Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
IKE Responder-Only Mode
IKE Responder-Only Mode
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

IKE Responder-Only Mode

機能情報の入手

この章の構成

IKE Responder-Only Mode の前提条件

IKE Responder-Only Mode の制約事項

IKE Responder-Only Mode に関する情報

IKE Responder-Only Mode 機能の利点

IKE Responder-Only Mode の設定方法

デバイスの IKE Responder-Only としての設定

IKE Responder-Only Mode の設定例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

IKE Responder-Only Mode の機能情報

IKE Responder-Only Mode

IKE Responder-Only Mode 機能では、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ネゴシエーションおよびキー再生成の開始の制御のサポートが提供されます。デバイスを受信側専用デバイスとして設定すると、IKE メイン、アグレッシブ、またはクイック モード(IKE および IP セキュリティ [IPsec] セキュリティ アソシエーション [SA] の確立用)が開始されず、IKE および IPsec SA のキー再生成も行われません。デバイスは、そのピアによって開始されたすべてのネゴシエーションに対して応答します。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IKE Responder-Only Mode の機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

IKE Responder-Only Mode の前提条件

この機能は IPsec プロファイル下だけで設定可能であり、関連するのはバーチャル インターフェイス シナリオだけです。

IKE Responder-Only Mode の制約事項

スタティックおよびダイナミック クリプト マップはサポートされていません。

IKE Responder-Only Mode に関する情報

IKE Responder-Only Mode 機能を設定するには、次の概念を理解しておく必要があります。

「IKE Responder-Only Mode 機能の利点」

IKE Responder-Only Mode 機能の利点

(対象トラフィックがあるかないかに関わらず)同時双方向 IKE ネゴシエーションを可能にする Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の出現以来、重複する IKE SA からのデータの処理および回復に伴う問題が発生してきました。プロトコルとしての IKE には、IKE ネゴシエーションどうしを比較して、対象となる 2 つのピア間に既存のまたは処理中のネゴシエーションがすでに存在しているかどうかを判断する機能はありません。このような重複するネゴシエーションは、リソースの観点から言っても、ルータ管理者に混乱をもたらすという観点から言っても、コストが高くつく可能性があります。デバイスを受信側専用デバイスとして設定すると、IKE メイン、アグレッシブ、またはクイック モード(IKE および IPsec SA の確立用)が開始されず、IKE および IPsec SA のキー再生成も行われません。そのため、SA が重複する可能性が低くなります。

この機能のその他の利点は、ロードバランス シナリオだけにおける一方向のネゴシエーション接続の制御されたサポートが可能になることです。サーバやハブによってクライアントまたはスポークに対する VPN 接続を開始することは推奨できません。これらのデバイスはすべて、ロード バランサを介してアドバタイズされる単一方向 IP アドレスによってアクセスされるからです。ハブが接続を開始する場合、それらのハブでは、同処理に個々の IP アドレスが使用されます。その結果、ロード バランサの利点がなくなります。ロード バランサの背後にあるハブまたはサーバから送信されるキー再生成要求についても同じことが言えます。

この機能は、ルーティング プロトコルのコンバージェンスのようなイベントによって、同時トンネル ネゴシエーションが生成される可能性があるスタティック バーチャル インターフェイスに特に関連しています。

IKE Responder-Only Mode の設定方法

ここでは、次の各手順について説明します。

「デバイスの IKE Responder-Only としての設定」

デバイスの IKE Responder-Only としての設定

デバイスを IKE Responder-Only として設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto ipsec profile name

4. responder-only

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ipsec profile name

 

Router (config)# crypto ipsec profile vti

2 つの IPsec ルータ間における IPsec 暗号化のために使用する IPsec パラメータを定義し、IPsec プロファイル コンフィギュレーション モードを開始します。

ステップ 4

responder-only

 

Router (ipsec-profile)# responder-only

デバイスを応答側専用として設定します。

IKE Responder-Only Mode の設定例

次に、デバイスが応答側専用として設定されている例を示します。

crypto ipsec profile vti
set transform-set 3dessha
set isakmp-profile clients
responder-only

その他の参考資料

次の項では、IKE Responder-Only Mode 機能に関連した関連資料を示します。

関連資料

内容
参照先

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

コマンド リファレンス

次に示すコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。これらのコマンドの詳細については、『 Cisco IOS Security Command Reference 』( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool( http://tools.cisco.com/Support/CLILookup )を使用するか、または『 Cisco IOS Master Command List, All Releases 』( http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html )にアクセスしてください。

responder-only

IKE Responder-Only Mode の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS、Catalyst OS、Cisco IOS XE ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 IKE Responder-Only Mode の機能情報

機能名
リリース
機能情報

IKE Responder-Only Mode

12.4(24)T

この機能では、IKE ネゴシエーションおよびキー再生成の開始の制御のサポートが提供されます。デバイスを受信側専用デバイスとして設定すると、IKE メイン、アグレッシブ、またはクイック モード(IKE および IP SA の確立用)が開始されず、IKE および IPsec SA のキー再生成も行われません。デバイスは、そのピアによって開始されたすべてのネゴシエーションに対して応答します。

次のコマンドが導入されました。
responder-only