec セキュリティ アソシエーション（SA）がトンネル インターフェイスと SVTI ピア間でまったく確立されていない場合でも、アクティブ（UP）な状態のままになります。

VPN SIP ソリューションの 3 つのコンポーネントを次に示します。

• SIP

• VPN SIP

• 暗号（IP Security（IPsec）、インターネットキーエクスチェンジ（IKE）、トンネル保護（TP）、暗号内の Public Key Infrastructure（PKI）モジュール）

SIP は、IKE セッションを開始するための名前解決メカニズムとして使用されます。VPN SIP は、SIP サービスを使用して、固定 IP アドレスを持たないホーム ルータまたはスモール ビジネス ルータに VPN 接続を確立します。この接続は、自己署名証明書か事前共有キーを使用して実現されます。SIP は、Session Description Protocol（SDP）オファー/アンサー モデルでのメディア セッションに必要な IKE の使用をネゴシエートします。

SIP は静的に設定されています。リモート SIP 番号それぞれに対して、1 つのトンネル インターフェイスを設定する必要があります。

SIP は、VPN SIP サービスの使用料を SIP 番号に基づいて顧客に請求する課金機能もサービス プロバイダーに提供します。SIP 番号に基づく請求は、サービス プロバイダー ネットワーク内で発生するものであり、Cisco VPN SIP ルータのようなエンド デバイスとは無関係です。

VPN SIP は、SIP モジュールと暗号モジュールを連携し、両者の間を抽象化する中央ブロックです。

SIP 番号の背後にあるリモート ネットワークへ向けられたトラフィックがトンネル インターフェイスにルーティングされると、そのピアには IPSEC SA が設定されていないため、IPSec コントロール プレーンはパケット スイッチング パスからのトリガーを受け取ります。このトンネルは VPN SIP 用に設定されているため、IPsec コントロール プレーンは VPN SIP にトリガーを渡します。

（注）	その SIP 番号のリモート ネットワークの静的ルートは、このトンネル インターフェイスを指すように設定される必要があります。

VPN SIP サービスがトリガーされると、SIP は SIP 電話番号のペアを使用してコールを設定します。SIP は VPN SIP に着信コールの詳細も渡し、ローカルの自己署名証明書または事前共有キーのローカル アドレスとフィンガープリント情報を使用して、IKE メディア セッションをネゴシエートします。SIP は VPN SIP にリモート アドレスとフィンガープリント情報も渡します。

VPN SIP サービスはトンネル ステータスの更新をリッスンし、SIP を呼び出して、SIP セッションを切断します。VPN SIP サービスは、現在のアクティブなセッションを表示する手段も提供します。

次に、VPN SIP 機能の概略を示します。

• IP SLA は、ルート トラッキングを使用してプライマリ リンクをモニタリングします。プライマリ リンクが失敗すると、IP SLA はこの障害を検出します。

• プライマリ パスが失敗すると、IP SLA はルーターに設定されているメトリックがさらに高いルートにデフォルト ルートを切り替えます。

• 関連するトラフィックがセカンダリ リンクを使用してフローを試みると、SIP は SIP サーバに招待メッセージを送信し、VPN ピア情報を取得します。

• ルータは VPN ピア情報（IP アドレス、ローカル SIP 番号とリモート SIP 番号、IKE ポート、およびフィンガープリント）を受け取って、VPN SIP トンネルを確立します。

• プライマリ パスが復帰すると、IP SLA はプライマリ パスを検出し、ルートが元のパスに戻ります。アイドル タイマーの有効期限が切れると、IPSec は破棄され、SIP コールは切断されます。

次に、VPN SIP ソリューションのトポロジを示します。

SIP コール フローは、ローカル ピアでの開始とリモート ピアでのコールの受信に分かれます。

SIP コールの開始

データ プレーン内の SVTI インターフェイスにパケットがルーティングされると、そのアドレスを解決するためにピア SIP 番号に対して SIP コールを発呼する必要があります。これにより、VPN トンネルがアクティブになります。

• ローカル認証タイプが PSK の場合、IKEv2 はピア SIP 番号と一致するキーを検索します。IKEv2 キーリングは、各 SIP ピアの SIP 番号として id_key_id 型（文字列）で設定する必要があります。IKEv2 は検索されたキーのフィンガープリントを計算し、VPN SIP に渡します。

• ローカル認証タイプが自己署名証明書やサード パーティ証明書の場合、IKEv2 は IKEv2 プロファイルに設定されているローカルの証明書のフィンガープリントを計算し、VPN SIP に渡します。

VPN SIP モジュールは、ピアに SIP コールを設定するために SIP と対話します。コールが成功すると、VPN SIP は解決された IP アドレスを SVTI のトンネル接続先として設定し、SVTI に対して VPN トンネルを開始するように要求します。

（注）	ワイルドカード キーが必要な場合は、IKEv2 プロファイルで、authentication local pre-share key コマンドと authentication remote pre-share key コマンドを使用します。

リモート ピアでの SIP コールの受信

ピアから SIP コールを受信すると、さまざまな暗号モジュールが以下のように相関して動作します。

• トンネル保護は、VPN SIP モジュールによるトンネルの宛先アドレスの設定に協力します。

• IKEv2 は、ローカル認証タイプ（PSK または PKI）とローカル フィンガープリントを VPN SIP モジュールに返します。ローカル認証タイプが PSK の場合、IKEv2 は対応する SIP 番号と一致するキーを検索します。

（注）	IKEv2 は SIP 番号によってのみピアを識別できます。

ピア間で SIP コール ネゴシエーションが行われている間に、各ピアは SDP 上で交換される一意のローカル IKEv2 ポート番号を選択する必要があります。セッションごとに異なるポート番号をサポートするため、VPN SIP モジュールは IP ポート アドレス変換（PAT）をプログラムにより自動的に設定します。PATは、IKEv2 ポート（4500）と、SDP 上で交換されるポート番号との変換を担います。変換には、セカンダリ リンク上に IP NAT が設定され、ループバック インターフェイスが VPN SIP トンネルの送信元として設定される必要があります。変換の有効期間は、VPN SIP セッションの有効期間で決まります。

offer SDP
      ...
      m=application 50001 udp ike-esp-udpencap
      c=IN IP4 10.6.6.49
      a=ike-setup:active
      a=fingerprint:SHA-1 \
      b=AS:512
      4A:AD:B9:B1:3F:82:18:3B:54:02:12:DF:3E:5D:49:6B:19:E5:7C:AB
      ...

   answer SDP
      ...
      m=application 50002 udp ike-esp-udpencap
      c=IN IP4 10.6.6.50
      a=ike-setup:passive
      a=fingerprint:SHA-1 \
      b=AS:512
      D2:9F:6F:1E:CD:D3:09:E8:70:65:1A:51:7C:9D:30:4F:21:E4:4A:8E

次に、IKEv2 セキュリティ セッション（SA）ネゴシエーションのプロセスを示します。

• セッションの開始前に、IKEv2 は VPN SIP を使用して、そのセッションが VPN SIP セッションであるかどうかを確認します。

• セッションが VPN SIP セッションで、ローカル認証タイプが PSK の場合、IKEv2 はピアの IP アドレスの代わりにピアの SIP 番号を使用して、PSK キー ペアを検索します。

• 自己署名証明書を検証する場合、IKEv2 はその証明書が自己署名されたものかを確認して、証明書を検証します。

  • IKEv2 プロトコルの一部である既存の AUTH ペイロード検証に加えて、IKEv2 は受信した証明書または検索された PSK のハッシュを計算して、IKEv2 が VPN SIP モジュールからクエリする SIP ネゴシエーションのフィンガープリントと比較します。フィンガープリントが一致する場合のみ、IKEv2 はピアの認証が有効であると見なします。一致しない場合、IKEv2 はそのピアが認証に失敗したことを宣言し、VPN セッションを終了します。

VPN SIP ソリューションは、バックアップ VPN でトラフィックをルーティングする必要がなくなったことを、IPSEC アイドル タイマーに基づいて検出します。トラフィックがない時にセッションが切断されるようにするには、IPSec プロファイルにアイドル時間を設定する必要があります。推奨設定は 120 秒です。

VPN SIP と SIP は、連係して SIP コールを切断します。

IPsec アイドル時間の有効期限が切れると、VPN SIP モジュールは IPsec トンネルをダウンするように IKEv2 に通知します。VPN SIP は、SIP モジュールに対して、IKEv2 からの確認を待機せずに SIP コールを切断するように要求します。

SIP コールの切断をピアから受信すると、VPN SIP モジュールは IPsec トンネルをダウンするように IKEv2 に通知し、SIP に対して SIP コールの切断を許可します。

VPN SIP を設定する手順は次のとおりです。

1. サード パーティ証明書、自己署名証明書、または事前共有キーを使用してトンネル認証を設定します。

   1. 証明書を使用するトンネル認証

      顧客のネットワーク内にある証明機関（CA）サーバから証明書を取得するためのトラストポイントを設定します。これはトンネル認証で必要です。次の設定を使用します。

      peer1(config)# crypto pki trustpoint CA
       enrollment url http://10.45.18.132/
       serial-number none
       subject-name CN=peer2
       revocation-check crl
       rsakeypair peer2
      
      peer2(config)# crypto pki authenticate CA
      Certificate has the following attributes:
             Fingerprint MD5: F38A9B4C 2D80490C F8E7581B BABE7CBD
            Fingerprint SHA1: 4907CC36 B1957258 5DFE23B2 649E7DDA 99BDB7C3
      % Do you accept this certificate? [yes/no]: yes
      Trustpoint CA certificate accepted.
      
      peer2(config)#crypto pki enroll CA
      %
      % Start certificate enrollment ..
      % Create a challenge password. You will need to verbally provide this
         password to the CA Administrator in order to revoke your certificate.
         For security reasons your password will not be saved in the configuration.
         Please make a note of it.
      Password:
      Re-enter password:
      % The subject name in the certificate will include: CN=peer2
      % The subject name in the certificate will include: peer2
      % Include an IP address in the subject name? [no]:
      Request certificate from CA? [yes/no]: yes
      % Certificate request sent to Certificate Authority
      % The 'show crypto pki certificate verbose CA' command will show the fingerprint.
      Certificate map for Trustpoint
      crypto pki certificate map data 1
      issuer-name co cn = orange
      

   2. 自己署名証明書を使用するトンネル認証

      自己署名証明書を使用して認証を行う場合、そのデバイス上に自己署名証明書を生成する PKI トラストポイントを設定します。次の設定を使用します。

      peer4(config)#crypto pki trustpoint Self
          enrollment selfsigned
          revocation-check none
          rsakeypair myRSA
          exit
      crypto pki enroll Self
       
      Do you want to continue generating a new Self Signed Certificate? [yes/no]: yes
      % Include the router serial number in the subject name? [yes/no]: yes
      % Include an IP address in the subject name? [no]: no
      Generate Self Signed Router Certificate? [yes/no]: yes
       
      Router Self Signed Certificate successfully created

   3. 事前共有キーを使用してトンネル認証を設定します。

      crypto ikev2 keyring keys
      peer peer1
      identity key-id 1234
      pre-shared-key key123

2. 1. 証明書の IKEv2 プロファイルを設定します。

      crypto ikev2 profile IPROF
      match certificate data
      identity local key-id 5678
      authentication remote rsa-sig
      authentication local rsa-sig
      keyring local keys
      pki trustpoint self
      nat force-encap
      

   2. 事前共有キーの IKEv2 プロファイルを設定します。

      crypto ikev2 profile IPROF
      match identity remote any
      identity local key-id 5678
      authentication remote pre-share
      authentication local pre-share
      keyring local keys
      nat force-encap
      

   （注）	IKEv2 SA を設定するには、両方のピアで nat force-encap コマンドを設定する必要があります。UDP のカプセル化が SDP でネゴシエートされるので、IKEv2 はポート 4500 で開始し続行される必要があります。

3. IPsec プロファイルを設定します。

   crypto ipsec profile IPROF
   set security-association idle-time 2000
   

4. LAN 側インタ フェースを設定します。

   interface Vlan101
            ip address 10.3.3.3 255.255.255.0
            no shutdown 
   ! 
        interface GigabitEthernet2
            switchport access vlan 101
            no ip address
   

5. ループバック インターフェイスを設定します。

   ループバック インターフェイスは、セカンダリ VPN トンネルの送信元インターフェイスとして使用されます。

   interface loopback 1
       ip address 10.11.1.1 255.0.0.0
       ip nat inside
   

6. セカンダリ インターフェイスを設定します。

   （注）	セカンダリ インターフェイスは、IP アドレス、SIP サーバ アドレス、およびベンダー固有の情報を DHCP 経由で受信するように設定する必要があります。

   interface GigabitEthernet8
        ip dhcp client request sip-server-address
        ip dhcp client request vendor-identifying-specific
        ip address dhcp
       ip nat outside
   

7. トンネル インターフェイスを設定します。

   interface Tunnel1
        ip address 10.3.2.1 255.255.255.255
        load-interval 30
        tunnel source Loopback1
        tunnel mode ipsec ipv4
        tunnel destination dynamic
        tunnel protection ipsec profile IPROF ikev2-profile IPROF
        vpn-sip local-number 5678 remote-number 1234 bandwidth 1000
   
   

   vpn-sip local-number local-number remote-number remote-number bandwidth bw-number コマンドを使用して、SVTI インターフェイスに VPN-SIP を設定します。帯域幅とは、このピアとネゴシエートされる必要のある最大データ伝送速度のことで、ネゴシエートされた値がトンネル インターフェイスに設定されます。使用できる値は 64 Kbps、128 Kbps、256 Kbps、512 Kbps、および 1000 Kbps です。

   VPN SIP 用に SVTI を設定した後で、トンネル モード、トンネルの接続先、トンネルの送信元、およびトンネル保護を変更することはできません。モード、送信元、接続先、またはトンネル保護を変更するには、その SVTI インターフェイスから VPN SIP 設定を削除する必要があります。

8. 接続先ネットワークにスタティックルートを追加します。

   メトリックが高いセカンダリ ルートを追加します。

   ip route 192.168.10.0 255.255.255.0 Tunnel0 track 1
   ip route 192.168.10.0 255.255.255.0 Tunnel1 254
   

9. IP SLA を設定します。

   ip sla 1
            icmp-echo 10.11.11.1
            threshold 500
            timeout 500
            frequency 2
           ip sla schedule 1 life forever start-time now
   

10. ルート トラッキングを設定します。

    track 1 ip sla 1 reachability

11. VPN SIP を有効化します。

    vpn-sip enable
    vpn-sip local-number 5678 address ipv4 GigabitEthernet8
    vpn-sip tunnel source Loopback1
    vpn-sip logging
    

    VPN SIP を設定するには、ローカルの SIP 番号とローカル アドレスを設定する必要があります。vpn-sip local-number SIP-number address ipv4 WAN-interface-name コマンドを使用して、SIP コールに使用するローカル SIP 番号と、関連づけられた IPv4 アドレスを設定します。

    （注）	IPv4 アドレスのみ設定できます。暗号モジュールはデュアル スタックをサポートしていません。 バックアップ WAN インターフェイスのアドレスは、DHCP 割り当てに基づいて変わることがあります。

    プライマリ WAN インタ フェースが機能している場合、VPN SIP トンネルの接続先はバックアップ WAN インターフェイスに設定され、トンネル インターフェイスが有効になります。トラフィックがトンネル インターフェイスにルーティングされる場合、接続先は SIP ネゴシエーションの SDP から学習されるピアの IP アドレスに設定されます。プライマリ WAN インターフェイスが失敗した場合、バック ルートがアクティブ化されていれば、パケットはバックアップを介して sVTI にルーティングされます。

    （注）	ループバック インターフェイスのアドレスにはルーティング不可能な未使用のアドレスを使用し、そのループバック インターフェイスは他のいかなる目的にも使用しないようにお勧めします。ループバック インターフェイスを設定すると、VPN SIP はこのインターフェイスに対するすべての更新プログラムをリッスンし、それらをブロックします。vpn-sip logging コマンドにより、セッションの開始、終了、障害発生などのイベントに関する VPN-SIP モジュールのシステムロギングが有効になります。

Cisco IOS XE リリース 17.11.1a から、ホームゲートウェイ（HGW）の背後に VPN-SIP 対応ルータをインストールできます。このインストールでは、HGW は、固定電話番号の代わりに Dynamic Host Configuration Protocol（DHCP）を介してトンネルインターフェイスに内線番号を割り当てます。これにより、ネットワーク上のデータと音声を集約できます。これは、アナログデータとデジタルデータの両方で同じ物理加入者回線を共有する必要があるシナリオで役立ちます。

さらに、HGW のネットワーク仕様に準拠するために、VPN-SIP の DHCP には、vendor-class-data DHCP オプションを介して、HGW ネットワークへ接続する WAN 側インターフェイスの MAC アドレスが必要です。この設定では、デバイスは DHCP 要求の vendor-class-data オプションを介して、自身の WAN インターフェイスの MAC アドレスをホームゲートウェイネットワークに通知します。

DHCP ローカル番号を設定すると、デバイスは DHCP 応答を受信するまで SIP 登録を遅延させます。デバイスは、DHCP サーバーが内線番号を提供することを想定しています。この内線番号は、SIP サーバーへの登録に使用されます。登録が成功し、デバイスが SIP サーバーとのセッションを開始すると、200 OK 応答を通じて、内線番号、外線番号、およびその他の使用可能な番号を受信します。

（注）	外線番号は、ルータをグローバルに識別する番号です。この外線番号は、データ接続を確立するためにも必要です。

DHCP 拡張により、データ接続には SIP シグナリングチャンネルと IPsec データ接続の 2 つのチャンネルがあります。データパケットにトンネル保護が必要な場合、SIP コールが開始されます。

VPN-SIP の DHCP を設定するには、次の手順を実行します。

次に、DHCP クライアントを有効にするためのサンプルコードを示します。

interface GigabitEthernet 0/0/0
 ip dhcp client request sip-server-address
 ip dhcp client request vendor-identifying-specific
 ip address dhcp
 ip dhcp client vendor-class mac-address
 ip nat outside

サードパーティ証明書、自己署名証明書、または事前共有キー（PSK）を使用してトンネル認証を設定できます。トンネル認証を設定するには、次のいずれかのタスクを実行します。

IKEv2 プロファイルの証明書を設定するには、crypto ikev2 profile IPROF コマンドを実行します。次に、証明書の IKEv2 プロファイルを設定するためのサンプルコードを示します。

Router(config)# crypto ikev2 profile IPROF-psk
 match identity remote any
 identity local key-id dhcp
 authentication remote pre-share
 authentication local pre-share
 keyring local keys
 nat force-encap

IPSec プロファイルを設定するには、crypto ipsec profile IPROF コマンドを実行します。次に、IPSec プロファイルを設定するためのサンプルコードを示します。

Router(config)# crypto ipsec profile IPROF
 set security-association idle-time 300

VPN-SIP 機能を有効にするには、vpn-sip enable コマンドを実行します。次に、VPN-SIP を有効にするサンプルコードを示します。

Router(config)# vpn-sip enable
vpn-sip local-number dhcp address ipv4 GigabitEthernet0/0/0
vpn-sip tunnel source Loopback1

LAN 側のインターフェースを設定するには、interface VLAN <interface> コマンドを実行します。次に、LAN 側インターフェイスを設定するためのサンプルコードを示します。

Router(config)# interface GigabitEthernet2
ip address 192.0.2.3 255.255.255.0
no shutdown 

ループバック インターフェイスを設定するには、interface loopback <number> コマンドを実行します。次に、ループバック インターフェイスを設定するためのサンプルコードを示します。

Router(config)# interface Loopback1
 ip address 10.255.255.3 255.255.255.0
 ip nat inside

これは、トンネルインターフェイスを設定するためのサンプルコードです。

Router(config)# interface Tunnel1
 ip address 10.12.12.12 255.255.255.255
 tunnel source Loopback1
 tunnel mode ipsec ipv4
 tunnel destination dynamic
 tunnel protection ipsec profile IPROF ikev2-profile IPROF-psk
 vpn-sip local-number dhcp remote-number 0388881001 bandwidth 1000
!
interface Tunnel10
 ip address 10.20.20.21 255.255.255.255
 tunnel source Loopback1
 tunnel mode ipsec ipv4
 tunnel destination dynamic
 tunnel protection ipsec profile IPROF ikev2-profile IPROF-psk
 vpn-sip local-number dhcp remote-number 0388882002 bandwidth 100

次の show コマンドの出力は、VPN-SIP の DHCP が HGW の背後にある Cisco IOS XE ルータで正常に設定されているかどうかを確認する方法を示しています。

Router_behind_HGW# show vpn-sip sip dhcp
SIP DHCP Info
SIP-DHCP interface:  GigabitEthernet 0/0/0
SIP server address:  ipv4:192.168.1.1
Domain name:         dns:ntt-east.ne.jp

Router_behind_HGW# show vpn-sip registration-status
  SIP registration of local number dhcp : registered 192.168.1.200
  Local dynamic number via dhcp[3], via SIP[0398765432]

Router_behind_HGW# show vpn-sip sip registrar
Line          destination      expires(sec)  contact
transport     call-id
============================================================
3             ntt-east.ne.jp   2439          192.168.1.20
UDP           FFFFFFFFCCE6C415-5D8611ED-FFFFFFFF810AE9D4-FFFFFFFFD

Router_behind_HGW# show vpn-sip session detail
VPN-SIP session current status
Interface: Tunnel0
    Session status: SESSION_UP (I)
    Uptime        : 00:00:37
    Remote number : 0387654321
    Local number  : dhcp
    Remote address:port: aaa.bbb.ccc.ddd:27129
    Local address:port : 192.168.1.200:50026
    Crypto conn handle: 0x4000003D
    SIP Handle        : 0x4000001B
    SIP callID        : 301
    Configured/Negotiated bandwidth: 256/256 kbps
    Applied service policy:

Router_behind_HGW# show crypto session
Crypto session current status
Interface: Tunnel0
Profile: IPROF
Session status: UP-ACTIVE
Peer: aaa.bbb.ccc.ddd port 27129
   Session ID: 26
   IKEv2 SA: local 10.255.255.1/4500 remote aaa.bbb.ccc.ddd/27129 Active
   IPSEC FLOW: permit ip   0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
   Active SAs: 2, origin: crypto map

Router_behind_HGW# show crypto ikev2 sa
  IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf 
   Status
1         10.255.255.1/4500     aaa.bbb.ccc.ddd/27129  none/none 
    READY
       Encr: AES-CBC, keysize: 256, PRF: SHA512, Hash: SHA512, DH 
       Grp:19, Auth sign: PSK, Auth verify: PSK
       Life/Active Time: 86400/86 sec
       CE id: 1022, Session-id: 22
       Local spi: 59E8EED28441BC32       
       Remote spi: B5487716A19873BE
       IPv6 Crypto IKEv2  SA

Router_behind_HGW# show crypto ipsec sa

interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.255.255.1
protected vrf: (none)
local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer aaa.bbb.ccc.ddd port 27129
PERMIT, flags={origin_is_acl,}
     #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
     #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

local crypto endpt.: 10.255.255.1, remote crypto endpt.: 
aaa.bbb.ccc.ddd
plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb 
GigabitEthernet0/0/0
current outbound spi: 0xE0F51D37(3774160183)
PFS (Y/N): N, DH group: none

inbound esp sas:
      spi: 0x493D896(76798102)
      transform: esp-aes esp-sha-hmac ,
      in use settings ={Tunnel UDP-Encaps, }
      conn id: 2044, flow_id: ESG:44, sibling_flags FFFFFFFF80004048, 
crypto map: Tunnel0-head-0, initiator : True
       sa timing: remaining key lifetime (k/sec): (4607999/3509)
       IV size: 16 bytes
       replay detection support: Y
       Status: ACTIVE(ACTIVE)

      inbound ah sas:

      inbound pcp sas:

      outbound esp sas:
       spi: 0xE0F51D37(3774160183)
         transform: esp-aes esp-sha-hmac ,
         in use settings ={Tunnel UDP-Encaps, }
         conn id: 2043, flow_id: ESG:43, sibling_flags FFFFFFFF80004048, 
crypto map: Tunnel0-head-0, initiator : True
         sa timing: remaining key lifetime (k/sec): (4607999/3509)
         IV size: 16 bytes
         replay detection support: Y
         Status: ACTIVE(ACTIVE)
      outbound ah sas:
      outbound pcp sas:

Router_behind_HGW# show ip nat translations
Pro  Inside global         Inside local          Outside local 
Outside global
udp  192.168.1.200:50269   10.255.255.1:4500     aaa.bbb.ccc.ddd:23060 
aaa.bbb.ccc.ddd:23060
Total number of translations: 1