セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

ルータ間暗号化 DLSw トラフィック

2003 年 7 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 6 月 8 日) | フィードバック

概要

この設定例では、それぞれのループバック インターフェイス間に設定されたデータ リンク スイッチング(DLSw)ピアを持つ 2 台のルータを取り上げています。DLSw トラフィックはすべて、それらの間で暗号化されます。この設定は、ルータが送信する あらゆる自己生成トラフィックに対して動作します。この設定では、暗号化アクセスリストは汎用です。 ユーザは、より限定的に 2 つのループバック アドレス間の DLSw トラフィックを許可することができます。一般に、ループバック インターフェイス同士の間では、DLSw トラフィックだけが伝送されます。

ハードウェアとソフトウェアのバージョン

この設定は、次のソフトウェアおよびハードウェア バージョンを使用して開発およびテストされました。

  • Cisco IOS® ソフトウェア リリース 12.0

  • Cisco 2500-is56i-l.120-7.T

  • Cisco 2513

注: この設定は、上記の IOS バージョンでは動作しましたが、一部の IOS バージョンでは CSCdt49552 が原因で動作しないことがあります。次のバグ ID リンクへ移動し、詳細なバグ情報と対処方法を確認するには、ユーザ登録を行いログインする必要があります。

CSCdt49552

ネットワークダイアグラム

network diagram

設定

ルータ A の設定
Current configuration:

  !

  version 12.0

  service timestamps debug uptime

  service timestamps log uptime

  no service password-encryption

  !

  hostname RouterA

  !

  enable secret 5 $1$7WP3$aEqtNjvRJ9Vy6i41x0RJf0

  enable password ww

  !

  ip subnet-zero

  !

  cns event-service server

  source-bridge ring-group 20

  dlsw local-peer peer-id 1.1.1.1

  dlsw remote-peer 0 tcp 2.2.2.2

  !

  crypto isakmp policy 1

   hash md5

   authentication pre-share

  crypto isakmp key cisco123 address 99.99.99.2

  !

  crypto ipsec transform-set dlswset esp-des esp-md5-hmac 

  !

  crypto map dlswstuff 10 ipsec-isakmp

   set peer 99.99.99.2

   set transform-set dlswset 

   match address 101

  !

  !

  interface Loopback0

   ip address 1.1.1.1 255.255.255.0

   no ip directed-broadcast

  !

  interface TokenRing0

   ip address 10.2.2.3 255.255.255.0

   ring-speed 16

   source-bridge 2 3 20

   source-bridge spanning

   no ip directed-broadcast

   no mop enabled

  !

  interface Serial0

   ip address 99.99.99.1 255.255.255.0

   no ip directed-broadcast

   crypto map dlswstuff

  !

  ip classless

  ip route 0.0.0.0 0.0.0.0 99.99.99.2

  no ip http server

  !

  access-list 101 permit ip host 1.1.1.1 host 2.2.2.2

  !

  line con 0

   transport input none

  line aux 0

  line vty 0 4

   password ww

   login

  !

  end

ルータ B の設定
Current configuration:

  !

  version 12.0

  service timestamps debug uptime

  service timestamps log uptime

  no service password-encryption

  !

  hostname RouterB

  !

  enable secret 5 $1$7WP3$aEqtNjvRJ9Vy6i41x0RJf0

  enable password ww

  !

  ip subnet-zero

  !

  cns event-service server

  source-bridge ring-group 10

  dlsw local-peer peer-id 2.2.2.2

  dlsw remote-peer 0 tcp 1.1.1.1

  !

  crypto isakmp policy 1

   hash md5

   authentication pre-share

  crypto isakmp key cisco123 address 99.99.99.1

  !

  crypto ipsec transform-set dlswset esp-des esp-md5-hmac 

  !

  crypto map dlswstuff 10 ipsec-isakmp

   set peer 99.99.99.1

   set transform-set dlswset 

   match address 101

  !

  !

  interface Loopback0

   ip address 2.2.2.2 255.255.255.0

   no ip directed-broadcast

  !

  interface TokenRing0

   ip address 10.1.1.3 255.255.255.0

   ring-speed 16

   source-bridge 2 3 10

   source-bridge spanning

   no ip directed-broadcast

   no mop enabled

  !

  interface Serial0

   ip address 99.99.99.2 255.255.255.0

   no ip directed-broadcast

   crypto map dlswstuff

  !

  ip classless

  ip route 0.0.0.0 0.0.0.0 99.99.99.1

  no ip http server

  !

  access-list 101 permit ip host 2.2.2.2 host 1.1.1.1

  !

  line con 0

   transport input none

  line aux 0

  line vty 0 4

   password ww

   login

  !

  end

debug コマンドと show コマンド

debug コマンドを投入する前に、デバッグ コマンドに関する重要事項に目を通してください。

  • debug crypto ipsec:フェーズ 1 の IP Security Protocol (IPSec)ネゴシエーションを表示する

  • debug crypto isakmp:フェーズ 1 の Internet Security Association and Key Management Protocol (ISAKMP)ネゴシエーションを表示する

  • debug crypto engine:暗号化されたトラフィックを表示する

  • show crypto ipsec sa:フェーズ 2 セキュリティ アソシエーション(SA)を表示する

  • show crypto isakmp sa:フェーズ 1 SA を表示する

  • show dlsw peer:DLSw ピア ステータスと接続 ステータスを表示する

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 14128