IP : IP トンネリング

サンプル構成:IPX ルーティングでの GRE および IPSec

2002 年 6 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 12 月 28 日) | フィードバック

この文書では、2 つのルータ間で Generic Routing Encapsulation(GRE;総称ルーティング カプセル化)トンネルを使用した IP Security(IPSec)の構成について説明します。IPSec を使用すると、GRE トンネルを暗号化して、Novell Internetwork Packet Exchange(IPX)、AppleTalk などの非 IP トラフィックにネットワーク レイヤ セキュリティを提供できます。次に構成上の注意事項を示します。
  1. 現在、IPSec 暗号化マップは、トンネル インターフェイスと物理インターフェイスの両方に適用する必要があります。

  2. 暗号化マップを適用する前に、トンネルが動作することを確認してください。

  3. 暗号化アクセス リストには、許可されたプロトコルとして GRE が必要です。たとえば、次のようにします。
    access-list 101 permit gre
    host #.#.#.# host #.#.#.#
    (最初のホスト番号は GRE トンネルの片方のエンドの IP アドレスで、2 番目のホスト番号は他方のエンドの IP アドレスです)。

  4. (ループバックを含む)物理インターフェイス IP アドレスを使用して、Internet Key Exchange(IKE)ピアを識別します。

  5. トンネル インターフェイスでファースト スイッチングをオフにします。登録済み CCO ユーザとしてログインしている場合は、バグの詳細を表示できます。

    一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

この構成は、次のソフトウェアとハードウェアのバージョンを使用して開発およびテストしました。

  • Cisco IOS(R) ソフトウェア リリース 12.0.7.T

  • Cisco 2514 ルータ

ネットワーク ダイアグラム

構成

ルータ 1
Current configuration:

 !

 version 12.0

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname router1

 !

 ip subnet-zero

 !

 ipx routing 00e0.b064.258e

 cns event-service server

 !

 crypto isakmp policy 10

  authentication pre-share

  group 2

  lifetime 3600

 crypto isakmp key cisco address 200.1.1.1

 !

 crypto ipsec transform-set tunnelset esp-des esp-md5-hmac

 !

 crypto map toBB local-address Loopback0

 crypto map toBB 10 ipsec-isakmp

  set peer 200.1.1.1

  set transform-set tunnelset

  match address 101

 !

 interface Loopback0

  ip address 100.1.1.1 255.255.255.0

  no ip directed-broadcast

 !

 interface Tunnel0

  no ip address

  no ip directed-broadcast

  no ip route-cache

  no ip mroute-cache

  ipx network CC

  tunnel source Serial0

  tunnel destination 150.0.0.2

  crypto map toBB

 !

 interface Ethernet0

  ip address 175.1.1.1 255.255.255.0

  no ip directed-broadcast

  ipx network AA

 !

 interface Ethernet1

  no ip address

  no ip directed-broadcast

  shutdown

 !

 interface Serial0

  ip address 150.0.0.1 255.255.255.0

  no ip directed-broadcast

  no ip route-cache

  no ip mroute-cache

  no fair-queue

  crypto map toBB

 !

 interface Serial1

  no ip address

  no ip directed-broadcast

  shutdown

 !

 ip classless

 ip route 0.0.0.0 0.0.0.0 150.0.0.2

 no ip http server

 !

 access-list 101 permit gre host 150.0.0.1 host 150.0.0.2

 !

 tftp-server flash:

 !

 line con 0

  transport input none

 line aux 0

 line vty 0 4

  login

 !

 end

 

ルータ 2
Current configuration:

 !

 version 12.0

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname router2

 !

 ip subnet-zero

 !

 ipx routing 0010.7b37.c8ae

 cns event-service server

 !

 crypto isakmp policy 10

  authentication pre-share

  group 2

  lifetime 3600

 crypto isakmp key cisco address 100.1.1.1

 !

 crypto ipsec transform-set tunnelset esp-des esp-md5-hmac

 !

 crypto map toAA local-address Loopback0

 crypto map toAA 10 ipsec-isakmp

  set peer 100.1.1.1

  set transform-set tunnelset

  match address 101

 !

 interface Loopback0

  ip address 200.1.1.1 255.255.255.0

  no ip directed-broadcast

 !

 interface Tunnel0

  no ip address

  no ip directed-broadcast

  no ip route-cache

  no ip mroute-cache

  ipx network CC

  tunnel source Serial0

  tunnel destination 150.0.0.1

  crypto map toAA

 !

 interface Ethernet0

  ip address 75.1.1.1 255.255.255.0

  no ip directed-broadcast

  ipx network BB

 !

 interface Ethernet1

  no ip address

  no ip directed-broadcast

  shutdown

 !

 interface Serial0

  ip address 150.0.0.2 255.255.255.0

  no ip directed-broadcast

  no ip route-cache

  no ip mroute-cache

  no fair-queue

  clockrate 9600

  crypto map toAA

 !

 interface Serial1

  no ip address

  no ip directed-broadcast

  shutdown

 !

 ip classless

 ip route 0.0.0.0 0.0.0.0 150.0.0.1

 no ip http server

 !

 access-list 101 permit gre host 150.0.0.2 host 150.0.0.1

 !

 line con 0

  transport input none

 line aux 0

 line vty 0 4

  login

 !

 end

 

 

デバッグおよび検証に関するチップ

上のデバッグ コマンドを使用する前に、「デバッグ コマンドに関する重要情報」を参照してください。

  • show ipx route [network] [default] [detailed] : IPX ルーティング テーブルの内容を表示します。

  • show crypto engine connections active [slot | rsm | vip] :すべての暗号化エンジンに対する現在アクティブな暗号化セッション接続を表示します。

  • show crypto ipsec sa [map map-name | address | identity] [detail] :現在のセキュリティ結合によって使用される設定を表示します。キーワードを使用しない場合は、すべてのセキュリティ結合が表示されます。

サンプル デバッグ出力

デバッグ
router2# show ipx route

 Codes: C - Connected primary network,    c - Connected secondary network

        S - Static, F - Floating static, L - Local (internal), W - IPXWAN

        R - RIP, E - EIGRP, N - NLSP, X - External, A - Aggregate

        s - seconds, u - uses, U - Per-user static

 

 3 Total IPX routes. Up to 1 parallel paths and 16 hops allowed.

 

 No default route known.

 

 C         BB (NOVELL-ETHER),  Et0

 C         CC (TUNNEL),        Tu0

 R         AA [151/01] via       CC.00e0.b064.258e,   50s, Tu0

 

 router1#show ipx route

 Codes: C - Connected primary network,    c - Connected secondary network

        S - Static, F - Floating static, L - Local (internal), W - IPXWAN

        R - RIP, E - EIGRP, N - NLSP, X - External, A - Aggregate

        s - seconds, u - uses, U - Per-user static

 

 3 Total IPX routes. Up to 1 parallel paths and 16 hops allowed.

 

 No default route known.

 

 C         AA (NOVELL-ETHER),  Et0

 C         CC (TUNNEL),        Tu0

 R         BB [151/01] via       CC.0010.7b37.c8ae,    8s, Tu0

 

 router2#ping ipx AA.00e0.b064.258e

 

 Type escape sequence to abort.

 Sending 5, 100-byte IPX Novell Echoes to AA.00e0.b064.258e, timeout is 2 seconds:

 !!!!!

 Success rate is 100 percent (5/5), round-trip min/avg/max = 356/356/356 ms

 

 router1#ping ipx BB.0010.7b37.c8ae

 

 Type escape sequence to abort.

 Sending 5, 100-byte IPX Novell Echoes to BB.0010.7b37.c8ae, timeout is 2 seconds:

 !!!!!

 Success rate is 100 percent (5/5), round-trip min/avg/max = 356/356/356 ms

 router1#

 

 router2#show crypto engine connections active

 

   ID Interface       IP-Address      State  Algorithm           Encrypt  Decrypt

    1                     set    HMAC_SHA+DES_56_CB        0        0

    2                     set    HMAC_SHA+DES_56_CB        0        0

 2000 Serial0         150.0.0.2       set    HMAC_MD5+DES_56_CB        0       29

 2001 Serial0         150.0.0.2       set    HMAC_MD5+DES_56_CB       29        0

 2002 Serial0         150.0.0.2       set    HMAC_MD5+DES_56_CB        0        0

 2003 Serial0         150.0.0.2       set    HMAC_MD5+DES_56_CB        0        0

 Crypto adjacency count : Lock: 0, Unlock: 0

 

 router1#show crypto engine connections active

 

   ID Interface       IP-Address      State  Algorithm           Encrypt  Decrypt

    1                     set    HMAC_SHA+DES_56_CB        0        0

    2                     set    HMAC_SHA+DES_56_CB        0        0

 2000 Serial0         150.0.0.1       set    HMAC_MD5+DES_56_CB        0       61

 2001 Serial0         150.0.0.1       set    HMAC_MD5+DES_56_CB       61        0

 2002 Serial0         150.0.0.1       set    HMAC_MD5+DES_56_CB        0        0

 2003 Serial0         150.0.0.1       set    HMAC_MD5+DES_56_CB        0        0

 Crypto adjacency count : Lock: 0, Unlock: 0

 

 router2#show crypto ipsec sa detail

 interface: Tunnel0

     Crypto map tag: toAA, local addr. 200.1.1.1

 

    local  ident (addr/mask/prot/port): (150.0.0.2/255.255.255.255/47/0)

    remote ident (addr/mask/prot/port): (150.0.0.1/255.255.255.255/47/0)

    current_peer: 100.1.1.1

      PERMIT, flags={origin_is_acl,}

     #pkts encaps: 50, #pkts encrypt: 50, #pkts digest 50

     #pkts decaps: 50, #pkts decrypt: 50, #pkts verify 50

     #pkts compressed: 0, #pkts decompressed: 0

     #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

     #pkts no sa (send) 5, #pkts invalid sa (rcv) 0

     #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0

     #pkts invalid prot (recv) 0, #pkts verify failed: 0

     #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0

     #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0

     ##pkts replay failed (rcv): 0

     #pkts internal err (send): 0, #pkts internal err (recv) 0

 

      local crypto endpt.: 200.1.1.1, remote crypto endpt.: 100.1.1.1

      path mtu 1500, media mtu 1500

      current outbound spi: C970903

 

      inbound esp sas:

       spi: 0x18A119B(25825691)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2000, flow_id: 1, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4607994/1496)

         IV size: 8 bytes

         replay detection support: Y

       spi: 0x94D1055(156045397)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2002, flow_id: 3, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4608000/1468)

         IV size: 8 bytes

         replay detection support: Y

 

      inbound ah sas:

 

      inbound pcp sas:

 

      outbound esp sas:

       spi: 0xC970903(211224835)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2001, flow_id: 2, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4607994/1478)

         IV size: 8 bytes

         replay detection support: Y

       spi: 0x23990172(597229938)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2003, flow_id: 4, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4608000/1450)

         IV size: 8 bytes

         replay detection support: Y

 

      outbound ah sas:

 

      outbound pcp sas:

 

 interface: Serial0

     Crypto map tag: toAA, local addr. 200.1.1.1

 

    local  ident (addr/mask/prot/port): (150.0.0.2/255.255.255.255/47/0)

    remote ident (addr/mask/prot/port): (150.0.0.1/255.255.255.255/47/0)

    current_peer: 100.1.1.1

      PERMIT, flags={origin_is_acl,}

     #pkts encaps: 50, #pkts encrypt: 50, #pkts digest 50

     #pkts decaps: 50, #pkts decrypt: 50, #pkts verify 50

     #pkts compressed: 0, #pkts decompressed: 0

     #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

     #pkts no sa (send) 5, #pkts invalid sa (rcv) 0

     #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0

     #pkts invalid prot (recv) 0, #pkts verify failed: 0

     #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0

     #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0

     ##pkts replay failed (rcv): 0

     #pkts internal err (send): 0, #pkts internal err (recv) 0

 

      local crypto endpt.: 200.1.1.1, remote crypto endpt.: 100.1.1.1

      path mtu 1500, media mtu 1500

      current outbound spi: C970903

 

      inbound esp sas:

       spi: 0x18A119B(25825691)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2000, flow_id: 1, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4607994/1464)

         IV size: 8 bytes

         replay detection support: Y

       spi: 0x94D1055(156045397)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2002, flow_id: 3, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4608000/1441)

         IV size: 8 bytes

         replay detection support: Y

 

      inbound ah sas:

 

      inbound pcp sas:

 

      outbound esp sas:

       spi: 0xC970903(211224835)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2001, flow_id: 2, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4607994/1451)

         IV size: 8 bytes

         replay detection support: Y

       spi: 0x23990172(597229938)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2003, flow_id: 4, crypto map: toAA

         sa timing: remaining key lifetime (k/sec): (4608000/1423)

         IV size: 8 bytes

         replay detection support: Y

 

      outbound ah sas:

 

      outbound pcp sas:

 

 


関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 14125