Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
IPsec—SNMP サポート
IPsec--SNMP サポート
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

IPsec--SNMP サポート

機能の概要

利点

制約事項

関連機能およびテクノロジー

関連資料

サポートされているプラットフォーム

サポートされている規格、MIB、および RFC

設定作業

IPsec SNMP 通知のイネーブル化

IPsec エラー履歴テーブルのサイズの設定

IPsec トンネル履歴テーブルのサイズの設定

IPsec MIB 設定の確認

IPsec MIB のモニタおよびメンテナンス

設定例

IPsec 通知のイネーブル化の例

履歴テーブルのサイズの指定例

コマンド リファレンス

用語集

IPsec--SNMP サポート

機能の履歴

リリース
変更点

12.1(4)E

この機能が、Cisco 7100、7200、および 7500 シリーズに導入されました。

12.1(5a)E

CISCO-IPSEC-FLOW-MONITOR-MIB 通知のサポートが追加されました。

12.2(4)T

この機能のサポートがリリース 12.2 T のプラットフォームに追加されました。

12.2(8)T、12.1(11b)E

IP Security(IPsec; IP セキュリティ)MIB 通知をイネーブルおよびディセーブルにするための次の Command Line Interface(CLI)コマンドが追加されました。

snmp-server enable traps ipsec

snmp-server enable traps isakmp

12.2(14)S

この機能は、Cisco IOS リリース 12.2(14)S に統合されました。

このマニュアルでは、Cisco IOS リリース 12.1 E、12.2 T、および 12.2 S における IPsec--SNMP サポート機能について説明します。次の項で構成されています。

「機能の概要」

「サポートされているプラットフォーム」

「サポートされている規格、MIB、および RFC」

「設定作業」

「IPsec MIB のモニタおよびメンテナンス」

「設定例」

「コマンド リファレンス」

「用語集」


) このマニュアルでは、Cisco IPsec MIB の Cisco IOS CLI サポートを中心に説明します。また、このマニュアルでは現在サポートされている MIB の要素も示します。このマニュアルでは、Cisco IPsec MIB の(ネットワーク管理ステーションからの)SNMP 設定については説明しません。


機能の概要

IPsec - SNMP サポート機能には、業界標準の IPsec MIB および Cisco IOS ソフトウェア固有の IPsec MIB が導入されています。

IPsec MIB を使用すれば、SNMP を使用した IPsec 設定のモニタリングおよび IPsec ステータスのモニタリングが可能です。また、IPsec MIB を各種 Virtual Private Network(VPN; バーチャル プライベート ネットワーク) ソリューションに統合できます。

たとえば、この機能を使用すれば、Cisco IOS CLI を使用して、トンネル履歴テーブルやトンネル エラー テーブルのサイズを細かく指定できます。履歴テーブルには、トンネルに関するアトリビュートおよび統計情報がアーカイブされます。エラー テーブルには、トンネルのエラーの原因とエラーが発生した時刻がアーカイブされます。エラー履歴テーブルは、トンネルの終了が通常のものか異常なものかを区別するための簡単な手段として使用できます。つまり、トンネル履歴テーブル内のトンネル エントリに関連するエラー レコードがない場合、トンネルは正常に終了したことになります。ただし、すべてのエラーがトンネルのものとは限らないので、トンネル履歴テーブルがすべてのエラー テーブルを伴うわけではありません。そのため、サポート対象の設定エラーはエラー テーブルに記録されますが、関連する履歴テーブルは、トンネルが設定されていないので、記録されません。

この機能では、ネットワーク管理システムで使用される IPsec Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)通知も提供されます。

利点

この機能のコマンドを使用すれば、IPsec MIB 機能のバージョンを確認したり、SNMP トラップをディセーブルにしたり、この機能によって使用されるバッファのサイズをモニタリングおよび制御したりできます。

制約事項

IPsec - SNMP サポート機能でサポートされるトンネル設定エラー ログは次のものだけです。

NOTIFY_MIB_IPSEC_PROPOSAL_INVALID

「A tunnel could not be established because the peer did not supply an acceptable proposal.」

NOTIFY_MIB_IPSEC_ENCRYPT_FAILURE

「A tunnel could not be established because it failed to encrypt a packet to be sent to a peer.」

NOTIFY_MIB_IPSEC_SYSCAP_FAILURE

「A tunnel could not be established because the system ran out of resources.」

NOTIFY_MIB_IPSEC_LOCAL_FAILURE

「A tunnel could not be established because of an internal error.」

これらのエラー通知はエラー テーブルに記録されますが、SNMP 通知(トラップ)としては使用できないことに注意してください。

次の機能は、IPsec MIB 機能ではサポートされていません。

チェックポインティング

CISCO-IPSEC-MIB の Dynamic Cryptomap テーブル


) CISCO-IPSEC-FLOW-MONITOR-MIB 通知は、Cisco IOS リリース 12.1(5a)E よりも前のリリースではサポートされていません。


CISCO-IPSEC-POLICY-MAP-MIB(ciscoIpSecPolMap)で定義されている通知はありません(「IPSec Policy Map Notifications Group」は空です)。

関連機能およびテクノロジー

IPsec - SNMP サポート機能は、VPN Device Manager(VDM)をサポートするように設計されました。VDM によって、ネットワーク管理者は、Web ブラウザから単一デバイス上のサイト間 VPN を管理および設定でき、また、リアルタイムで変更の効果を確認できます。VDM では、IPsec プロトコルを使用したサイト間 VPN の設定プロセスを簡単にするために、ウィザード ベースの Graphical User Interface(GUI; グラフィカル ユーザ インターフェイス)が実装されます。VDM ソフトウェアは Cisco VPN ルータに直接インストールされます。また、VDM ソフトウェアは、次世代の Device Manager 製品で使用でき、互換性を保つように設計されています。

Cisco VDM の詳細については、次の URL を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/vdm/vdm12rn.htm

関連資料

IPsec および関連セキュリティ情報

「Configuring Security for VPNs with IPsec」

『Cisco IOS Security Command Reference』

SNMP 設定情報

『Cisco IOS Configuration Fundamentals Configuration Guide』(Cisco.com)

『Cisco IOS Configuration Fundamentals Command Reference』

セキュリティおよび SNMP 機能の Cisco IOS リリース 12.1 E 実装については、これらのマニュアルの Cisco IOS リリース 12.1 バージョンを参照してください。これらの機能の Cisco IOS リリース 12.2 T および 12.2 S 実装については、これらのマニュアルの Cisco IOS リリース 12.2 バージョンを参照してください。

サポートされているプラットフォーム

IPsec MIB 機能は、Cisco IOS リリース 12.1(4)E では、次のプラットフォームでサポートされています。

Cisco 7100 シリーズ

Cisco 7200 シリーズ

Cisco 7500 シリーズ(RSP7000 および 7500)

IPsec MIB 機能は、Cisco IOS リリース 12.2(4)T では、次のプラットフォームでサポートされています。

Cisco 800 シリーズ(800、805、806、820、827、828)

Cisco 900 シリーズ

Cisco 1600 および 1600R シリーズ

Cisco 1700 シリーズ(1710、1720、1750、1751、1760)

Cisco 2400 シリーズ

Cisco 2600 および 2600XM シリーズ

Cisco 3600 シリーズ(Cisco 3620、3640、および 3660)

Cisco 3745

Cisco 4000

Cisco 4500

Cisco 5300 シリーズ

Cisco 5400 シリーズ

Cisco 5800 シリーズ

Cisco 7100 シリーズ

Cisco 7200 シリーズ

Cisco 7400 シリーズ

Cisco 7500 シリーズ(Cisco IOS リリース 12.2(4)T2 以降のリリース)

Cisco 7700 シリーズ

Cisco MC3810

Cisco uBR900 シリーズ(uBR900、uBR904、uBR905、uBR910、uBR920、uBR925)

Cisco uBR7200

IPsec MIB 機能は、Cisco IOS リリース 12.2(14)S では、次のプラットフォームでサポートされています。

Cisco 7200 シリーズ

Cisco 7400 シリーズ

Cisco 7500 シリーズ

プラットフォーム、Cisco IOS ソフトウェア イメージ、および Catalyst OS ソフトウェア イメージの各サポート情報を検索するには

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

Cisco IOS ソフトウェア イメージの可用性

特定の Cisco IOS ソフトウェア リリースをサポートしているプラットフォームは、そのプラットフォーム用のソフトウェア イメージがあるかどうかによります。一部のプラットフォームのソフトウェア イメージは、事前の通知なしに延期、遅延、または変更される場合があります。各 Cisco IOS ソフトウェア リリースのプラットフォーム サポートおよび利用可能なソフトウェア イメージの更新情報は、オンライン リリース ノートまたは Cisco Feature Navigator(サポートされている場合)を参照してください。

サポートされている規格、MIB、および RFC

規格

この機能によってサポートされる新しい規格や変更された規格はありません。

MIB

次の MIB は、IPsec--SNMP サポート機能によってサポートされています。

CISCO-IPSEC-FLOW-MONITOR- MIB

CISCO-IPSEC-MIB

CISCO-IPSEC-POLICY-MAP-MIB

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

この機能によってサポートされる新しい RFC や変更された RFC はありません。

設定作業

IPsec--SNMP サポート機能の設定作業については、次の項を参照してください。一覧内の各作業は、必須と任意に分けています。

「IPsec SNMP 通知のイネーブル化」 (必須)

「IPsec エラー履歴テーブルのサイズの設定」 (任意)

「IPsec トンネル履歴テーブルのサイズの設定」 (任意)

IPsec SNMP 通知のイネーブル化

ルータを、指定したホストへの IPsec トラップまたは応答要求型通知を送信するようにイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# snmp-server enable traps ipsec cryptomap [ add | delete | attach | detach ]

ルータを、IPsec SNMP 通知を送信するようにルータをイネーブルにします。

ステップ 2

Router(config)# snmp-server enable traps isakmp [ policy { add | delete } | tunnel { start | stop }]

ルータを、IPsec ISAKMP SNMP 通知を送信するようにルータをイネーブルにします。

ステップ 3

Router(config)# s nmp-server host host-address traps community-string ipsec

IPsec SNMP 通知動作の受信者を指定します。

SNMP の設定の詳細については、『Cisco IOS Configuration Fundamentals Configuration Guide』の「Configuring SNMP Support」章を参照してください。

IPsec エラー履歴テーブルのサイズの設定

デフォルトのエラー履歴テーブルのサイズは 200 です。エラー履歴テーブルのサイズを変更するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# crypto mib ipsec flowmib history failure size number

IPsec エラー履歴テーブルのサイズを変更します。

IPsec トンネル履歴テーブルのサイズの設定

デフォルトのトンネル履歴テーブルのサイズは 200 です。トンネル履歴テーブルのサイズを変更するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# crypto mib ipsec flowmib history tunnel size number

IPsec トンネル履歴テーブルのサイズを変更します。

IPsec MIB 設定の確認

IPsec MIB 機能が正しく設定されているかどうかを確認するには、次のタスクを実行します。

show crypto mib ipsec flowmib history failure size 特権 EXEC コマンドを入力して、エラー履歴テーブルのサイズを表示します。

Router# show crypto mib ipsec flowmib history failure size
 
IPSec Failure Window Size: 140
 

show crypto mib ipsec flowmib history tunnel size 特権 EXEC コマンドを入力して、トンネル履歴テーブルのサイズを表示します

Router# show crypto mib ipsec flowmib history tunnel size
 
IPSec History Window Size: 130
 

show crypto mib ipsec flowmib version 特権 EXEC コマンドを入力して、管理アプリケーションによって使用される MIB バージョンを表示して、フィーチャ セットを識別します。

Router# show crypto mib ipsec flowmib version
 
IPSec Flow MIB version: 1
 

debug crypto mib コマンドを入力して、IPsec MIB デバッグ メッセージ通知を表示します。

Router# debug crypto mib
 
Crypto IPSec Mgmt Entity debugging is on
 

IPsec MIB のモニタおよびメンテナンス

IPsec MIB 情報のステータスをモニタリングするには、EXEC モードで次のコマンドのいずれかを使用します。

 

コマンド
目的

Router# show crypto mib ipsec flowmib history failure size

IPsec エラー履歴テーブルのサイズを表示します。

Router# s how crypto mib ipsec flowmib history tunnel size

IPsec トンネル履歴テーブルのサイズを表示します。

Router# show crypto mib ipsec flowmib version

ルータによって使用される IPsec Flow MIB のバージョンを表示します。

設定例

ここでは、次の設定例について説明します。

「IPsec 通知のイネーブル化の例」

「履歴テーブルのサイズの指定例」

IPsec 通知のイネーブル化の例

次に、IPsec 通知がイネーブルにされている例を示します。

snmp-server enable traps ipsec isakmp

 

次に、ルータが、ホスト nms1.cisco.com に IPsec 通知を送信するように設定されている例を示します。

snmp-server host nms1.cisco.com public ipsec isakmp
Translating "nms1.cisco.com"...domain server (171.00.0.01) [OK]

履歴テーブルのサイズの指定例

次に、指定したエラー履歴テーブルのサイズが 140 になっている例を示します。

crypto mib ipsec flowmib history failure size 140
 

次に、指定したトンネル履歴テーブルのサイズが 130 になっている例を示します。

crypto mib ipsec flowmib history tunnel size 130

 

コマンド リファレンス

次のコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。

crypto mib ipsec flowmib history failure size

crypto mib ipsec flowmib history tunnel size

debug crypto mib

show crypto mib ipsec flowmib history failure size

show crypto mib ipsec flowmib history tunnel size

show crypto mib ipsec flowmib version

snmp-server enable traps ipsec

snmp-server enable traps isakmp

snmp-server host

これらのコマンドの詳細については、『 Cisco IOS Security Command Reference 』 ( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。

Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool ( http://tools.cisco.com/Support/CLILookup )にアクセスするか、または『 Master Command List 』を参照してください。

用語集

CA :Certificate Authority(CA; 認証局)。CA は、メッセージ暗号化用のセキュリティ証明書および公開鍵(X509v3 証明書の形式)を発行および管理する、ネットワーク内のエンティティです。Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)の一部である CA では、Registration Authority(RA; 登録局)と連携して、デジタル証明書の要求者から取得した情報を確認します。RA が要求者の情報を確認すると、CA から証明書が発行されます。一般に、証明書には、オーナーの公開鍵、証明書の失効日、およびそ公開鍵のオーナーに関するその他の情報が含まれています。

IP セキュリティ:IPsec の項を参照してください。

IPsec:Internet Protocol Security(IPsec; インターネット プロトコル セキュリティ)。オープン規格のフレームワークであり、関与するピア間におけるデータの機密保持、データ整合性、データ認証を実現します。IPsec では、これらのセキュリティ サービスが IP レイヤで実現されます。IPsec では、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)によって、ローカル ポリシーに基づいたプロトコルおよびアルゴリズムのネゴシエーションが処理され、IPsec によって使用される暗号キーおよび認証キーが生成されます。IPsec は、1 組のホスト間、1 組のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間で 1 つ以上のデータ フローを保護するために使用できます。

MIB:Management Information Base(MIB; 管理情報ベース)。ネットワーク管理情報のデータベースです。これらの情報は、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)や Common Management Information Protocol (CMIP; 共通管理情報プロトコル)などのネットワーク管理プロトコルにより使用および保持されます。MIB オブジェクトの値は、SNMP コマンドまたは CMIP コマンドを使用して変更および取得できます。これらのコマンドは通常、GUI の Network Management System(NMS; ネットワーク管理システム)から実行します。MIB オブジェクトはツリー構造であり、ツリーにはパブリック(標準)ブランチとプライベート(独自)ブランチを含みます。

SNMP:Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)。アプリケーション レイヤ プロトコルであり、SNMP マネージャと SNMP エージェントとの通信に使用されるメッセージ形式を規定します。

管理情報ベース:MIB の項を参照してください。

簡易ネットワーク管理プロトコル:SNMP の項を参照してください。

トラップ:重要なイベントを知らせるためのメッセージです。指定された重大な状況が発生したり、しきい値を超過した場合、SNMP エージェントから、ネットワーク管理システム、コンソール、または端末へ送信されます。