Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
IPsec と Quality of Service
IPsec と Quality of Service
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

IPsec と Quality of Service

この章の構成

IPsec と Quality of Service の前提条件

IPsec と Quality of Service の制約事項

IPsec と Quality of Service に関する情報

IPsec と Quality of Service の概要

IPsec と Quality of Service の設定方法

IPsec と Quality of Service の設定

IPsec と Quality of Service セッションの確認

トラブルシューティングのヒント

IPsec と Quality of Service の設定例

リモート ユーザの 2 つのグループに適用された QoS ポリシー:例

show crypto isakmp profile コマンド:例

show crypto ipsec sa コマンド:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

IPsec と Quality of Service

IPsec と Quality of Service 機能を使用すれば、Cisco IOS Quality of Service(QoS)ポリシーを、QoS グループに基づいて、IP Security(IPsec; IP セキュリティ)パケット フローに適用できます。QoS グループは、現在の Internet Security Association and Key Management Protocol(ISAKMP)プロファイルに適用できます。

IPsec と Quality of Service の機能履歴

リリース
変更点

12.3(8)T

この機能が追加されました。

プラットフォーム、および Cisco IOS ソフトウェア イメージの各サポート情報を検索するには

Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco IOS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。アクセスには、Cisco.com のアカウントが必要です。アカウントを持っていないか、ユーザ名またはパスワードが不明の場合は、ログイン ダイアログボックスの [Cancel] をクリックし、表示される指示に従ってください。

IPsec と Quality of Service の前提条件

IPsec、および ISAKMP プロファイルの概念についての知識が必要です。

Cisco IOS QoS の知識が必要です。

IPsec と Quality of Service の制約事項

この機能を適用できるのは ISAKMP プロファイルを介してだけです。QoS アプリケーションに対して使用できる QoS グループは 128 個までという制限はこの機能にも当てはまります。

IPsec QoS グループを適用できるのは、発信サービス ポリシーに対してだけです。

QoS は、ソフトウェア暗号化に関してはサポートされません。

IPsec と Quality of Service に関する情

IPsec と Quality of Service 機能を設定するには、次の概念を理解しておく必要があります。

「IPsec と Quality of Service の概要」

IPsec と Quality of Service の概要

IPsec と Quality of Service 機能を使用すれば、QoS グループを ISAKMP プロファイルに追加することによって、トラフィック ポリシングおよびシェーピングなどの QoS ポリシーを QoS ポリシーに適用できます。QoS グループが追加されると、このグループの値が、QoS クラス マップ内で定義されたものと同じ QoS グループにマッピングされます。この QoS グループ タグを利用している現在の QoS 方式はすべて、IPsec パケット フローに適用できます。パケット フローの共通グルーピングには、IPsec QoS グループを QoS メカニズムにとって使用可能にすることによって、特定のポリシー クラスを適用できます。IPsec フローをマーキングすれば、QoS メカニズムを、特定のグループが使用可能な帯域幅の制限や特定のフロー上の Type of Service(ToS; タイプ オブ サービス)ビットのマーキングなどをサポート可能なトラフィックのクラスに適用できます。

ISAKMP プロファイルは、アイデンティティ照合基準方式によってデバイスを一意に識別できるプロファイルなので、QoS グループのアプリケーションは、ISAKMP プロファイル レベルで適用されます。これらの基準は、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ID に基づいています。この ID は、受信 IKE 接続によって提供され、IP アドレス、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)、およびグループ(つまり、バーチャル プライベート ネットワーク [VPN] リモート クライアント グルーピング)などが格納されます。アイデンティティ照合基準の粒度によって、指定された QoS ポリシーの粒度に制約が課せられます。たとえば、「Engineering」という名前の VPN クライアント グループに所属するすべてのトラフィックを、「TOS 5」としてマーキングします。指定した QoS ポリシーの粒度に制約を課すその他の例としては、発信 WAN リンクの 30 パーセントをリモート VPN デバイスの特定のグループへ割り当てるなどがあります。

IPsec と Quality of Service の設定方法

ここでは、次の手順について説明します。

「IPsec と Quality of Service の設定」(必須)

「IPsec と Quality of Service セッションの確認」(任意)

「トラブルシューティングのヒント」(任意)

IPsec と Quality of Service の設定

QoS ポリシーを ISAKMP プロファイルに適用するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp-profile profile-name

4. qos-group group-number

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp-profile profile-number

 

Router (config)# crypto isakmp-profile vpnprofile

ISAKMP プロファイルを定義し、IPsec ユーザ セッションを監査し、ISAKMP プロファイル コンフィギュレーション モードを開始します。

ステップ 4

qos-group group-number

 

Router(config-isa-prof)# qos-group 1

QoS グループ値を ISAKMP プロファイルに適用します。

IPsec と Quality of Service セッションの確認

IPsec and QoS セッションを確認するには、次の手順を実行します。 show コマンドは、互いに独立してどんな順番でも使用できます。

手順の概要

1. enable

2. show crypto isakmp profile

3. show crypto ipsec sa

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto isakmp profile

 

Router# show crypto isakmp profile

QoS グループがプロファイルに適用されていることを表示します。

ステップ 3

show crypto ipsec sa

 

Router# show crypto ipsec sa

QoS グループが、IPsec Security Association(SA; セキュリティ アソシエーション)の特定のペアに適用されていることを表示します。

トラブルシューティングのヒント

IPsec セッションおよび QoS セッションに問題が発生した場合、次が実行されているかどうかを確認します。

Cisco IOS Quality of Service Solutions Command Reference 』に記載されている QoS 専用コマンドを使用して、QoS のアプリケーションを QoS サービスごとに確認している。

クラス マップ一致基準に指定されたものと同じ QoS グループと一致しているルータ上の QoS ポリシーを設定している。

クリプト マップが適用されるものと同じインターフェイスにサービス ポリシーを適用している。

IPsec と Quality of Service の設定例

ここでは、次の出力例について説明します。

「リモート ユーザの 2 つのグループに適用された QoS ポリシー:例」

「show crypto isakmp profile コマンド:例」

「show crypto ipsec sa コマンド:例」

リモート ユーザの 2 つのグループに適用された QoS ポリシー:例

次に、特定の QoS ポリシーがリモート ユーザの 2 つのグループに適用されている例を示します。2 つのプロファイルが、IKE を介した最初の接続上でリモート ユーザが特定のプロファイルにマッピングされるように設定されています。そのプロファイルから、そのリモートに対して作成されたすべての IPsec SA が特定の QoS グループでマーキングされます。トラフィックが発信インターフェイスを出ると、QoS サービスによって、その発信インターフェイス上で適用されているサービス ポリシーを構成するクラス マップ内で指定された QoS グループで IPsec 設定 QoS グループがマッピングされます。

version 12.3
!
aaa authentication login group group radius
aaa authorization network autho local
aaa accounting update periodic 1
aaa session-id common
ip subnet-zero
!
!
ip cef
no ip domain lookup
!
class-map match-all yellow
match qos-group 3
class-map match-all blue
match qos-group 2
!
!
policy-map clients
class blue
set precedence 5
class yellow
set precedence 7
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 300
!
crypto isakmp keepalive 10 periodic
crypto isakmp xauth timeout 20
!
crypto isakmp client configuration group blue
key cisco
dns 10.2.2.2 10.2.2.3
wins 10.6.6.6
pool blue
save-password
include-local-lan
backup-gateway corky1.cisco.com
!
crypto isakmp client configuration group yellow
dns 10.2.2.2 10.2.2.3
wins 10.6.6.5
pool yellow
!
crypto isakmp profile blue
match identity group cisco
client authentication list autho
isakmp authorization list autho
client configuration address respond
qos-group 2
crypto isakmp profile yellow
match identity group yellow
match identity address 10.0.0.11 255.255.255.255
client authentication list autho
isakmp authorization list autho
client configuration address respond
qos-group 3
!
!
crypto ipsec transform-set combo ah-sha-hmac esp-3des esp-sha-hmac
crypto ipsec transform-set client esp-3des esp-sha-hmac comp-lzs
!
crypto dynamic-map mode 1
set security-association lifetime seconds 180
set transform-set client
set isakmp-profile blue
reverse-route
crypto dynamic-map mode 2
set transform-set combo
set isakmp-profile yellow
reverse-route
!
crypto map mode 1 ipsec-isakmp dynamic mode
!
interface FastEthernet0/0
ip address 10.0.0.110 255.255.255.0
no ip redirects
no ip proxy-arp
no ip mroute-cache
duplex half
no cdp enable
crypto map mode
service-policy out clients
!
ip local pool yellow 192.168.2.1 192.168.2.10
ip local pool blue 192.168.6.1 192.168.6.6
no ip classless
!
radius-server host 10.0.0.13 auth-port 1645 acct-port 1646
radius-server key XXXXXX
radius-server vsa send accounting
radius-server vsa send authentication

show crypto isakmp profile コマンド:例

次の出力では、QoS グループ「2」が ISAKMP プロファイル「blue」に適用され、QoS グループ「3」が ISAKMP プロファイル「yellow」に適用されていることを示しています。

Router# show crypto isakmp profile
 
ISAKMP PROFILE blue
Identities matched are:
group blue
QoS Group 2 is applied
 
ISAKMP PROFILE yellow
Identities matched are:
ip-address 10.0.0.13 255.255.255.255
group yellow
QoS Group 3 is applied

show crypto ipsec sa コマンド:例

次の出力では、QoS グループが IPsec SA の特定のペアに適用されていることを示しています。

Router# show crypto ipsec sa
 
interface: FastEthernet0/0
Crypto map tag: mode, local addr. 10.0.0.110
 
protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.12.12.0/255.255.255.0/0/0)
current_peer: 10.0.0.11:500
PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
 
qos group is set to 2

その他の参考資料

ここでは、IPsec と Quality of Service 機能の関連資料について説明します。

関連資料

内容
参照先

IPsec

Configuring Security for VPNs with IPsec

QoS オプション

『Cisco IOS Quality of Service Solutions Configuration Guide』(Cisco.com)

QoS コマンド

『Cisco IOS Quality of Service Solutions Command Reference』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能によってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト (http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。

qos-group

これらのコマンドの詳細については、『Cisco IOS Security Command Reference』 ( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。

Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool( http://tools.cisco.com/Support/CLILookup )にアクセスするか、または『 Master Command List 』を参照してください。