Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
IPsec 用ステートフル フェールオーバー
IPsec 用ステートフル フェールオーバー
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

IPsec 用ステートフル フェールオーバー

機能情報の入手

この章の構成

IPSec 用ステートフル フェールオーバーの前提条件

IPSec 用ステートフル フェールオーバーの制約事項

IPsec 用ステートルフル フェールオーバーに関する情報

サポートされている導入シナリオ:IPsec 用ステートルフル フェールオーバー

リモート アクセス接続の IPsec ステートルフル フェールオーバー

IPsec ハイ アベイラビリティを使用した Dead Peer Detection

IPSec 用ステートフル フェールオーバーの使用方法

HSRP のイネーブル化:IP 冗長性およびバーチャル IP アドレス

スパニング ツリー プロトコルおよび HSRP の安定のために前提条件

制約事項

トラブルシューティングのヒント

この次の手順

SSO のイネーブル化

SSO:IPsec および IKE との相互作用

前提条件

トラブルシューティングのヒント

この次の手順

クリプト マップ上における逆ルート注入の設定

ダイナミック クリプト マップ上での RRI の設定

スタティック クリプト マップ上での RRI の設定

この次の手順

IPsec および IKE 用ステートフル フェールオーバーのイネーブル化

IKE 用ステートフル フェールオーバーのイネーブル化

IPsec 用ステートフル フェールオーバーのイネーブル化

トンネル保護用ステートフル フェールオーバーのイネーブル化

この次の手順

SSO トラフィックの保護

ハイ アベイラビリティ情報の管理および確認

アンチ リプレイ間隔の管理

HA 設定の管理および確認

ステートフル フェールオーバーの設定例

IPSec ステートフル フェールオーバーの設定:例

Easy VPN サーバ用 IPSec ステートフル フェールオーバーの設定

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

IPsec 用ステートフル フェールオーバーの機能情報

IPsec 用ステートフル フェールオーバー

IP セキュリティ(IPsec)用ステートフル フェールオーバーを利用すれば、計画済みまたは未計画の停止が発生した後でも、ルータに IPsec パケットの処理およびフォワーディングを続行させることができます。カスタマーは、アクティブ ルータが何らかの理由により接続を失っても、自動的にアクティブ(プライマリ)ルータのタスクを引き継ぐバックアップ(セカンダリ)ルータを使用します。この処理をユーザが意識する必要はなく、リモート ピアの調整や再設定も必要ありません。

IPsec 用ステートフル フェールオーバーは、Stateful Switchover(SSO; ステートフル スイッチオーバー)および Hot Standby Routing Protocol(HSRP; ホット スタンバイ ルーティング プロトコル)と連携して動作するように設計されています。HSRP によって、IP ネットワークに冗長性を持たせ、ユーザ トラフィックをネットワーク エッジ デバイスやアクセス回線の障害から即座にそして透過的に回復させることができます。つまり、HSRP によって内部および外部インターフェイスが監視され、どちらかのインターフェイスが停止した場合、ルータ全体が停止したと見なされ、Internet Key Exchange(IKE)および IPsec Security Association(SA; セキュリティ アソシエーション)が、スタンバイ ルータに渡されます(HSRP アクティブ状態に移行します)。SSO によって、アクティブ ルータとスタンバイ ルータが IKE および IPsec ステートの情報を共有できるようになり、その結果各ルータは、その情報を基にいつでもアクティブ ルータになれます。IPsec 用ステートフル フェールオーバーを設定するには、ネットワーク管理者が、HSRP をイネーブルにし、仮想 IP アドレスを割り当て、SSO プロトコルをイネーブルにする必要があります。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IPsec 用ステートフル フェールオーバーの機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

IPSec 用ステートフル フェールオーバーの前提条件

アクティブおよびスタンバイ デバイス上における IPsec および IKE 設定の完了と複製

このマニュアルでは、IKE および IPsec 設定が完了していることを前提としています (このマニュアルでは、機能している IPsec 設定にステートフル フェールオーバーを追加する方法についてだけ説明します)。

アクティブ デバイス上に設定されている IKE および IPsec 設定は、スタンバイ デバイスに複製する必要があります。つまり、その暗号化設定は、Internet Security Association and Key Management Protocol(ISAKMP)ポリシー、ISAKMP キー(事前共有)、ステートフル フェールオーバーのために使用されるすべてのクリプト マップ設定、クリプト マップ設定上の照合アドレス文で使用されるすべての Access Control List(ACL; アクセス コントロール リスト)、暗号化に使用されるすべての AAA 設定、クライアント設定グループ、暗号化に使用される IP ローカル プール、および ISAKMP プロファイルについて、まったく同じである必要があります。


) アクティブ デバイスとスタンバイ デバイスの間で設定情報が自動的に転送されることはありません。ユーザは、暗号化設定が両方のデバイスで一致していることを確認する必要があります。双方のデバイスの暗号化設定が一致していない場合、アクティブ デバイスからスタンバイ デバイスへのフェールオーバーは失敗します。


デバイスの要件

IPsec 用ステートフル フェールオーバーでは、ネットワークにプライマリ デバイスにもセカンダリ デバイスにも使用可能なまったく同じ 2 つのルータが存在している必要があります。2 つのルータは、同じタイプのデバイスで、同じ CPU およびメモリを備え、共に暗号化アクセラレータがないか、まったく同じ暗号化アクセラレータを備えている必要があります。

現在この機能は、限られた数のプラットフォームでだけサポートされています。最新のプラットフォーム サポートを確認するには、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp にある Cisco Feature Navigator にアクセスしてください。

IPSec 用ステートフル フェールオーバーの制約事項

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の冗長性を設定する場合、次の制約事項が存在します。

アクティブ デバイスとスタンバイ デバイスは共に、まったく同じバージョンの Cisco IOS ソフトウェアが実行されている必要があり、また、ハブまたはスイッチで互いに接続されている必要があります。

シスコの Integrated Services Router(ISR; サービス統合型ルータ)およびステートフル フェールオーバーをサポートする VPN モジュールは次のとおりです。

AIM-VPN/BPII-PLUS および AIM-VPN/SSL-1 ハードウェア暗号化モジュールは、Cisco 1841 ルータでサポートされます。

AIM-VPN/EPII-Plus および AIM-VPN/SSL-2 ハードウェア暗号化モジュールは、Cisco 2801、2811、2821 および 2851 の各ルータでサポートされます。

AIM-VPN/EPII+ および AIM-VPN/SSL-3 ハードウェア暗号化モジュールは、Cisco 3825 ルータでサポートされます。

AIM-VPN/HPII+ および AIM-VPN/SSL3 ハードウェア暗号化モジュールは、Cisco 3845 ルータでサポートされます。

VPN Acceleration Module(VAM; VPN アクセラレータ モジュール)および VAM2 ハードウェア暗号化モジュールは、Cisco 7200 シリーズ ルータでサポートされます。

「ボックスツーボックス」のフェールオーバーだけがサポートされています。つまり、シャーシ間のフェールオーバーはサポートされていません。

アクティブ(プライマリ)ルータとスタンバイ(セカンダリ)ルータとの間の WAN インターフェイスはサポートされていません (HSRP では、内部インターフェイスと外部インターフェイスが LAN を介して接続されている必要があります)。

ロードバランスはサポートされていません。つまり、どんな時でも、冗長性グループ内でアクティブにできるデバイスは 1 つだけです。

Layer 2 Tunneling Protocol (L2TP; レイヤ 2 プロトコル トンネリング)を使用した IPsec のステートフル フェールオーバーはサポートされていません。

ステートフル フェールオーバーと共に使用されている場合は、Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)はサポートされていません (IKE 用の事前共有キーだけがサポートされています)。

IKE キープアライブはサポートされていません (この機能をイネーブルにすると、スタンバイ ルータによって所有権制御が認識された後に、接続がダウンします)。しかし、Dead Peer Detection(DPD)と定期的な DPD はサポートされています。

ステートフル フェールオーバーと共に使用する場合は、IPsec アイドル タイマーはサポートされません。

Virtual Route Forwarding(VRF)インスタンス内のインターフェイスに適用されるステートフル フェールオーバー クリプト マップはサポートされていません。ただし、ステートフル フェールオーバー クリプト マップがグローバル VRF 内のインターフェイスに適用されている場合は、VRF 対応 IPsec 機能がサポートされます。

ステートフル フェールオーバーには、State Synchronization Protocol(SSP)バージョンのステートフル フェールオーバー(Cisco IOS リリース 12.2YX1 および Cisco IOS リリース 12.2SU で使用可能)との互換性や相互運用性はありません。

IPsec 用ステートルフル フェールオーバーに関する情報

VPN 用ステートフル フェールオーバーを設定するには、次の概念を理解しておく必要があります。

「サポートされている導入シナリオ:IPsec 用ステートルフル フェールオーバー」

「リモート アクセス接続の IPsec ステートルフル フェールオーバー」

「IPsec ハイ アベイラビリティを使用した Dead Peer Detection」

サポートされている導入シナリオ:IPsec 用ステートルフル フェールオーバー

次の推奨導入シナリオの 1 つ(単一インターフェイス シナリオまたはデュアル インターフェイス シナリオ)で IPsec ステートフル フェールオーバーを実行することを推奨します。

シングル インターフェイス シナリオでは、VPN ゲートウェイで、リモート ピアから受信される暗号化されたトラフィックと、内部ホストに送信される復号化されたトラフィックの両方のために、1 つの LAN 接続が使用されます(図 1 を参照)。シングル インターフェイス設計によって、カスタマーはルータ ポートとサブネットに関する費用を抑えられます。一般的に、この設計は、組織を出入りするすべてのトラフィックが VPN を経由するわけではない場合に採用します。

図 1 シングル インターフェイス ネットワーク トポロジ

 


デュアル インターフェイス シナリオでは、VPN に複数のインターフェイスが備えられているので、トラフィックを個別のインターフェイスを経由してルータに出入りさせることができます(図 2)。一般的にこのシナリオは、サイトを出入りするトラフィックがルータを経由しなければならず、そのため VPN ルータによってネットワーク外へのデフォルト ルートが提供される場合に使用します。

図 2 デュアル インターフェイス ネットワーク トポロジ

 

表 1 に、シングル インターフェイス シナリオとデュアル インターフェイス シナリオの双方で使用可能な機能を示します。

 

表 1 IPsec ステートフル フェールオーバー:シングルおよびデュアル インターフェイス機能の概要

シングル インターフェイス
デュアル インターフェイス
ルートの挿入

暗号化が必要なトラフィックのためのネクスト ホップを持つ VPN ゲートウェイの背後にデバイスを用意するために、ルートを挿入する必要があります。一般に、IPsec 用ステートフル フェールオーバーでは、ルートをこのネットワーク トポロジ用に挿入する必要があります。

VPN ゲートウェイがネットワーク内の各デバイスの論理ネクスト ホップでない場合、ルートを作成して、ルーティング プロセスに挿入する必要があります。その結果、ネットワークの内部から戻ってくるトラフィックを、それが送信される前に IPsec サービス用 VPN ルータに返送できます。Virtual IP(VIP; バーチャル IP)アドレスは、ルーティング アップデートのアドバタイザとしては使用できません。そのため、フローは、挿入されたルートを介して同期化する必要があります。

VPN ゲートウェイがネットワーク内のすべてのデバイスのネクスト ホップ(デフォルト ルート)である場合、内部インターフェイス上で使用される VIP アドレスをネクスト ホップとして使用できます。そのため、VPN ルートの挿入は不要です。ただし、ルートをネクスト ホップ VIP アドレスに直接接続する場合には、内部ホスト上のスタティック ルートを使用する必要があります。

HSRP の構成

シングル インターフェイス シナリオでは、インターフェイスだけをディセーブルにしてもデバイス全体が使用不可と見なされるので、HSRP の役割は単純なものになります。この機能によって、次に紹介するシナリオで説明するルーティングに関する事項を考慮せずに済むようになります。

それぞれのインターフェイス ペアは独立して機能するので、インターフェイスの複数のペアを追跡できるように HSRP を設定する必要があります(つまり、HSRP を、インターフェイスの単一のペアで、または各ペアが互いに追跡し合うことがない 2 つのペアでは設定しないでください)。相互に追跡するとは、外部インターフェイスに障害が発生した場合、同じルータ上の内部インターフェイスもダウンしたと見なして、セカンダリ ルータへの完全なルータ フェールオーバーを許可するという意味です。

セキュア ステート情報

セキュア ステート情報がルータ間でやりとりされる場合、その情報は他のすべてのトラフィックと同じインターフェイスを介して渡されます

ルータには内部および外部インターフェイスが分離されて用意されています。そのため、内部インターフェイスを、ステート情報を交換するための、よりセキュアなチャネルとして使用できます。

ファイアウォールの設定

VPN ゲートウェイは、ファイアウォールの前にも後にも置けます。

VPN ゲートウェイは、ファイアウォールの前にも後にも置けます。また、ファイアウォールは、VPN ゲートウェイと並列に設置できます

リモート アクセス接続の IPsec ステートルフル フェールオーバー

リモート アクセスと LAN 間接続との主要な違いは、Xauth とモード設定の使用です。IKE Xauth は、多くの場合、ユーザを認証するために使用します。IKE モード設定は、多くの場合、ハブ(コンセントレータ)ルータからのセキュリティ ポリシーをユーザの IPsec 実装にプッシュするために使用します。モード設定は、一般的に、内部の企業ネットワーク IP アドレスをユーザに割り当てるためにも使用します。

リモート アクセス設定と LAN 間設定との違いに加え、次のリモート アクセス サーバ固有の機能にも注意する必要があります。

割り当て済み IP アドレス:IP アドレスは、次のオプションのいずれかによってクライアントに割り当てられます。

ローカル IP プール。ローカル IP プールを使用する場合、最初に管理者が High Availability(HA; ハイ アベイラビリティ)ペア内のそれぞれのルータ上で、まったく同じローカル IP アドレス プールを設定する必要があります( ip local pool client-address-pool コマンドを使用します)。このプール名は、2 つの場所のいずれか、つまり、 crypto isakmp client configuration group group-name (およびサブモード コマンド pool pool-name )を使用してグループ ポリシーに、 あるいは、 crypto isakmp client configuration address-pool local local-pool コマンドを使用してクライアント設定に適用できます。

RADIUS 割り当て済みアドレス RADIUS 認証を使用しており、RADIUS サーバによって Framed-IP-Address アトリビュートが返される場合、コンセントレータによってそのアドレスは必ずクライアントに割り当てられます。RADIUS サーバ ベンダー、特に RADIUS サーバ上におけるアドレス プールの設定を認めているベンダーの場合、そのマニュアルを参照することを推奨します。一般的にこれらのサーバでは、正しく動作させるには暗号化アカウンティングが必要となります。

HA ペア上でアカウンティングをイネーブルにするには、アクティブ デバイスおよびスタンバイ デバイスの両方で、 aaa accounting network radius-accounting start-stop group radius コマンドを発行してから、RADIUS アカウンティングを暗号 isakmp プロファイルまたはクリプト マップ セットに適用する必要があります。

RADIUS NAS-IP アドレス:HA ペアは、RADIUS サーバによって、単一のデバイスとして認識される必要があります。そのため、両方の HA ルータにより、同じ IP アドレスで RADIUS サーバとの通信が行われる必要があります。しかし、RADIUS サーバとの通信時にルータによってそのルータの NAS-IP アドレスとして使用されるアドレスは、Virtual IP(VIP; バーチャル IP)アドレスではなく、物理 IP アドレスである必要があります。HA ペアの RADIUS NAS-IP アドレスを設定するには、 interface loopback ip address コマンドを使用して HA ペアに同じループバック アドレスを設定してから、HA ペアで ip radius source-interface loopback コマンドを発行する必要があります。最後に、新しいループバック IP アドレスを RADIUS サーバ設定に追加します。その結果、RADIUS サーバによる HA ペアからの要求の処理が可能となります。

リモート アクセス接続のための IPsec ステートフル フェールオーバーの設定方法の詳細については、このマニュアルの「 Easy VPN Server 用 IPSec ステートフル フェールオーバーの設定:例 」を参照してください。

IPsec ハイ アベイラビリティを使用した Dead Peer Detection

IPsec ハイ アベイラビリティを使用した Dead Peer Detection(DPD)を設定するには、デフォルト(2 秒)以外の値を使用することを推奨します。HA には、キープアライブ時間を 10 秒、試行を 5 回に設定するのが適しています。その時間が、ルータがアクティブ モードになるためにかかる時間であるからです。

IPsec HA を使用した DPD を設定するには、 crypto isakmp keepalive コマンドを使用します。

IPSec 用ステートフル フェールオーバーの使用方法

ここでは、次の各手順について説明します。

「HSRP のイネーブル化:IP 冗長性およびバーチャル IP アドレス」 (必須)

「SSO のイネーブル化」 (必須)

「クリプト マップ上における逆ルート注入の設定」 (必須)

「IPsec および IKE 用ステートフル フェールオーバーのイネーブル化」 (必須)

「SSO トラフィックの保護」 (任意)

「ハイ アベイラビリティ情報の管理および確認」 (任意)

HSRP のイネーブル化:IP 冗長性およびバーチャル IP アドレス

HSRP には、IP 冗長性と VIP アドレスの 2 つのサービスが用意されています。各 HSRP グループにこれらのサービスの片方、または両方を提供させることが可能です。IPsec ステートフル フェールオーバーで使用される IP 冗長性サービスは、HSRP スタンバイ グループからのものだけです。1 つ以上の HSRP グループからの VIP アドレスを使用できます。ルータの外部および内部インターフェイス上で HSRP を設定するには、次の作業を実行します。


) この作業は両方のルータ(アクティブとスタンバイ)で、また、各ルータの両方のインターフェイスで実行します。


スパニング ツリー プロトコルおよび HSRP の安定のために前提条件

スイッチがアクティブおよびスタンバイ ルータに接続している場合、次の手順のいずれかを実行して、そのスイッチに正しい設定値が設定されているか確認する必要があります。

HSRP 対応ルータ インターフェイスに接続している各スイッチ ポート上で spanning-tree portfast コマンドをイネーブルにします。

ご使用のスイッチが他のスイッチに接続していない場合にだけ、スイッチ上で Spanning Tree Protocol(STP; スパニング ツリー プロトコル)をディセーブルにします。マルチスイッチ環境でスパニング ツリーをディセーブルにすると、ネットワークが不安定になる可能性があります。

スイッチにアクセスできない場合、 standby delay minimum [ min-delay ] reload [ reload-delay ] コマンドをイネーブルにします。 reload-delay 引数には、最低 120 秒の値を設定する必要があります。このコマンドは、両方のルータ上のすべての HSRP インターフェイスに対して適用する必要があります。

HSRP の不安定性の詳細については、『 Avoiding HSRP Instability in a Switching Environment with Various Router Platforms 』テクニカル ノーツを参照してください


) HSRP を正しく動作させるためには、上記の手順のうち、少なくとも 1 つを実行する必要があります。


制約事項

内部(プライベート)インターフェイスと外部(パブリック)インターフェイスの両方は、それぞれ別の HSRP グループに所属している必要がありますが、同じ HSRP グループ番号を指定できます。

内部インターフェイスと外部インターフェイスのステートは同じである必要があります。つまり、両方のインターフェイスが共にアクティブ ステートまたはスタンバイ ステートである必要があります。ステートが違う場合、パケットに対してプライベート ネットワーク外へのルートが提供できなくなります。

スタンバイ プライオリティは、アクティブ ルータとスタンバイ ルータの両方で同じである必要があります。プライオリティが同じでない場合、プライオリティが高い方のルータによるアクティブ ルータとしての不必要な引き継ぎが発生し、アップタイムに悪影響を与えます。

スタンバイ ルータおよびアクティブ ルータ の HSRP 追跡対象インターフェイス上の IP アドレスは、共に、片方のルータ上のアドレスがもう一方のルータ上のアドレスより低いか高い必要があります。同じプライオリティ(HA の要件の 1 つです)の場合、HSRP により、IP アドレスに基づいてアクティブ ステートが割り当てられます。ルータ A のパブリック IP アドレスはルータ B のパブリック IP アドレスよりも低いが、プライベート インターフェイスに関してはその逆になるようなアドレッシング方式が存在する場合、アクティブ/スタンバイとスタンバイ/アクティブのように分裂した状況が発生し、接続が切断される可能性があります。


) アクティブ デバイスによってスタンバイ デバイスになるための制御が放棄されるたびに、そのアクティブ デバイスがリロードされます。この機能によって、新しいスタンバイ デバイスのステートが新しいアクティブ デバイスに正しく同期化されます。


手順の概要

1. enable

2. configure terminal

3. interface type number

4. standby standby-group-number name standby-group-name

5. standby standby-group-number ip ip-address

6. standby standby-group-number track interface-name

7. standby [ group-number ] preempt

8. standby [ group-number ] timers [ msec ] hellotime [ msec ] holdtime

9. standby delay minimum [ min-delay ] reload [ reload-delay ]

10. 繰り返し

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet 0/0

ルータのインターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

standby standby-group-number name standby-group-name

 

Router(config-if)# standby 1 name HA-out

ユーザ定義グループ名を HSRP 冗長性グループに割り当てます。

引数を、インターフェイスの他のペア上で同じにすることも可能です。

ステップ 5

standby standby-group-number ip ip-address

 

Router(config-if)# standby 1 ip 209.165.201.1

HSRP グループのメンバー間で「共有」され、プライマリ IP アドレスによって所有される IP アドレスを割り当てます。

(注) バーチャル IP アドレスは、直接接続されたインターフェイス上に存在する両方のルータ(アクティブとスタンバイ)でまったく同じに設定する必要があります。

ステップ 6

standby standby-group-number track interface-name

 

Router(config-if)# standby 1 track Ethernet1/0

2 番目のインターフェイスを監視するように HSRP を設定します。その結果、2 つのインターフェイスのいずれかがダウンすると、HSRP によってスタンバイ デバイスに対するフェールオーバーが行われます。

(注) このコマンドは必須ではありませんが、デュアル インターフェイス コンフィギュレーションの場合にはこれを推奨します。

ステップ 7

standby [ group-number ] preempt

 

Router(config-if)# standby 1 preempt

アクティブ デバイスを、インターフェイス追跡イベントを理由に制御を放棄するようにイネーブルにします。

ステップ 8

standby [ group-number ] timers [ msec ] hellotime [ msec ] holdtime

 

Router(config-if)# standby 1 timers 1 5

(任意)hello パケット間の時間と、他のルータによってアクティブ ホット スタンバイまたはスタンバイ ルータの停止が宣言されるまでの時間を設定します。

holdtime :ルータによる障害のタイプの検出の時間。保持時間が長い場合、障害の検出にかかる時間が長くなります。

安定性を最高に保つため、保持時間を hello 間隔時間の 5 ~ 10 倍に設定することを推奨します。そうでない場合、実際には障害が発生していなくてもフェールオーバーが間違って発生する可能性があります。

ステップ 9

standby delay minimum [ min-delay ] reload [ reload-delay ]

 

Router(config-if)# standby delay minimum reload 120

HSRP グループの初期化までの遅延時間を設定します。

引数は事前に設定されているデフォルト値のままにしておくことを推奨します。

ステップ 10

繰り返し

両方のルータ(アクティブおよびスタンバイ)、および各ルータの両方のインターフェイス上でこの作業を繰り返します。

トラブルシューティングのヒント

発生する可能性がある HSRP 関連設定の問題のトラブルシューティングを可能にするには、HSRP 関連デバッグ コマンド debug standby errors debug standby events 、および debug standby packets [ terse ] のいずれかを発行します。

次に、ルータ上で HSRP を設定する方法の例を示します。

interface Ethernet0/0
ip address 209.165.201.1 255.255.255.224
standby 1 ip 209.165.201.3
standby 1 preempt
standby 1 name HA-out
standby 1 track Ethernet1/0
standby delay reload 120

この次の手順

内部インターフェイスと外部インターフェイスの両方で HSRP の設定に成功したら、「SSO のイネーブル化」で説明するように、SSO をイネーブルにする必要があります

SSO のイネーブル化

次の作業を実行して SSO をイネーブルにします。SSO は、2 つのルータ間で IKE および IPsec のステート情報を転送するために使用されます。

SSO:IPsec および IKE との相互作用

SSO は、数多くの Cisco IOS アプリケーションおよび機能に対して冗長性および同期化を提供する手段の 1 つです。SSO は、IPsec および IKE によってネットワークの冗長性ステートを認識し、内部アプリケーション ステートと冗長ピアを同期化するうえで必要となるものです。

前提条件

SSO をイネーブルにする前に、HSRP を設定する必要があります。

ピア間で SCTP 通信が失われることを避けるには、IPC 設定の SCTP セクションのローカル アドレス セクションに次のコマンドを含めます。

retransmit-timeout retran-min [ msec ] retra-max [ msec ]

path-retransmit max-path-retries

assoc-retransmit retries

手順の概要

1. enable

2. configure terminal

3. redundancy inter-device

4. scheme standby standby-group-name

5. exit

6. ipc zone default

7. association 1

8. protocol sctp

9. local-port local-port-number

10. local-ip device-real-ip-address [ device-real-ip-address2 ]

11. retransmit-timeout retran-min [ msec ] retra-max [ msec ]

12. path-retransmit max-path-retries

13. assoc-retransmit retries

14. exit

15. remote-port remote-port-number

16. remote-ip peer-real-ip-address [ peer-real-ip-address2 ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

redundancy inter-device

 

Router(config)# redundancy inter-device

冗長性を設定し、デバイス内コンフィギュレーション モードを開始します。

デバイス内コンフィギュレーション モードを終了するには、 exit コマンドを使用します。デバイス内設定を削除するには、このコマンドの no 形式を使用します。

ステップ 4

scheme standby standby-group-name

 

Router(config-red-interdevice)# scheme standby HA-out

使用する冗長性スキームを定義します。現時点でサポートされているスキームは「standby」だけです。

standby-group-name standby name インターフェイス コンフィギュレーション コマンドで指定したスタンバイ名と一致させる必要があります。また、スタンバイ名は両方のルータで同じである必要があります。

(注) スタンバイ グループのアクティブまたはスタンバイ ステートだけが SSO 用に使用されます。スタンバイ グループの VIP アドレスは不要であるか、または SSO によって使用されます。また、スタンバイ グループをクリプト マップ設定の一部にする必要はありません。

ステップ 5

exit

 

Router(config-red-interdevice)# exit

デバイス内コンフィギュレーション モードを終了します。

ステップ 6

ipc zone default

 

Router(config)# ipc zone default

デバイス内通信プロトコルである、Inter-Process Communication(IPC)を設定し、IPC ゾーン コンフィギュレーション モードを開始します。

このコマンドを使用して、アクティブ ルータとスタンバイ ルータとの間の通信リンクを開始します。

ステップ 7

association 1

 

Router(config-ipczone)# association 1

2 つのデバイス間におけるアソシエーションを設定し、IPC アソシエーション コンフィギュレーション モードを開始します。

ステップ 8

protocol sctp

 

Router(config-ipczone-assoc)# protocol sctp

Stream Control Transmission Protocol(SCTP)をトランスポート プロトコルとして設定し、SCTP プロトコル コンフィギュレーション モードを開始します。

ステップ 9

local-port local-port-number

 

Router(config-ipc-protocol-sctp)# local-port 5000

冗長ピアとの通信に使用されるローカル SCTP ポート番号を定義して、IPC トランスポート - SCTP ローカル コンフィギュレーション モードを開始します。

local-port-number :デフォルト値は存在しません。デバイス内の冗長性をイネーブルにするには、この引数によってローカル ポートの設定を行う必要があります。有効なポート値:1 ~ 65535。

ローカル ポート番号 は、ピア ルータ上のリモート ポート番号と同じにする必要があります。

ステップ 10

local-ip device-real-ip-address [ device-real-ip-address2 ]

 

Router(config-ipc-local-sctp)# local-ip 10.0.0.1

冗長ペアと通信を行うために使用されるローカル IP アドレスを最低 1 つ定義します。

ローカル IP アドレスは、ピア ルータ上のリモート IP アドレスと一致している必要があります。1 つまたは 2 つの IP アドレスを指定できます。このアドレスはグローバル VRF 内のものである必要があります。バーチャル IP アドレスは使用できません。

ステップ 11

retransmit-timeout retran-min [ msec ] retra-max [ msec ]

 

Router(config-ipc-local-sctp)# retransmit-timeout 300 10000

SCTP が再送信まで待機する最大時間をミリ秒単位で設定します。

retran-min :300 ~ 60000、デフォルト:300

retran-max :300 ~ 60000、デフォルト:600

ステップ 12

path-retransmit max-path-retries

 

Router(config-ipc-local-sctp)# path-retransmit 10

アソシエーション内でパスに障害が発生するまでに SCTP によって実行される連続再送信回数を設定します。

max-path-retries :2 ~ 10、デフォルト:4 回の再送信

ステップ 13

assoc- retransmit retries

 

Router(config-ipc-local-sctp)# assoc -retransmit 10

アソシエーション内で障害が発生するまでに SCTP によって実行される連続再送信回数を設定します。

max-association-retries :2 ~ 10、デフォルト:4 回の再送信

ステップ 14

exit

 

Router(config-ipc-local-sctp)# exit

IPC トランスポート - SCTP ローカル コンフィギュレーション モードを終了します。

ステップ 15

remote-port remote-port-number

 

Router(config-ipc-protocol-sctp)# remote-port 5000

冗長ピアとの通信に使用されるリモート SCTP ポート番号を定義して、IPC トランスポート - SCTP リモート コンフィギュレーション モードを開始します。

は、ピア ルータ上のローカル ポート番号と同じにする必要があります。

ステップ 16

remote-ip peer-real-ip-address [ peer-real-ip-address2 ]

 

Router(config-ipc-remote-sctp)# remote-ip 10.0.0.2

ローカル デバイスとの通信に使用される冗長ピアのリモート IP アドレスを最低 1 つ定義します。

すべてのリモート IP アドレスによって同じデバイスが参照される必要があります。

バーチャル IP アドレスは使用できません。

トラブルシューティングのヒント

発生する可能性がある SSO 関連設定の問題のトラブルシューティングを可能にするには、 debug redundancy コマンドを発行します。

次の例に、SSO をイネーブルにする方法を示します。

!
redundancy inter-device
scheme standby HA-out
!
!
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 10.0.0.1
retransmit-timeout 300 10000
path-retransmit 10
assoc-retransmit 10
remote-port 5000
remote-ip 10.0.0.2
!

この次の手順

SSO をイネーブルにしたら、次の項で示すように、クリプト マップ上で Reverse Route Injection(RRI; 逆ルート注入)を設定する必要があります。

クリプト マップ上における逆ルート注入の設定

ステートフル フェールオーバーと共に使用する必要がある既存のすべてのクリプト マップ上で RRI を設定する必要があります。RRI は、ステートフル フェールオーバーと共に使用されるので、内部ネットワーク上のルータが現在のアクティブ デバイスへの正確なパスを認識できます。フェールオーバーが発生すると、新しいアクティブ デバイスによって RRI が IP ルーティング テーブルに挿入され、ルーティング ピアに対してルーティング アップデートが送信されます。

ダイナミックまたはスタティック クリプト マップ上で RRI を設定するには、次の作業のいずれかを実行します。

「ダイナミック クリプト マップ上での RRI の設定」

「スタティック クリプト マップ上での RRI の設定」

ダイナミック クリプト マップ上での RRI の設定

標準スタティック クリプト マップ エントリのようなダイナミック クリプト マップ エントリは各セットにグループ化されます。セットは、すべて同じダイナミック マップ名を持つダイナミック クリプト マップ エントリのグループですが、ダイナミック シーケンス番号はそれぞれ異なります。セットの各メンバーは、RRI に設定できます。

手順の概要

1. enable

2. configure terminal

3. crypto dynamic-map map-name seq-num

4. reverse-route

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto dynamic-map map-name seq-num

 

Router(config)# crypto dynamic-map mymap 10

ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション モードを開始します。

ステップ 4

reverse-route

 

Router(config-crypto-map)# reverse-route

ダイナミック クリプト マップに対して RRI をイネーブルにします。

スタティック クリプト マップ上での RRI の設定

スタティック クリプト マップ エントリは各セットにグループ化されます。セットは、すべて同じスタティック マップ名を持つスタティック クリプト マップ エントリのグループですが、シーケンス番号はそれぞれ異なります。マップ セット内の各スタティック クリプト マップは、RRI に対して設定できます。スタティック クリプト マップ上で RRI を設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto map map-name seq-num ipsec-isakmp

4. reverse-route

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto map map-name seq-num ipsec-isakmp

 

Router(config)# crypto map to-peer-outside 10 ipsec-isakmp

クリプト マップ コンフィギュレーション モードを開始して、クリプト マップ エントリを作成または変更します。

ステップ 4

reverse-route

 

Router(config-crypto-map)# reverse-route

暗号化 ACL に基づいてスタティック ルートを動的に作成します。

次に、スタティック クリプト マップ「to-peer-outside」上に RRI を設定する方法の例を示します。

crypto map to-peer-outside redundancy replay-interval inbound 1000 outbound 10000
crypto map to-peer-outside 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set trans1
match address peer-outside
reverse-route

この次の手順

RRI を設定したら、IPsec および IKE 用ステートフル フェールオーバーをイネーブルにできます。

IPsec および IKE 用ステートフル フェールオーバーのイネーブル化

IPsec、IKE、およびトンネル保護用ステートフル フェールオーバーを設定するには、次の作業を実行します。

「IKE 用ステートフル フェールオーバーのイネーブル化」

「IPsec 用ステートフル フェールオーバーのイネーブル化」

「トンネル保護用ステートフル フェールオーバーのイネーブル化」

IKE 用ステートフル フェールオーバーのイネーブル化

IKE 用ステートフル フェールオーバーをイネーブルにするために必要な特定の Command-Line Interface(CLI; コマンドライン インターフェイス)はありません。ステートフル フェールオーバー クリプト マップをインターフェイスに割り当てるときに、特定の VIP アドレスに対してイネーブルにされます。

IPsec 用ステートフル フェールオーバーのイネーブル化

IPsec 用ステートフル フェールオーバーをイネーブルにするには次の作業を実行します。すべての IPsec ステート情報が、 「SSO のイネーブル化」 の作業で指定した SSO 冗長性チャンネルを経由してアクティブ ルータからスタンバイ ルータへ転送されます。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. crypto map map-name [ redundancy standby-group-name [ stateful ]]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet 0/0

冗長性の設定がすでに行われているインターフェイスを定義し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

crypto map map-name [redundancy standby-group-name [stateful]]

 

Router(config-if)# crypto map to-peer-outside redundancy HA-out stateful

特定のインターフェイス上のクリプト マップを冗長性グループにバインドします。

コマンドで使用されたグループと同じグループである必要があります。

このクリプト マップでは、ピアと通信を行う IKE および IPsec の両方に対して同じ VIP アドレスが使用されます。

トラブルシューティングのヒント

発生する可能性がある IPsec HA 関連の問題に対するトラブルシューティングを可能にするには、 debug crypto ipsec ha [ detail ] [ update ] コマンドを発行します。

次に、スタティック クリプト マップ「to-peer-outside」上に IPsec ステートフル フェールオーバーを設定する方法の例を示します。

interface Ethernet0/0
ip address 209.165.201.1 255.255.255.224
standby 1 ip 209.165.201.3
standby 1 preempt
standby 1 name HA-out
standby 1 track Ethernet1/0
crypto map to-peer-outside redundancy HA-out stateful

トンネル保護用ステートフル フェールオーバーのイネーブル化

IPsec を使用してトンネル用ステートフル フェールオーバー設定するには、既存の IPsec プロファイルを使用します (クリプト マップ設定におけるのと同様にトンネル インターフェイスは設定しません)。

制約事項

トンネル送信元アドレスは VIP アドレスである必要があります。インターフェイス名である必要はありません。

手順の概要

1. enable

2. configure terminal

3. crypto ipsec profile name

4. redundancy standby-group-name stateful

5. exit

6. interface tunnel number

7. tunnel protection ipsec profile name

8. tunnel source virtual - ip-address

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ipsec profile name

 

Router(config)# crypto ipsec profile peer-profile

2 つのルータ間における IPsec 暗号化のために使用される IPsec パラメータを定義し、クリプト マップ コンフィギュレーション モードを開始します。

ステップ 4

redundancy standby-group-name stateful

 

Router( config-crypto-map )# redundancy HA-out stateful

IPsec を使用してトンネル用ステートフル フェールオーバーを設定します。

ステップ 5

exit

 

Router(config-crypto-map)# exit

クリプト マップ コンフィギュレーション モードを終了します。

ステップ 6

interface tunnel number

 

Router(config)# interface tunnel 5

トンネル インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

number :作成または設定するインターフェイスの数を指定します。作成可能なトンネル インターフェイスの数に制限はありません。

ステップ 7

tunnel protection ipsec profile name

 

Router(config-if)# tunnel protection ipsec profile catprofile

トンネル インターフェイスを IPsec プロファイルに関連付けます。

name :IPsec プロファイルの名前を指定します。この値は、 crypto ipsec profile name コマンドで指定した名前と同じであることが必要です。

ステップ 8

tunnel source virtual - ip-address

 

Router(config-if)# tunnel source 10.1.1.1

トンネル インターフェイスの送信元アドレスを設定します。

virtual-ip-address VIP アドレスである必要があります。

(注) トンネルの送信元としてインターフェイス名は使用しません。

次の例に、トンネル保護用ステートフル フェールオーバーを設定する方法を示します。

crypto ipsec profile peer-profile
redundancy HA-out stateful
 
interface Tunnel1
ip unnumbered Loopback0
tunnel source 209.165.201.3
tunnel destination 10.0.0.5
tunnel protection ipsec profile peer-profile
!
interface Ethernet0/0
ip address 209.165.201.1 255.255.255.224
standby 1 ip 209.165.201.3
standby 1 name HA-out

この次の手順

ステートフル フェールオーバーを設定したら、CLI を使用して、設定を保護、確認、および管理できます。上記の作業の完了の詳細については、 「SSO トラフィックの保護」 および 「ハイ アベイラビリティ情報の管理および確認」 を参照してください。

SSO トラフィックの保護

IPsec プロファイルを介して冗長性グループをセキュリティ保護するには、次の作業を実行します。SSO トラフィック保護を設定するには、アクティブおよびスタンバイ デバイスを、イーサネット ネットワークを介して互いに直接接続する必要があります。

SSO トラフィックを保護する際に自動的に生成されるクリプト マップが、 local-ip コマンドを介して指定された IP アドレスに対応した各インターフェイスに適用されます。 remote-ip コマンドを介して指定された IP アドレスを宛先とするトラフィックは、自動的に作成されたスタティック ホスト ルートを介して crypto-map-configured インターフェイスから強制的に出力されます。


) 冗長性グループ間の SSO トラフィックが物理的にセキュアなインターフェイス上で実行されていることが確かな場合、SSO トラフィック保護を設定する必要はありません。


手順の概要

1. enable

2. configure terminal

3. crypto isakmp key keystring address peer-address

4. crypto ipsec transform-set transform-set-name transform-set-list

5. crypto ipsec profile profile-name

6. set transform-set transform-set-name

7. exit

8. redundancy inter-device

9. security ipsec profile-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp key keystring address peer-address

 

Router(config)# crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

事前共有認証キーを設定します。

peer-address SCTP リモート IP アドレス。

ステップ 4

crypto ipsec transform-set transform-set-name transform-set-list

 

Router(config)# crypto ipsec transform-set trans2 ah-md5-hmac esp-aes

パケット形式を定義するトランスフォーム セットおよび IPsec に使用される暗号アルゴリズムを設定します。

ステップ 5

crypto ipsec profile profile-name

 

Router(config)# crypto ipsec profile sso-secure

トラフィックの保護方法が記述される IPsec プロファイルを定義します。

ステップ 6

set transform-set transform-set-name

 

Router(config-crypto-map)# set transform-set trans2

IPsec プロファイルで使用できるトランスフォーム セットを指定します。

ステップ 7

exit

 

Router(config-crypto-map)# exit

クリプト マップ コンフィギュレーション モードを終了します。

ステップ 8

redundancy inter-device

 

Router(config)# redundancy inter-device

冗長性を設定し、デバイス内コンフィギュレーション モードを開始します。

ステップ 9

security ipsec profile-name

 

Router(config-red-interdevice)# security ipsec sso-secure

IPsec プロファイルを冗長性グループ通信に適用します。これにより、アクティブ デバイスとスタンバイ デバイス間で渡されるすべての SSO トラフィックが保護されます。

次に、SSO トラフィック保護の設定方法の例を示します。

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 no-xauth
!
crypto ipsec transform-set trans2 ah-md5-hmac esp-aes
!
crypto ipsec profile sso-secure
set transform-set trans2
!
redundancy inter-device
scheme standby HA-out
security ipsec sso-secure

ハイ アベイラビリティ情報の管理および確認

ハイ アベイラビリティ設定をセキュリティ保護および管理するには、次の任意の作業のいずれかを実行します。

「アンチ リプレイ間隔の管理」

「HA 設定の管理および確認」

アンチ リプレイ間隔の管理

IP 冗長性対応クリプト マップによってアンチリプレイ アップデートがアクティブ ルータからスタンバイ ルータへ転送される間隔を変更するには、次の任意の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto map map-name redundancy replay-interval inbound in-value outbound out-value

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto map map-name redundancy replay-interval inbound in-value outbound out-value

 

Router(config)# crypto map to-peer-outside redundancy replay-interval inbound 1000 outbound 10000

着信および発信リプレイ カウンタがアクティブ デバイスからスタンバイ デバイスへ渡される間隔を変更します。

inbound in-value :アンチリプレイ アップデートがアクティブ ルータからスタンバイ ルータへ送信される前に処理される着信パケットの数です。デフォルト値:1 アップデート毎に 1,000 パケット。

outbound out-value :アンチリプレイ アップデートがアクティブ ルータからスタンバイ ルータへ送信される前に処理される発信パケットの数です。デフォルト値:1 アップデート毎に 100,000 パケット。

次に、クリプト マップ「to-peer-outside」上でアクティブ デバイスとスタンバイ デバイスの間のリプレイ カウンタの間隔を変更する方法の例を示します。

crypto map to-peer-outside redundancy replay-interval inbound 1000 outbound 10000
crypto map to-peer-outside 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set trans1
match address peer-outside

HA 設定の管理および確認

ハイ アベイラビリティ設定を表示および確認するには、次の任意の作業内の手順のいずれかを実行します。

手順の概要

1. enable

2. show redundancy [ states | inter-device ]

3. show crypto isakmp sa [ active | standby ]

4. show crypto ipsec sa [ active | standby ]

5. show crypto session [ active | standby ]

6. show crypto ha

7. clear crypto isakmp [active | standby]

8. clear crypto sa [active | standby]

9. clear crypto session [active | standby]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show redundancy [ states | inter-device ]

 

Router# show redundancy states

設定済みデバイス上の SSO の現在のステートを表示します。

2 つのデバイスが互いにネゴシエーションを行ったら、片方のデバイスには「ACTIVE」ステートが表示され、もう一方のデバイスには「STANDBY HOT」ステートが表示されます。

ステップ 3

show crypto isakmp sa [ active | standby ]

 

Router# show crypto isakmp sa active

デバイス上に存在する IKE SA を表示します。

「ACTIVE」ステートまたは「STDBY」ステートが各 SA に関して表示されます。

active キーワードでは ACTIVE な HA 対応 SA だけが表示されます。 standby キーワードでは STDBY な HA 対応 SA だけが表示されます。

ステップ 4

show crypto ipsec sa [ active | standby ]

 

Router# show crypto ipsec sa active

デバイス上に存在する IPsec SA を表示します。

「ACTIVE」ステートまたは「STDBY」ステートが各 SA に関して表示されます。

active キーワードでは ACTIVE な HA 対応 SA だけが表示されます。 standby キーワードでは STDBY な HA 対応 SA だけが表示されます。

ステップ 5

show crypto session [ active | standby ]

 

Router# show crypto session active

デバイス上に現在存在する暗号セッションを表示します。

「UP-STANDBY」のように、「ACTIVE」または「STANDBY」ステートが各セッションのステートの一部として表示されます。

HA 対応 SA だけが表示されます。

ステップ 6

show crypto ha

 

Router# show crypto ha

IPsec および IKE によって現在使用されているすべてのバーチャル IP アドレスを表示します。

ステップ 7

clear crypto isakmp [ active | standby ]

 

Router# clear crypto isakmp active

IKE SA をクリアします。

スタンバイ デバイス上でこのコマンドが発行されると、すべてのスタンバイ IKE SA が、アクティブ デバイスから再同期化されます。

active キーワードではアクティブ ステートである IKE HA 対応 SA だけがクリアされ、 standby キーワードではスタンバイ ステートである IKE HA 対応 SA だけがクリアされます。

ステップ 8

clear crypto sa [ active | standby ]

 

Router# clear crypto sa active

IPsec SA をクリアします。

スタンバイ デバイス上でこのコマンドが発行されると、すべてのスタンバイ IPsec SA が、アクティブ デバイスから再同期化されます。

active キーワードではアクティブ ステートである IPsec HA 対応 SA だけがクリアされ、 standby キーワードではスタンバイ ステートである IPsec HA 対応 SA だけがクリアされます。

ステップ 9

clear crypto session [ active | standby ]

 

Router# clear crypto session active

IKE と IPsec SA の両方をクリアします。

すべてのスタンバイ SA が、スタンバイ上でクリアされた後に、アクティブ デバイスから再同期されます。HA 対応 SA だけがデバイスからクリアされます。

アクティブ デバイスの確認:例

Router# show redundancy states
 
my state = 13 -ACTIVE
peer state = 8 -STANDBY HOT
Mode = Duplex
Unit ID = 0
 
Split Mode = Disabled
Manual Swact = Enabled
Communications = Up
 
client count = 7
client_notification_TMR = 30000 milliseconds
keep_alive TMR = 4000 milliseconds
keep_alive count = 0
keep_alive threshold = 7
RF debug mask = 0x0
 
Router# show crypto isakmp sa active
 
dst src state conn-id slot status
209.165.201.3 209.165.200.225 QM_IDLE 5 0 ACTIVE
 
Router# show crypto ipsec sa active
 
interface:Ethernet0/0
Crypto map tag:to-peer-outside, local addr 209.165.201.3
 
protected vrf:(none)
local ident (addr/mask/prot/port):(192.168.0.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port):(172.16.0.1/255.255.255.255/0/0)
current_peer 209.165.200.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps:3, #pkts encrypt:3, #pkts digest:3
#pkts decaps:4, #pkts decrypt:4, #pkts verify:4
#pkts compressed:0, #pkts decompressed:0
#pkts not compressed:0, #pkts compr. failed:0
#pkts not decompressed:0, #pkts decompress failed:0
#send errors 0, #recv errors 0
 
local crypto endpt.:209.165.201.3, remote crypto endpt.:209.165.200.225
path mtu 1500, media mtu 1500
current outbound spi:0xD42904F0(3559458032)
 
inbound esp sas:
spi:0xD3E9ABD0(3555306448)
transform:esp-3des ,
in use settings ={Tunnel, }
conn id:2006, flow_id:6, crypto map:to-peer-outside
sa timing:remaining key lifetime (k/sec):(4586265/3542)
HA last key lifetime sent(k):(4586267)
ike_cookies:9263635C CA4B4E99 C14E908E 8EE2D79C
IV size:8 bytes
replay detection support:Y
Status:ACTIVE
inbound ah sas:
spi: 0xF3EE3620(4092474912)
transform: ah-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2006, flow_id: 6, crypto map: to-peer-outside
sa timing: remaining key lifetime (k/sec): (4586265/3542)
HA last key lifetime sent(k): (4586267)
ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C
replay detection support: Y
Status: ACTIVE
 
inbound pcp sas:
 
outbound esp sas:
spi: 0xD42904F0(3559458032)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2009, flow_id: 9, crypto map: to-peer-outside
sa timing: remaining key lifetime (k/sec): (4586266/3542)
HA last key lifetime sent(k): (4586267)
ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
 
outbound ah sas:
spi: 0x75251086(1965363334)
transform: ah-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2009, flow_id: 9, crypto map: to-peer-outside
sa timing: remaining key lifetime (k/sec): (4586266/3542)
HA last key lifetime sent(k): (4586267)
ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C
replay detection support: Y
Status: ACTIVE
 
outbound pcp sas:

Router# show crypto session active
Crypto session current status
 
Interface: Ethernet0/0
Session status: UP-ACTIVE
Peer: 209.165.200.225 port 500
IKE SA: local 209.165.201.3/500 remote 209.165.200.225/500 Active
IKE SA: local 209.165.201.3/500 remote 209.165.200.225/500 Active
IPSEC FLOW: permit ip host 192.168.0.1 host 172.16.0.1
Active SAs: 4, origin: crypto map

 

Router# show crypto ha
IKE VIP: 209.165.201.3
stamp: 74 BA 70 27 9C 4F 7F 81 3A 70 13 C9 65 22 E7 76
IPSec VIP: 209.165.201.3
IPSec VIP: 255.255.255.253
IPSec VIP: 255.255.255.254

スタンバイ デバイスの確認:例

Router# show redundancy states
my state = 8 -STANDBY HOT
peer state = 13 -ACTIVE
Mode = Duplex
Unit ID = 0
Split Mode = Disabled
Manual Swact = Enabled
Communications = Up
client count = 7
client_notification_TMR = 30000 milliseconds
keep_alive TMR = 4000 milliseconds
keep_alive count = 1
keep_alive threshold = 7
RF debug mask = 0x0
Router# show crypto isakmp sa standby
dst src state conn-id slot status
209.165.201.3 209.165.200.225 QM_IDLE 5 0 STDBY
 
 
Router# show crypto ipsec sa standby
interface:Ethernet0/0
Crypto map tag:to-peer-outside, local addr 209.165.201.3
protected vrf:(none)
local ident (addr/mask/prot/port):(192.168.0.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port):(172.16.0.1/255.255.255.255/0/0)
current_peer 209.165.200.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps:0, #pkts encrypt:0, #pkts digest:0
#pkts decaps:0, #pkts decrypt:0, #pkts verify:0
#pkts compressed:0, #pkts decompressed:0
#pkts not compressed:0, #pkts compr. failed:0
#pkts not decompressed:0, #pkts decompress failed:0
#send errors 0, #recv errors 0
local crypto endpt.:209.165.201.3, remote crypto endpt.:209.165.200.225
path mtu 1500, media mtu 1500
current outbound spi:0xD42904F0(3559458032)
inbound esp sas:
spi:0xD3E9ABD0(3555306448)
transform:esp-3des ,
in use settings ={Tunnel, }
conn id:2012, flow_id:12, crypto map:to-peer-outside
sa timing:remaining key lifetime (k/sec):(4441561/3486)
HA last key lifetime sent(k):(4441561)
ike_cookies:00000000 00000000 00000000 00000000
IV size:8 bytes
replay detection support:Y
Status:STANDBY
inbound ah sas:
spi:0xF3EE3620(4092474912)
transform:ah-md5-hmac ,
in use settings ={Tunnel, }
conn id:2012, flow_id:12, crypto map:to-peer-outside
sa timing:remaining key lifetime (k/sec):(4441561/3486)
HA last key lifetime sent(k):(4441561)
ike_cookies:00000000 00000000 00000000 00000000
replay detection support:Y
Status:STANDBY
inbound pcp sas:
outbound esp sas:
spi:0xD42904F0(3559458032)
transform:esp-3des ,
in use settings ={Tunnel, }
conn id:2011, flow_id:11, crypto map:to-peer-outside
sa timing:remaining key lifetime (k/sec):(4441561/3485)
HA last key lifetime sent(k):(4441561)
ike_cookies:00000000 00000000 00000000 00000000
IV size:8 bytes
replay detection support:Y
Status:STANDBY
outbound ah sas:
spi:0x75251086(1965363334)
transform:ah-md5-hmac ,
in use settings ={Tunnel, }
conn id:2011, flow_id:11, crypto map:to-peer-outside
sa timing:remaining key lifetime (k/sec):(4441561/3485)
HA last key lifetime sent(k):(4441561)
ike_cookies:00000000 00000000 00000000 00000000
replay detection support:Y
Status:STANDBY
outbound pcp sas:
Router# show crypto session standby
Crypto session current status
Interface:Ethernet0/0
Session status:UP-STANDBY
Peer:209.165.200.225 port 500
IKE SA:local 209.165.201.3/500 remote 209.165.200.225/500 Active
IPSEC FLOW:permit ip host 192.168.0.1 host 172.16.0.1
Active SAs:4, origin:crypto map
 
Router# show crypto ha
IKE VIP:209.165.201.3
stamp:74 BA 70 27 9C 4F 7F 81 3A 70 13 C9 65 22 E7 76
 
IPSec VIP:209.165.201.3
IPSec VIP:255.255.255.253
IPSec VIP:255.255.255.254
ha-R2#

アクティブ SA およびスタンバイ SA の確認:例

次に、アクティブ デバイスとスタンバイ デバイスの両方の SA の出力例を示します。

Router# show crypto isakmp sa
dst src state conn-id slot status
209.165.201.3 209.165.200.225 QM_IDLE 2 0 STDBY
10.0.0.1 10.0.0.2 QM_IDLE 1 0 ACTIVE

ステートフル フェールオーバーの設定例

この項では、次の総合的な IPsec ステートフル フェールオーバー設定例を示します。

「IPSec ステートフル フェールオーバーの設定:例」

「Easy VPN サーバ用 IPSec ステートフル フェールオーバーの設定」

IPSec ステートフル フェールオーバーの設定:例

図 3 と、次の show running-config コマンドからの出力例に、2 つのデバイス、Ha-R1 および Ha-R2 上のステートフル フェールオーバーの設定方法を示します。

図 3 IPsec ステートフル フェールオーバーのトポロジ例

 

Ha-R1 上のステートフル フェールオーバー設定

Ha-R1# show running-config
 
Building configuration...
 
Current configuration :2086 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ha-R1
!
boot-start-marker
boot-end-marker
!
!
redundancy inter-device
scheme standby HA-out
security ipsec sso-secure
!
logging buffered 10000000 debugging
logging rate-limit console 10000
!
!
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 10.0.0.1
remote-port 5000
remote-ip 10.0.0.2
!
clock timezone PST 0
no aaa new-model
ip subnet-zero
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 no-xauth
!
!
crypto ipsec transform-set trans1 ah-md5-hmac esp-3des
crypto ipsec transform-set trans2 ah-md5-hmac esp-aes
!
crypto ipsec profile sso-secure
set transform-set trans2
!
!
crypto map to-peer-outside redundancy replay-interval inbound 1000 outbound 10000
crypto map to-peer-outside 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set trans1
match address peer-outside
!
!
!
interface Ethernet0/0
ip address 209.165.201.1 255.255.255.224
standby 1 ip 209.165.201.3
standby 1 preempt
standby 1 name HA-out
standby 1 track Ethernet1/0
standby delay reload 120
crypto map to-peer-outside redundancy HA-out stateful
!
interface Ethernet1/0
ip address 10.0.0.1 255.255.255.0
standby 2 ip 10.0.0.3
standby 2 preempt
standby 2 name HA-in
standby delay reload 120
standby 2 track Ethernet0/0
!
interface Serial2/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial3/0
no ip address
shutdown
serial restart-delay 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.201.5
ip route 192.168.0.0 255.255.0.0
no ip http server
no ip http secure-server
!
!
!
ip access-list extended peer-outside
permit ip host 192.168.0.1 host 172.16.0.1
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
login
transport preferred all
transport input all
transport output all
!
end

Ha-R2 上のステートフル フェールオーバー設定

Ha-R2# show running-config
 
Building configuration...
 
Current configuration :2100 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ha-R2
!
boot-start-marker
boot-end-marker
!
!
redundancy inter-device
scheme standby HA-out
security ipsec sso-secure
!
logging buffered 10000000 debugging
logging rate-limit console 10000
!
!
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 10.0.0.2
remote-port 5000
remote-ip 10.0.0.1
!
clock timezone PST 0
no aaa new-model
ip subnet-zero
!
!
crypto isakmp policy 1
authentication pre-share
lifetime 120
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 no-xauth
!
!
crypto ipsec transform-set trans1 ah-md5-hmac esp-3des
crypto ipsec transform-set trans2 ah-md5-hmac esp-aes
!
crypto ipsec profile sso-secure
set transform-set trans2
!
!
crypto map to-peer-outside redundancy replay-interval inbound 1000 outbound 10000
crypto map to-peer-outside 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set trans1
match address peer-outside
!
!
!
interface Ethernet0/0
ip address 209.165.201.2 255.255.255.224
standby 1 ip 209.165.201.3
standby 1 preempt
standby 1 name HA-out
standby 1 track Ethernet1/0
standby delay reload 120
crypto map to-peer-outside redundancy HA-out stateful
!
interface Ethernet1/0
ip address 10.0.0.2 255.255.255.0
standby 2 ip 10.0.0.3
standby 2 preempt
standby 2 name HA-in
standby delay reload 120
standby 2 track Ethernet0/0
!
interface Serial2/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial3/0
no ip address
shutdown
serial restart-delay 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.201.5
ip route 192.168.0.0 255.255.0.0
no ip http server
no ip http secure-server
!
!
!
ip access-list extended peer-outside
permit ip host 192.168.0.1 host 172.16.0.1
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
login
transport preferred all
transport input all
transport output all
!
end
 
Ha-R2#

Easy VPN サーバ用 IPSec ステートフル フェールオーバーの設定

次の show running-config コマンドからの出力例に、Easy VPN サーバを介したリモート アクセス接続用ステートフル フェールオーバーの設定方法を示します。

RAHA-R1 上の Easy VPN サーバ用ステートフル フェールオーバー設定

RAHA-R1# show running-config
Building configuration...
 
Current configuration :3829 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RAHA-R1
!
boot-start-marker
boot-end-marker
!
redundancy inter-device
scheme standby HA-out
!
username remote_user password 0 letmein
!
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 10.0.0.1
remote-port 5000
remote-ip 10.0.0.2
!
aaa new-model
!
!
! Enter the following command if you are doing Xauth locally.
aaa authentication login local_xauth local
!
! Enter the following command if you are doing Xauth remotely via RADIUS.
!aaa authentication login radius_xauth group radius
!
! Enter the following command if you are not doing Xauth
!aaa authentication login no_xauth none
!
! Enter the following command if you are doing local group authentication.
aaa authorization network local_auth local
!
! Enter the following command if you are doing group authentication remotely via RADIUS.
!aaa authorization network radius_auth group radius
!
!
! Enter the following command if you are doing Xauth remotely via RADIUS.
!
aaa accounting network radius_accounting start-stop group radius
aaa session-id common
ip subnet-zero
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
!
! Enter the following command if you are doing group authentication locally.
crypto isakmp client configuration group unity
key cisco123
domain cisco.com
pool client-address-pool
!
!
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
!
crypto dynamic-map to-remote-client 10
set transform-set trans1
reverse-route remote-peer
!
! Use this map if you want to do local group authentication and Xauth.
crypto map to_peer_outside_local_xauth client authentication list local_xauth
crypto map to_peer_outside_local_xauth isakmp authorization list local_auth
crypto map to_peer_outside_local_xauth client configuration address respond
crypto map to_peer_outside_local_xauth 10 ipsec-isakmp dynamic to-remote-client
!
! Use this map if you want to use Radius for group authentication and Xauth.
!crypto map to_peer_outside_radius_xauth isakmp client authentication list radius_xauth
!crypto map to_peer_outside_radius_xauth client accounting list radius_accounting
!crypto map to_peer_outside_radius_xauth isakmp authorization list radius_auth
!crypto map to_peer_outside_radius_xauth isakmp client configuration address respond
!crypto map to_peer_outside_radius_xauth isakmp 10 ipsec-isakmp dynamic to-remote-client
!
! Use this map if you want to do local group authentication and no Xauth
!crypto map to_peer_outside_no_xauth isakmp authorization list local_auth
!crypto map to_peer_outside_no_xauth configuration address respond
!crypto map to_peer_outside_no_xauth 10 ipsec-isakmp dynamic to-remote-client
!
interface Ethernet0/0
ip address 209.165.201.1 255.255.255.224
standby 1 ip 209.165.201.3
standby 1 preempt
standby 1 name HA-out
standby 1 track Ethernet1/0
standby delay reload 120
crypto map to_peer_outside_local_xauth redundancy HA-out stateful
!
interface Ethernet1/0
ip address 10.0.0.1 255.255.255.0
standby 2 ip 10.0.0.3
standby 2 preempt
standby 2 name HA-in
standby 2 track Ethernet0/0
standby delay reload 120
!
! Enable loopback0 if you are using radius for Xauth, group auth, or accounting with ! crypto HA
!interface loopback0
! ip address 192.168.100.1 255.255.255.255
!
! Enable this command if you are using radius for Xauth, group auth, or accounting with ! crypto HA
!ip radius source-interface loopback0
!
ip local pool client-address-pool 50.0.0.1 50.0.0.254
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.201.5
ip route 192.168.0.0 255.255.255.0 10.0.0.5
!
radius-server host 192.168.0.0 255.255.0.0 auth-port 1845 acct-port 1846
radius-server key radius123
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
end

RAHA-R2 上の Easy VPN サーバ用ステートフル フェールオーバー設定

RAHA-R2# show running-config
 
Building configuration...
 
Current configuration :3829 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RAHA-R2
!
boot-start-marker
boot-end-marker
!
redundancy inter-device
scheme standby HA-out
!
username remote_user password 0 letmein
!
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 10.0.0.2
remote-port 5000
remote-ip 10.0.0.1
!
aaa new-model
!
!
! Enter the following command if you are doing Xauth locally.
aaa authentication login local_xauth local
!
! Enter the following command if you are doing Xauth remotely via RADIUS.
!aaa authentication login radius_xauth group radius
!
! Enter the following command if you are not doing Xauth.
!aaa authentication login no_xauth none
!
! Enter the following command if you are doing local group authentication.
aaa authorization network local_auth local
!
! Enter the following command if you are doing group authentication remotely via RADIUS.
!aaa authorization network radius_auth group radius
!
!
! Enter the following command if you are doing Xauth remotely via RADIUS.
!aaa accounting network radius_accounting start-stop group radius
aaa session-id common
ip subnet-zero
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
!
! Enter the following commands if you are doing group authentication locally.
crypto isakmp client configuration group unity
key cisco123
domain cisco.com
pool client-address-pool
!
!
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
!
crypto dynamic-map to-remote-client 10
set transform-set trans1
reverse-route remote-peer
!
!
! Use this map if you want to dolocal group authentication and Xauth.
crypto map to_peer_outside_local_xauth client authentication list local_xauth
crypto map to_peer_outside_local_xauth isakmp authorization list local_auth
crypto map to_peer_outside_local_xauth client configuration address respond
crypto map to_peer_outside_local_xauth 10 ipsec-isakmp dynamic to-remote-client
!
! Use this map if you want to use Radius for group authentication and Xauth.
!crypto map to_peer_outside_radius_xauth isakmp client authentication list radius_xauth
!crypto map to_peer_outside_radius_xauth client accounting list radius_accounting
!crypto map to_peer_outside_radius_xauth isakmp authorization list radius_auth
!crypto map to_peer_outside_radius_xauth isakmp client configuration address respond
!crypto map to_peer_outside_radius_xauth isakmp 10 ipsec-isakmp dynamic to-remote-client
!
!
! Use this map if you want to do local authentication and no Xauth.
!crypto map to_peer_outside_no_xauth isakmp authorization list local_auth
!crypto map to_peer_outside_no_xauth configuration address respond
!crypto map to_peer_outside_no_xauth 10 ipsec-isakmp dynamic to-remote-client
!
interface Ethernet0/0
ip address 209.165.201.2 255.255.255.224
standby 1 ip 209.165.201.3
standby 1 preempt
standby 1 name HA-out
standby 1 track Ethernet1/0
standby delay reload
crypto map to_peer_outside_local_xauth redundancy HA-out stateful
!
interface Ethernet1/0
ip address 10.0.0.2 255.255.255.0
standby 2 ip 10.0.0.3
standby 2 preempt
standby 2 name HA-in
standby 2 track Ethernet0/0
standby delay reload
!
! Enable loopback0 if you are using radius for Xauth, group auth, or accounting with ! crypto HA
!interface loopback0
! ip address 192.168.100.1 255.255.255.255
!
! Enable this command if you are using radius for Xauth, group auth, or accounting with ! crypto HA
!ip radius source-interface loopback0
!
ip local pool client-address-pool 50.0.0.1 50.0.0.254
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.201.5
ip route 192.168.0.0 255.255.0.0
!
radius-server host 192.168.0.200 auth-port 1845 acct-port 1846
radius-server key radius123
!
control-plane
!
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
end

その他の参考資料

次の各項では、IPsec 用ステートフル フェールオーバーに関連した関連資料を示します。

関連資料

内容
参照先

RRI

『Cisco IOS Security Configuration Guide: Secure Connectivity IPSec VPN High Availability Enhancements 項。

HSRP

『Cisco IOS IP Configuration Guide: Secure Connectivity Configuring the Hot Standby Router Protocol の項。

Easy VPN サーバ

Cisco IOS Security Configuration Guide: Secure Connectivity Cisco Easy VPN Remote の項。

IKE の設定

Cisco IOS Security Configuration Guide: Secure Connectivity Configuring Internet Key Exchange for IPsec VPNs の項。

IPsec の設定

Cisco IOS Security Configuration Guide 』の「 Configuring Security for VPNs with IPsec 」の項。

IPsec および IKE コマンド

Cisco IOS Security Command Reference

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト (http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

IPsec 用ステートフル フェールオーバーの機能情報

表 2 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 2 IPsec 用ステートフル フェールオーバーの機能情報

機能名
リリース
機能情報

IPsec 用ステートフル フェールオーバー

12.3(11)T

IPsec 用ステートフル フェールオーバー機能を使用すると、計画済みまたは未計画の停止が発生した後でも、ルータに IPsec パケットの処理およびフォワーディングを続行させることができます。カスタマーは、アクティブ ルータが何らかの理由により接続を失っても、自動的にアクティブ(プライマリ)ルータのタスクを引き継ぐバックアップ(セカンダリ)ルータを使用します。

次のコマンドが導入または変更されました。
clear crypto isakmp、clear crypto sa、clear crypto session、crypto map(インターフェイス IPsec)、crypto map redundancy replay-interval、debug crypto ha、debug crypto ipsec ha、debug crypto isakmp ha、local-ip(IPC トランスポート SCTP ローカル)、local-port、redundancy inter-device、redundancy stateful、remote-ip(IPC トラスンポート SCTP リモート)、remote-port、scheme、security ipsec、show crypto ha、show crypto ipsec sa、show crypto isakmp sa、show crypto session、show redundancy