- 最初にお読みください
- ダイナミック マルチポイント VPN
- DMVPN 経由の IPv6
- FQDN を使用した DMVPN 設定
- DMVPN トンネル ヘルス モニタリングと回復バックアップ NHS
- DHCP トンネル サポート
- DMVPN トンネル ヘルス モニタリングと回復
- DMVPN イベント トレーシング
- NHRP MIB
- NAT デバイスの背後に配置されたスポーク間の DMVPN ダイナミック トンネル
- トンネル保護による IPsec 共有
- DMVPN の Per-Tunnel QoS
- TrustSec DMVPN インライン タギング サポートの設定
- スポーク間 NHRP サマリー マップ
- DMVPN での BFD サポート
Dynamic Multipoint VPN コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月27日
章のタイトル: トンネル保護による IPsec 共有
トンネル保護による IPsec 共有機能を使用すると、トンネルが保護された状態で、IP Security(IPsec)セキュリティ アソシエーション データベース(SADB)を 2 つ以上の総称ルーティング カプセル化(GRE)トンネル インターフェイス間で共有できます。これらのトンネル インターフェイスでは、Dynamic Multipoint Virtual Private Network(DMVPN)設定に含まれる、単一の基本的な暗号化 SADB、暗号化マップ、および IPsec プロファイルが共有されます。
1 つの IPsec SADB 内で IPsec セキュリティ アソシエーション(SA)セッションが共有されていない場合、IPsec SA が、不適切な IPsec SADB、ひいては誤ったトンネル インターフェイスに関連付けられて、IPsec SA の重複やトンネル インターフェイスのフラッピングが発生する可能性があります。トンネル インターフェイスがフラップする(オンライン状態とオフライン状態が短時間で何度も切り替わる)と、ネットワーク接続に問題が発生します。
 (注) |
セキュリティに対する脅威とそれに対抗するための暗号化技術は絶えず変化しています。暗号化に関するシスコの最新の推奨事項については、『Next Generation Encryption』(NGE)ホワイト ペーパーを参照してください。 |
- 機能情報の確認
- トンネル保護による IPsec 共有の前提条件
- トンネル保護による IPsec 共有に関する制約事項
- トンネル保護による IPsec 共有について
- トンネル保護による IPsec 共有の設定方法
- トンネル保護による IPsec 共有の設定例
- その他の参考資料
- トンネル保護による IPsec 共有の機能情報
- 用語集
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
トンネル保護による IPsec 共有の前提条件
トンネル保護による IPsec 共有に関する制約事項
-
トンネル送信元が同じであるすべてのトンネル インターフェイスに対して、tunnelsource コマンドを設定する必要があります。設定には、トンネルの IP アドレスではなく、インターフェイスのタイプおよび番号を使用します。
-
トンネル送信元インターフェイスが同じであるすべてのトンネルで同一の IPsec プロファイルを使用し、tunnelprotection shared コマンドを設定する必要があります。唯一の例外は、トンネル送信元が同じで、トンネル宛先の IP アドレスはそれぞれ一意であるピアツーピア(P2P)GRE トンネル インターフェイスのみがシステムで設定されている場合です。
-
共有トンネルと非共有トンネルには、別々の IPsec プロファイル名を使用する必要があります。
たとえば、「トンネル 1」に tunnelsourceloopback0 コマンドを設定し、「トンネル 2」および「トンネル 3」は tunnelsourceloopback1 コマンドを使用して共有する場合は、「トンネル 1」に対しては ipsec-profile-1、「トンネル 2」および「トンネル 3」に対しては ipsec-profile-2 をそれぞれ使用します。
-
共有トンネルの 1 つのまとまりごとに、個別の IPsec プロファイルを使用することが必要です。
たとえば、トンネル 1 ~ 5 のトンネル送信元として loopback0 が使用され、トンネル 6 ~ 10 のトンネル送信元として loopback1 が使用されている場合、トンネル 1 ~ 5 に対しては ipsec-profile-1、トンネル 6 ~ 10 に対しては ipsec-profile-2 をそれぞれ定義します。
-
同じトンネル送信元を使用する複数のトンネル インターフェイス間では、IPsec セッションを共有しないことを推奨します。
たとえば、各 DMVPN クラウドに対して異なるカスタマーが対応するようなサービス プロバイダー環境では、特定のカスタマーからトンネル インターフェイスへの接続を固定し、それ以外のカスタマーからの IPsec セッションを共有したり許可しないのが望ましいです。このような場合、Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを使用して、カスタマー接続の識別と ISAKMP プロファイルへのバインドを行い、その ISAKMP プロファイルを使用して IPsec プロファイルに接続できます。この ISAKMP プロファイルにより、IPsec プロファイルで許可される接続は、対応する ISAKMP プロファイルに適合したものだけに制限されます。ISAKMP プロファイルおよび IPsec プロファイルは、同一の IPsec SADB を共有していない DMVPN クラウド(トンネル インターフェイス)ごとに、個別に取得できます。
トンネル保護による IPsec 共有について
単一の IPsec SA と GRE トンネル セッション
デュアル ハブ デュアル DMVPN トポロジでは、同じタイプの 2 つのエンドポイント間で複数の GRE トンネル セッション(トンネルの送信元および宛先は同じだが、トンネル キーは異なる)を確立できます。この場合は、共通の IPsec SA を使用して両方の GRE トンネル セッションを確保してください。2 つのトンネル インターフェイスのトンネル送信元が同じである場合に、IPsec クイック モード(QM)要求をどちらのトンネル インターフェイスで処理およびバインドするかは指定できません。
同一のプロファイルおよびトンネル送信元インターフェイスを使用するすべてのトンネル インターフェイスに対して、共通の IPsec SADB を作成する場合は、tunnelprotectionipsecprofileshared コマンドを使用します。この設定により、同じタイプの 2 つのエンドポイント間にあるすべての GRE トンネル(トンネルの送信元および宛先は同じだが、トンネル キーは異なる)に対して、共通の IPsec SA を使用できます。また、tunnelprotectionipsecprofileshared コマンドを使用すると、IPsec QM の処理が明確になります。これは、SADB が共有されずに複数の SADB(トンネル インターフェイスごとに 1 つ)が使用される場合とは異なり、すべての共有トンネル インターフェイスに対して、着信 IPsec QM 要求が 1 つの SADB で処理されるためです。
トンネル インターフェイスに対する QM プロポーザルの SA は、共有 SADB および暗号化マップ パラメータを使用して処理されます。クリプト データ プレーンでは、復号化されたパケットおよび GRE カプセル化を解除されたパケットは、ローカル アドレス、リモート アドレス、およびオプションのトンネル キー情報に基づいて、GRE モジュールにより逆多重化されたうえで、適切なトンネル インターフェイスへ送信されます。
IPsec パスの最大伝送ユニット(MTU)が変わると、Quantum Flow Processor(QFP)およびハードウェア暗号化エンジンの SA MTU 値が更新され、IPsec MTU と一致します。MTU の変化に伴い、システムで一部のパケットがドロップされ、一時的な %ATTN-3-SYNC_TIMEOUT エラーがコンソールに表示されることがあります。
(注) |
トンネル送信元、トンネル宛先、およびトンネル キー(3 ビット バイト)は、ルータ上のすべてのトンネル インターフェイスに対して一意である必要があります。トンネル宛先が設定されていないマルチポイント GRE(mGRE)インターフェイスの場合は、トンネル送信元とトンネル キーのペアが一意である必要があります。また、着信 GRE パケットは最初に P2P GRE トンネルと照合され、一致がない場合は mGRE トンネルと照合されます。 |
トンネル保護による IPsec 共有の設定方法
DMVPN の複数トンネル インターフェイスによる IPsec SADB の共有
DMVPN の複数トンネル インターフェイス間で IPsec SADB が共有されるように Cisco IOS ルータを設定するには、次の作業を実行します。
デュアル ハブ デュアル DMVPN トポロジで、さらにスポーク ルータを設定する必要がある場合は、この作業の手順を繰り返して追加のスポークを設定します。
1. enable
2. configureterminal
3. interfacetunnelnumber
4. tunnel source {ip-address | interface-type interface-number}
5. tunnelprotectionipsecprofilename [shared]
6. exit
7. exit
手順の詳細
トンネル保護による IPsec 共有の設定例
例:デュアルハブ ルータ デュアル DMVPN トポロジ
以下の図に示したデュアルハブ ルータ デュアル DMVPN トポロジには、次の特性があります。
-
各ハブ ルータには、mGRE トンネル インターフェイスが 1 つ設定されます。
-
各ハブ ルータは、1 つの DMVPN サブネット(クラウド)に接続され、スポークは DMVPN-1 と DMVPN-2 の双方に接続されます。
-
各スポーク ルータには、mGRE トンネル インターフェイスが 2 つ設定されます。
-
一方の mGRE トンネル インターフェイスは DMVPN-1 に属し、もう一方の mGRE トンネル インターフェイスは DMVPN-2 に属します。
-
各 mGRE トンネル インターフェイスに同一のトンネル送信元 IP アドレスが設定され、両者の間でトンネル保護が共有されます。
例:DMVPN の複数トンネル インターフェイス間での IPsec SADB の設定
例:ハブ 1 の設定
ハブ 1 とハブ 2 は、属する DMVPN が異なることを除けば、その設定内容は同じです。
ハブ 1 の DMVPN 設定は次のとおりです。
-
IP サブネット:10.0.0.0/24
-
Next Hop Address Resolution Protocol(NHRP)ネットワーク ID:100000
-
トンネル キー:100000
-
ダイナミック ルーティング プロトコル:Enhanced IGRP(EIGRP)
! hostname Hub1 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto IPsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto IPsec profile vpnprof set transform-set trans2 ! interface Tunnel 5 bandwidth 1000 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 600 no ip split-horizon eigrp 1 ip tcp adjust-mss 1360 delay 1000 tunnel source GigabitEthernet 0/0/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection IPsec profile vpnprof ! interface GigabitEthernet 0/0/0 ip address 172.17.0.1 255.255.255.252 ! interface GigabitEthernet 0/0/1 ip address 192.168.0.1 255.255.255.0 ! router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto-summary !
例:ハブ 2 の設定
ハブ 2 の DMVPN 設定は次のとおりです。
! hostname Hub2 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set transform-set trans2 ! interface Tunnel 5 bandwidth 1000 ip address 10.0.1.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100001 ip nhrp holdtime 600 no ip split-horizon eigrp 1 ip tcp adjust-mss 1360 delay 1000 tunnel source GigabitEthernet 0/0/0 tunnel mode gre multipoint tunnel key 100001 tunnel protection ipsec profile vpnprof ! interface GigabitEthernet 0/0/0 ip address 172.17.0.5 255.255.255.252 ! interface GigabitEthernet 0/0/1 ip address 192.168.0.2 255.255.255.0 ! router eigrp 1 network 10.0.1.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto-summary !
例:スポーク 1 の設定
スポーク 1 に対する DMVPN 設定は次のとおりです。
! hostname Spoke1 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set transform-set trans2 ! interface Tunnel 5 bandwidth 1000 . . . ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300| ip nhrp nhs 10.0.0.1 ip tcp adjust-mss 1360 delay 1000 . . . tunnel protection ipsec profile vpnprof shared ! interface Tunnel 5 bandwidth 1000 . . . ip nhrp authentication test ip nhrp map 10.0.1.1 172.17.0.5 ip nhrp map multicast 172.17.0.5 ip nhrp network-id 100001 ip nhrp holdtime 300 ip nhrp nhs 10.0.1.1 ip tcp adjust-mss 1360 delay 1000 . . . tunnel protection ipsec profile vpnprof shared ! interface GigabitEthernet 0/0/0 ip address dhcp hostname Spoke1 ! interface GigabitEthernet 0/0/1 ip address 192.168.1.1 255.255.255.0 ! router eigrp 1 network 10.0.0.0 0.0.0.255 network 10.0.1.0 0.0.0.255 network 192.168.1.0 0.0.0.255 no auto-summary !
例:スポーク 2 の設定
スポーク 2 に対する DMVPN 設定は次のとおりです。
! hostname Spoke2 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set transform-set trans2 ! interface Tunnel 5 bandwidth 1000 . . . ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300| ip nhrp nhs 10.0.0.1 ip tcp adjust-mss 1360 delay 1000 . . . tunnel protection ipsec profile vpnprof shared ! interface Tunnel 5 bandwidth 1000 . . . ip nhrp authentication test ip nhrp map 10.0.1.1 172.17.0.5 ip nhrp map multicast 172.17.0.5 ip nhrp network-id 100001 ip nhrp holdtime 300 ip nhrp nhs 10.0.1.1 ip tcp adjust-mss 1360 delay 1000 . . . tunnel protection ipsec profile vpnprof shared ! interface GigabitEthernet 0/0/0 ip address dhcp hostname Spoke2 ! interface GigabitEthernet 0/0/1 ip address 192.168.2.1 255.255.255.0 ! router eigrp 1 network 10.0.0.0 0.0.0.255 network 10.0.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 no auto-summary !
例:スポーク 1 の結果
スポーク 1 に対する DMVPN 設定の結果は次のとおりです。
Spoke1# show ip nhrp 10.0.0.1/32 via 10.0.0.1, Tunnel 0 created 00:06:52, never expire Type: static, Flags: used NBMA address: 172.17.0.1 10.0.0.12/32 via 10.0.0.12, Tunnel 0 created 00:03:17, expire 00:01:52 Type: dynamic, Flags: router NBMA address: 172.17.0.12 10.0.1.1/32 via 10.0.1.1, Tunnel 1 created 00:13:45, never expire Type: static, Flags: used NBMA address: 172.17.0.5 10.0.1.12/32 via 10.0.1.12, Tunnel 1 created 00:00:02, expire 00:04:57 Type: dynamic, Flags: router NBMA address: 172.17.0.12 Spoke1# show crypto socket
(注) |
クリプト接続は、172.17.0.12、172.17.0.5、および 172.17.0.1 の 3 つのみです。2 つの NHRP セッション(10.0.0.12, Tunnel0 と 10.0.1.12, Tunnel1)は、非ブロードキャスト マルチアクセス(NBMA)の IPsec ピア アドレスが同じであるため、どちらも同じ IPsec セッションです。 |
Number of Crypto Socket connections 3
Shd Peers (local/remote): 172.17.0.11
/172.17.0.12
Local Ident (addr/mask/port/prot): (172.17.0.11/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (172.17.0.12/255.255.255.255/0/47)
Flags: shared
ipsec Profile: "vpnprof"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Shd Peers (local/remote): 172.17.0.11
/172.17.0.5
Local Ident (addr/mask/port/prot): (172.17.0.11/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (172.17.0.5/255.255.255.255/0/47)
Flags: shared
ipsec Profile: "vpnprof"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Shd Peers (local/remote): 172.17.0.11
/172.17.0.1
Local Ident (addr/mask/port/prot): (172.17.0.11/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (172.17.0.1/255.255.255.255/0/47)
Flags: shared
ipsec Profile: "vpnprof"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Crypto Sockets in Listen state:
Client: "TUNNEL SEC" Profile: "vpnprof" Map-name: "vpnprof-head-1"
Spoke1# show crypto map
Crypto Map: "vpnprof-head-1" idb: FastEthernet0/0/0 local address: 172.17.0.11
Crypto Map "vpnprof-head-1" 65536 ipsec-isakmp
Profile name: vpnprof
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
trans2,
}
Crypto Map "vpnprof-head-1" 65537 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.17.0.5
Extended IP access list
access-list permit gre host 172.17.0.11 host 172.17.0.5
Current peer: 172.17.0.5
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
trans2,
}
Crypto Map "vpnprof-head-1" 65538 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.17.0.1
Extended IP access list
access-list permit gre host 172.17.0.11 host 172.17.0.1
Current peer: 172.17.0.1
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
trans2,
}
Crypto Map "vpnprof-head-1" 65539 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.17.0.12
Extended IP access list
access-list permit gre host 172.17.0.11 host 172.17.0.12
Current peer: 172.17.0.12
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
trans2,
}
Interfaces using crypto map vpnprof-head-1:
Tunnel1
Tunnel0
(注) |
showcryptoipsecsa の出力結果には、3 つのクリプト セッションが両方のトンネル インターフェイスに対して表示されています(3 つのエントリが 2 回ずつ)。これは、どちらのインターフェイスも、3 つのエントリを持つ同じ IPsec SADB にマッピングされているためです。この場合、このように、結果が重複して出力されます。 |
Spoke1# show crypto ipsec sa
interface: Tunnel 0
Crypto map tag: vpnprof-head-1, local addr 172.17.0.11
protected vrf: (none)
local ident (addr/mask/prot/port): (172.17.0.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
current_peer 172.17.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 134, #pkts encrypt: 134, #pkts digest: 134
#pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 22, #recv errors 0
local crypto endpt.: 172.17.0.11, remote crypto endpt.: 172.17.0.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0/0
current outbound spi: 0xA75421B1(2807308721)
inbound esp sas:
spi: 0x96185188(2518176136)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 3, flow_id: SW:3, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4569747/3242)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xA75421B1(2807308721)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 4, flow_id: SW:4, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4569745/3242)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.17.0.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.5/255.255.255.255/47/0)
current_peer 172.17.0.5 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 244, #pkts encrypt: 244, #pkts digest: 244
#pkts decaps: 253, #pkts decrypt: 253, #pkts verify: 253
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 172.17.0.11, remote crypto endpt.: 172.17.0.5
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0/0
current outbound spi: 0x3C50B3AB(1011921835)
inbound esp sas:
spi: 0x3EBE84EF(1052673263)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: SW:1, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4549326/2779)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x3C50B3AB(1011921835)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: SW:2, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4549327/2779)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.17.0.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.12/255.255.255.255/47/0)
current_peer 172.17.0.12 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.17.0.11, remote crypto endpt.: 172.17.0.12
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0/0
current outbound spi: 0x38C04B36(952126262)
inbound esp sas:
spi: 0xA2EC557(170837335)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 5, flow_id: SW:5, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4515510/3395)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x38C04B36(952126262)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 6, flow_id: SW:6, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4515511/3395)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel 1
Crypto map tag: vpnprof-head-1, local addr 172.17.0.11
protected vrf: (none)
local ident (addr/mask/prot/port): (172.17.0.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
current_peer 172.17.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 134, #pkts encrypt: 134, #pkts digest: 134
#pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 22, #recv errors 0
local crypto endpt.: 172.17.0.11, remote crypto endpt.: 172.17.0.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0/0
current outbound spi: 0xA75421B1(2807308721)
inbound esp sas:
spi: 0x96185188(2518176136)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 3, flow_id: SW:3, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4569747/3242)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xA75421B1(2807308721)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 4, flow_id: SW:4, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4569745/3242)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.17.0.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.5/255.255.255.255/47/0)
current_peer 172.17.0.5 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 244, #pkts encrypt: 244, #pkts digest: 244
#pkts decaps: 253, #pkts decrypt: 253, #pkts verify: 253
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 172.17.0.11, remote crypto endpt.: 172.17.0.5
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0/0
current outbound spi: 0x3C50B3AB(1011921835)
inbound esp sas:
spi: 0x3EBE84EF(1052673263)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: SW:1, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4549326/2779)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x3C50B3AB(1011921835)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: SW:2, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4549327/2779)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.17.0.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.12/255.255.255.255/47/0)
current_peer 172.17.0.12 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.17.0.11, remote crypto endpt.: 172.17.0.12
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0/0
current outbound spi: 0x38C04B36(952126262)
inbound esp sas:
spi: 0xA2EC557(170837335)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 5, flow_id: SW:5, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4515510/3395)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x38C04B36(952126262)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 6, flow_id: SW:6, crypto map: vpnprof-head-1
sa timing: remaining key lifetime (k/sec): (4515511/3395)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
その他の参考資料
関連資料
関連項目 |
マニュアル タイトル |
|---|---|
| IPv6 アドレッシングと接続 |
『IPv6 Configuration Guide』 |
| ダイナミック マルチポイント VPN |
『Dynamic Multipoint VPN コンフィギュレーション ガイド』 |
| Cisco IOS コマンド |
|
| IPv6 コマンド |
『IPv6 Command Reference』 |
| Cisco IOS IPv6 機能 |
|
| 推奨される暗号化アルゴリズム |
標準および RFC
標準/RFC |
タイトル |
|---|---|
| IPv6 に関する RFC |
IPv6 RFCs |
シスコのテクニカル サポート
説明 |
リンク |
|---|---|
| 右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
トンネル保護による IPsec 共有の機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、 www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。| 機能名 |
リリース |
機能情報 |
|---|---|---|
| トンネル保護による IPSec 共有 |
Cisco IOS XE Release 2.5 |
トンネル保護による IPsec 共有機能を使用すると、IPsec セッションを 2 つ以上の GRE トンネル インターフェイス間で共有できます。 Cisco IOS XE Release 2.5 では、Cisco ASR 1000 シリーズ Aggregation Services Router にこの機能が実装されました。 この機能により、次のコマンドが変更されました。tunnelprotectionipsecprofileshared |
用語集
GRE:総称ルーティング カプセル化。トンネルを構成することにより、共有 WAN 全体に特定の経路を確保するとともに、特定の宛先へトラフィックを確実に送り届けるため新たなパケット ヘッダーでトラフィックをカプセル化します。トラフィックにとってトンネルの入口となるのはエンドポイントに限られるため、プライベートなネットワークを実現できます。トンネルそのものは、暗号化のように高い機密性を確保する手段にはなりませんが、暗号化されたトラフィックをトンネル経由で送信することは可能です。
GRE トンネリングを使用すると、非 IP トラフィックを IP にカプセル化して、インターネットや IP ネットワーク上に送信することもできます。非 IP トラフィックに該当するのは、インターネット パケット交換(IPX)プロトコルや AppleTalk プロトコルなどのトラフィックです。
IKE:インターネット キー交換。Oakley キー交換や Skeme キー交換を ISAKMP フレームワーク内部に実装したハイブリッド プロトコルです。IKE は、他のプロトコルでも使用できますが、初期実装されるのは IPsec です。IKE は、IPsec ピアを認証し、IPsec キーをネゴシエーションし、IPsec セキュリティ アソシエーションを実行します。
IPsec:IP Security。IETF によって開発されたオープン規格のフレームワークです。IPSec は、インターネットなどの保護されていないネットワークを使用して機密情報を送信する場合に、セキュリティを提供します。IPsec はネットワーク層で実装され、Cisco ルータなどの参加している IPsec デバイス(ピア)の間の IP パケットを保護および認証します。
ISAKMP:Internet Security Association Key Management Protocol。ペイロード形式、キー交換プロトコル実装の方法、およびセキュリティ アソシエーションのネゴシエーションを定義するプロトコル フレームワークです。
NHRP:Next Hop Resolution Protocol。ルータ、アクセス サーバ、およびホストにおいて、非ブロードキャスト マルチアクセス(NBMA)ネットワークに接続された他のルータおよびホストのアドレスを検出する際に使用されるプロトコルです。
シスコによる NHRP の実装では、IETF ドラフト バージョン 11 の NBMA NHRP をサポートしています。
また、IP バージョン 4 および IPX ネットワーク層をサポートしているほか、リンク層では、ATM、イーサネット、SMDS、およびマルチポイント トンネル ネットワークもサポートしています。NHRP はイーサネット上で使用できますが、イーサネットではブロードキャストが可能であるため、NHRP をイーサネット メディアに実装する必要はありません。IPX に対してイーサネットのサポートは不要です(サポートはありません)。
SA:セキュリティ アソシエーション。2 つ以上のエンティティ間で、安全な通信を行うためのセキュリティ サービスをどのように使用するかを規定したものです。たとえば IPsec の SA では、IPsec 接続の際に使用される暗号化アルゴリズム(使用される場合)、認証アルゴリズム、および共有セッション キーが定義されます。
IPsec および IKE では、接続パラメータの識別に必ず SA が使用されます。IKE では、独自に SA をネゴシエーションして確立できます。IPsec の SA は、IKE により確立することも、ユーザ設定により確立することもできます。
トランスフォーム:データフローに対し、データ認証、データの機密性の確保、およびデータ圧縮を目的として行われる一連の処理。トランスフォームには、Hash-based Message Authentication Code(HMAC)-Message Digest Algorithm(MD5)認証アルゴリズムを使用する Encapsulating Security Payload(ESP)プロトコル、56 ビット DES 暗号規格アルゴリズムを使用する Authentication Header(AH)プロトコル、および HMAC-Secure Hash Algorithm(SHA)認証アルゴリズムを使用する ESP プロトコルなどがあります。
トンネル:2 つのピア間(2 台のルータ間など)のセキュアな通信パス。トンネル モードで IPsec を使用することではありません。
VPN:バーチャル プライベート ネットワーク。複数のピアで構成されるフレームワークで、各ピア間では、他のパブリック インフラストラクチャを介して機密データがセキュアに転送されます。このフレームワークでは、すべてのデータをトンネルして暗号化するプロトコルによって、着信ネットワーク トラフィックおよび発信ネットワーク トラフィックが保護されます。また、ネットワークをローカル トポロジの外部にまで拡張できるほか、リモート ユーザがダイレクト ネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。
フィードバック