Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
インターネット キー エクスチェンジ バージョ ン 2(IKEv2)の設定
インターネット キー エクスチェンジ バージョン 2(IKEv2)の設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

インターネット キー エクスチェンジ バージョン 2(IKEv2)の設定

機能情報の入手

この章の構成

インターネット キー エクスチェンジ バージョン 2 の設定に関する前提条件

インターネット キー エクスチェンジ バージョン 2 の設定に関する制約事項

インターネット キー エクスチェンジ バージョン 2 について

IKEv2 プロポーザル

IKEv2 ポリシー

IKEv2 プロファイル

IKEv2 キー生成

IKEv2 のサポート対象規格

IKEv2 の利点

インターネット キー エクスチェンジ バージョン 2 の設定方法

グローバル IKEv2 オプションの設定

IKEv2 プロポーザルの設定

この次の手順

IKEv2 ポリシーの設定

トラブルシューティングのヒント

この次の手順

IKEv2 キー生成の設定

この次の手順

IKEv2 プロファイルの設定

インターネット キー エクスチェンジ バージョン 2 の設定例

プロポーザルの設定例

各トランスフォーム タイプに対して 1 つのトランスフォームがある IKEv2 プロポーザルの例

各トランスフォーム タイプに対して複数のトランスフォームがある IKEv2 プロポーザルの例

発信側と応答側の IKEv2 プロポーザルの例

ポリシーの設定例

VRF およびローカル アドレスで照合する IKEv2 ポリシーの例

グローバル VRF 内のすべてのピアを照合する複数のプロポーザルがある IKEv2 ポリシーの例

任意の VRF 内のすべてのピアを照合する IKEv2 ポリシーの例

ポリシーの照合方法の例

IKEv2 キー生成の設定例

複数のピア サブブロックを使用した IKEv2 キー生成の例

IP アドレスに基づく対称型事前共有鍵を使用する IKEv2 キー生成の例

IP アドレスに基づく非対称型事前共有鍵を使用する IKEv2 キー生成の例

ホスト名に基づく非対称型事前共有鍵を使用する IKEv2 キー生成の例

ID に基づく対称型事前共有鍵を使用する IKEv2 キー生成の例

ワイルドカード キーを使用する IKEv2 キー生成の例

キー生成の照合方法の例

プロファイルの設定例

リモート ID で照合される IKEv2 プロファイルの例

2 つのピアに提供される IKEv2 プロファイル

クリプト マップに基づく IKEv2 ピアの設定例

クリプト マップに基づく IKEv2 ピアの設定例

sVTI に基づく IKEv2 ピアを使用する IPsec の設定例

クリプト マップと dVTI に基づく IKEv2 ピアの設定

関連情報

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

インターネット キー エクスチェンジ バージョン 2 の機能情報

インターネット キー エクスチェンジ バージョン 2(IKEv2)の設定

この章では、Internet Key Exchange Version 2(IKEv2; インターネット キー エクスチェンジ バージョン 2)プロトコルについて説明します。IKEv2 は IP Security Protocol(IPsec; IP セキュリティ プロトコル)の補助的なプロトコルであり、相互認証を実行して Security Association(SA; セキュリティ アソシエーション)を確立および管理するために使用します。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「インターネット キー エクスチェンジ バージョン 2 の機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

インターネット キー エクスチェンジ バージョン 2 の設定に関する前提条件

Configuring Security for VPNs with IPsec 」の章で説明している概念および作業を理解している必要があります。

インターネット キー エクスチェンジ バージョン 2 の設定に関する制約事項

IKEv2 を設定する場合は、次の制約事項が適用されます。

特定のプラットフォーム上でサポートされないオプションを設定することはできません。たとえば、セキュリティ プロトコルでハードウェア クリプト エンジンの機能が重要である場合、エクスポート可能でないイメージ内で Triple Data Encryption Standard(3DES; トリプル データ暗号規格)または Advanced Encryption Standard(AES; 高度暗号化規格)の各タイプの暗号化トランスフォームを指定できず、暗号エンジンでサポートされない暗号化アルゴリズムを指定できません。

IKEv2 を IPsec Easy VPN(EzVPN)と一緒に使用することはできません。

インターネット キー エクスチェンジ バージョン 2 について

IKEv2 は RFC 4306 に基づく次世代のキー管理プロトコルであり、IKE プロトコルを拡張したものです。

IKEv2 ではクリプト インターフェイスに基づくクリプト マップとトンネル保護がサポートされます。クリプト マップ ベースのアプリケーションには、スタティック クリプト マップおよびダイナミック クリプト マップが含まれ、トンネル保護ベースのアプリケーションは IPsec sVTI、IPsec dVTI、ポイントツーポイントおよびマルチポイントの Generic Routing Encapsulation トンネル インターフェイスに属します。VPN ソリューションには、サイトツーサイト VPN および DMVPN が含まれます。

ここでは、IKEv2 プロトコルの Cisco IOS ソフトウェアでの構成について説明します。

「IKEv2 プロポーザル」

「IKEv2 ポリシー」

「IKEv2 プロファイル」

「IKEv2 キー生成」

「IKEv2 のサポート対象規格」

IKEv2 プロポーザル

IKEv2 プロポーザルは、IKE_SA_INIT 交換の一部として IKE SA のネゴシエーションに使用されるトランスフォームのコレクションです。このネゴシエーションで使用されるトランスフォームのタイプには次のものがあります。

暗号化アルゴリズム

整合性アルゴリズム

Pseudo-Random Function(PRF)アルゴリズム

Diffie-Hellman(DH; デフィーヘルマン)グループ

それぞれ 1 つ以上の暗号化アルゴリズム、整合性アルゴリズム、および DH グループを設定する必要があり、設定されていないとプロポーザルは不完全と見なされます。PRF アルゴリズムは整合性アルゴリズムと同じであるため、個別には設定されません。暗号化、整合性、およびグループに対し、発信側で複数のトランスフォームを設定してプロポーザルに含めることができ、1 つのトランスフォームが応答側で選択されます。1 つのトランスフォーム タイプに対して複数のトランスフォームが設定された場合、優先順位は左から右の順になります。


) IKEv1 と異なり、認証方式と SA ライフタイムは IKEv2 ではネゴシエーション可能でなく、そのため IKEv2 プロポーザルで設定することはできません。crypto ikev2 proposal コマンドは IKEv1 の crypto isakmp policy コマンドと類似しているように見えますが、IKEv2 プロポーザル設定では、各トランスフォーム タイプに対して複数のオプションの指定がサポートされます。


IKEv2 プロポーザルには設定時に名前が付けられ、番号は付きません。手動で設定した IKEv2 プロポーザルは IKEv2 ポリシーとリンクする必要があり、これを行わないとプロポーザルはネゴシエーションで使用されません。

IKEv2 ポリシー

IKEv2 ポリシーは IKE_SA_INIT 交換中に IKE SA のネゴシエーションで使用されるパラメータを格納するコンテナです。IKEv2 ポリシーは、1 つまたは複数の match 文を使用する Front VPN Routing and Forwarding(FVRF; フロント VPN ルーティングおよび転送)またはローカル アドレス、またはこの両方に基づいて選択されます。IKEv2 ポリシーを使用することで、ユーザはネゴシエーション中にプロポーザルをリンクして HTTP CERT を設定できます。IKEv2 ポリシーには、IKE SA ネゴシエーション中の INIT_SA 要求、INIT_SA 応答、または AUTH 要求で要求される場合がある設定のパラメータを含めることもできます。

IKEv2 プロファイル

IKEv2 プロファイルは、IKE SA のネゴシエーション可能でないパラメータ(ローカル ID またはリモート ID および認証方式)と、そのプロファイルと一致する認証相手が使用できるサービスのリポジトリです。IKEv2 プロファイルは、IKEv2 の発信側と応答側の両方のクリプト インターフェイスに接続されている必要があります。

IKEv2 キー生成

IKEv2 キー生成は、対称型および非対称型の事前共有鍵のリポジトリであり、IKEv1 のキー生成からは独立したものです。IKEv2 キー生成は 1 つの IKEv2 プロファイルと関連付けられるため、その IKEv2 プロファイルに一致するピア セットに対して提供されます。IKEv2 キー生成では、関連する IKEv2 プロファイルから VRF コンテキストを取得します。

IKEv2 のサポート対象規格

シスコは IPsec 規格を IKEv2 での使用のために実装しています。

IKEv2 で実装されるコンポーネント技術は、次のとおりです。

AES-CBC:Advanced Encryption Standard-Cipher Block Chaining(AES-CBC; 高度暗号化規格暗号ブロック連鎖)。

DES:Data Encryption Standard(DES; データ暗号規格)。

Diffie-Hellman:公開鍵暗号法プロトコル。

MD5(HMAC バリアント):Message Digest 5(MD5; メッセージ ダイジェスト 5)。

SHA(HMAC バリアント):Secure Hash Algorithm(SHA; セキュア ハッシュ アルゴリズム)。

サポートされる規格とコンポーネント技術の詳細については、「 Supported Standards for Use with IKE 」を参照してください。

IKEv2 の利点

IKEv2 の利点は次のとおりです。

EAP のサポート

IKEv2 ではネゴシエーションに Extensible Authentication Protocol(EAP)を使用できます。

SCTP のサポート

IKEv2 ではインターネット テレフォニーに Stream Control Transmission Protocol(SCTP)を使用できます。

簡潔なメッセージ交換

IKEv2 には、より効率的な 4 つのメッセージ交換があり、証明書のハッシュ URL のサポートと証明書の迅速な取得がサポートされます。

信頼性と状態管理(ウィンドウイング)

IKEv2 では、信頼性を提供するためにシーケンス番号と確認が使用され、エラー処理ロジスティックと共有状態管理が要求されます。

Denial of Service(DoS; サービス拒絶)攻撃からの回復力

IKEv2 では、要求元がわかるまで要求が処理されません。この方法で、偽りの場所(スプーフィング)からコストがかかる多量の暗号化処理を実行するように仕掛けることが可能な IKEv1 での DoS の問題にある程度対処しています。

その他の利点

IKEv2 には Dead Peer Detection(DPD; デッド ピア検出)と Network Address Translation-Traversal(NAT-T; ネットワーク アドレス変換トラバーサル)のサポートが組み込まれています。URL を使用して証明書を参照し、ハッシュしてフラグメンテーションが起こるのを防止できます。

インターネット キー エクスチェンジ バージョン 2 の設定方法

IKEv2 は、IKEv2 プロファイルをクリプト マップに適用することで、すべてのクリプト インターフェイス上でイネーブルにする必要があり、そうしないと、IPsec プロファイルがインターフェイス上で適用されます。しかし、IKEv2 はルータのすべてのインターフェイス上でグローバルにイネーブルになっているため、IKEv2 を個別のインターフェイス上でイネーブルにする必要はありません。

次の作業は、IKEv2 を手動で設定するために実行します。

「グローバル IKEv2 オプションの設定」(任意)

「IKEv2 プロポーザルの設定」(必須)

「IKEv2 ポリシーの設定」(必須)

「IKEv2 キー生成の設定」(必須)

「IKEv2 プロファイルの設定」(必須)

グローバル IKEv2 オプションの設定

この作業は、ピアに依存しないグローバル IKEv2 オプションを設定するために実行します。


「IKEv2 プロファイルの設定」に明記されているプロファイル固有の設定は、グローバル IKEv2 オプションに優先します。


手順の概要

1. enable

2. configure terminal

3. crypto ikev2 certificate-cache number-of-certificates

4. crypto ikev2 cookie-challenge number

5. crypto ikev2 diagnose error number of exit path entry

6. crypto ikev2 dpd interval retry-interval { on-demand | periodic }

7. crypto ikev2 http-url cert

8. crypto ikev2 limit { max-in-negotation-sa limit | max-sa limit }

9. crypto ikev2 nat keepalive interval

10. crypto ikev2 window size

11. crypto logging ikev2

12. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ikev2 certificate-cache number-of-certificates

 

Router(config)# crypto ikev2 certificate-cache 750

HTTP URL から取得した証明書を保存するためのキャッシュを定義します。

ステップ 4

crypto ikev2 cookie-challenge number

 

Router(config)# crypto ikev2 cookie-challenge 450

ハーフオープン セキュリティ アソシエーション(SA)の数が設定された値を超えた場合にだけ、IKEv2 cookie チャレンジをイネーブルにします。

値の範囲は 1 ~ 1000 です。

ステップ 5

crypto ikev2 diagnose error number

 

Router(config)# crypto ikev2 diagnose error 500

パスの終了エントリが設定された値を超えた場合に、IKEv2 のエラー診断をイネーブルにします。

値の範囲は 1 ~ 1000 です。

ステップ 6

crypto ikev2 dpd interval retry-interval {on-demand | periodic}

 

Router(config)# crypto ikev2 dpd 500 50 on-demand

ピアを次のようにライブでチェックできるようにします。

interval :キープアライブ インターバルを秒数で指定します。

retry-interval :ピアから応答がなかった場合のリトライ間隔を秒数で指定します。

on-demand :受信データ トラフィックがない場合にだけ、オンデマンド モードでキープアライブを送信し、データの送信前にピアが活動中であることをチェックするように指定します。

periodic :定期モードで、指定した間隔で定期的にキープアライブを送信するように指定します。

(注) デフォルト モードは、on-demand です。

ステップ 7

crypto ikev2 http-url cert

 

Router(config)# crypto ikev2 http-url cert

HTTP CERT サポートをイネーブルにします。

ステップ 8

crypto ikev2 limit {max-in-negotation-sa limit | max-sa limit }

 

Router(config)# crypto ikev2 limit max-in-negotation-sa 5000

コール アドミッション制御を次のようにイネーブルにします。

max-in-negotation-sa limit :ノード上での IKEv2 SA のネゴシエーションの受け入れの合計数を制限します。

max-sa limit :ノード上での IKEv2 SA の合計数を制限します。

ステップ 9

crypto ikev2 nat keepalive interval

 

Router(config)# crypto ikev2 nat keepalive 500

IKE ピア間で NAT がある場合にトラフィックがないときの NAT 変換エントリを削除しないようにする NAT キープアライブをイネーブルにします。

interval :NAT キープアライブ インターバルを秒数で指定します。

ステップ 10

crypto ikev2 window size

 

Router(config)# crypto ikev2 window 15

送信時に複数の IKEv2 要求と応答のピアを許可します。

size :ウィンドウのサイズを 1 ~ 20 の範囲で指定します。

ステップ 11

crypto logging ikev2

 

Router(config)# crypto logging ikev2

IKEv2 Syslog メッセージをイネーブルにします。

ステップ 12

end

 

Router(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

IKEv2 プロポーザルの設定

この作業は、デフォルトのプロポーザルを使用しない場合にプロポーザルを手動で設定するために実行します。デフォルトの IKEv2 プロポーザルには設定は必要なく、このプロポーザルは通常使用されるトランスフォームのタイプのコレクションであり、次のようになります。

encryption aes-cbc-128 3des
integrity sha md5
group 5 2
 

ここに示すトランスフォームのタイプでは、次の優先順位でトランスフォームの組み合わせに変換します。

aes-cbc-128, sha, 5
aes-cbc-128, sha, 2
aes-cbc-128, md5, 5
aes-cbc-128, md5, 2
3des, sha, 5
3des, sha, 2
3des, md5, 5
3des, md5, 2

) デフォルトの IKEv2 プロポーザルは、デフォルトの IKEv2 ポリシーで使用されます。


手順の概要

1. enable

2. configure terminal

3. crypto ikev2 proposal name

4. encryption { 3des } | { aes-cbc-128 } | { aes-cbc-192 } | { aes-cbc-256 }

5. integrity { sha1 } | { md5 }

6. group { 1 } | { 2 } | { 5 }

7. end

8. show crypto ikev2 proposal [ name | default ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ikev2 proposal name

 

Router(config)# crypto ikev2 proposal proposal1

IKEv2 プロポーザル名を定義し、IKEv2 プロポーザル コンフィギュレーション モードを開始します。

ステップ 4

encryption {3des} | {aes-cbc-128} | {aes-cbc-192} | {aes-cbc-256}

 

Router(config-ikev2-proposal)# encryption aes-cbc-128 3des

1 つまたは複数の暗号化タイプのトランスフォームを指定します。タイプは次のとおりです。

3des

aes-cbc-128

aes-cbc-192

aes-cbc-256

ステップ 5

integrity [sha1] | [md5]

 

Router(config-ikev2-proposal)# integrity shal md5

1 つまたは複数の整合性タイプのトランスフォームを指定します。タイプは次のとおりです。

sha1

md5

ステップ 6

group [1] | [2] | [5]

 

Router(config-ikev2-proposal)# group 1

1 つまたは複数の DH グループ タイプのトランスフォームを指定します。タイプは次のとおりです。

1

2

5

ステップ 7

end

 

Router(config-ikev2-proposal)# end

IKEv2 プロポーザル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 8

show crypto ikev2 proposal [ name | default ]

 

Router# show crypto ikev2 proposal default

(任意)IKEv2 プロポーザルを表示します。

この次の手順

IKEv2 プロポーザルの作成後、その プロポーザルをポリシーに対応付け、ネゴシエーションに対してプロポーザルが選択されるようにします。この作業を完了する際は、「IKEv2 ポリシーの設定」を参照してください。

IKEv2 ポリシーの設定

この作業は、IKEv2 ポリシーを作成するために実行します。実行しない場合、デフォルト ポリシーで設定されているデフォルトのプロポーザルがネゴシエーションに使用されます。IKEv2 ポリシーにプロポーザルが対応付けられていない場合、そのポリシーは不完全と見なされます。初期交換中に、ネゴシエーション中の SA のローカル アドレスと FVRF がポリシーと照合され、プロポーザルが選択されます。


show crypto ikev2 policy default コマンドを使用すると、IKEv2 のデフォルトのポリシーが表示されます。


次の手順は、IKEv2 ポリシーを手動で設定するために実行します。

手順の概要

1. enable

2. configure terminal

3. crypto ikev2 policy name

4. proposal name

5. match fvrf { fvrf-name | any }

6. match address local address

7. end

8. show crypto ikev2 policy [ policy-name ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ikev2 policy name

 

Router(config)# crypto ikev2 policy policy1

IKEv2 ポリシー名を定義し、IKEv2 ポリシー コンフィギュレーション モードを開始します。

ステップ 4

proposal name

 

Router(config-ikev2-policy)# proposal proposal1

このポリシーで使用する必要があるプロポーザルを指定します。

プロポーザルは、一覧の順の優先順位になります。

(注) 少なくとも 1 つのプロポーザルを指定する必要があります。各プロポーザルを個別の文に分け、オプションで追加のプロポーザルを指定することもできます。

ステップ 5

match fvrf { fvrf-name | any}

 

Router(config-ikev2-policy)# match fvrf any

(任意)ポリシーをユーザが設定した FVRF または任意の FVRF に基づいて照合します。デフォルトはグローバル FVRF です。

コマンドを明示的に設定する必要があります。FVRF には、IKEv2 パケットのネゴシエーションを行う VRF を指定します。

ステップ 6

match address local address

 

Router(config-ikev2-policy)# match address local 10.0.0.1

(任意)ローカル IP アドレスに基づいてポリシーを照合します。

ステップ 7

end

 

Router(config-ikev2-policy)# end

IKEv2 ポリシー コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 8

show crypto ikev2 policy [ policy-name ]

 

Router# show crypto ikev2 policy policy1

(任意)IKEv2 ポリシーを表示します。

トラブルシューティングのヒント

clear crypto sa EXEC コマンドを使用して IPsec SA を消去(および再初期化)します。

パラメータを指定せずに clear crypto sa コマンドを使用すると、SA データベースの内容が完全に消去されるので、アクティブなセキュリティ セッションが消去されます。詳細については、『Cisco IOS Security Command Reference』の clear crypto sa コマンドを参照してください。

debug crypto ikev2 コマンドを使用すると、デバッグ メッセージがイネーブルになります。

デフォルトのポリシーと、設定されたポリシー内の任意のデフォルト値を確認するには、show crypto ikev2 policy default コマンドおよび show crypto ikev2 proposal default コマンドを使用します。

この次の手順

IKE ポリシーで指定した照合パラメータによっては、IKE および IPsec で正常に IKE ポリシーが使用できるようにするため、特定の追加の設定作業を実行する必要があります。これらの追加作業の完了に関する詳細については、「IKEv2 キー生成の設定」を参照してください。

IKEv2 キー生成の設定

IKEv2 プロファイルを設定する前に、IKEv2 キー生成を設定する必要があります。IKEv2 キー生成キーは、ピア サブブロックを定義するピア コンフィギュレーション サブモードで設定する必要があります。IKEv2 キー生成には、複数のピア サブブロックを設定できます。1 つのピア サブブロックには、ホスト名、ID、および IP アドレスの任意の組み合わせで特定される 1 つのピアまたはピア グループに対し、単一の対称型キーまたは非対称型キーのペアを含めます。

次の作業は、IKEv2 キー生成を設定するために実行します。

手順の概要

1. enable

2. configure terminal

3. crypto ikev2 keyring keyring-name

4. peer name

5. description line-of-description

6. hostname name

7. address address mask

8. identity { address address | fqdn name | email e-mail-id | key_id key-id }

9. pre-shared-key { local | remote }{ 0 | 6 | line }

10. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ikev2 keyring keyring-name

 

Router(config)# crypto ikev2 keyring kyr1

IKEv2 キー生成を定義し、IKEv2 キー生成コンフィギュレーション モードを開始します。

ステップ 4

peer name

 

Router(config-ikev2-keyring)# peer peer1

ピアまたはピア グループを定義し、IKEv2 キー生成コンフィギュレーション モードを開始します。

ステップ 5

description line-of-description

 

Router(config-ikev2-keyring-peer)# description this is the first peer

(任意)ピアまたはピア グループを記述します。

ステップ 6

hostname name

 

Router(config-ikev2-keyring-peer)# peer peer1

ホスト名を使用してピアを指定します。

ステップ 7

address address mask

 

Router(config-ikev2-keyring-peer)# address 10.0.0.1 255.255.255.0

IP アドレスまたはピアの範囲を指定します。

(注) この IP アドレスが IKE エンドポイント アドレスであり、ID アドレスとは別個のものです。

ステップ 8

identity {address address | fqdn name | email e-mail-id | key-id key-id }

 

Router(config-ikev2-keyring-peer)# identity address 10.0.0.5

次の ID を使用して IKEv2 ピアを特定します。

電子メール

FQDN

IPv4 アドレス

キー ID

(注) ID は IKEv2 応答側のキー照合として使用できます。

ステップ 9

pre-shared-key {local | remote} {0 | 6 | line}

 

Router(config-ikev2-keyring-peer)# pre-shared-key local key1

ピアの事前共有鍵を指定します。

local キーワードまたは remote キーワードを入力し、非対称型キーを指定します。デフォルトでは、キーは対称型です。

0 :パスワードを暗号化しないことを指定します。

6 :パスワードを暗号化することを指定します。

line :暗号化しないユーザ パスワードを指定します。

ステップ 10

end

 

Router(config-ikev2-keyring-peer)# end

IKEv2 キー生成ピア コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

この次の手順

IKEv2 キー生成の設定後、IKEv2 プロファイルを設定します。詳細については、「IKEv2 プロファイルの設定」を参照してください。

IKEv2 プロファイルの設定

この作業は、IKEv2 プロファイルを設定するために実行します。IKEv2 プロファイルは、IKE SA のネゴシエーション可能でないパラメータ(ローカル ID またはリモート ID および認証方式)と、そのプロファイルと一致する認証相手が使用できるサービスのリポジトリです。IKEv2 プロファイルは設定する必要があり、IKEv2 の発信側と応答側の両方のクリプト マップまたは IPSec プロファイルのいずれかに接続されている必要があります。プロファイルを接続するには、コマンド set ikev2-profile profile-name を使用します。


) 同様に、IKEv1 に対し、NAT-T が自動的に検出されます。NAT-T カプセル化をディセーブルにするには、コマンド no crypto ipsec nat-transparency udp-encapsulation を使用します。


IKEv2 プロファイルを表示するには、 show crypto ikev2 profile tag コマンドを使用します。

手順の概要

1. enable

2. configure terminal

3. crypto ikev2 profile profile-name

4. description line-of-description

5. aaa accounting [ psk | cert | eap ] list-name

6. authentication { local | remote } { rsa-sig | pre-share }

7. dpd seconds retry-interval { on-demand | periodic }

8. identity local { address ip-address | dn | fqdn fqdn-string | email e-mail-string | key-id opaque-string }

9. ivrf name

10. keyring aaa name

11. lifetime seconds

12. match { address local { ip-address | interface name } | certificate certificate-map | fvrf { fvrf-name | any } | identity remote { address ip-address [ mask ]} | email [ domain ] string | fqdn [ domain ] string | key-id opaque-string }

13. nat keepalive seconds

14. pki trustpoint trustpoint-label [ sign | verify ]

15. virtual-template number

16. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ikev2 profile profile-name

 

Router(config)# crypto ikev2 profile profile1

IKEv2 プロファイル名を定義し、IKEv2 プロファイル コンフィギュレーション モードを開始します。

ステップ 4

description line-of-description

 

Router(config-ikev2-profile)# description this is the an IKEv2 profile

(任意)プロファイルを記述します。

ステップ 5

aaa accounting [psk | cert | eap] list-name

 

Router(config-ikev2-profile)# aaa accounting group tacacs

(任意)アカウンティング、認証、および許可(AAA)設定を指定します。

accounting キーワードを指定すると、IPsec セッションに対して AAA アカウンティングがイネーブルになります。

ステップ 6

authentication {local | remote} {pre-share | rsa-sig}

 

Router(config-ikev2-profile)# authentication local pre-share

ローカルまたはリモートの認証方式を指定します。

(注) 1 つだけのローカル認証方式と複数のリモート認証方式を指定できます。

ステップ 7

dpd interval retry-interval {on-demand | periodic}

 

Router(config-ikev2-profile)# dpd 1000 250 periodic

(任意)ピア側の IKE が活動中であることを確認します。

on-demand :データの送信前にキープアライブを送信することで、ピア上の IKE が活動中であることを確認します。

periodic :指定する間隔でキープアライブを送信することで、IKE が活動中かどうかを確認します。

ステップ 8

identity local {address ip-address | dn | email email-string | fqdn fqdn-string | key-id opaque-string }

 

Router(config-ikev2-profile)# identity local email abc@example.com

(任意)ローカル IKEv2 ID タイプを指定します。ローカル ID は、IDi フィールドを使用する AUTH 交換で、リモート IKEv2 ピアを基準にピア自体を特定するためにローカル IKEv2 ピアで使用されます。

address :IP アドレスです。

dn :認定者名です。

FQDN :完全修飾ドメイン名です。たとえば、router1.example.com のように指定します。

email :電子メール ID です。たとえば、xyz@example.com のように指定します。

key-id :キー ID です。

デフォルト ID は、ローカル認証方式の事前共有鍵と IP アドレス、および Rivest, Shamir and Adleman(RSA)シグニチャと認定者名です。

ステップ 9

ivrf ivrf name

 

Router(config-ikev2-profile)# ivrf vrf1

(任意)ユーザ定義 VRF またはグローバル VRF を指定します。

(注) Inside VRF(IVRF; 内部 VRF)にクリアテキスト パケットの VRF を指定します。IVRF のデフォルト値はありません。

ステップ 10

keyring aaa name

 

Router(config-ikev2-profile)# keyring keyring1

ローカルまたはリモートの事前共有鍵認証方式に使用する必要がある、ローカルまたは AAA ベースのキー生成を指定します。

(注) 1 つのキー生成だけを指定できます。

ステップ 11

lifetime seconds

 

Router(config-ikev2-profile) lifetime 10

IKEv2 セキュリティ アソシエーションのライフタイムを秒数で指定します。指定できる範囲は 120 ~ 86400 です。デフォルトのライフタイムは 86400 秒です。

ステップ 12

match {address local { ip-address | interface name } | certificate certificate-map | fvrf { fvrf-name | any} | identity remote {address ip-address [ mask ]} | email [ domain ] string | fqdn [ domain ] string | key-id opaque-string }

 

Router(config-ikev2-profile)# match address local interface Ethernet 2/0

match 文を使用し、ピアの IKEv2 プロファイルを次のように選択します。

address :(任意)ローカル IP アドレスとインターフェイスを含むローカル パラメータに基づきます。

certificate :ピアから受信した証明書のフィールドに基づきます。

fvrf :(任意)ユーザ設定または任意の VRF に基づきます。match vrf 文がない場合、プロファイルはグローバル VRF と照合されます。すべての VRF を照合するには、 match vrf any コマンドを設定します。

identity :リモート ID(AUTH 交換での ID)に基づきます。ID には次のものがあります。

address

email

fqdn

key-id

ステップ 13

nat keepalive seconds

 

Router(config-ikev2-profile)# nat keepalive 500

(任意)NAT キープアライブをイネーブルにし、間隔を指定します。

値の範囲は 5 ~ 3600 秒です。NAT はデフォルトでディセーブルにされています。

ステップ 14

pki trustpoint trustpoint-label [sign | verify]

 

Router(config-ikev2-profile)# pki trustpoint tsp1 sign

RSA シグニチャ認証方式で使用するトラストポイントを次のように指定します。

sign :トラストポイントからの証明書を使用し、デジタル署名を作成してピアに送信します。

verify :トラストポイントからの証明書を使用し、ピアから受信したデジタル署名を確認します。

キーワードが指定されていない場合、トラストポイントが署名および確認に使用されます。

ステップ 15

virtual-template virtual-template-number

 

Router(config-ikev2-profile)# virtual-template 125

(任意)バーチャル アクセス インターフェイスのクローニングのためのバーチャル テンプレートを指定します。

ステップ 16

end

 

Router(config-ikev2-profile)# end

IKEv2 プロファイル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

インターネット キー エクスチェンジ バージョン 2 の設定例

ここでは、次の設定例を示します。

「プロポーザルの設定例」

「ポリシーの設定例」

「IKEv2 キー生成の設定例」

「プロファイルの設定例」

「クリプト マップに基づく IKEv2 ピアの設定例」

「クリプト マップに基づく IKEv2 ピアの設定例」

「sVTI に基づく IKEv2 ピアを使用する IPsec の設定例」

「クリプト マップと dVTI に基づく IKEv2 ピアの設定」

各トランスフォーム タイプに対して 1 つのトランスフォームがある IKEv2 プロポーザルの例

次の例は、各トランスフォーム タイプに対して 1 つのトランスフォームがある IKEv2 プロポーザルの設定方法を示します。

crypto ikev2 proposal proposal-1
encryption 3des
integrity sha
group 2

各トランスフォーム タイプに対して複数のトランスフォームがある IKEv2 プロポーザルの例

次の例は、各トランスフォーム タイプに対して複数のトランスフォームがある IKEv2 プロポーザルの設定方法を示します。

crypto ikev2 proposal proposal-2
encryption 3des aes-cbc-128
integrity sha md5
group 2 5
 

ここに示す IKEv2 プロポーザル proposal-2 では、次の組み合わせのトランスフォームの優先順位リストに変換されます。

3des、sha、2

3des、sha、5

3des、md5、2

3des、md5、5

aes-cbc-128、sha、2

aes-cbc-128、sha、5

aes-cbc-128、md5、2

aes-cbc-128、md5、5

発信側と応答側の IKEv2 プロポーザルの例

次の例は、発信側と応答側の IKEv2 プロポーザルの設定方法を示します。発信側のプロポーザルは次のとおりです。

crypto ikev2 proposal proposal-1
encryption 3des aes-cbc-128
integrity sha md5
group 2 5
 

応答側のプロポーザルは次のとおりです。

crypto ikev2 proposal proposal-2
encryption aes-cbc-128 3des
peer
integrity md5 sha
group 5 2
 

選択したプロポーザルは次のようになります。

encryption 3des
integrity sha
group 2
 

ここに示すプロポーザルでは、発信側と応答側のプリファレンスは競合しています。この場合、発信側が応答側よりも優先されます。

VRF およびローカル アドレスで照合する IKEv2 ポリシーの例

次の例は、VRF またはローカル アドレスに基づいて IKEv2 ポリシーを照合する方法を示します。

crypto ikev2 policy policy2
match vrf green
match local address 10.0.0.1
proposal proposal-1

グローバル VRF 内のすべてのピアを照合する複数のプロポーザルがある IKEv2 ポリシーの例

次に、グローバル VRF 内のピアを照合する複数のプロポーザルがある IKEv2 ポリシーの例を示します。

crypto ikev2 policy policy2
proposal proposal-A
proposal proposal-B
proposal proposal-B

任意の VRF 内のすべてのピアを照合する IKEv2 ポリシーの例

次に、任意の VRF 内のピアを照合する IKEv2 ポリシーの例を示します。

crypto ikev2 policy policy2
match vrf any
proposal proposal-1

ポリシーの照合方法の例

重複するポリシーを設定しないでください。一致する複数の可能性がポリシーにある場合、次の例に示すように、最適な照合が使用されます。

crypto ikev2 policy policy1
match fvrf green
 
crypto ikev2 policy policy2
match fvrf green
match local address 10.0.0.1
 

green という FVRF のプロポーザルと 10.0.0.1 というローカル ピアは policy1 および policy2 と一致しますが、policy1 が最適な一致であるためにこちらが選択されます。

複数のピア サブブロックを使用した IKEv2 キー生成の例

次の例は、複数のピア サブブロックを使用した IKEv2 キー生成の設定方法を示します。

crypto ikev2 keyring keyring-1
peer peer1
description peer1
address 209.165.200.225 255.255.255.224
pre-shared-key key-1
 
peer peer2
description peer2
hostname peer1.example.com
pre-shared-key key-2
 
peer peer3
description peer3
hostname peer3.example.com
identity key-id abc
address 209.165.200.228 255.255.255.224
pre-shared-key key-3

IP アドレスに基づく対称型事前共有鍵を使用する IKEv2 キー生成の例

次の例は、IP アドレスに基づく対称型事前共有鍵を使用する IKEv2 キー生成の設定方法を示します。発信側のキー生成は次のとおりです。

crypto ikev2 keyring keyring-1
peer peer1
description peer1
address 209.165.200.225 255.255.255.224
pre-shared-key local
 

応答側のキー生成は次のとおりです。

crypto ikev2 keyring keyring-1
peer peer2
description peer2
address 209.165.200.228 255.255.255.224
pre-shared-key remote

IP アドレスに基づく非対称型事前共有鍵を使用する IKEv2 キー生成の例

次の例は、IP アドレスに基づく非対称型事前共有鍵を使用する IKEv2 キー生成の設定方法を示します。発信側のキー生成は次のとおりです。

crypto ikev2 keyring keyring-1
peer peer1
description peer1 with asymmetric keys
address 209.165.200.225 255.255.255.224
pre-shared-key local
pre-shared-key remote
 

応答側のキー生成は次のとおりです。

crypto ikev2 keyring keyring-1
peer peer2
description peer2 with asymmetric keys
address 209.165.200.228 255.255.255.224
pre-shared-key local
pre-shared-key remote

ホスト名に基づく非対称型事前共有鍵を使用する IKEv2 キー生成の例

次の例は、ホスト名に基づく非対称型事前共有鍵を使用する IKEv2 キー生成の設定方法を示します。発信側のキー生成は次のとおりです。

crypto ikev2 keyring keyring-1
peer Defines a peer or a peer group for the keyring.
peer host1
description host1 in example domain
host host1.example.com
pre-shared-key local
pre-shared-key remote
 

応答側のキー生成は次のとおりです。

crypto ikev2 keyring keyring-1
peer host2
description host2 in abc domain
host host2.example.com
pre-shared-key local
pre-shared-key remote

ID に基づく対称型事前共有鍵を使用する IKEv2 キー生成の例

次の例は、ID に基づく対称型事前共有鍵を使用する IKEv2 キー生成の設定方法を示します。

crypto ikev2 keyring keyring-4
peer abc
description example domain
identity fqdn example.com
pre-shared-key abc-key-1
 
peer user1
description user1 in example domain
identity email user1@example.com
pre-shared-key abc-key-2
 
peer user1-remote
description user1 example remote users
identity key-id example
pre-shared-key example-key-3

ワイルドカード キーを使用する IKEv2 キー生成の例

次の例は、ワイルドカード キーを使用する IKEv2 キー生成の設定方法を示します。

crypto ikev2 keyring keyring-1
peer cisco
description example domain
address 0.0.0.0 0.0.0.0
pre-shared-key example-key

キー生成の照合方法の例

次の例は、キー生成の照合方法を示します。

crypto ikev2 keyring keyring-1
peer cisco
description example.com
address 0.0.0.0 0.0.0.0
pre-shared-key xyz-key
 
peer peer1
description abc.example.com
address 10.0.0.0 255.255.0.0
pre-shared-key abc-key
 
peer host1
description host1@abc.example.com
address 10.0.0.1
pre-shared-key host1-example-key
 

ここに示す例では、ピア 10.0.0.1 を照合するキーは最初にワイルドカード キー example-key と一致し、次にプレフィクス キー example-key と一致し、最後にホスト キー host1-example-key と一致します。最適な一致である host1-example-key が使用されます。

crypto ikev2 keyring keyring-2
peer host1
description host1 in abc.example.com sub-domain
address 10.0.0.1
pre-shared-key host1-example-key
 
peer host2
description example domain
address 0.0.0.0 0.0.0.0
pre-shared-key example-key
 

ここに示す例では、ピア 10.0.0.1 を照合するキーは最初にホスト キー host1-abc-key と一致します。これが固有の一致とであることから、これ以上の照合は実行されません。

プロファイルの設定例

ここでは、次の内容について説明します。

「リモート ID で照合される IKEv2 プロファイルの例」

「2 つのピアに提供される IKEv2 プロファイル」

リモート ID で照合される IKEv2 プロファイルの例

次のプロファイルが、fqdn example.com を使用してピア自体を特定するピアに提供され、ピアが trustpoint-remote を使用する rsa-signature で認証するようになります。ローカル ノードは、keyring-1 を使用する事前共有キーでノード自体を認証します。

crypto ikev2 profile profile2
match identity remote fqdn example.com
identity local email router2@example.com
authentication local pre-share
authentication remote rsa-sig
keyring keyring-1
pki trustpoint trustpoint-remote verify
lifetime 300
dpd 5 10 on-demand
virtual-template 1

2 つのピアに提供される IKEv2 プロファイル

次の例は、異なる認証方式を使用する 2 つのピアに提供される IKEv2 プロファイルの設定方法を示します。

crypto ikev2 profile profile2
match identity remote email user1@example.com
match identity remote email user2@example.com
identity local email router2@cisco.com
authentication local rsa-sig
authentication remote pre-share rsa-sig
keyring keyring-1
pki trustpoint trustpoint-local sign
pki trustpoint trustpoint-remote verify
lifetime 300
dpd 5 10 on-demand
virtual-template 1

クリプト マップに基づく IKEv2 ピアの設定例

次の例は、スタティック クリプト マップ IKEv2 発信側、ダイナミック IKEv2 応答側、および CA サーバの間に証明書認証方式を使用し、クリプト マップに基づく IKEv2 ピアを設定する方法を示します。発信側の設定は次のとおりです。

crypto pki trustpoint ca-server
enrollment url http://10.1.1.3:80
revocation-check none
!
crypto pki certificate map cmap-1 1
subject-name eq hostname = responder
!
!
crypto pki certificate chain ca-server
certificate 02
308201AF 30820118 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D313030 33313031
32353132 355A170D 31313033 31303132 35313235 5A301A31 18301606 092A8648
86F70D01 09021609 494E4954 4941544F 52305C30 0D06092A 864886F7 0D010101
0500034B 00304802 4100A47E 8C58BA89 8CCDC5A4 5A63BD29 C331A2A5 393F4616
6B43FD2E 5ED4C81A 913E3B13 33A9B2DC CFC30391 24BB0DC8 B28FD6F1 C008D101
34C10062 30F88CF7 9D630203 010001A3 4F304D30 0B060355 1D0F0404 030205A0
301F0603 551D2304 18301680 144871D9 002C66DF D85FACB8 45D1D25F EA357455
91301D06 03551D0E 04160414 E77C74E7 183AB530 83DC531B 1DE3DA1D 914A925D
300D0609 2A864886 F70D0101 04050003 81810042 21934B77 7E485E6F EE717D75
6407B361 45190CEF E1A29CF2 6FA29E9A 5ECC1CEE B273533D 1453F6CE 1FDDA747
7E701B4B 2A2AE53F D67C2345 952325BA 30950435 0706C5EE A7A8B414 CFEEB7A2
9CD46F8F 3F663268 A20C4CCF E75D61EF 03FBA85D EDD6B26E 63653F09 F97DAFA6
6C76E44E C9CA3FDC 6CD85D30 169A1D9E 4E870B
quit
certificate ca 01
30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D313030 33313031
32343933 385A170D 31333033 30393132 34393338 5A301431 12301006 03550403
13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D
00308189 02818100 DA4ECE09 B998F670 598F32C1 7E9FA920 1D217AC4 293B842E
7563CE11 B2F0F822 23077930 636C8293 00F6CFDD F6C9B0F5 8348BE58 6478F631
7D44152F 494AEBCC A507FA6B 408D6BBB FAAB0A7A 2E7546A8 CA70F9A6 0F7F6824
554BD833 060D657D ABDF406C 69EEF449 7A4F9AFE 6F0852E7 05DEDAC1 D433191E
712868C2 A94E642B 02030100 01A36330 61300F06 03551D13 0101FF04 05300301
01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 16801448
71D9002C 66DFD85F ACB845D1 D25FEA35 74559130 1D060355 1D0E0416 04144871
D9002C66 DFD85FAC B845D1D2 5FEA3574 5591300D 06092A86 4886F70D 01010405
00038181 00AFC36B 8A917284 06BD51CB 83BDC4E8 9457A361 6CAAF416 3BBEF691
04215AC5 EDBC5730 C071C2FB 8A6C90CF D6AB39C2 3BC2147F D35553D9 028B2155
802E50DB 48CDE067 B3857447 89A1C733 D81EFEF7 1115480F 70ED2F22 F27E35A1
F3BB597C 7C8F717B FAAD79D3 0F469702 DE9190E4 B1B0808E 46A118EB 887CEAEB
DFE2900E D2
quit
crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
crypto ikev2 profile prof
match fvrf any
match certificate cmap-1
identity local dn
authentication local rsa-sig
authentication remote pre-share
authentication remote rsa-sig
pki trustpoint ca-server
!
!
crypto ipsec transform-set trans esp-3des esp-sha-hmac
!
crypto map cmap 1 ipsec-isakmp
set peer 209.165.200.225
set transform-set trans
set ikev2-profile prof
match address ikev2list
!
interface Loopback0
ip address 209.165.200.226 255.255.255.224
!
interface Ethernet0/0
ip address 209.165.200.227 255.255.255.224
crypto map cmap
!
interface Ethernet1/0
ip address 209.165.200.228 255.255.255.224
!
ip route 209.165.200.229 255.255.255.224 209.265.200.231
!
ip access-list extended ikev2list
permit ip any any
!
 

応答側の設定は次のとおりです。

crypto pki trustpoint ca-server
enrollment url http://10.1.1.3:80
revocation-check none
!
!
!
crypto pki certificate map cmap-2 1
subject-name eq hostname = initiator
!
crypto pki certificate chain ca-server
certificate 03
308201AF 30820118 A0030201 02020103 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D313030 33313031
32353231 325A170D 31313033 31303132 35323132 5A301A31 18301606 092A8648
86F70D01 09021609 52455350 4F4E4445 52305C30 0D06092A 864886F7 0D010101
0500034B 00304802 4100B517 EB8E64E1 B58CB014 07B3A6AF E6B69577 87486367
9471B1DA BC66B847 DFA5073A 82121332 E787EA2D 3C433514 39033074 4095E7C7
67A387A1 EBD24692 A76F0203 010001A3 4F304D30 0B060355 1D0F0404 030205A0
301F0603 551D2304 18301680 144871D9 002C66DF D85FACB8 45D1D25F EA357455
91301D06 03551D0E 04160414 DFF2401C 53276D96 89DE8C0A 786CCA71 C9EA792B
300D0609 2A864886 F70D0101 04050003 8181002C 6E334273 CB832A95 3DDC6293
669E416C A134D543 20952BC3 14A5C0B0 03AE011C 963AF523 C7C5C935 4FE9B2A5
F24B3161 4D0D723A FA428BD1 85ADF172 B4007067 43C27D8A 1F74ED3D DEBE9F73
1F515355 E77E766C AEACC303 39457991 29AB090C 99E21B5B 60DCB2C8 780B4479
3EB3D46B B66C8C26 15311A7A B7A4ED97 32727C
quit
certificate ca 01
30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D313030 33313031
32343933 385A170D 31333033 30393132 34393338 5A301431 12301006 03550403
13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D
00308189 02818100 DA4ECE09 B998F670 598F32C1 7E9FA920 1D217AC4 293B842E
7563CE11 B2F0F822 23077930 636C8293 00F6CFDD F6C9B0F5 8348BE58 6478F631
7D44152F 494AEBCC A507FA6B 408D6BBB FAAB0A7A 2E7546A8 CA70F9A6 0F7F6824
554BD833 060D657D ABDF406C 69EEF449 7A4F9AFE 6F0852E7 05DEDAC1 D433191E
712868C2 A94E642B 02030100 01A36330 61300F06 03551D13 0101FF04 05300301
01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 16801448
71D9002C 66DFD85F ACB845D1 D25FEA35 74559130 1D060355 1D0E0416 04144871
D9002C66 DFD85FAC B845D1D2 5FEA3574 5591300D 06092A86 4886F70D 01010405
00038181 00AFC36B 8A917284 06BD51CB 83BDC4E8 9457A361 6CAAF416 3BBEF691
04215AC5 EDBC5730 C071C2FB 8A6C90CF D6AB39C2 3BC2147F D35553D9 028B2155
802E50DB 48CDE067 B3857447 89A1C733 D81EFEF7 1115480F 70ED2F22 F27E35A1
F3BB597C 7C8F717B FAAD79D3 0F469702 DE9190E4 B1B0808E 46A118EB 887CEAEB
DFE2900E D2
quit
crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
!
crypto ikev2 profile prof
match fvrf any
match certificate cmap-2
identity local dn
authentication local rsa-sig
authentication remote pre-share
authentication remote rsa-sig
pki trustpoint ca-server
!
!
crypto ipsec transform-set trans esp-3des esp-sha-hmac
!
crypto dynamic-map dmap 1
set transform-set trans
set ikev2-profile prof
!
!
crypto map cmap 1 ipsec-isakmp dynamic dmap
interface Loopback0
ip address 209.165.200.230 255.255.255.224
!
interface Ethernet0/0
ip address 209.165.200.231 255.255.255.224
crypto map cmap
!
interface Ethernet1/0
ip address 209.165.200.232 255.255.255.224
!
ip route 209.165.200.233 255.255.255.224 209.165.200.228
!
ip access-list extended ikev2list
permit ip host 209.165.200.231 host 209.165.200.228
 

CA サーバの設定は次のとおりです。

crypto pki server ca-server
grant auto
!
crypto pki trustpoint ca-server
revocation-check crl
rsakeypair ca-server
!
!
crypto pki certificate chain ca-server
certificate ca 01
30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D303930 33303831
36333335 395A170D 31323033 30373136 33333539 5A301431 12301006 03550403
13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D
00308189 02818100 99750598 EF4AF8B4 823DEF66 2F3BBA31 81C2DC5F D9B4040B
99FB6020 22243CD6 B9F24C84 A543D7DB DD0B3018 2E36208C D0FD4015 EAF0DA69
C1B0302B 87CEC34B 8646593F 0185AF02 0B86A3F3 5E5C3880 A992CD4A 79F13403
411CC61F 07CEB4D9 0E967CB2 FAE0A899 5A3B6C87 73111F06 128465DA A45291F8
F828C5DC 657487E7 02030100 01A36330 61300F06 03551D13 0101FF04 05300301
01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 1680147B
D032BFB7 B3F70F1A 597B7C1E 1B42E472 5CCD6030 1D060355 1D0E0416 04147BD0
32BFB7B3 F70F1A59 7B7C1E1B 42E4725C CD60300D 06092A86 4886F70D 01010405
00038181 003838FA 628804EF E9FF69D9 3D5E299C 29074B2C AE33A563 8AF75976
78FB68D4 5EF1E27B 04936FDF 78A09432 5348849D F79E17F5 70B233C9 2C1535D0
506F0C35 99335012 84BBA3DC 050FD3C9 6E7B1D63 41ACC2B5 2B02432D BA2CC2CF
E379DEA0 A9C208AC 0BEBB2D8 E6488815 EB12F1E0 19072D55 D5D11A49 739144D8
271A842E ED
quit
!
interface Ethernet1/0
ip address 209.165.200.232 255.255.255.224
!
ip http server
 

CA およびデバイス証明書を取得するには、 crypto pki authenticate ca-server コマンドおよび crypto pki enroll ca-server コマンドを入力します。発信側と応答側との接続を開始するには、発信側の CLI で次を入力します。

ping 209.165.200.230 source 209.165.200.226
 

上記のコマンドの出力は次のようになります。

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.165.200.230, timeout is 2 seconds:
Packet sent with a source address of 209.165.200.226
 
%IKEV2-5-OSAL_INITIATE_TUNNEL: Received request to establish an IPsec tunnel; local traffic selector = Address Range: 209.165.200.226-209.165.200.226 Protocol: 1 Port Range: 0-65535; remote traffic selector = Address Range: 209.165.200.230-209.165.200.230 Protocol: 1 Port Range: 0-65535
 
%IKEV2-5-SA_UP: SA UP
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/11/12 ms
 

次の show コマンドを応答側の CLI に入力すると、セッションの詳細が表示されます。

show crypto session
Crypto session current status
 
Interface: Ethernet0/0
Session status: UP-ACTIVE
Peer: 1.1.1.1 port 500
IKEv2 SA: local 209.165.200.231/500 remote 209.165.200.227/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 209.165.200.226
Active SAs: 2, origin: dynamic crypto map
 
show crypto ikev2 sa detailed
Tunnel-id Local Remote fvrf/ivrf Status
1 209.165.200.231/500 209.165.200.227/500 (none)/(none) READY
Encr: 3DES, Hash: MD596, DH Grp:2, Auth sign: RSA, Auth verify: RSA
Life/Active Time: 86400/846 sec
CE id: 1001, Session-id: 1
Status Description: Negotiation done
Local spi: F79756E978ED41C7 Remote spi: 188FB9A119516D34
Local id: hostname=RESPONDER
Remote id: hostname=INITIATOR
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected

クリプト マップに基づく IKEv2 ピアの設定例

次の例は、スタティック クリプト マップ IKEv2 発信側とダイナミック IKEv2 応答側との間に事前共有鍵認証方式を使用し、クリプト マップに基づく IKEv2 ピアを設定する方法を示します。発信側の設定は次のとおりです。

crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
crypto ikev2 keyring v2-kr1
peer abc
address 209.165.200.231 255.255.255.224
pre-shared-key abc
!
!
!
crypto ikev2 profile prof
match fvrf any
match identity remote fqdn dmap-responder
identity local fqdn smap-initiator
authentication local pre-share
authentication remote pre-share
keyring v2-kr1
!
!
crypto ipsec transform-set trans esp-3des esp-sha-hmac
!
crypto map cmap 1 ipsec-isakmp
set peer 209.165.200.225
set transform-set trans
set ikev2-profile prof
match address ikev2list
!
interface Loopback0
ip address 209.165.200.226 255.255.255.224
!
interface Ethernet0/0
ip address 209.165.200.227 255.255.255.224
crypto map cmap
!
ip route 209.165.200.229 255.255.255.224 209.165.200.225
!
ip access-list extended ikev2list
permit ip any any
!
 

応答側の設定は次のとおりです。

crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
crypto ikev2 keyring v2-kr1
peer abc
address 209.165.200.228
pre-shared-key abc
!
!
!
crypto ikev2 profile prof
match fvrf any
match identity remote fqdn smap-initiator
identity local fqdn dmap-responder
authentication local pre-share
authentication remote pre-share
keyring v2-kr1
ivrf global
!
!
crypto ipsec transform-set trans esp-3des esp-sha-hmac
!
crypto dynamic-map dmap 1
set transform-set trans
set reverse-route tag 222
set ikev2-profile prof
match address ikev2list
!
crypto map cmap 1 ipsec-isakmp dynamic dmap
!
interface Loopback0
ip address 209.165.200.230 255.255.255.224
!
interface Ethernet0/0
ip address 209.165.200.231 255.255.255.224
crypto map cmap
!
ip route 209.165.200.233 255.255.255.224 209.165.200.228
!
ip access-list extended ikev2list
permit ip any any
!
 

発信側と応答側との接続を開始するには、発信側の CLI で次を入力します。

ping 209.165.200.230 source 209.165.200.226
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.165.200.230, timeout is 2 seconds:
Packet sent with a source address of 209.165.200.226
 
%IKEV2-5-OSAL_INITIATE_TUNNEL: Received request to establish an IPsec tunnel; local traffic selector = Address Range: 209.165.200.226-209.165.200.226 Protocol: 1 Port Range: 0-65535; remote traffic selector = Address Range: 209.165.200.230-209.165.200.230 Protocol: 1 Port Range: 0-65535
 
%IKEV2-5-SA_UP: SA UP
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/11/12 ms
 

セッションの詳細を表示するには、次のコマンドを入力します。

show crypto session
Crypto session current status
 
Interface: Ethernet0/0
Session status: UP-ACTIVE
Peer: 209.165.200.225 port 500
IKEv2 SA: local 209.165.200.228/500 remote 209.165.200.231/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
 
show crypto ikev2 sa detail
Tunnel-id Local Remote fvrf/ivrf Status
1 209.165.200.228/500 209.165.200.231/500 (none)/(none) READY
Encr: 3DES, Hash: MD596, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/21 sec
CE id: 1002, Session-id: 2
Status Description: Negotiation done
Local spi: 687752902752A6FD Remote spi: C9DCCFC65493D14F
Local id: smap-initiator
Remote id: dmap-responder
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected

sVTI に基づく IKEv2 ピアを使用する IPsec の設定例

次の例は、sVTI IKEv2 発信側と sVTI IKEv2 応答側との間に事前共有鍵認証方式を使用する IPsec の設定方法を示します。発信側の設定は次のとおりです。

crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
crypto ikev2 keyring v2-kr1
peer abc
address 209.165.200.225 (1.1.1.2)
pre-shared-key abc
!
!
!
crypto ikev2 profile prof
match fvrf any
match identity remote address 209.165.200.231 255.255.255.224 (1.1.1.2 255.255.255.255)
authentication local pre-share
authentication remote pre-share
keyring v2-kr1
!
!
crypto ipsec transform-set trans esp-3des esp-sha-hmac
!
crypto ipsec profile ipsecprof
set transform-set trans
set ikev2-profile prof
!
interface Loopback0
ip address 209.165.200.226 255.255.255.224 (3.3.3.3 255.255.255.0)
!
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
tunnel source 209.165.200.231 (1.1.1.1)
tunnel mode ipsec ipv4
tunnel destination 209.165.200.225 (1.1.1.2)
tunnel protection ipsec profile ipsecprof
!
interface Ethernet0/0
ip address 209.165.200.231 255.255.255.224 (1.1.1.1 255.255.255.0)
!
ip route 209.165.200.229 255.255.255.224 (4.4.4.0 255.255.255.0) Tunnel0
!
 

応答側の設定は次のとおりです。

crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
crypto ikev2 keyring v2-kr1
peer abc
address 209.165.200.231 (1.1.1.1)
pre-shared-key abc
!
!
!
crypto ikev2 profile prof
match fvrf any
match identity remote address 209.165.200.231 255.255.255.224 (1.1.1.1 255.255.255.255)
authentication local pre-share
authentication remote pre-share
keyring v2-kr1
!
!
crypto ipsec transform-set trans esp-3des esp-sha-hmac
!
crypto ipsec profile ipsecprof
set transform-set trans
set ikev2-profile prof
!
crypto map cmap 1 ipsec-isakmp dynamic dmap
!
interface Loopback0
ip address 209.165.200.230 255.255.255.224 (4.4.4.4 255.255.255.0)
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source 209.165.200.225 (1.1.1.2)
tunnel mode ipsec ipv4
tunnel destination 209.165.200.231 (1.1.1.1)
tunnel protection ipsec profile ipsecprof
!
interface Ethernet0/0
ip address 209.165.200.231 255.255.255.224 (1.1.1.2 255.255.255.0)
!
 
ip route 209.165.200.233 255.255.255.224 (3.3.3.0 255.255.255.0) Tunnel0
 

IKEv2 ピアの sVTI では、セッションは sVTI インターフェイスがイネーブルなときにだけ開始されます。つまり、セッションの開始のためにネットワーク トラフィックは必要ありません。発信側と応答側との間のトラフィックを確認するには、発信側の CLI で次のコマンドを入力します。

ping 209.165.200.230 source 209.165.200.226
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.165.200.230, timeout is 2 seconds:
Packet sent with a source address of 209.165.200.226
 
%IKEV2-5-OSAL_INITIATE_TUNNEL: Received request to establish an IPsec tunnel; local traffic selector = Address Range: 209.165.200.226-209.165.200.226 Protocol: 1 Port Range: 0-65535; remote traffic selector = Address Range: 209.165.200.230-209.165.200.23 Protocol: 1 Port Range: 0-65535
 
%IKEV2-5-SA_UP: SA UP
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/11/12 ms
 

次のコマンドを発信側の CLI に入力すると、セッションの詳細が表示されます。

show crypto session
Crypto session current status
 
Interface: Ethernet0/0
Session status: UP-ACTIVE
Peer: 209.165.200.225 port 500
IKEv2 SA: local 209.165.200.231/500 remote 209.165.200.225/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
 
show crypto ikev2 sa detail
Tunnel-id Local Remote fvrf/ivrf Status
1 209.165.200.231/500 209.165.200.225/500 (none)/(none) READY
Encr: 3DES, Hash: MD596, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/21 sec
CE id: 1002, Session-id: 2
Status Description: Negotiation done
Local spi: 687752902752A6FD Remote spi: C9DCCFC65493D14F
Local id: smap-initiator
Remote id: dmap-responder
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected

クリプト マップと dVTI に基づく IKEv2 ピアの設定

次の例は、スタティック クリプト マップ IKEv2 発信側と dVTI に基づく IKEv2 応答側との間に事前共有鍵認証方式を使用し、クリプト マップと dVTI ベースの IKEv2 ピアを設定する方法を示します。発信側の設定は次のとおりです。

crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
crypto ikev2 keyring v2-kr1
peer abc
address 0.0.0.0 0.0.0.0
pre-shared-key abc
!
!
!
crypto ikev2 profile prof
match fvrf any
match identity remote address 0.0.0.0
authentication local pre-share
authentication remote pre-share
keyring v2-kr1
!
crypto ipsec transform-set trans esp-3des esp-sha-hmac
!
crypto map cmap 1 ipsec-isakmp
set peer 206.165.200.235 (2.2.2.2)
set transform-set trans
set ikev2-profile prof
match address ikev2list
!
interface Loopback0
ip address 206.165.200.226 255.255.255.224 (3.3.3.3 255.255.255.0)
!
interface Ethernet0/0
ip address 206.165.200.227 255.255.255.224 (1.1.1.1 255.255.255.0)
crypto map cmap
!
ip route 206.165.200.229 255.255.255.224 206.165.200.235 (4.4.4.0 255.255.255.0 2.2.2.2)
!
ip access-list extended ikev2list
permit ip host 206.165.200.227 host 206.165.200.235
permit ip 206.165.200.233 255.255.255.224 206.165.200.229 255.255.255.224
 

応答側の設定は次のとおりです。

crypto ikev2 proposal prop-1
encryption 3des
integrity md5
group 2
!
crypto ikev2 policy pol-1
match fvrf any
proposal prop-1
!
crypto ikev2 keyring v2-kr1
peer cisco
address 0.0.0.0 0.0.0.0
pre-shared-key cisco
!
!
!
crypto ikev2 profile prof
match fvrf any
match identity remote address 0.0.0.0
authentication local pre-share
authentication remote pre-share
keyring v2-kr1
virtual-template 1
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
set transform-set set
set ikev2-profile prof
!
interface Loopback0
ip address 206.165.200.230 255.255.255.224 (4.4.4.4 255.255.255.0)
!
interface Ethernet0/0
ip address 206.165.200.235 255.255.255.224
!
interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
ip mtu 1000
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile vi
!
 

発信側と応答側との接続を開始するには、発信側の CLI で次を入力します。

ping 206.165.200.230 source 206.165.200.226
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 206.165.200.230, timeout is 2 seconds:
Packet sent with a source address of 206.165.200.226
 
%IKEV2-5-OSAL_INITIATE_TUNNEL: Received request to establish an IPsec tunnel; local traffic selector = Address Range: 206.165.200.226-206.165.200.226 Protocol: 1 Port Range: 0-65535; remote traffic selector = Address Range: 206.165.200.230-206.165.200.230 Protocol: 1 Port Range: 0-65535
 
%IKEV2-5-SA_UP: SA UP
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/11/12 ms
 

次のコマンドを Easy VPN サーバに入力すると、セッションの詳細が表示されます。

show crypto session
Crypto session current status
 
Interface: Virtual-Access2
Session status: UP-ACTIVE
Peer: 206.165.200.227 port 500
IKEv2 SA: local 206.165.200.235/500 remote 206.165.200.227/500 Active
IPSEC FLOW: permit ip 206.165.200.229/255.255.255.224 206.165.200.233/255.255.255.224
Active SAs: 2, origin: crypto map
 
show crypto ikev2 sa detail
Tunnel-id Local Remote fvrf/ivrf Status
1 206.165.200.235/500 206.165.200.227/500 (none)/(none) READY
Encr: 3DES, Hash: MD596, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/8 sec
CE id: 1001, Session-id: 1
Status Description: Negotiation done
Local spi: 305F610F57428834 Remote spi: D9D183B5689AEDCD
Local id: 206.165.200.235
Remote id: 206.165.200.227
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
 
show crypto route
 
VPN Routing Table: Shows RRI and VTI created routes
Codes: RRI - Reverse-Route, VTI- Virtual Tunnel Interface
S - Static Map ACLs
 
Routes created in table GLOBAL DEFAULT
206.165.200.233/255.255.255.224 [1/0] via 206.165.200.227 tag 0
on Virtual-Access2 RRI

関連情報

IKEv2 の設定後、IPsec VPN の設定に進みます。詳細については、「 Configuring Security for VPNs With IPsec 」を参照してください。

その他の参考資料

ここでは、IKEv2 サイトツーサイト機能に関する関連資料について説明します。

関連資料

内容
参照先

IPsec の設定

「Configuring Security for VPNs with IPsec」

Cisco IOS コマンド

『Cisco IOS Master Commands List, All Releases』

セキュリティ コマンド:コマンド構文の詳細、コマンド モード、デフォルト、使用上の注意事項、および例

『Cisco IOS Security Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 4306

Internet Key Exchange (IKEv2) Protocol

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する。

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト (http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/cisco/web/support/index.html

インターネット キー エクスチェンジ バージョン 2 の機能情報

表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 インターネット キー エクスチェンジ バージョン 2 の機能情報

機能名
リリース
機能情報

IKEv2 サイトツーサイト

15.1(1)T

IKEv2 は IPsec のコンポーネントであり、相互認証を実行して SA を確立および管理するために使用します。

Cisco IOS リリース 15.1(1)T では、この機能は Cisco 7200 シリーズ ルータに追加されました。

この機能に関する詳細については、次の各項を参照してください。

「インターネット キー エクスチェンジ バージョン 2 について」

「インターネット キー エクスチェンジ バージョン 2 の設定方法」

次のコマンドが導入または変更されました。
aaa accounting (IKEv2 プロファイル) 、address (IKEv2 キー生成)、 authentication (IKEv2 プロファイル)、 crypto ikev limit crypto ikev2 certificate-cache crypto ikev2 cookie-challenge crypto ikev2 diagnose crypto ikev2 dpd crypto ikev2 http-url crypto ikev2 keyring crypto ikev2 nat crypto ikev2 policy crypto ikev2 profile crypto ikev2 proposal crypto ikev2 window crypto logging ikev2 description (IKEv2 キー生成)、 dpd encryption (IKEv2 プロポーザル)、 group (IKEv2 プロポーザル)、 hostname (IKEv2 キー生成)、 identity (IKEv2 キー生成)、 identity local integrity ivrf keyring lifetime (IKEv2 プロファイル)、 match (IKEv2 ポリシー)、 match (IKEv2 プロファイル)、 nat peer pki trustpoint pre-shared-key (IKEv2 キー生成)、 proposal virtual-template (IKEv2 プロファイル)、 clear crypto ikev2 sa clear crypto ikev2 stat clear crypto session clear crypto ikev2 sa debug crypto ikev2 show crypto ikev2 diagnose error show crypto ikev2 policy show crypto ikev2 profile show crypto ikev2 proposal show crypto ikev2 session show crypto ikev2 stats show crypto session show crypto socket


 

CCDE, CCENT, CCSI, Cisco Eos, Cisco Explorer, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco TrustSec, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design), Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet, AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream, Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are registered trademarks of Cisco and/or its affiliates in the United States and certain other countries.