Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
IPsec Diagnostics Enhancement
IPsec Diagnostics Enhancement
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

IPsec Diagnostics Enhancement

機能情報の入手

この章の構成

IPsec Diagnostics Enhancement の前提条件

IPsec Diagnostics Enhancement の制約事項

メモリおよびパフォーマンスに対する影響

IPsec Diagnostics Enhancement に関する情報

スイッチまたはルータ内におけるパケット処理の追跡

IPsec Diagnostics Enhancement の使用方法

統計情報の表示

エラー履歴の表示

カウンタまたはエラー履歴のクリア

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

IPsec Diagnostics Enhancement の機能情報

IPsec Diagnostics Enhancement

Cisco IPsec Diagnostics Enhancement 機能は、データ パスが暗号化される Virtual Private Network(VPN; バーチャル プライベート ネットワーク)のトラブルシューティングで使用する Cisco IOS ソフトウェアに対して、4 セットのイベント統計情報およびエラー履歴バッファを追加するものです。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IPsec Diagnostics Enhancement の機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

IPsec Diagnostics Enhancement の前提条件

ネットワーク セキュリティに関する IP security(IPsec; IP セキュリティ)の知識があること。


) この機能を使用する前に、Cisco Technical Assistance Center(TAC)にお問い合せください。


IPsec Diagnostics Enhancement の制約事項

この機能とそのコマンドは、IPsec 暗号化がサポートされている Cisco IOS リリースでだけ使用可能です。

メモリおよびパフォーマンスに対する影響

この機能は、暗号化データ パス内ではデフォルトでイネーブルになっていますが、メモリおよびパフォーマンスへの影響はほとんどありません。

IPsec Diagnostics Enhancement に関する情報

拡張された診断ツールを使用して暗号化データ パスのトラブルシューティングを行うには、次の概念を理解しておく必要があります。

「スイッチまたはルータ内におけるパケット処理の追跡」

スイッチまたはルータ内におけるパケット処理の追跡

ネットワークの問題に対するトラブルシューティングに使用される標準のパケット分析では、ネットワーク内のデバイス間のパケットをキャプチャしますが、ルータなどのデバイス内部のパケット処理イベントをキャプチャすることは不可能です。Cisco IOS では、Cisco IOS リリース 12.4(9)T から、スイッチまたはルータ内のパケット処理を追跡するための 4 セットのイベント統計情報が用意されています。これらの統計情報によって、Cisco TAC エンジニアが暗号化されたネットワーク内の問題を診断および解決できます。統計情報の各セットによって、スイッチまたはルータ内部におけるパケット処理がさまざまな角度から追跡されます。

エラー カウンタでは、エラーを処理するパケットおよびそれに関連したパケットの廃棄が追跡されます。パケットにエラーが発生すると、そのパケットの最初の 64 バイトが、トラブルシューティングを容易にするためにバッファに保存されます。

内部カウントでは、暗号化データ パスにおけるパケットのエンドツーエンドの詳細な動きが表示されます。

パント カウンタでは、設定されたパケット処理の方式にエラーが発生し、別の方式が使用されると、インスタンスが追跡されます。

サクセス カウンタでは、パケットが正常に転送されたデータ パス チェックポイントが記録されます。

統計情報のセットのいずれか 1 つ、すべてのセット、またはエラーが記録されたセットだけを表示できます。統計情報の表示タイムフレームを、 realtime (トラフィック統計情報がリアル タイムでキャプチャされる)、または snapshot (一時点における統計情報がキャプチャされる)のどちらかから選択する必要があります。

IPsec Diagnostics Enhancement の使用方法


) この機能を使用する前に TAC にお問い合せください。


ここでは、次の作業について説明します。

「統計情報の表示」(任意)

「エラー履歴の表示」 (任意)

「カウンタまたはエラー履歴のクリア」 (任意)

統計情報の表示

暗号化されたネットワークのトラブルシューティングに役立つ統計情報を表示するには、 show crypto datapath コマンドを使用します。各種キーワードを使用して、ネットワーク(IPv4 または IPv6)内で使用される IP バージョンを指定し、また、リアル タイムでの統計情報をキャプチャするのか( realtime )一時点における統計情報をキャプチャするのか( snapshot )を指定します。表示する統計情報も選択できます。 all キーワードを使用すると、イベントが記録されているかどうかに関わらず、すべてのカウンタの出力が表示されます。 non-zero キーワードを使用すると、最低 1 つのイベントが記録されたカウンタの出力だけが表示されます。その他のそれぞれのキーワードでは、「IPsec Diagnostics Enhancement に関する情報」で説明した統計情報の特定のセットの 1 つが表示されます。

手順の概要

1. enable

2. show crypto datapath { ipv4 | ipv6 } { snapshot | realtime } { all | non-zero } [ error | internal | punt | success ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto datapath {ipv4 | ipv6} { snapshot | realtime } {all | non-zero} [ error | internal | punt | success ]

 

Router# show crypto datapath snapshot success

1 つ以上の指定されたカウンタからの統計情報を表示します。

エラー履歴の表示

エラー イベントからの情報が保存されているバッファの内容を表示して、エラーの原因を診断できます。 component 引数のエントリとして cfd (crypto fault detection)キーワードを指定すると、 show monitor event-trace コマンドが更新されて、暗号化データ パスのトラブルシューティングに役立ちます。キーワードを追加することによって、イベントを表示するタイム スパンを指定できます。たとえば、直近 30 分のイベントをすべて表示したりすることが可能です。

show monitor event-trace コマンドの詳細については、『 Master Command List 』を参照してください。

手順の概要

1. enable

2. show monitor event-trace [ all-traces ] [ component {all | back time | clock time | from-boot seconds | latest | parameters }]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show monitor event-trace [ all-traces ] [ component { all | back time | clock time | from-boot seconds | latest | parameters }]

 

Router# show monitor event-trace cfd all

エラー トレース バッファの内容を表示します。

キーワードを使用して、表示するイベント、および、トレース ファイル パラメータを表示するかどうかを指定します。

カウンタまたはエラー履歴のクリア

clea r crypto datapath コマンドを使用して、暗号化されたネットワーク内のカウンタまたはエラー履歴バッファをクリアできます。適切なキーワードを使用して、すべてのカウンタまたは特定のカウンタをクリアします。

手順の概要

1. enable

2. clear crypto datapath { ipv4 | ipv6 } [ error | internal | punt | success ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear crypto datapath { ipv4 | ipv6 } [ error | internal | punt | success ]

 

Router# clear crypto datapath success

すべてのカウンタまたは指定されたカウンタをのデータをクリアします。

その他の参考資料

次の項では、IPsec Diagnostics Enhancement の関連資料を示します。

関連資料

内容
参照先

IPsec を使用した VPN のセキュリティの設定

「Configuring Security for VPNs with IPsec」

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。また既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された規格はありません。また既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC または変更された規格はありません。また既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。

clear crypto datapath

show crypto datapath

show monitor event-trace

IPsec Diagnostics Enhancement の機能情報

これらのコマンドの詳細については、『Cisco IOS Security Command Reference』 ( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。

Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool ( http://tools.cisco.com/Support/CLILookup )にアクセスするか、または『 Master Command List 』を参照してください。

IPsec Diagnostics Enhancement の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 IPsec Diagnostics Enhancement の機能情報

機能名
リリース
機能情報

IPsec Diagnostics Enhancement

12.4(9)T

この機能は、データ パスが暗号化される VPN のトラブルシューティングで使用する Cisco IOS ソフトウェアに対して、4 セットのイベント統計情報およびエラー履歴バッファを追加するものです。

次のコマンドが導入または変更されています。
clear crypto datapath、show crypto datapath、show monitor event-trace