セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

ルータからルータへの暗号化 DLSw トラフィック

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 7 月 1 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントの設定例では、ループバック インターフェイス間で設定されたデータリンク スイッチング(DLSw)ピアを使用する 2 台のルータがあります。 これらの間では、すべての DLSw トラフィックが暗号化されます。 この設定は、ルータが送信するすべての自己生成トラフィックに動作します。

この設定では、暗号 access-list は一般的です。 ユーザはより多くの仕様でおよび 2 つのループバックアドレス間の DLSw トラフィックを許可することができます。 一般に、DLSw トラフィックだけループバックインターフェイスからループバックインターフェイスに移動します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この設定は、次のバージョンのソフトウェアとハードウェアを使用して開発、テストされています。

  • Cisco IOS(R) ソフトウェア リリース 12.0。 この設定は 12.28T とテストされました。

  • Cisco 2500-is56i-l.120-7.T

  • Cisco 2513

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/14128/dlsw.gif

設定

このドキュメントでは、次の設定を使用します。

  • ルータ A

  • ルータ B

ルータ A
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname RouterA
 !
 enable secret 5 $1$7WP3$aEqtNjvRJ9Vy6i41x0RJf0
 enable password ww
 !
 ip subnet-zero
 !
 cns event-service server
 
 source-bridge ring-group 20
 dlsw local-peer peer-id 1.1.1.1
 dlsw remote-peer 0 tcp 2.2.2.2
 !
 crypto isakmp policy 1
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2
 !
 crypto ipsec transform-set dlswset esp-des esp-md5-hmac 
 !
 crypto map dlswstuff 10 ipsec-isakmp
  set peer 99.99.99.2
  set transform-set dlswset 
  match address 101
 !
 !
 interface Loopback0
  ip address 1.1.1.1 255.255.255.0
  no ip directed-broadcast
 !
 interface TokenRing0
  ip address 10.2.2.3 255.255.255.0
  ring-speed 16
  source-bridge 2 3 20
  source-bridge spanning
  no ip directed-broadcast
  no mop enabled
 !
 interface Serial0
  ip address 99.99.99.1 255.255.255.0
  no ip directed-broadcast
  crypto map dlswstuff
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.2
 no ip http server
 !
 access-list 101 permit ip host 1.1.1.1 host 2.2.2.2
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
  password ww
  login
 !
 end

ルータ B
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname RouterB
 !
 enable secret 5 $1$7WP3$aEqtNjvRJ9Vy6i41x0RJf0
 enable password ww
 !
 ip subnet-zero
 !
 cns event-service server
 
 source-bridge ring-group 10
 dlsw local-peer peer-id 2.2.2.2
 dlsw remote-peer 0 tcp 1.1.1.1
 !
 crypto isakmp policy 1
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.1
 !
 crypto ipsec transform-set dlswset esp-des esp-md5-hmac 
 !
 crypto map dlswstuff 10 ipsec-isakmp
  set peer 99.99.99.1
  set transform-set dlswset 
  match address 101
 !
 !
 interface Loopback0
  ip address 2.2.2.2 255.255.255.0
  no ip directed-broadcast
 !
 interface TokenRing0
  ip address 10.1.1.3 255.255.255.0
  ring-speed 16
  source-bridge 2 3 10
  source-bridge spanning
  no ip directed-broadcast
  no mop enabled
 !
 interface Serial0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  crypto map dlswstuff
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 access-list 101 permit ip host 2.2.2.2 host 1.1.1.1
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
  password ww
  login
 !
 end

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定に関するトラブルシューティングについて説明します。

debug コマンドと show コマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec —このコマンドはフェーズ 2.の IP セキュリティプロトコル(IPSec)ネゴシエーションを表示するものです。

  • debug crypto isakmp —このコマンドはフェーズ 1.の Internet Security Association and Key Management Protocol(ISAKMP)ネゴシエーションを表示するものです。

  • debug crypto engine —このコマンドはトラフィックを表示するものです暗号化される。

  • show crypto ipsec sa —これはフェーズ 2 セキュリティ結合を表示する。

  • show crypto isakmp sa —このコマンドはフェーズ 1 セキュリティ結合を表示するものです。

  • show dlsw peer —このコマンドは DLSw ピア ステータスおよび接続ステータスを表示するものです。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14128