セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

GRE over IPSec と OSPF、NAT、および Cisco IOS ファイアウォールを使用したダイナミック マルチポイント VPN(DMVPN)の設定

2006 年 11 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 11 月 30 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定例
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、generic routing encapsulation(GRE; 総称ルーティング カプセル化)over IPsec と Open Shortest Path First(OSPF)、Network Address Translation(NAT; ネットワーク アドレス変換)、および Cisco IOS(R) ファイアウォールを使用した Dynamic Multipoint VPN(DMVPN; ダイナミック マルチポイント VPN)の設定例を説明します。

前提条件

要件

マルチポイント GRE(mGRE)および IPsec トンネルを確立するには、crypto isakmp policy コマンドを使用して Internet Key Exchange(IKE; インターネット鍵交換)ポリシーを定義しておく必要があります。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ハブ ルータ上の Cisco IOS(R) ソフトウェア リリース 12.2(15)T1 およびスポーク ルータ上の Cisco IOS ソフトウェア リリース 12.3(1.6)

  • ハブ ルータとして Cisco 3620、スポーク ルータとして 2 台の Cisco 1720 ルータおよび 1 台の Cisco 3620 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク設定を使用しています。

dmvpn-gre-ospf.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

設定例

このドキュメントでは、次の設定を使用します。

ハブ - 3620-B
  W2N-6.16-3620-B#write terminal
  Building configuration...
  
  Current configuration : 2613 bytes
  !
  version 12.2
  service timestamps debug datetime msec
  service timestamps log datetime msec
  no service password-encryption
  !
  hostname W2N-6.16-3620-B
  !
  logging queue-limit 100
  !
  memory-size iomem 10
  ip subnet-zero
  !
  !
  ip cef
  no ip domain lookup
  !
  
  !--- これは Cisco IOS ファイアウォール設定と検査対象です。
  !--- これは外部インターフェイスの発信側に適用されます。
  
  ip inspect name in2out rcmd
  ip inspect name in2out ftp
  ip inspect name in2out tftp
  ip inspect name in2out tcp timeout 43200
  ip inspect name in2out http
  ip inspect name in2out udp
  ip audit po max-events 100
  !
  !
  !
  
  !--- Internet Security Association and Key Management Protocol(ISAKMP)
  !--- ポリシーをフェーズ 1 ネゴシエーション用に作成します。
  
  crypto isakmp policy 5
   authentication pre-share
   group 2
  
  !--- ダイナミックな事前共有キーを追加します。
  
  crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
  crypto isakmp nat keepalive 20
  !
  !
  
  !--- 実際のデータ暗号化用のフェーズ 2 ポリシーを作成します。
  
  crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
  !
  
  !--- IPSec トンネル上での GRE にダイナミックに適用される
  !--- IPSec プロファイルを作成します。
  
  crypto ipsec profile dmvpnprof
   set transform-set dmvpnset
  !
  !
  !
  !
  !
  !
  !
  !
  !
  !
  !
  no voice hpi capture buffer
  no voice hpi capture destination
  !
  !
  mta receive maximum-recipients 0
  !
  !
  !
  
  !--- 着信インターフェイスの設定です。
  
  interface Loopback1
   ip address 192.168.117.1 255.255.255.0
   ip nat inside
  !
  
  !--- ダイナミックに作成されるすべての GRE トンネルに適用される
  !--- GRE トンネル テンプレートを作成します。
  
  interface Tunnel1
   description MULTI-POINT GRE TUNNEL for BRANCHES
   bandwidth 1000
   ip address 172.16.0.1 255.255.255.0
   no ip redirects
   ip mtu 1416
   ip nhrp authentication dmvpn
   ip nhrp map multicast dynamic
   ip nhrp network-id 99
   ip nhrp holdtime 300
   no ip route-cache
   ip ospf network broadcast
   no ip mroute-cache
   delay 1000
   tunnel source FastEthernet0/0
   tunnel mode gre multipoint
   tunnel key 100000
   tunnel protection ipsec profile dmvpnprof
  !
  
  !--- 発信インターフェイスの設定です。
  
  interface FastEthernet0/0
   ip address 14.24.117.1 255.255.0.0
   ip nat outside
   ip access-group 100 in
   ip inspect in2out out
   no ip mroute-cache
   duplex auto
   speed auto
  !
  interface Serial0/0
   no ip address
   shutdown
   clockrate 2000000
   no fair-queue
  !
  interface FastEthernet0/1
   no ip address
   no ip mroute-cache
   duplex auto
   speed auto
  !
  
  !--- ルーティング プロトコルをイネーブルにして、プライベート ネットワークの
  !--- ダイナミックな更新を送受信します。
  
  router ospf 1
   log-adjacency-changes
   network 172.16.0.0 0.0.0.255 area 0
   network 192.168.117.0 0.0.0.255 area 0
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
  
  ip nat inside source route-map nonat interface FastEthernet0/0 overload
  ip http server
  no ip http secure-server
  ip classless
  ip route 0.0.0.0 0.0.0.0 14.24.1.1
  ip route 2.0.0.0 255.0.0.0 14.24.121.1
  !
  !
  !
  
  !--- インバウンドで ISAKMP、ESP、および GRE トラフィックを許可します。
  !--- Cisco IOS ファイアウォールは必要に応じてその他の着信アクセスを開きます。
  
  access-list 100 permit udp any host 14.24.117.1 eq 500
  access-list 100 premit esp any host 14.24.117.1
  access-list 100 permit gre any host 14.24.117.1  
  access-list 100 deny ip any any 
  
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
   
  access-list 110 deny   ip 192.168.117.0 0.0.0.255 192.168.118.0 0.0.0.255
  access-list 110 deny   ip 192.168.117.0 0.0.0.255 192.168.116.0 0.0.0.255
  access-list 110 deny   ip 192.168.117.0 0.0.0.255 192.168.120.0 0.0.0.255
  access-list 110 permit ip 192.168.117.0 0.0.0.255 any
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
  
  route-map nonat permit 10
   match ip address 110
  !
  call rsvp-sync
  !
  !
  mgcp profile default
  !
  dial-peer cor custom
  !
  !
  !
  !
  !
  line con 0
   exec-timeout 0 0
  line aux 0
  line vty 0 4
   login
  !
  !
  end
  
  W2N-6.16-3620-B#
  

スポーク 1 - 3620-A
  W2N-6.16-3620-A#write terminal
  Building configuration...
  
  Current configuration : 2678 bytes
  !
  version 12.2
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname W2N-6.16-3620-A
  !
  boot system flash slot0:c3620-ik9o3s7-mz.122-15.T1.bin
  logging queue-limit 100
  !
  memory-size iomem 15
  ip subnet-zero
  !
  !
  ip cef
  no ip domain lookup
  !
  
  !--- これは Cisco IOS ファイアウォール設定と検査対象です。
  !--- これは外部インターフェイスの発信側に適用されます。
  
  ip inspect name in2out rcmd
  ip inspect name in2out tftp
  ip inspect name in2out udp
  ip inspect name in2out tcp timeout 43200
  ip inspect name in2out realaudio
  ip inspect name in2out vdolive
  ip inspect name in2out netshow
  ip audit po max-events 100
  !
  !
  !
  
  !--- フェーズ 1 ネゴシエーション用の
  !--- ISAKMP ポリシーを作成します。
  
  crypto isakmp policy 5
   authentication pre-share
   group 2
  
  !--- ダイナミックな事前共有キーを追加します。
  
  crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
  !
  !
  
  !--- 実際のデータ暗号化用のフェーズ 2 ポリシーを作成します。
  
  crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
  !
  
  !--- IPSec トンネル上での GRE にダイナミックに適用される
  !--- IPSec プロファイルを作成します。
  
  crypto ipsec profile dmvpnprof
   set transform-set dmvpnset
  !
  !
  !
  !
  !
  !
  !
  !
  !
  !
  !
  no voice hpi capture buffer
  no voice hpi capture destination
  !
  !
  mta receive maximum-recipients 0
  !
  !
  !
  
  !--- 着信インターフェイスの設定です。
  
  interface Loopback1
   ip address 192.168.118.1 255.255.255.0
   ip nat inside
  !
  
  !--- ダイナミックに作成されるすべての GRE トンネルに適用される
  !--- GRE トンネル テンプレートを作成します。
  
  interface Tunnel1
   description HOST DYNAMIC TUNNEL
   bandwidth 1000
   ip address 172.16.0.2 255.255.255.0
   no ip redirects
   ip mtu 1416
   ip nhrp authentication dmvpn
   ip nhrp map multicast dynamic
   ip nhrp map 172.16.0.1 14.24.117.1
   ip nhrp map multicast 14.24.117.1
   ip nhrp network-id 99
   ip nhrp holdtime 300
   ip nhrp nhs 172.16.0.1
   no ip route-cache
   ip ospf network broadcast
   no ip mroute-cache
   delay 1000
   tunnel source Ethernet0/0
   tunnel mode gre multipoint
   tunnel key 100000
   tunnel protection ipsec profile dmvpnprof
  !
  
  !--- 発信インターフェイスの設定です。
  
  interface Ethernet0/0
   ip address 14.24.118.1 255.255.0.0
   ip nat outside
   ip access-group 100 in
   ip inspect in2out out
   no ip mroute-cache
   half-duplex
  !
  interface Ethernet0/1
   no ip address
   half-duplex
  !
  interface Ethernet0/2
   no ip address
   shutdown
   half-duplex
  !
  interface Ethernet0/3
   no ip address
   shutdown
   half-duplex
  !
  
  !--- ルーティング プロトコルをイネーブルにして、プライベート ネットワークの
  !--- ダイナミックな更新を送受信します。
  
  router ospf 1
   log-adjacency-changes
   redistribute connected
   network 172.16.0.0 0.0.0.255 area 0
   network 192.168.118.0 0.0.0.255 area 0
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
   
  ip nat inside source route-map nonat interface Ethernet0/0 overload
  ip http server
  no ip http secure-server
  ip classless
  ip route 0.0.0.0 0.0.0.0 14.24.1.1
  ip route 2.0.0.0 255.0.0.0 14.24.121.1
  
  !
  !
  !
  
  !--- インバウンドで ISAKMP、ESP、および GRE トラフィックを許可します。
  !--- Cisco IOS ファイアウォールは必要に応じて着信アクセスを開きます。
  
  access-list 100 permit udp any host 14.24.118.1 eq 500
  access-list 100 premit esp any host 14.24.118.1
  access-list 100 permit gre any host 14.24.118.1  
  access-list 100 deny ip any any
  
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
   
  access-list 110 deny   ip 192.168.118.0 0.0.0.255 192.168.117.0 0.0.0.255
  access-list 110 deny   ip 192.168.118.0 0.0.0.255 192.168.116.0 0.0.0.255
  access-list 110 deny   ip 192.168.118.0 0.0.0.255 192.168.120.0 0.0.0.255
  access-list 110 permit ip 192.168.118.0 0.0.0.255 any
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
   
  route-map nonat permit 10
   match ip address 110
  !
  call rsvp-sync
  !
  !
  mgcp profile default
  !
  dial-peer cor custom
  !
  !
  !
  !
  !
  line con 0
   exec-timeout 0 0
  line aux 0
  line vty 0 4
   login
  !
  !
  end
  
  W2N-6.16-3620-A#
  

スポーク 2 - 1720-b
  1720-b#write terminal
  Building configuration...
  
  Current configuration : 2623 bytes
  !
  version 12.2
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname 1720-b
  !
  logging queue-limit 100
  enable password cisco
  !
  username 7206-B password 0 cisco
  ip subnet-zero
  !
  !
  no ip domain lookup
  !
  ip cef
  
  !--- これは Cisco IOS ファイアウォール設定と検査対象です。
  !--- これは外部インターフェイスの発信側に適用されます。
  
  ip inspect name in2out rcmd
  ip inspect name in2out tftp
  ip inspect name in2out udp
  ip inspect name in2out tcp timeout 43200
  ip inspect name in2out realaudio
  ip inspect name in2out vdolive
  ip inspect name in2out netshow
  ip audit po max-events 100
  vpdn-group 1
   request-dialin
    protocol pppoe
  !
  !
  !
  !
  !
  
  !--- フェーズ 1 ネゴシエーション用の
  !--- ISAKMP ポリシーを作成します。
  
  crypto isakmp policy 5
   authentication pre-share
   group 2
  
  !--- ダイナミックな事前共有キーを追加します。
  
  crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
  !
  !
  
  
  !--- 実際のデータ暗号化用のフェーズ 2 ポリシーを作成します。
  
  crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
  !
  
  !--- IPSec トンネル上での GRE にダイナミックに適用される
  !--- IPSec プロファイルを作成します。
  
  crypto ipsec profile dmvpnprof
   set transform-set dmvpnset
  !
  !
  !
  !
  !
  
  !--- 着信インターフェイスの設定です。
  
  interface Loopback1
   ip address 192.168.116.1 255.255.255.0
   ip nat inside
  !
  
  !--- ダイナミックに作成されるすべての GRE トンネルに適用される
  !--- GRE トンネル テンプレートを作成します。
  
  interface Tunnel1
   description HOST DYNAMIC TUNNEL
   bandwidth 1000
   ip address 172.16.0.3 255.255.255.0
   no ip redirects
   ip mtu 1416
   ip nhrp authentication dmvpn
   ip nhrp map multicast dynamic
   ip nhrp map 172.16.0.1 14.24.117.1
   ip nhrp map multicast 14.24.117.1
   ip nhrp network-id 99
   ip nhrp holdtime 300
   ip nhrp nhs 172.16.0.1
   no ip route-cache
   ip ospf network broadcast
   no ip mroute-cache
   delay 1000
   tunnel source Dialer1
   tunnel mode gre multipoint
   tunnel key 100000
   tunnel protection ipsec profile dmvpnprof
  !
  interface Ethernet0
   no ip address
   half-duplex
  !
  interface FastEthernet0
   no ip address
   no ip mroute-cache
   speed auto
   pppoe enable
   pppoe-client dial-pool-number 1
  !
  
  !--- 発信インターフェイスの設定です。
  
  interface Dialer1
   ip address 2.2.2.10 255.255.255.0
   ip inspect in2out out
   ip access-group 100 in encapsulation ppp
   dialer pool 1
   dialer-group 1
   ppp authentication pap chap callin
  !
  
  !--- ルーティング プロトコルをイネーブルにして、プライベート ネットワークの
  !--- ダイナミックな更新を送受信します。
  
  router ospf 1
   log-adjacency-changes
   redistribute connected
   network 172.16.0.0 0.0.0.255 area 0
   network 192.168.116.0 0.0.0.255 area 0
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
   
  ip nat inside source route-map nonat interface Dialer1 overload
  ip classless
  ip route 0.0.0.0 0.0.0.0 14.24.1.1
  ip route 0.0.0.0 0.0.0.0 Dialer1
  
  no ip http server
  no ip http secure-server
  !
  !
  !
  
  !--- インバウンドで ISAKMP、ESP、および GRE トラフィックを許可します。
  !--- Cisco IOS ファイアウォールは必要に応じて着信アクセスを開きます。
  
  access-list 100 permit udp any host 14.24.116.1 eq 500
  access-list 100 premit esp any host 14.24.116.1
  access-list 100 permit gre any host 14.24.116.1  
  access-list 100 deny ip any any
  
  
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
   
  access-list 110 deny   ip 192.168.116.0 0.0.0.255 192.168.117.0 0.0.0.255
  access-list 110 deny   ip 192.168.116.0 0.0.0.255 192.168.118.0 0.0.0.255
  access-list 110 deny   ip 192.168.116.0 0.0.0.255 192.168.120.0 0.0.0.255
  access-list 110 permit ip 192.168.116.0 0.0.0.255 any
  dialer-list 1 protocol ip permit
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
   
  route-map nonat permit 10
   match ip address 110
  !
  !
  line con 0
   exec-timeout 0 0
  line aux 0
  line vty 0 4
   login
  !
  no scheduler allocate
  end
  
  1720-b#
  

スポーク 3 - 1720-A
  W2N-6.16-1720-A#write terminal
  Building configuration...
  
  Current configuration : 2303 bytes
  !
  version 12.2
  service timestamps debug datetime msec
  service timestamps log datetime msec
  no service password-encryption
  !
  hostname W2N-6.16-1720-A
  !
  logging queue-limit 100
  !
  memory-size iomem 25
  ip subnet-zero
  !
  !
  no ip domain lookup
  !
  ip cef
  
  !--- これは Cisco IOS ファイアウォール設定と検査対象です。
  !--- これは外部インターフェイスの発信側に適用されます。
  
  ip inspect name in2out rcmd
  ip inspect name in2out tftp
  ip inspect name in2out udp
  ip inspect name in2out tcp timeout 43200
  ip inspect name in2out realaudio
  ip inspect name in2out vdolive
  ip inspect name in2out netshow
  ip audit notify log
  ip audit po max-events 100
  !
  !
  !
  !
  
  !--- フェーズ 1 ネゴシエーション用の
  !--- ISAKMP ポリシーを作成します。
  
  crypto isakmp policy 5
   authentication pre-share
   group 2
  
  !--- ダイナミックな事前共有キーを追加します。
  
  crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
  !
  !
  
  !--- 実際のデータ暗号化用のフェーズ 2 ポリシーを作成します。
  
  crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
  !
  
  !--- IPSec トンネル上での GRE にダイナミックに適用される
  !--- IPSec プロファイルを作成します。
  
  crypto ipsec profile dmvpnprof
   set transform-set dmvpnset
  !
  !
  !
  !
  !
  
  !--- 着信インターフェイスの設定です。
  
  interface Loopback1
   ip address 192.168.120.1 255.255.255.0
   ip nat inside
  !
  
  !--- ダイナミックに作成されるすべての GRE トンネルに適用される
  !--- GRE トンネル テンプレートを作成します。
  
  interface Tunnel1
   description HOST DYNAMIC TUNNEL
   bandwidth 1000
   ip address 172.16.0.4 255.255.255.0
   no ip redirects
   ip mtu 1416
   ip nhrp authentication dmvpn
   ip nhrp map multicast dynamic
   ip nhrp map 172.16.0.1 14.24.117.1
   ip nhrp map multicast 14.24.117.1
   ip nhrp network-id 99
   ip nhrp holdtime 300
   ip nhrp nhs 172.16.0.1
   ip ospf network broadcast
   no ip mroute-cache
   delay 1000
   tunnel source FastEthernet0
   tunnel mode gre multipoint
   tunnel key 100000
   tunnel protection ipsec profile dmvpnprof
  !
  interface Ethernet0
   no ip address
   no ip mroute-cache
   half-duplex
  !
  
  !--- 発信インターフェイスの設定です。
  
  interface FastEthernet0
   ip address 14.24.120.1 255.255.0.0
   ip nat outside
   ip inspect in2out out
   ip access-group 100 in
   no ip mroute-cache
   speed auto
  !
  
  !--- ルーティング プロトコルをイネーブルにして、プライベート ネットワークの
  !--- ダイナミックな更新を送受信します。
  
  router ospf 1
   log-adjacency-changes
   redistribute connected
   network 172.16.0.0 0.0.0.255 area 0
   network 192.168.120.0 0.0.0.255 area 0
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
  
  ip nat inside source route-map nonat interface FastEthernet0 overload
  ip classless
  ip route 0.0.0.0 0.0.0.0 14.24.1.1
  ip route 2.0.0.0 255.0.0.0 14.24.121.1
  no ip http server
  no ip http secure-server
  !
  !
  !
  
  !--- インバウンドで ISAKMP、ESP、および GRE トラフィックを許可します。
  !--- Cisco IOS ファイアウォールは必要に応じて着信アクセスを開きます。
  
  access-list 100 permit udp any host 14.24.116.1 eq 500
  access-list 100 premit esp any host 14.24.116.1
  access-list 100 permit gre any host 14.24.116.1  
  access-list 100 deny ip any any
  access-list 110 permit ip 192.168.120.0 0.0.0.255 any
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
  
  access-list 110 deny   ip 192.168.120.0 0.0.0.255 192.168.116.0 0.0.0.255
  access-list 110 deny   ip 192.168.120.0 0.0.0.255 192.168.117.0 0.0.0.255
  access-list 110 deny   ip 192.168.120.0 0.0.0.255 192.168.118.0 0.0.0.255
  access-list 110 permit ip 192.168.120.0 0.0.0.255 any
  !
  
  !--- NAT プロセスからプライベート ネットワーク トラフィックを除きます。
  
  route-map nonat permit 10
   match ip address 110
  !
  !
  line con 0
   exec-timeout 0 0
  line aux 0
  line vty 0 4
   login
  !
  end
  
  W2N-6.16-1720-A#
  

確認

このセクションを使用して、設定が正しく動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto isakmp sa — ISAKMP Security Association(SA; セキュリティ結合)の状態を表示します。

  • show crypto engine connections active — SA ごとの暗号化/復号化の合計を表示します。

  • show crypto ipsec sa — アクティブなトンネルの統計情報を表示します。

  • show ip route — ルーティング テーブルを表示します。

  • show ip ospf neighbor — インターフェイスごとの OSPF ネイバー情報を表示します。

  • show ip nhrp — オプションで特定のインターフェイスのダイナミックまたはスタティック キャッシュのエントリに制限されている IP Next Hop Resolution Protocol(NHRP)キャッシュを表示します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

トラブルシューティングのためのコマンド

注:debug コマンドを発行する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec — IPSec イベントを表示します。

  • debug crypto isakmp — IKE イベントに関するメッセージを表示します。

  • debug crypto engine — 暗号化エンジンからの情報を表示します。

IPSec のトラブルシューティングの詳細については、『IP Security のトラブルシューティング - debug コマンドの理解と使用』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報