セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

暗号ネゴシエーションの応答側として設定された VPN のゲートウェイ デバイス

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は方法で情報を VPNゲートウェイ デバイスを IKE ネゴシエーションの応答側として常に機能するために設定する提供したものです。 デバイスは、そのピアによって開始されたすべての暗号ネゴシエーションに応答します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS が付いている Ciscoルータか。 ソフトウェアリリース 12.4(24)T およびそれ以降

  • バージョン 7.0 以降が稼働する Cisco 適応型セキュリティ アプライアンス(ASA)

関連製品

このドキュメントは、次のバージョンのハードウェアとソフトウェアにも使用できます。

  • ソフトウェア バージョン 7.0 およびそれ以降の Cisco PIX Firewall

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

どの暗号 ネゴシエーションでも発信側および応答側ロールを担う 2 党があります。 発信側は応答側に暗号提案を送信 しま 暗号化についての異なるパラメーターが、認証アルゴリズム含まれている、オプションおよびライフタイム値を等鍵変更します。 応答側は右の提案を選択し、暗号 セッションは確立します。 エンド デバイスによって担われるロールはこのコマンド 出力によって表示することができます:

Router#show crypto isakmp sa
1   IKE Peer: XX.XX.XX.XX
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
ASA(config)#show crypto isakmp sa detail
IKE 	Peer	  	  	Type  Dir   Rky    State      Encrypt    Hash  Auth       Lifetime
1 	209.165.200.225 	User  Resp  No   AM_Active    3des     	 SHA   preshrd     86400

IKE 応答側だけモード 機能の利点

同時双方向 IKE ネゴシエーションを可能にするバーチャル プライベート ネットワーク (VPN) 機能の出現(関連 トラフィックの有無にかかわらず)、処理においての問題および重複 IKE SA からのデータのリカバリが発生したので。 プロトコルとして IKE に既に起こる 2 同位間に既存かプロセス中のネゴシエーションがあっているかどうか判別するために IKE ネゴシエーションを比較する機能がありません。 これらの重複したネゴシエーションはルータ 管理者にリソースおよび混同の点では高価である場合もあります。 デバイスは応答側だけデバイスで設定される場合、IKE 主要で、積極的でかまたは速いモードを(IKE および IPSec SA 確立のために)始めません、IKE および IPSec SA を鍵変更します。 従って、重複 SA の確率は下げられます。

この機能の他の利点はロードバランシング シナリオのだけ 1 方向のネゴシエート接続のための制御されたサポートを許可することです。 ロードつりあい機でアドバタイズされるように単一直面 IP アドレスによってアクセスされるこれらのデバイスがすべてであるのでサーバかハブがクライアントかスポークの方に VPN 接続を開始することが推奨されません。 従ってハブが接続を開始することだった場合個々の IP アドレスを使用してそうしま、ロードつりあい機の利点を避けます。 同じはロードつりあい機の背後にあるハブかサーバからソースをたどられる要求の鍵変更の本当です。

暗号 ネゴシエーションの応答側だけデバイスで設定されるべきルータ

Cisco IOS ソフトウェア リリース 12.4(24)T は同位によって始められる IKE ネゴシエーションに常に応答するためにルータの機能性をもたらします。 主要な制限はこの機能が IPSec プロファイルの下でだけ設定可能である、仮想インターフェイス シナリオにだけ関連していますこと。 スタティックまたはダイナミック暗号マップ シナリオのためのサポート無し。

ルータを応答側だけように設定するために、これらのステップを実行して下さい:

enable 
configure terminal 
crypto ipsec profile <name> 
  responder-only

暗号 ネゴシエーションの応答側だけデバイスで設定されるべき ASA

一般 LAN-to-LAN接続では IPSec、ASA は発信側か応答側として機能できます。 IPSec クライアントに LAN 接続では、ASA は応答側としてだけ機能します。 ASA は LAN-to-LAN な VPN 接続の応答だけデバイスで設定することができます。 ただし、制約事項は VPN トンネルの反対側のデバイスがこれらの 1 つである必要があることです:

  • Cisco ASA 5500 シリーズ アプライアンス

  • Cisco VPN 3000 シリーズ コンセントレータ

  • 7.0 ソフトウェア およびそれ以降を実行する Cisco PIX 500 シリーズ ファイアウォール

ASA を応答側だけデバイスで設定するために、このコマンドを発行して下さい:

ホスト名(構成) #返事だけクリプト マップ mymap 10 セット接続タイプ

注: 応答側だけように VPNゲートウェイ デバイスを設定することをところで多重 VPN 同位 終端提案します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113158