Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
ハードウェア暗号化エンジンからのソフト ウェア暗号化エンジン フェールオーバー ディ セーブル化オプション
ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプション
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプション

この章の構成

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの前提条件

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの詳細

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバーの概要

ハードウェア暗号化エンジンへのフェールオーバーをディセーブルにするオプション

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの設定方法

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバーのディセーブル化

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの設定例

ディセーブル化されたハードウェア暗号化エンジン フェールオーバー:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプション

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプション機能により、ハードウェア暗号化エンジンに障害が発生しても、ソフトウェア暗号化エンジンへのフェールオーバーが発生しないように、ルータを設定できます。

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの機能履歴

リリース
変更点

12.3(14)T

この機能が追加されました。

プラットフォーム、および Cisco IOS ソフトウェア イメージの各サポート情報を検索するには

Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco IOS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。アクセスには、Cisco.com のアカウントが必要です。アカウントを持っていないか、ユーザ名またはパスワードが不明の場合は、ログイン ダイアログボックスの [Cancel] をクリックし、表示される指示に従ってください。

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの前提条件

Cisco IOS IP セキュリティ(IPSec)フレームワークをネットワークに設定している必要があります。

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの詳細

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化機能を設定するには、次の概念を理解しておく必要があります。

「ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバーの概要」

「ハードウェア暗号化エンジンへのフェールオーバーをディセーブルにするオプション」

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバーの概要

Cisco IOS IPSec トラフィックは、ハードウェア暗号化エンジンとソフトウェア暗号化エンジン(つまり、ソフトウェア暗号化アルゴリズムを実行するメイン CPU)の両方でサポートされます。ハードウェア暗号化エンジンに障害が発生した場合、メイン CPU 上のソフトウェアは IPSec 機能を実行しようと試みます。しかし、ハードウェア暗号化エンジンのルーチンに比べて、メイン CPU のソフトウェア ルーチンには、わずかな帯域幅しか割り当てられません。ハードウェア エンジンで十分な量のトラフィックが処理されている場合、フェールオーバーが発生すると、メイン CPU が能力以上のトラフィックを処理しようとするため、ルータに障害が発生する可能性があります。

ハードウェア暗号化エンジンへのフェールオーバーをディセーブルにするオプション

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプション機能を使用すると、ハードウェア暗号化エンジンがソフトウェア暗号化エンジンに自動的にフェールオーバーしないようにルータを設定できます。

メイン CPU 上のソフトウェア ルーチンでハードウェア暗号化エンジンのフェールオーバーに対処するような状況では、デフォルトでフェールオーバーが発生します。

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの設定方法

ここでは、次の手順について説明します。

「ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバーのディセーブル化」

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバーのディセーブル化

ハードウェア暗号化エンジンからソフトウェア暗号化エンジンへのフェールオーバーをディセーブルにするには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. no crypto engine software ipsec

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

no crypto engine software ipsec

 

Router (config)# no crypto engine software ipsec

ハードウェア暗号化エンジンからソフトウェア暗号化エンジンへのフェールオーバーをディセーブルにします。

フェールオーバーを再度イネーブルにするには、このコマンドの crypto engine software ipsec 形式を使用します。

ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションの設定例

ここでは、次の設定例について説明します。

「ディセーブル化されたハードウェア暗号化エンジン フェールオーバー:例」

ディセーブル化されたハードウェア暗号化エンジン フェールオーバー:例

次の例は、ハードウェア暗号化エンジンからソフトウェア暗号化エンジンへのフェールオーバーがディセーブルに設定されたことを示しています。

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN-Gateway1
!
 
boot-start-marker
boot-end-marker
!
!
clock timezone EST 0
no aaa new-model
ip subnet-zero
!
!
ip audit po max-events 100
no ftp-server write-enable
!
!
no crypto engine software ipsec
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123 address 209.165.201.2!
!
crypto ipsec transform-set basic esp-des esp-md5-hmac!
crypto map mymap 10 ipsec-isakmp
set peer 209.165.201.2
set transform-set basic
match address 101
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1/0
ip address 209.165.200.2 255.255.255.252 serial restart-delay 0 crypto map mymap!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.1
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.2.0 0.0.0.255 access-list 101 remark Crypto ACL!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

その他の参考資料

ここでは、ハードウェア暗号化エンジンからのソフトウェア暗号化エンジン フェールオーバー ディセーブル化オプションに関する関連資料について説明します。

関連資料

内容
参照先

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト (http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。

no crypto engine software ipsec

これらのコマンドの詳細については、『Cisco IOS Security Command Reference』( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。

Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool( http://tools.cisco.com/Support/CLILookup )にアクセスするか、または『Master Command List』を参照してください。