音声とユニファイド コミュニケーション : Cisco PIX 500 シリーズ セキュリティ アプライアンス

IPSec を使用した単純な PIX-PIX 間 VPN トンネルの設定

2002 年 3 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次


概要

IP Security(IPSec)を使用することにより、インターネットまたはパブリック ネットワークを介して、2 台の Cisco Secure PIX Firewall 同士で Virtual Private Network(VPN; バーチャルプライベート ネットワーク)トンネルを構築する設定を紹介します。IPSec とは、IPSec ピア間でデータの機密性、データの完全性、およびデータの発信元の認証を提供するオープン スタンダードの組み合せです。

IPSec によるネゴシエーションは、2 回の Internet Key Exchange(IKE; インターネット鍵交換)フェーズを含む5 つのステップに分かれます。

  1. 対象トラフィックによって IPSec トンネルが開始されます。IPSec ピア間を伝送されるトラフィックが対象トラフィックと見なされます。
  2. IKE フェーズ 1 では、IPSec ピア同士が、IKE Security Association(SA; セキュリティ結合)ポリシーについてネゴシエートします。ピアが認証されると、Internet Security Association and Key Management Protocol(ISAKMP)を使用して安全なトンネルが作成されます。
  3. IKE フェーズ 2 では、IPSec ピア同士が認証済みの安全なトンネルを使用して、IPSec SA トランスフォームをネゴシエートします。共有ポリシーのネゴシエーションによって、IPSec トンネルの確立方法が決定されます。
  4. IPSec トンネルが作成され、IPSec トランスフォーム セットに設定された IPSec パラメータに基づいて、IPSec 間でデータが伝送されます。
  5. IPSec SA が削除されるか、または IPSec SA のライフタイムが尽きると、IPSec トンネルは終了します。
注:ピア同士でどちらか一方の IKE フェーズが一致しない場合、2 台の PIX 間の IPSec ネゴシエーションは失敗します。

ハードウェアとソフトウェアのバージョン

この設定は、次のバージョンのソフトウェアとハードウェアを使用して開発、テストされています。
  • Cisco IOS(R) ソフトウェア バージョン 5.1(1) がインストールされたCisco Secure PIX 515 Firewall
  • Cisco IOS(R) ソフトウェア バージョン 5.1(1) がインストールされたCisco Secure PIX 520 Firewall

ネットワーク ダイアグラム

ネットワーク ダイアグラム

IKE および IPSec コンフィギュレーション
各 PIX の IPSec コンフィギュレーション間の相違点は、ピア情報と、暗号マップおよびトランスフォームセットの命名規則の箇所のみです。IPSec コンフィギュレーションは、write terminal を入力するか、show コマンドを使用して確認できます。該当するコマンドは、show isakmpshow isakmp policyshow access-listshow crypto ipsec transform-set、および show crypto map です。これらのコマンドの詳細については、「Cisco Secure PIX Firewall Command References」を参照してください。

IPSec を設定するには、次のステップに従います。各ステップについては、以降で詳しく説明します。

  1. IKE の事前共有鍵の設定
  2. IPSec の設定
  3. Network Address Translation(NAT; ネットワーク アドレス変換)の設定
  4. PIX システムオプションの設定

IKE の事前共有鍵の設定

isakmp enable コマンドを使用して、IPSec 終端インターフェイスで IKE を有効にします。このシナリオでは、両 PIX の外部インターフェイスが IPSec 終端インターフェイスになります。したがって、両方の PIX で IKE を設定しますが、ここでは Maui-PIX-01 の例のみを示します。
isakmp enable outside
また、isakmp policy コマンドを使用して、IKE ネゴシエーション時に使用する IKE ポリシーを定義する必要があります。このコマンドを使用するときは、ポリシーを一意に識別するためにプライオリティ レベルを割り当てます。このケースでは、最もプライオリティの高い 1 をポリシーに割り当てます。事前共有鍵の使用、MD5 ハッシング アルゴリズムの使用、暗号化用に DES の使用、および Diffie-Hellman グループ 1 の使用と SA ライフタイムをポリシーとして設定します。
isakmp policy 1 authentication pre-share
     isakmp policy 1 encryption des
     isakmp policy 1 hash md5
     isakmp policy 1 group 1
     isakmp policy 1 lifetime 1000
IKE コンフィギュレーションは、show isakmp policy コマンドで確認できます。
Maui-PIX-01# show isakmp policy
     Protection suite of priority 1
     encryption algorithm: DES - Data Encryption Standard (56 bit keys).
     hash algorithm: Message Digest 5
     authentication method: Pre-Shared Key
     Diffie-Hellman group: #1 (768 bit)
     lifetime: 1000 seconds, no volume limit
     Default protection suite
     encryption algorithm: DES - Data Encryption Standard (56 bit keys).
     hash algorithm: Secure Hash Standard
     authentication method: Rivest-Shamir-Adleman Signature
     Diffie-Hellman group: #1 (768 bit)
     lifetime: 86400 seconds, no volume limit
最後に、isakmp key コマンドを使用して、事前共有鍵を設定し、ピア アドレスを割り当てます。事前共有鍵を使用する場合は、IPSec ピアに同じ共有鍵を設定する必要があります。指定するアドレスは、リモート ピアの IP アドレスに応じて変わります。
isakmp key ********** address 172.22.112.12 netmask 255.255.255.255 
     Maui-PIX-01#
ポリシーは、write terminal コマンドまたは show isakmp コマンドを使用して確認できます。
Maui-PIX-01# show isakmp
     isakmp enable outside
     isakmp key ********** address 172.22.112.12 netmask 255.255.255.255
     isakmp identity address
     isakmp policy 1 authentication pre-share
     isakmp policy 1 encryption des
     isakmp policy 1 hash md5
     isakmp policy 1 group 1
     isakmp policy 1 lifetime 1000

IPSec の設定

IPSec は、一方の PIX がもう一方の PIX の内部ネットワーク宛てのトラフィックを受信すると開始されます。このトラフィックは、IPSec による保護が必要な対象トラフィックと見なされます。アクセス リストを使用することにより、IKE と IPSec のネゴシエーションを開始させるトラフィックを指定できます。次に示すアクセスリストは、IPSec トンネルを通じて10.1.1.x ネットワークから172.16.1.x ネットワークに送信されるトラフィックを許可しています。相手側の PIX の設定には、このアクセスリストの送信元ネットワークと宛先ネットワークを反転させたアクセス リストを設定します。これは Maui-PIX-01 用のアクセス リストです。
access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
IPSec トランスフォーム セットは、データ フローを保護するためにピアで使用されるセキュリティポリシーを定義します。IPSec トランスフォームを定義するには、crypto ipsec transform-set コマンドを使用します。トランスフォーム セットには一意の名前を付ける必要があり、IPSec セキュリティ プロトコルを定義するために最大 3 つのトランスフォームを選択できます。次の設定では、2つのトランスフォーム、esp-hmac-md5esp-des のみが使用されます。
crypto ipsec transform-set chevelle esp-des esp-md5-hmac
暗号マップは、暗号化トラフィック用の IPSec SA を設定します。暗号マップを作成するには、マップ名とシーケンス番号を割り当てて、暗号マップパラメータを定義します。次の暗号マップ「transam」は、IKE を使用して IPSec SA を確立し、access-list 101 に一致するものをすべて暗号化します。また、特定のピアを設定し、トラフィックのセキュリティポリシーを実施するために chevelle トランスフォーム セットを使用します。
crypto map transam 1 ipsec-isakmp
     crypto map transam 1 match address 101
     crypto map transam 1 set peer 172.22.112.12
     crypto map transam 1 set transform-set chevelle
暗号マップを定義したら、その暗号マップをインターフェイスに適用します。これには、IPSec 終端インターフェイスを指定する必要があります。
crypto map transam interface outside
暗号マップのアトリビュートは、show crypto map コマンドで確認できます。
Maui-PIX-01# show crypto map
     
     Crypto Map: "transam" interfaces: { outside }
     
     Crypto Map "transam" 1 ipsec-isakmp
     Peer = 172.22.112.12
     access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255
     Current peer: 172.22.112.12
     Security association lifetime: 4608000 kilobytes/28800 seconds
     PFS (Y/N): N
     
     Transform sets={ chevelle, }

NAT の設定

次のコマンドは、PIX に対して、IPSec の対象と見なされるトラフィックを NAT 変換しないように指示します。これにより、access-list コマンド文に一致するトラフィックはすべてNAT サービスの対象外になります。
nat (inside) 0 access-list 101

PIX システム オプションの設定

着信セッションはすべて、アクセス リストまたはコンジットによって明示的に許可される必要があるため、sysopt connection permit-ipsec コマンドを使用して、すべての着信 IPSec 認証済み暗号化セッションを許可します。IPSec 保護トラフィックでは、コンジットの 2 次チェックは不要であり、このチェックによってトンネルの作成が失敗する場合があります。sysoptコマンドを使用すれば、PIX Firewall のセキュリティと設定に関する各種機能を調整できます。
sysopt connection permit-ipsec

設定例

ご使用のシスコ デバイスの、write terminal コマンドの出力データがあれば、これを使用して 今後予想される障害と修正を表示できます。これを使用するには、 CCO 登録ユーザとしてログインしており、JavaScript を有効化している必要があります。


Maui-PIX-01(192.68.1.52)
PIX Version 5.1(5)
     nameif ethernet0 outside security0
     nameif ethernet1 inside security100
     enable password <snipped> 
     passwd <snipped>  encrypted
     hostname Maui-PIX-01
     fixup protocol ftp 21
     fixup protocol http 80
     fixup protocol h323 1720
     fixup protocol rsh 514
     fixup protocol rtsp 554
     fixup protocol smtp 25
     fixup protocol sqlnet 1521
     names
     
     !--- IPSec トンネルによって保護する対象トラフィックを定義します。
     access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
     pager lines 24
     logging on
     no logging timestamp
     no logging standby
     no logging console
     no logging monitor
     no logging buffered
     no logging trap
     no logging history
     logging facility 20
     logging queue 512
     interface ethernet0 auto
     interface ethernet1 auto
     mtu outside 1500
     mtu inside 1500
     
     !--- PIX Firewall の外部アドレスを設定します。
     ip address outside 192.168.1.52 255.255.255.0
     
     !--- PIX Firewall の内部アドレスを設定します。
     ip address inside 10.1.1.1 255.255.255.0
     no failover
     failover timeout 0:00:00
     failover ip address outside 0.0.0.0
     failover ip address inside 0.0.0.0
     arp timeout 14400
     
     !--- このコマンドは、PIX に対して、IPSec の対象と見なされる
     !--- トラフィックを NAT 変換しないように指示します。
     
     nat (inside) 0 access-list 101
     
     !--- デフォルト ルートをデフォルト ゲートウェイに設定します。
     route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
     timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
     timeout rpc 0:10:00 h323 0:05:00
     timeout uauth 0:05:00 absolute
     aaa-server TACACS+ protocol tacacs+
     AAA-server RADIUS protocol radius
     no snmp-server location
     no snmp-server contact
     snmp-server community public
     no snmp-server enable traps
     floodguard enable
     
     !--- IPSec トラフィックが PIX Firewall を通過するのを許可します。
     !--- これ以外に、IPSec トラフィックを許可する conduit 文または 
     !--- access-list 文は必要ありません。
     
     
     sysopt connection permit-ipsec
     no sysopt route dnat
     
     !--- IKE フェーズ 2: 
     !--- IPSec トランスフォーム セット「chevelle」は、データ認証のために esp-md5-hmac 
     !--- を使用します。esp-des は 56 ビット暗号化を提供します。
     
     crypto ipsec transform-set chevelle esp-des esp-md5-hmac
     
     !--- 暗号マップは、IPSec トラフィック用の SA を設定します。
     !--- 次のコマンドは、IPSec SA を確立するために IKE を使用することを示します。
     crypto map transam 1 ipsec-isakmp
     
     !--- 対象トラフィックをピア 172.22.112.12 に割り当てます。
     crypto map transam 1 match address 101
     
     !--- IPSec ピアを設定します。
     crypto map transam 1 set peer 172.22.112.12
     
     !--- 暗号マップ エントリ「transam」で、IPSec トランスフォーム セット「chevelle」を
     !--- 使用することを設定します。
     
     crypto map transam 1 set transform-set chevelle
     
     !--- 暗号マップ transam をインターフェイスに割り当てます。
     crypto map transam interface outside
     
     !--- IKE フェーズ 1:
     !--- IPSec トンネルを終端するインターフェイスで IKE を有効にします。
     isakmp enable outside
     
     !--- ピアの ISAKMP 識別情報と、
     !--- IPSec ピア間の事前共有鍵を設定します。
     
     !--- IKE 認証を行う IPSec ピアには、同じ事前共有鍵を
     !--- 設定する必要があります。
     
     isakmp key ********** address 172.22.112.12 netmask 255.255.255.255
     
     !--- PIX は、IKE ネゴシエーションにおける IKE 識別のために、
     !--- デフォルトで IP アドレス方式を使用します。
     
     isakmp identity address
     
     !--- ISAKMP ポリシーは、IKE ネゴシエーションで使用される
     !--- パラメータのセットを定義します。
     
     !--- これらのパラメータを設定しなければ、デフォルト パラメータが使用されます。
     !--- show isakmp policy コマンドを使用すると、
     !--- デフォルト ポリシーとユーザ定義ポリシーの相違点を表示できます。
     
     isakmp policy 1 authentication pre-share
     isakmp policy 1 encryption des
     isakmp policy 1 hash md5
     isakmp policy 1 group 1
     isakmp policy 1 lifetime 1000
     telnet timeout 5
     terminal width 80
     Cryptochecksum:<省略>
     : end
     [OK]       

Maui-PIX-02(172.22.112.12)
PIX Version 5.1(5)
     nameif ethernet0 outside security0
     nameif ethernet1 inside security100
     nameif ethernet2 intf2 security10
     enable password <snipped> encrypted
     passwd <snipped> encrypted
     hostname Maui-PIX-02
     fixup protocol ftp 21
     fixup protocol http 80
     fixup protocol h323 1720
     fixup protocol rsh 514
     fixup protocol rtsp 554
     fixup protocol smtp 25
     fixup protocol sqlnet 1521
     names
     
     !--- IPSec トンネルによって保護する対象トラフィックを定義します。
     access-list 101 permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0
     pager lines 24
     logging on
     no logging timestamp
     no logging standby
     no logging console
     no logging monitor
     no logging buffered
     no logging trap
     no logging history
     logging facility 20
     logging queue 512
     interface ethernet0 auto
     interface ethernet1 auto
     interface ethernet2 auto shutdown
     mtu outside 1500
     mtu inside 1500
     mtu intf2 1500
     
     !--- PIX Firewall の外部アドレスを設定します。
     ip address outside 172.22.112.12 255.255.0.0
     
     !--- PIX Firewall の内部アドレスを設定します。
     ip address inside 172.16.1.1 255.255.255.0
     ip address intf2 127.0.0.1 255.255.255.255
     no failover
     failover timeout 0:00:00
     failover ip address outside 0.0.0.0
     failover ip address inside 0.0.0.0
     failover ip address intf2 0.0.0.0
     arp timeout 14400
     
     !--- このコマンドは、PIX に対して、IPSec の対象と見なされる
     !--- トラフィックを NAT 変換しないように指示します。
     
     nat (inside) 0 access-list 101
     
     !--- デフォルト ルートをデフォルト ゲートウェイに設定します。
     route outside 0.0.0.0 0.0.0.0 172.22.112.1 1
     timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
     timeout rpc 0:10:00 h323 0:05:00
     timeout uauth 0:05:00 absolute
     aaa-server TACACS+ protocol tacacs+
     aaa-server RADIUS protocol radius
     no snmp-server location
     no snmp-server contact
     snmp-server community public
     no snmp-server enable traps
     floodguard enable
     
     !--- IPSec トラフィックが PIX Firewall を通過するのを許可します。
     !--- これ以外に、IPSec トラフィックを許可する conduit 文または 
     !--- access-list 文は必要ありません。
     
     
     sysopt connection permit-ipsec
     no sysopt route dnat
     
     !--- IKE フェーズ 2: 
     !--- IPSec トランスフォーム セットは、データ フローを保護するためにピアで使用する、
     !--- セキュリティ ポリシーを定義します。
     
     !--- IPSec トランスフォーム セット「toyota」は、hmac-md5 認証ヘッダーを使用し、
     !--- DES によってペイロードをカプセル化します。
     
     crypto ipsec transform-set toyota esp-des esp-md5-hmac
     
     !--- 暗号マップは、IPSec トラフィック用の SA を設定します。
     !--- 次のコマンドは、IPSec SA を確立するために IKE を使用することを示します。
     crypto map bmw 1 ipsec-isakmp
     
     !--- 対象トラフィックをピア 192.168.1.52 に割り当てます。
     crypto map bmw 1 match address 101
     
     !--- IPSec ピアを設定します。
     crypto map bmw 1 set peer 192.168.1.52
     
     !--- 暗号マップ エントリ「bmw」で、IPSec トランスフォーム セット「toyota」を
     !--- 使用することを設定します。
     
     crypto map bmw 1 set transform-set toyota
     
     !--- 暗号マップ bmw をインターフェイスに割り当てます。
     crypto map bmw interface outside
     
     !--- IKE フェーズ 1:
     !--- IPSec トンネルを終端するインターフェイスで IKE を有効にします。
     isakmp enable outside
     
     !--- ピアの ISAKMP 識別情報と、
     !--- IPSec ピア間の事前共有鍵を設定します。
     
     !--- IKE 認証を行う IPSec ピアには、同じ事前共有鍵を
     !--- 設定する必要があります。
     
     isakmp key ********** address 192.168.1.52 netmask 255.255.255.255 
     
     !--- PIX は、IKE ネゴシエーションにおける IKE 識別のために、
     !--- デフォルトで IP アドレス方式を使用します。
     
     isakmp identity address
     
     !--- ISAKMP ポリシーは、IKE ネゴシエーションで使用される
     !--- パラメータのセットを定義します。
     
     !--- これらのパラメータを設定しなければ、デフォルト パラメータが使用されます。. 
     isakmp policy 1 authentication pre-share
     isakmp policy 1 encryption des
     isakmp policy 1 hash md5
     isakmp policy 1 group 1
     isakmp policy 1 lifetime 1000
     telnet timeout 5
     terminal width 80
     Cryptochecksum:<省略>
     : end
     [OK]

clear show および debug コマンド
注:clear コマンドは、設定モードで実行する必要があります。
  • clear crypto ipsec sa - IPSec SA をリセットします。VPN トンネルのネゴシエートに失敗した場合に使用します。
  • clear crypto isakmp sa - ISAKMP SA をリセットします。VPN トンネルのネゴシエートに失敗した場合に使用します。
  • show crypto ipsec sa - IPSec SA の現在の状態を表示します。このコマンドは、トラフィックが暗号化されているかどうかを確認する際に役立ちます。
  • show crypto isakmp sa - IKE SA の現在の状態を表示します。
  • debug crypto ipsec - VPN 接続の IPSec 部分がネゴシエートされているかどうかを表示します。
  • debug crypto isakmp - VPN 接続の ISAKMP 部分がネゴシエートされているかどうかを表示します。
上記の debug コマンドを使用する前に、「Important Information on Debug Commands」を参照してください。

接続が完了した後、show コマンドを使用して確認できます。


Maui-PIX-01 での show コマンド
Maui-PIX-01# show crypto ipsec sa
     interface: outside
     Crypto map tag: transam, local addr. 192.168.1.52
     
     local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
     current_peer: 172.22.112.12
     PERMIT, flags={origin_is_acl,}
     !--- 暗号化パケットの送受信でエラーが発生していないか
     !--- を検証します。
      
     #pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3
     #pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
     #send errors 2, #recv errors 0
     
     local crypto endpt.: 192.168.1.52, remote crypto endpt.: 172.22.112.12
     path mtu 1500, ipsec overhead 56, media mtu 1500
     current outbound spi: 6f09cbf1
     !--- 確立された受信側の SA を示します。 
     inbound esp sas:
     spi: 0x70be0c04(1891503108)
     transform: esp-des esp-md5-hmac
     in use settings ={Tunnel, }
     slot: 0, conn id: 1, crypto map: transam
     sa timing: remaining key lifetime (k/sec): (4607999/28430)
     IV size: 8 bytes
     replay detection support: Y
     
     inbound ah sas:
     
     inbound pcp sas:
     !--- 確立された送信側の SA を示します。
     outbound ESP sas:
     spi: 0x6f09cbf1(1862913009)
     transform: esp-des esp-md5-hmac
     in use settings ={Tunnel, }
     slot: 0, conn id: 2, crypto map: transam
     sa timing: remaining key lifetime (k/sec): (4607999/28430)
     IV size: 8 bytes
     replay detection support: Y
     
     outbound ah sas:
     
     outbound PCP sas:
     
     !--- ISAKMP SA は、存在していてもたいていアイドル状態(QM_IDLE)
     !--- にあり、何もしていません。
     
     !--- ISAKMP SA はピアによって認証されたまま存続し、後のクイック モード交換で
     !--- 使用される場合があります。そのため、現在はアイドル状態にあります。
     
     Maui-PIX-01# show crypto isakmp sa
             dst            src           state     pending    created
        172.22.112.12    192.168.1.52    QM_IDLE        0           1
     Maui-PIX-01# 

Maui-PIX-02 での show コマンド
Maui-PIX-02# show crypto ipsec sa
     
     interface: outside
     Crypto map tag: bmw, local addr. 172.22.112.12
     
     local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     current_peer: 192.168.1.52
     PERMIT, flags={origin_is_acl,}
     !--- 暗号化パケットの送受信でエラーが発生していないか
     !--- を検証します。
      
     #pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3
     #pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0
     
     local crypto endpt.: 172.22.112.12, remote crypto endpt.: 192.168.1.52
     path mtu 1500, ipsec overhead 56, media mtu 1500
     current outbound spi: 70be0c04
     !--- 確立された受信側の SA を示します。
     Inbound ESP sas:
     spi: 0x6f09cbf1(1862913009)
     transform: esp-des esp-md5-hmac
     in use settings ={Tunnel, }
     slot: 0, conn id: 1, crypto map: bmw
     sa timing: remaining key lifetime (k/sec): (4607999/28097)
     IV size: 8 bytes
     replay detection support: Y
     
     inbound ah sas:
     
     inbound PCP sas:
     !--- 確立された送信側の SA を示します。
     Outbound ESP sas:
     spi: 0x70be0c04(1891503108)
     transform: esp-des esp-md5-hmac
     in use settings ={Tunnel, }
     slot: 0, conn id: 2, crypto map: bmw
     sa timing: remaining key lifetime (k/sec): (4607999/28097)
     IV size: 8 bytes
     replay detection support: Y
     
     outbound ah sas:
     
     outbound PCP sas:
     
     !--- ISAKMP SA は、存在していてもたいていアイドル状態(QM_IDLE)
     !--- にあり、何もしていません。
     
     !--- ISAKMP SA はピアによって認証されたまま存続し、後のクイック モード交換で
     !--- 使用される場合があります。そのため、現在はアイドル状態にあります。
     
     Maui-PIX-02# show crypto isakmp sa
             dst            src           state     pending    created
        172.22.112.12    192.168.1.52    QM_IDLE        0           1
     Maui-PIX-02# 

ツール情報

その他のリソースについては、シスコの「TAC Tools for Security Technologies」を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報

更新日:2002 年 3月 29日


Document ID: 6211