セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco VPN Concentrator、Cisco IOS およびPIXデバイス間のLAN-to-LAN構成の再ネゴシエーション

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、異なる Cisco VPN 製品の間における IP Security (IPSec) LAN-to-LAN トンネル再ネゴシエーションに関する、VPN デバイスのリブート、キー再生成、および IPSec セキュリティ アソシエーション(SA)の手動での終了など、さまざまなシナリオでのラボ試験結果を報告します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.1(5)T8

  • Cisco PIXソフトウェアリリース 6.0(1)

  • Cisco VPN 3000 コンセントレータ ソフトウェア バージョン 3.0(3)A

  • Cisco VPN 5000 コンセントレータ ソフトウェア バージョン 5.2(21)

このテストで使用される IP トラフィックは hostA と hostB 間の双方向インターネット制御メッセージ プロトコル (ICMP)パケットです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

これはテストベッドの概念 図です。

renegotiate.gif

VPN デバイスは Cisco IOS ルータ、Cisco Secure PIX Firewall、Cisco VPN 3000 コンセントレータまたは Cisco VPN 5000 コンセントレータを表します。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

テストシナリオ

3 つの一般的 な シナリオはテストされました。 以下はテストシナリオの簡潔な定義です:

  • IPSec SA の手動による終了—ユーザは VPN デバイスにログオンし、Command Line Interface (CLI)かグラフィカル ユーザ インターフェイス (GUI)を使用して手動で IPSec SA をクリアします。

  • キーの再生成—定義されたライフタイムが切れる場合の正常な IPSecフェーズ I およびフェーズ II キーの再生成。 このテストでは、2 台の VPN 終端 装置に設定される同じフェーズ I およびフェーズ II ライフタイムがあります。

  • VPN デバイスは reboot — VPN トンネル 終端地点のどちらかの端予定されていた停電を模倣するためにリブートされました。

注: VPN 5000 コンセントレータが使用される LAN-to-LAN トンネルに関しては、コンセントレータはメインモードおよびトンネル 応答側を使用して設定されます。

テスト結果

セットアップ IPSec SA の手動で 終了 キー再生成 VPN デバイス 再度ブートする
IOS への PIX
  • フェーズ I かフェーズ II SA の後で再確立されるトンネルはどちら側でもクリアされます
  • テストトラフィック作業
  • テストトラフィックはまだ後フェーズ I またはフェーズ II キーの再生成はたらきました
  • 再確立される両方のデバイスで、トンネル 有効に されて IKE キープアライブが
  • テストトラフィック1 は回復 される トンネルの後ではたらきます
VPN 3000 への IOS
  • フェーズ I かフェーズ II SA の後で再確立されるトンネルはどちら側でもクリアされます
  • テストトラフィック作業
  • テストトラフィックはまだ後フェーズ I またはフェーズ II キーの再生成はたらきました
  • 再確立される両方のデバイスで、トンネル 有効に されて IKE キープアライブが
  • テストトラフィック1 は回復 される トンネルの後ではたらきます
VPN 5000 への IOS
  • IOS:
    • テストトラフィックはまだフェーズ II SA の後でクリアされますはたらきます
    • VPN トンネルはフェーズ I SA がクリアされるときの下で行きます
    • テストトラフィックははたらくことを止めます
  • VPN 5000:
    • トンネルは手動で SA をクリアした後回復 しません
    • フェーズ I および IOS のフェーズ II 両方 SA トンネルを再確立するためにクリアしなければなりません
  • テストトラフィックはまだフェーズ II キーの再生成の後ではたらきます
  • フェーズ I キーの再生成はトンネルをダウンさせました
  • テストトラフィックははたらくことを止めます
  • 手動でクリア SA はトンネルを思い出させるなります
  • トンネルは再度ブートするの後でどちらかの VPN デバイスを回復 しません(双方向 の テスト トラフィックと)
  • テストトラフィックははたらくことを止めます
  • クリア トンネルを思い出させるためにリブートされなかったデバイスの SA は手動でなります
VPN 3000 への PIX
  • フェーズ I かフェーズ II SA の後で再確立されるトンネルはどちら側でもクリアされます
  • テストトラフィック作業
  • テストトラフィックはまだ後フェーズ I またはフェーズ II キーの再生成はたらきました
  • テストトラフィック1 は回復 される トンネルの後ではたらきます
  • Dead Peer Detection (DPD) 2 が(デフォルトで有効に されて)、再確立されるトンネル
VPN 5000 への PIX
  • PIX:
    • テストトラフィックはまだフェーズ II SA の後でクリアされますはたらきます
    • VPN トンネルはフェーズ I SA がクリアされるときの下で行きました
    • テストトラフィックははたらくことを止めます
  • VPN 5000:
    • トンネルは手動で 回復 しませんオフ SA の後で
    • フェーズ I および PIX のフェーズ II 両方 SA トンネルを再確立するためにクリアしなければなりません
  • テストトラフィックはまだフェーズ II キーの再生成の後ではたらきます
  • フェーズ I キーの再生成はトンネルをダウンさせました
  • テストトラフィックははたらくことを止めます
  • 手動でクリア SA はトンネルを思い出させるなります
  • トンネルは再度ブートするの後でどちらかの VPN デバイスを回復 しません(双方向 の テスト トラフィックと)
  • テストトラフィックははたらくことを止めます
  • クリア トンネルを思い出させるためにリブートされなかったデバイスの SA は手動でなります
VPN 5000 への VPN 3000
  • VPN 3000:
    • トンネルはクリアの後でセッション 手動で 回復 されます
    • まだトラフィック作業
  • VPN 5000:
    • トンネルはクリアの後でトンネルを手動で 回復 しません
    • テストトラフィックははたらくことを止めます
    • VPN 3000 の SA をトンネルを再確立するためにクリアしなければなりません
  • テストトラフィックはまだ後フェーズ I またはフェーズ II キーの再生成はたらきました
  • トンネルはどちらかの VPN デバイスの再度ブートするの後で回復 しません(双方向 の テスト トラフィックと)
  • テストトラフィックははたらくことを止めます
  • クリア トンネルを思い出させるためにリブートされなかったデバイスの SA は手動でなります

1 上記されているように、使用されるテストトラフィックは hostA と hostB 間の双方向 ICMPパケットです。 VPN デバイス 再度ブートするテストでは最悪 の 場合を再現するために、(トラフィックがリブートされる) VPN デバイスにリブートされない VPN デバイスの背後にあるホストからだけあるかところで単一方向トラフィックはまたテストされます。 表から、IKE キープアライブまたは DPD プロトコルと見られてできるように、VPN トンネルは最悪 の 場合から回復 することができます。

2 DPD は Unity プロトコルの一部です。 現在この機能はソフトウェア バージョン 3.0 が付いているおよびおよびとの以上の PIXファイアウォール ソフトウェア バージョン 6.0(1) の上のの Cisco VPN 3000 コンセントレータだけで利用できます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14111