Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
IPsec Usability Enhancements
IPsec Usability Enhancements
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

IPsec Usability Enhancements

機能情報の入手

この章の構成

IPsec Usability Enhancements の前提条件

IPsec Usability Enhancements に関する情報

IPsec の概要

IPsec Usability Enhancements の活用方法

IKE フェーズ 1、ISAKMP、デフォルト ポリシーの確認

デフォルト IKE フェーズ 1 ポリシー

ユーザ設定 IKE ポリシー

EzVPN ISAKMP ポリシー

デフォルト IPsec トランスフォーム セットの確認

デフォルト トランスフォーム セット

IPsec VPN 確認および IPsec VPN のトラブルシューティング

IKE フェーズ 1 の確認、ISAKMP

IKE フェーズ 2 の確認

IPsec VPN のトラブルシューティング

IPsec Usability Enhancements の設定例

IKE デフォルト ポリシー:例

デフォルト トランスフォーム セット:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

IPsec Usability Enhancements の機能情報

用語集

IPsec Usability Enhancements

IPsec Usability Enhancements 機能では、IPsec Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の設定およびモニタリングを簡単にする機能が導入されています。この機能の利点としては、IPsec および Internet Key Exchange(IKE; インターネット キー エクスチェンジ)のインテリジェントなデフォルト、および IPsec VPN を簡単に確認およびトラブルシューティングできる機能などがあります。

機能情報の入手

ご使用の Cisco IOS ソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている特定の機能に関する説明へのリンク、および各機能がサポートされているリリースのリストについては、「IPsec Usability Enhancements の機能情報」を参照してください。

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

IPsec Usability Enhancements の前提条件

IPsec、IKE、および暗号化の知識が必要です。

IPsec を設定し、ルータ上の IKE をイネーブルにしておく必要があります。

ルータ上で Cisco IOS k9 暗号イメージを実行する必要があります。

IPsec Usability Enhancements に関する情報

IPsec Usability Enhancements 機能を活用するには、次の概念を理解しておく必要があります。

「IPsec の概要」

「IPsec の動作」

IPsec の概要

IPsec は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって開発されたオープン規格のフレームワークであり、パブリック ネットワークを介して機密性の高い情報を送信する際にセキュリティを確保します。IPsec はネットワーク レイヤで機能し、Cisco ルータなどの参加している IPsec 装置(ピア)間の IP パケットを保護および認証します。

IPsec では、2 つのピア間におけるセキュアなトンネルが提供されます。機密性の高いパケットを定義し、そのパケットをこれらのセキュアなトンネルを介して送信されるように定義できます。また、トンネルの特性を指定することによって、このように機密性の高いパケットを保護するために使用されるパラメータを定義できます。IPsec ピアによってこのように機密性の高いパケットが検出されたら、そのピアによって、適切かつセキュアなトンネルが設定され、そのパケットがトンネルからリモート ピアに送信されます。

IPsec の動作

IPsec の動作は 5 つの基本的な手順で構成されています。対象となるトラフィックの識別、IKE フェーズ 1、IKE フェーズ 2、トンネルまたは IPsec セッションの確立、そして最後にトンネルの切断です。

ステップ 1:対象となるトラフィックの識別

VPN デバイスによって、検出対象のトラフィック、つまり機密性の高いパケットが認識されます。IPsec が機密性の高いパケットに適用されるか、パケットがバイパスされるか、または、パケットが廃棄されます。トラフィックのタイプに基づき、IPsec が適用されると、IKE フェーズ 1 が開始されます。

ステップ 2:IKE フェーズ 1

IKE セキュリティ ポリシーのネゴシエーションを行い、セキュアなチャネルを確立するために、VPN デバイス間で 3 回の交換が実行されます。

最初の交換の間、VPN デバイスによって、IKE 交換を保護するための IKE トランスフォーム セットのマッチングのネゴシエーションが行われ、その結果、使用する Internet Security Association and Key Management Protocol(ISAKMP)ポリシーが確立されます。ISAKMP ポリシーは、暗号化アルゴリズム、ハッシュ アルゴリズム、認証アルゴリズム、Diffie-Hellman(DH; デフィーヘルマン)グループ、およびライフタイム パラメータで構成されています。

8 種類のデフォルト ISAKMP ポリシーがサポートされています。デフォルト ISAKMP ポリシーの詳細については、 「IKE フェーズ 1、ISAKMP、デフォルト ポリシーの確認」 の項を参照してください。

2 番目の交換は Diffie-Hellman 交換です。共有秘密が確立されます。

3 番目の交換では、ピアのアイデンティティが認証されます。ピアが認証されると、IKE フェーズ 2 が開始されます。

ステップ 3:IKE フェーズ 2

VPN デバイスによって、IPsec データの保護に使用される IPsec セキュリティ ポリシーのネゴシエーションが行われます。IPsec トランスフォーム セットがネゴシエートされます。

トランスフォーム セットは、ネットワーク トラフィックのセキュリティ ポリシーを制定するアルゴリズムおよびプロトコルの組み合せです。デフォルトのトランスフォーム セットの詳細については、 「デフォルト IPsec トランスフォーム セットの確認」 の項を参照してください。これで、VPN トンネルを確立する準備は整いました。

ステップ 4:トンネルの確立(IPsec セッション)

VPN デバイスによって、セキュリティ サービスが IPsec トラフィックに適用され、次に、IPsec データが送信されます。Security Association(SA; セキュリティ アソシエーション)がピア間で交換されます。IPsec セッションがアクティブの間、ネゴシエートされたセキュリティ サービスがトンネル トラフィックに適用されます。

ステップ 5:トンネルの終了

IPsec SA ライフタイムのタイムアウトが発生するか、パケット カウンタが超過すると、トンネルが切断されます。IPsec SA が削除されます。

IPsec Usability Enhancements の活用方法

ここでは、次の任意の手順について説明します。

「IKE フェーズ 1、ISAKMP、デフォルト ポリシーの確認」

「デフォルト IPsec トランスフォーム セットの確認」

「IPsec VPN 確認および IPsec VPN のトラブルシューティング」

IKE フェーズ 1、ISAKMP、デフォルト ポリシーの確認

IKE ネゴシエーションが開始されると、ピアによって共通ポリシーの検出が試行され、検出はリモート ピア上で指定された最も高いプライオリティを持つポリシーから開始されます。一致が存在するまで、ピアによって、ポリシー セットのネゴシエーションが行われます。各ピアに共通のポリシー セットが複数存在する場合、最も低いプライオリティを持つ番号が使用されます。

IKE フェーズ 1、ISAKMP、ポリシーのプライオリティの範囲および動作によって定義された各種ポリシーの 3 つのグループがあります。

デフォルト ISAKMP ポリシー。自動的にイネーブルにされます。

ユーザ設定ポリシー。 crypto isakmp policy コマンドを使用して設定できます。

Easy VPN(EzVPN)ISAKMP ポリシー。EzVPN 設定中に使用可能にされます。

この項では、ISAKMP ポリシーの 3 つのグループに関して、互いの関係の中での動作、使用中のポリシーを適切な show コマンドを使用して特定する方法、および、デフォルト ISAKMP ポリシーをディセーブルにする方法について説明します。

デフォルト IKE フェーズ 1 ポリシー

8 種類のデフォルト IKE フェーズ 1、ISAKMP、各種ポリシーがサポートされています( 表 1 を参照)。自動的にイネーブルにされます。 crypto isakmp policy コマンドを使用して、手動で IKE ポリシーを設定せず、また、 no crypto isakmp default policy コマンドを使用して、デフォルト IKE ポリシーをディセーブルにもしなかった場合、ピアの IKE ネゴシエーション中にデフォルト IKE ポリシーが使用されます。 show crypto isakmp policy コマンドまたは show crypto isakmp default policy コマンドを発行して、デフォルト IKE ポリシーが使用中であることを確認できます。

デフォルト IKE ポリシーによって、次のポリシー セット パラメータが定義されます。

プライオリティ、65507 ~ 65514。65507 が最も高いプライオリティで、65514 が最も低いプライオリティ。

認証方式、 Rivest、Shamir、および Adelman(RSA)または preshared keys(PSK; 事前共有キー)。

暗号方式、Advanced Encryption Standard(AES; 高度暗号化規格)または Triple Data Encryption Standard(3DES)。

ハッシュ関数、Secure Hash Algorithm(SHA-1)または Message-Digest algorithm 5(MD5)。

DH グループ仕様 DH2 または DH5。

DH2 では、768 ビット DH グループが指定されます。

DH5 では、1536 ビット DH グループが指定されます。

表 1 デフォルト IKE フェーズ 1、ISAKMP、ポリシー

優先順位
認証
暗号化
ハッシュ
Diffie-Hellman

65507

RSA

AES

SHA

DH5

65508

PSK

AES

SHA

DH5

65509

RSA

AES

MD5

DH5

65510

PSK

AES

MD5

DH5

65511

RSA

3DES

SHA

DH2

65512

PSK

3DES

SHA

DH2

65513

RSA

3DES

MD5

DH2

65514

PSK

3DES

MD5

DH2

ユーザ設定 IKE ポリシー

crypto isakmp policy コマンドを使用して、IKE ポリシーを設定できます。ユーザ設定 IKE ポリシーは一意に識別され、1 ~ 10000 の範囲のプライオリティ番号が使用されて設定されます。1 が最も高いプライオリティで、10000 は最も低いプライオリティです。

1 ~ 10000 のプライオリティを持つ 1 つ以上の IKE ポリシーを設定した結果は次のとおりです。

ピア IKE ネゴシエーション中にユーザ設定ポリシーが使用されます。

ピア IKE ネゴシエーション中にデフォルト IKE ポリシーが使用されます。

show crypto isakmp policy コマンドを発行することによって、ユーザ設定ポリシーを表示できます。

EzVPN ISAKMP ポリシー

EzVPN( 「関連資料」 を参照)を設定した場合、使用中のデフォルト EzVPN ISAKMP ポリシーは、65515 ~ 65535 の範囲のプライオリティ番号で一意に識別されます。65515 が最も高いプライオリティで、65535 は最も低いプライオリティです。

ユーザが EzVPN を設定した結果は次のとおりです。

ピア IKE ネゴシエーション中に、デフォルト EzVPN ISAKMP ポリシーおよびデフォルト IKE ポリシーが使用されます。

show crypto isakmp policy コマンドを発行することによって、EzVPN ISAKMP ポリシーおよびデフォルト IKE ポリシーを表示できます。

no crypto isakmp default policy コマンドを発行することによってディセーブルにしていないかぎり、 show crypto isakmp default policy コマンドを発行することによって、デフォルト ISAKMP ポリシーを表示できます。

手順の概要

1. enable

2. show crypto isakmp default policy

3. configure terminal

4. no crypto isakmp default policy

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto isakmp default policy

 

Router# show crypto isakmp default policy

(任意)1 ~ 10000 のプライオリティを持つポリシーが設定されていない場合、デフォルト ISAKMP ポリシーを表示します。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

no crypto isakmp default policy

 

Router(config)# no crypto isakmp default policy

(任意)65507 ~ 65514 のプライオリティを持つデフォルト ISAKMP ポリシーをオフにします。

次に、 show crypto isakmp default policy コマンドのサンプル出力を示します。デフォルト ポリシーがディセーブルにされていないので、デフォルト ポリシーが表示されています。

Router# show crypto isakmp default policy
 
Default IKE policy
Default protection suite of priority 65507
encryption algorithm: AES - Advanced Encryption Standard (128 bit key.
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite of priority 65508
encryption algorithm: AES - Advanced Encryption Standard (128 bit key.
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite of priority 65509
encryption algorithm: AES - Advanced Encryption Standard (128 bit key.
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite of priority 65510
encryption algorithm: AES - Advanced Encryption Standard (128 bit key.
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite of priority 65511
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite of priority 65512
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite of priority 65513
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite of priority 65514
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
 

次に、デフォルト IKE ポリシーがディセーブルにされてからの、 show crypto isakmp default policy コマンドの出力結果の例を示します。ここでは、結果は空白になっています。

Router# configure terminal
Router(config)# no crypto isakmp default policy
Router(config)# exit
Router# show crypto isakmp default policy
Router#
!There is no output since the default IKE policies have been disabled.

 

次に、デフォルト ISAKMP ポリシーが使用中の時はいつでも生成されるシステム ログ メッセージの例を示します。

%CRYPTO-6-IKMP_POLICY_DEFAULT: Using ISAKMP Default policies

デフォルト IPsec トランスフォーム セットの確認

トランスフォーム セットは、特定のセキュリティ プロトコルとアルゴリズムの組み合せを表します。IPsec SA のネゴシエーション中に、ピアは、特定のトランスフォーム セットを使用して特定のデータ フローを保護することに合意します。

IKE との IPsec SA のネゴシエーション中に、ピアは両方のピア上で同じトランスフォーム セットを検索します。同一のトランスフォーム セットが検出された場合、そのトランスフォーム セットが選択され、両方のピアの IPsec SA の一部として、保護するトラフィックに適用されます。

デフォルト トランスフォーム セット

他のトランスフォーム セットが設定されておらず、次の条件が満たされている場合、1 つのデフォルト トランスフォーム セットがすべてのクリプト マップまたは IPsec プロファイルによって使用されます。

デフォルト トランスフォーム セットが、 no crypto ipsec default transform-set コマンドによってディセーブルにされていない。

使用中の暗号化エンジンで、暗号化アルゴリズムがサポートされている。

表 2 に示すとおり、2 つのデフォルト トランスフォーム セットのそれぞれによって、Encapsulation Security Protocol(ESP)暗号化トランスフォーム タイプおよび ESP 認証トランスフォーム タイプが定義されます。

表 2 デフォルト トランスフォーム セットおよびパラメータ

デフォルト トランスフォーム名
ESP 暗号化トランスフォームおよび説明
ESP 認証トランスフォームおよび説明

#$!default_transform_set_0

esp-3des

(168 ビット 3DES またはトリプル DES 暗号化アルゴリズムを持つ EDP)

esp-sha-hmac

#$!default_transform_set_1

esp-aes

(128 ビット AES 暗号化アルゴリズムを持つ ESP)

esp-sha-hmac

(SHA-1、ハッシュ メッセージ認証コード [HMAC] バリアント認証アルゴリズムを持つ ESP)

手順の概要

1. enable

2. show crypto ipsec default transform-set

3. configure terminal

4. no crypto ipsec default transform-set

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto ipsec default transform-set

 

Router# show crypto ipsec default transform-set

(任意)IKE によって現在使用中のデフォルト IPsec トランスフォーム セットを表示します。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

no crypto ipsec default transform-set

 

Router(config)# no crypto ipsec default transform-set

(任意)デフォルト IPsec トランスフォーム セットを表示します。

The following example displays output from the show crypto ipsec default transform-set command when the default transform sets are enabled, the default setting:
 
Router# show crypto ipsec default transform-set
 
Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }
will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }
will negotiate = { Transport, },

 

次に、デフォルト トランスフォーム セットが no crypto ipsec default transform-set コマンドによってディセーブルにされている時の、 show crypto ipsec default transform-set コマンドからの出力の例を示します。

Router(config)# no crypto ipsec default transform-set
Router(config)# exit
Router#
Router# show crypto ipsec default transform-set
! There is no output.
Router#

 

次に、IPsec SA がデフォルト トランスフォーム セットでネゴシエーションを行った時はいつでも生成されるシステム ログ メッセージ例を示します。

%CRYPTO-5-IPSEC_DEFAULT_TRANSFORM: Using Default IPsec transform-set

IPsec VPN 確認および IPsec VPN のトラブルシューティング

IKE フェーズ 1 または IKE フェーズ 2 を確認したいのか、または IPsec VPN のトラブルシューティングを行いたいのかによって、この項における次の任意の作業のいずれかを実行します。

「IKE フェーズ 1 の確認、ISAKMP」

「IKE フェーズ 2 の確認」

「IPsec VPN のトラブルシューティング」

IKE フェーズ 1 の確認、ISAKMP

ISAKMP トンネルの統計情報を表示するには、次のオプション コマンドを使用します。

手順の概要

1. show crypto mib isakmp flowmib failure [ vrf vrf-name ]

2. show crypto mib isakmp flowmib global [ vrf vrf-name ]

3. show crypto mib isakmp flowmib history [ vrf vrf-name ]

4. show crypto mib isakmp flowmib peer [ index peer-mib-index ] [ vrf vrf-name ]

5. show crypto mib isakmp flowmib tunnel [ index tunnel-mib-index ] [ vrf vrf-name ]

手順の詳細


ステップ 1 show crypto mib isakmp flowmib failure [ vrf vrf-name ]

ISAKMP トンネルにエラーが発生した場合、このコマンドでイベント情報を表示できます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib isakmp flowmib failure
 
vrf Global
Index: 1
Reason: peer lost
Failure time since reset: 00:07:27
Local type: ID_IPV4_ADDR
Local value: 192.0.2.1
Remote type: ID_IPV4_ADDR
Remote Value: 192.0.2.2
Local Address: 192.0.2.1
Remote Address: 192.0.2.2
Index: 2
Reason: peer lost
Failure time since reset: 00:07:27
Local type: ID_IPV4_ADDR
Local value: 192.0.3.1
Remote type: ID_IPV4_ADDR
Remote Value: 192.0.3.2
Local Address: 192.0.3.1
Remote Address: 192.0.3.2
Index: 3
Reason: peer lost
Failure time since reset: 00:07:32
Local type: ID_IPV4_ADDR
Remote type: ID_IPV4_ADDR
 
Remote Value: 192.0.2.2
Local Address: 192.0.2.1
Remote Address: 192.0.2.2

 

ステップ 2 show crypto mib isakmp flowmib global [ vrf vrf-name ]

このコマンドを発行することによって、グローバル ISAKMP トンネル統計情報が表示されます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib isakmp flowmib global
 
vrf Global
Active Tunnels: 3
Previous Tunnels: 0
In octets: 2856
Out octets: 3396
In packets: 16
Out packets: 19
In packets drop: 0
Out packets drop: 0
In notifys: 4
Out notifys: 7
In P2 exchg: 3
Out P2 exchg: 6
In P2 exchg invalids: 0
Out P2 exchg invalids: 0
In P2 exchg rejects: 0
Out P2 exchg rejects: 0
In IPSEC delete: 0
Out IPSEC delete: 0
SAs locally initiated: 3
SAs locally initiated failed: 0
SAs remotely initiated failed: 0
System capacity failures: 0
Authentication failures: 0
Decrypt failures: 0
Hash failures: 0
Invalid SPI: 0

 

ステップ 3 show crypto mib isakmp flowmib history [ vrf vrf-name ]

アクティブにならない ISAKMP トンネルの情報については、このコマンドによって、トンネルが終了した原因を含むイベント情報を表示できます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib isakmp flowmib history
 
vrf Global
Reason: peer lost
Index: 2
Local type: ID_IPV4_ADDR
Local address: 192.0.2.1
Remote type: ID_IPV4_ADDR
Remote address: 192.0.2.2
Negotiation mode: Main Mode
Diffie Hellman Grp: 2
Encryption algo: des
Hash algo: sha
Auth method: psk
Lifetime: 86400
Active time: 00:06:30
Policy priority: 1
Keepalive enabled: Yes
In octets: 3024
In packets: 22
In drops: 0
In notifys: 18
In P2 exchanges: 1
In P2 exchg invalids: 0
In P2 exchg rejected: 0
In P2 SA delete reqs: 0
Out octets: 4188
Out packets: 33
Out drops: 0
Out notifys: 28
Out P2 exchgs: 2
Out P2 exchg invalids: 0
Out P2 exchg rejects: 0
Out P2 Sa delete requests: 0
Reason: peer lost
Index: 3
Local type: ID_IPV4_ADDR
Local address: 192.0.3.1
Remote type: ID_IPV4_ADDR
Remote address: 192.0.3.2
Negotiation mode: Main Mode
Diffie Hellman Grp: 2
Encryption algo: des
Hash algo: sha
Auth method: psk
Lifetime: 86400
Active time: 00:06:25
Policy priority: 1
Keepalive enabled: Yes
In octets: 3140
In packets: 23
In drops: 0
In notifys: 19
In P2 exchanges: 1
In P2 exchg invalids: 0
In P2 exchg rejected: 0
In P2 SA delete reqs: 0
Out octets: 4304
Out packets: 34
Out drops: 0
Out notifys: 29
Out P2 exchgs: 2
Out P2 exchg invalids: 0
Out P2 exchg rejects: 0
Out P2 Sa delete requests: 0

 

ステップ 4 show crypto mib isakmp flowmib peer [ index peer-mib-index ] [ vrf vrf-name ]

アクティブな ISAKMP ピア アソシエーションについては、このコマンドによって、インデックス、接続タイプ、および IP アドレスを含む情報を表示できます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib isakmp flowmib peer
 
vrf Global
Index: 1
Local type: ID_IPV4_ADDR
Local address: 192.0.2.1
Remote type: ID_IPV4_ADDR
Remote address: 192.0.2.2
 
 
Index: 2
Local type: ID_IPV4_ADDR
Local address: 192.0.3.1
Remote type: ID_IPV4_ADDR
Remote address: 192.0.3.1
 
Index: 3
Local type: ID_IPV4_ADDR
Local address: 192.0.4.1
Remote type: ID_IPV4_ADDR
Remote address: 192.0.4.1

 

ステップ 5 show crypto mib isakmp flowmib tunnel [ index tunnel-mib-index ] [ vrf vrf-name ]

アクティブな ISAKMP トンネルについては、このコマンドによって、トンネルの統計情報を表示できます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib isakmp flowmib tunnel
 
vrf Global
Index: 1
Local type: ID_IPV4_ADDR
Local address: 192.0.2.1
Remote type: ID_IPV4_ADDR
Remote address: 192.0.2.2
Negotiation mode: Main Mode
Diffie Hellman Grp: 2
Encryption algo: des
Hash algo: sha
Auth method: psk
Lifetime: 86400
Active time: 00:03:08
Policy priority: 1
Keepalive enabled: Yes
In octets: 2148
In packets: 15
In drops: 0
In notifys: 11
In P2 exchanges: 1
In P2 exchg invalids: 0
In P2 exchg rejected: 0
In P2 SA delete reqs: 0
Out octets: 2328
Out packets: 16
Out drops: 0
Out notifys: 12
Out P2 exchgs: 2
Out P2 exchg invalids: 0
Out P2 exchg rejects: 0
Out P2 Sa delete requests: 0

 


 

IKE フェーズ 2 の確認

IPsec フェーズ 2 トンネルの統計情報を表示するには、次のオプション コマンドを使用します。

手順の概要

1. show crypto mib ipsec flowmib endpoint [ vrf vrf-name ]

2. show crypto mib ipsec flowmib failure [ vrf vrf-name ]

3. show crypto mib ipsec flowmib global [ vrf vrf-name ]

4. show crypto mib ipsec flowmib history [ vrf vrf-name ]

5. show crypto mib ipsec flowmib spi [ vrf vrf-name ]

6. show crypto mib ipsec flowmib tunnel [ index tunnel-mib-index ] [ vrf vrf-name ]

手順の詳細


ステップ 1 show crypto mib ipsec flowmib endpoint [ vrf vrf-name ]

このコマンドを発行することによって、IPsec フェーズ 2 トンネルに関連付けられた、各アクティブ エンドポイント、ローカルまたはリモート デバイスの情報が表示されます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib ipsec flowmib endpoint
 
vrf Global
Index: 1
Local type: Single IP address
Local address: 192.1.2.1
Protocol: 0
Local port: 0
Remote type: Single IP address
Remote address: 192.1.2.2
Remote port: 0
 
Index: 2
Local type: Subnet
Local address: 192.1.3.0 255.255.255.0
Protocol: 0
Local port: 0
Remote type: Subnet
Remote address: 192.1.3.0 255.255.255.0
Remote port: 0
 

ステップ 2 show crypto mib ipsec flowmib failure [ vrf vrf-name ]

ISAKMP トンネルにエラーが発生した場合、このコマンドでイベント情報を表示できます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib ipsec flowmib failure
 
vrf Global
Index: 1
Reason: Operation request
Failure time since reset: 00:25:18
Src address: 192.1.2.1
Destination address: 192.1.2.2
SPI: 0
 
 
 

ステップ 3 show crypto mib ipsec flowmib global [ vrf vrf-name ]

このコマンドを発行することによって、グローバル IKE フェーズ 2 トンネルの統計情報が表示されます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib ipsec flowmib global
 
vrf Global
Active Tunnels: 2
Previous Tunnels: 0
In octets: 800
Out octets: 1408
In packets: 8
Out packets: 8
Uncompressed encrypted bytes: 1408
In packets drops: 0
Out packets drops: 2
In replay drops: 0
In authentications: 8
Out authentications: 8
In decrypts: 8
Out encrypts: 8
Compressed bytes: 0
Uncompressed bytes: 0
In uncompressed bytes: 0
Out uncompressed bytes: 0
In decrypt failures: 0
Out encrypt failures: 0
No SA failures: 0
! Number of SA Failures.
Protocol use failures: 0
System capacity failures: 0
In authentication failures: 0
Out authentication failures: 0

 

ステップ 4 show crypto mib ipsec flowmib history [ vrf vrf-name ]

アクティブにならない IKE フェーズ 2 トンネルの情報については、このコマンドによって、トンネルが終了した原因を含むイベント情報を表示できます。次に、このコマンドのサンプル出力を示します。

Router# show crypto mib ipsec flowmib history
 
vrf Global
Reason: Operation request
Index: 1
Local address: 192.1.2.1
Remote address: 192.1.2.2
IPSEC keying: IKE
Encapsulation mode: 1
Lifetime (KB): 4608000
Lifetime (Sec): 3600
Active time: 00:24:32
Lifetime threshold (KB): 423559168
Lifetime threshold (Sec): 3590000
Total number of refreshes: 0
Expired SA instances: 4
Current SA instances: 4
In SA DH group: 1
In sa encrypt algorithm des
In SA auth algorithm: rsig
In SA ESP auth algo: ESP_HMAC_SHA
In SA uncompress algorithm: None
Out SA DH group: 1
Out SA encryption algorithm: des
Out SA auth algorithm: ESP_HMAC_SHA
Out SA ESP auth algorithm: ESP_HMAC_SHA
Out SA uncompress algorithm: None
In octets: 400
Decompressed octets: 400
In packets: 4
In drops: 0
In replay drops: 0
In authentications: 4
In authentication failures: 0
In decrypts: 4
In decrypt failures: 0
Out octets: 704
Out uncompressed octets: 704
Out packets: 4
Out drops: 1
Out authentications: 4
Out authentication failures: 0
Out encryptions: 4
Out encryption failures: 0
Compressed octets: 0
Decompressed octets: 0
Out uncompressed octets: 704
 

ステップ 5 show crypto mib ipsec flowmib spi [ vrf vrf-name ]

security protection index(SPI)テーブルには、アクティブおよび期限切れの各セキュリティ IKE フェーズ 2 アソシエーションのエントリが格納されます。次に、このコマンドのサンプル出力を示します。SPI テーブルが表示されています。

Router# show crypto mib ipsec flowmib spi
 
vrf Global
Tunnel Index: 1
SPI Index: 1
SPI Value: 0xCC57D053
SPI Direction: In
SPI Protocol: AH
SPI Status: Active
 
SPI Index: 2
SPI Value: 0x68612DF
SPI Direction: Out
SPI Protocol: AH
SPI Status: Active
 
SPI Index: 3
SPI Value: 0x56947526
SPI Direction: In
SPI Protocol: ESP
SPI Status: Active
 
SPI Index: 4
SPI Value: 0x8D7C2204
SPI Direction: Out
SPI Protocol: ESP
SPI Status: Active

 

ステップ 6 show crypto mib ipsec flowmib tunnel [ index tunnel-mib-index ] [ vrf vrf-name ]

アクティブな IKE フェーズ 2 トンネルについては、このコマンドによって、トンネルの統計情報を表示できます。次に、このコマンドのサンプル出力を示します。

 
Router# show crypto mib ipsec flowmib tunnel
 
vrf Global
Index: 1
Local address: 192.0.2.1
Remote address: 192.0.2.2
IPSEC keying: IKE
Encapsulation mode: 1
Lifetime (KB): 4608000
Lifetime (Sec): 3600
Active time: 00:05:46
Lifetime threshold (KB): 64
Lifetime threshold (Sec): 10
Total number of refreshes: 0
Expired SA instances: 0
Current SA instances: 4
In SA DH group: 1
In sa encrypt algorithm: des
In SA auth algorithm: rsig
In SA ESP auth algo: ESP_HMAC_SHA
In SA uncompress algorithm: None
Out SA DH group: 1
Out SA encryption algorithm: des
Out SA auth algorithm: ESP_HMAC_SHA
Out SA ESP auth algorithm: ESP_HMAC_SHA
Out SA uncompress algorithm: None
In octets: 400
Decompressed octets: 400
In packets: 4
In drops: 0
In replay drops: 0
In authentications: 4
In authentication failures: 0
In decrypts: 4
In decrypt failures: 0
Out octets: 704
Out uncompressed octets: 704
Out packets: 4
Out drops: 1
Out authentications: 4
Out authentication failures: 0
Out encryptions: 4
Out encryption failures: 0
Compressed octets: 0
Decompressed octets: 0
Out uncompressed octets: 704
 


 

IPsec VPN のトラブルシューティング

問題のトラブルシューティングを行う場合、 show tech-support ipsec コマンドを使用すれば、IPsec 関連情報の収集が簡単にできます。

手順の概要

1. show tech-support ipsec [ peer ipv4address | vrf vrf-name ]

手順の詳細


ステップ 1 show tech-support ipsec

show tech-support ipsec コマンドには、3 つのバリエーションがあります。

show tech-support ipsec

show tech-support ipsec peer ipv4address

show tech-support ipsec vrf vrf-name

各バリエーションについて次に示す個々の show コマンドに関する show tech-support ipsec コマンドからの出力のサンプル表示については、 「関連資料」 の項を参照してください。

show tech-support ipsec コマンドの出力

キーワードを何も指定しないで show tech-support ipsec コマンドを入力すると、コマンドの出力には、次の show コマンドが出力順に表示されます。

show version

show running-config

show crypto isakmp sa count

show crypto ipsec sa count

show crypto session summary

show crypto session detail

show crypto isakmp sa detail

show crypto ipsec sa detail

show crypto isakmp peers

show crypto ruleset detail

show processes memory | include Crypto IKMP

show processes cpu | include Crypto IKMP

show crypto eli

show crypto engine accelerator statistic

how tech-support ipsec peer コマンドの出力

peer キーワードと ipv4address 引数を指定して show tech-support ipsec コマンドを入力すると、出力に次の show コマンドが、指定したピアの出力順に表示されます。

show version

show running-config

show crypto session remote ipv4address detail

show crypto isakmp sa peer ipv4address detail

show crypto ipsec sa peer ipv4address detail

show crypto isakmp peers ipv4address

show crypto ruleset detail

show processes memory | include Crypto IKMP

show processes cpu | include Crypto IKMP

show crypto eli

show crypto engine accelerator statistic

show tech-support ipsec vrf コマンドの出力

vrf キーワードと vrf-name 引数を指定して show tech-support ipsec コマンドを入力すると、次の show コマンドが、指定した Virtual Routing and Forwarding(VRF)の出力順に表示されます。

show version

show running-config

show crypto isakmp sa count vrf vrf-name

show crypto ipsec sa count vrf vrf-name

show crypto session ivrf ivrf-name detail

show crypto session fvrf fvrf-name detail

show crypto isakmp sa vrf vrf-name detail

show crypto ipsec sa vrf vrf-name detail

show crypto ruleset detail

show processes memory | include Crypto IKMP

show processes cpu | include Crypto IKMP

show crypto eli

show crypto engine accelerator statistic

 


 

IPsec Usability Enhancements の設定例

ここでは、次の設定例について説明します。

「IKE デフォルト ポリシー:例」

「デフォルト トランスフォーム セット:例」

IKE デフォルト ポリシー:例

次に、クリプト マップが RouterA および RouterB 上で設定されており、デフォルト IKE ポリシーが使用中になっている例を示します。トラフィックは、Pagent A から Pagent B にルーティングされています。Peer A および Peer B のシステム ログをチェックすると、デフォルト IKE ポリシーが両方のピアで使用中であることが確認できます(図 1 を参照)。

図 1 サイトツーサイト トポロジーの例

! Configuring RouterA.
RouterA(config)# crypto isakmp key identity address 209.165.200.226
RouterA(config)# crypto map testmap 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RouterA(config-crypto-map)# set peer 209.165.200.226
RouterA(config-crypto-map)# match address 101
RouterA(config-crypto-map)# exit
RouterA(config)# ip route 209.165.200.225 255.255.255.224 209.165.200.226
RouterA(config)# access-list 101 permit ip host 209.165.200.227 host 209.165.200.225
RouterA(config)# end
RouterA(config)# interface Ethernet1/2
RouterA(config-if)# crypto map testmap
RouterA(config-if)# end
RouterA(config)# crypto ipsec transform test_transf esp-aes esp-sha-hmac
RouterA(cfg-crypto-trans)# mode tunnel
RouterA(cfg-crypto-trans)# end
RouterA(config)# crypto map testmap 10
RouterA(config-crypto-map)# set transform-set test_transf
RouterA(config-crypto-map)# end
 
! Configuring RouterB.
RouterB(config)# crypto isakmp key identity address 209.165.200.228
RouterB(config)# crypto dynamic-map dyn_testmap 10
RouterB(config-crypto-map)# crypto map testmap 10 ipsec-isakmp dynamic dyn_testmap
RouterB(config)# ip route 209.165.200.227 255.255.255.224 209.165.200.228
RouterB(config)# end
RouterB(config)# interface GigabitEthernet0/1
RouterB(config-if)# crypto map testmap
RouterB(config-if)# end
RouterB(config)# crypto ipsec transform test_transf esp-aes esp-sha-hmac
RouterB(cfg-crypto-trans)# mode tunnel
RouterB(cfg-crypto-trans)# end
RouterB(config)# crypto dynamic-map dyn_testmap 10
RouterB(config-crypto-map)# set transform-set test_transf
RouterB(config-crypto-map)# end
 
! Routing traffic from PagentA to PagentB.
PagentA(config)# ip route 209.165.200.225 255.255.255.224 209.165.200.229
PagentA(config)# end
 
! Routing traffic from PagentB to PagentA.
PagentB(config)# ip route 209.165.200.227 255.255.255.224 209.165.200.230
PagentB(config)# end
 
! Checking the system log on RouterA confirms that the default IKE policies are in use.
RouterA# show log | include %CRYPTO-6-IKMP_POLICY_DEFAULT*
 
Jun 5 09:17:59.251 PDT: %CRYPTO-6-IKMP_POLICY_DEFAULT: Using ISAKMP Default policies
 
 
 
 
! Checking the system log on RouterB confirms that the default IKE policies are in use.
RouterB# show log | include %CRYPTO-6-IKMP_POLICY_DEFAULT*
 
Jun 5 09:17:59.979 PDT: %CRYPTO-6-IKMP_POLICY_DEFAULT: Using ISAKMP Default policies
 

デフォルト トランスフォーム セット:例

次に、スタティック クリプト マップが RouterA 上で設定され、ダイナミック クリプト マップが RouterB 上で設定されている例を示します。トラフィックは、Pagent A から Pagent B にルーティングされています。IPsec SA によって、デフォルト トランスフォーム セットとのネゴシエーションが行われ、トラフィックが暗号化されます。両方のピアで show crypto map コマンドを実行すると、デフォルト トランスフォーム セットが使用中であることを確認できます(図 1 を参照)。

 
! Configuring RouterA.
RouterA(config)# crypto isakmp key identify address 209.165.200.225
RouterA(config)# crypto map testmap 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RouterA(config-crypto-map)# set peer 209.165.200.225
RouterA(config-crypto-map)# match address 101
RouterA(config-crypto-map)# exit
RouterA(config)# ip route 209.165.200.226 255.255.255.255 209.165.200.225
RouterA(config)# access-list 101 permit ip host 209.165.200.227 host 209.165.200.226
RouterA(config)# end
RouterA(config)# interface Ethernet1/2
RouterA(config-if)# crypto map testmap
RouterA(config-if)# end
RouterA(config)# crypto isakmp policy 10
RouterA(config-isakmp)# encryption aes
RouterA(config-isakmp)# authentication pre-share
RouterA(config-isakmp)# hash sha
RouterA(config-isakmp)# group 5
RouterA(config-isakmp)# end
 
! Configuring RouterB.
RouterB(config)# crypto isakmp key identity address 209.165.200.229
RouterB(config)# crypto dynamic-map dyn_testmap 10
RouterB(config-crypto-map)# crypto map testmap 10 ipsec-isakmp dynamic dyn_testmap
RouterB(config)# ip route 209.165.200.227 255.255.255.255 209.165.200.229
RouterB(config)# end
RouterB(config)# interface GigabitEthernet0/1
RouterB(config-if)# crypto map testmap
RouterB(config-if)# end
RouterB(config)# crypto isakmp policy 10
RouterB(config-isakmp)# encryption aes
RouterB(config-isakmp)# authentication pre-share
RouterB(config-isakmp)# hash sha
RouterB(config-isakmp)# group 5
RouterB(config-isakmp)# end
 
! The SA is using the default transform set and traffic is encrypted on RouterA.
RouterA# show crypto isakmp sa detail | include 209.165.200.229.*209.165.200.225.*ACTIVE
 
13007 209.165.200.229 209.165.200.225 ACTIVE aes sha psk 5 23:59:56
13006 209.165.200.229 209.165.200.225 ACTIVE aes sha psk 5 0
13005 209.165.200.229 209.165.200.225 ACTIVE aes sha psk 5 0
 
! The SA is using the default transform set and traffic is encrypted on RouterB.
RouterB# show crypto isakmp sa detail | include 209.165.200.225.*209.165.200.229.*ACTIVE
 
7007 209.165.200.225 209.165.200.229 ACTIVE aes sha psk 5 23:59:55
7006 209.165.200.225 209.165.200.229 ACTIVE aes sha psk 5 0
7005 209.165.200.225 209.165.200.229 ACTIVE aes sha psk 5 0
 
 
! Verifying that the default transform sets are in use on RouterA.
RouterA# show crypto map
 
Crypto Map "testmap" 10 ipsec-isakmp
Peer = 209.165.200.225
Extended IP access list 101
access-list 101 permit ip host 209.165.200.227 host 209.165.200.226
Current peer: 209.165.200.225
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
#$!default_transform_set_1: { esp-aes esp-sha-hmac } ,
#$!default_transform_set_0: { esp-3des esp-sha-hmac } ,
}
Interfaces using crypto map testmap:
Ethernet1/2
 
! Verifying that the default transform sets are in use on RouterB.
RouterB# show crypto map
 
Crypto Map "testmap" 10 ipsec-isakmp
Dynamic map template tag: dyn_testmap
 
Crypto Map "testmap" 65536 ipsec-isakmp
Peer = 209.165.200.229
Extended IP access list
access-list permit ip host 209.165.200.226 host 209.165.200.227
dynamic (created from dynamic map dyn_testmap/10)
Current peer: 209.165.200.229
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
#$!default_transform_set_1: { esp-aes esp-sha-hmac } ,
}
Interfaces using crypto map testmap:
GigabitEthernet0/1

その他の参考資料

次の項では、IPsec Usability Enhancement 機能の関連資料を示します。

関連資料

内容
参照先

IKE の設定

「Configuring Internet Key Exchange for IPsec VPNs」

IPsec の設定

「Configuring Security for VPNs with IPsec」

EzVPN サーバ

「Easy VPN Server」

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

コマンド リファレンス

次に示すコマンドは、この章に記載されている機能または機能群において、新たに導入または変更されたものです。これらのコマンドの詳細については、『 Cisco IOS Security Command Reference 』( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool( http://tools.cisco.com/Support/CLILookup )を使用するか、または『 Cisco IOS Master Command List, All Releases 』( http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html )にアクセスしてください。

crypto ipsec default transform-set

crypto isakmp default policy

crypto isakmp policy

show crypto ipsec default transform-set

show crypto ipsec transform-set

show crypto isakmp default policy

show crypto isakmp policy

show crypto map (IPsec)

show crypto mib ipsec flowmib endpoint

show crypto mib ipsec flowmib failure

show crypto mib ipsec flowmib global

show crypto mib ipsec flowmib history

show crypto mib ipsec flowmib spi

show crypto mib ipsec flowmib tunnel

show crypto mib isakmp flowmib failure

show crypto mib isakmp flowmib global

show crypto mib isakmp flowmib history

show crypto mib isakmp flowmib peer

show crypto mib isakmp flowmib tunnel

show tech-support ipsec

IPsec Usability Enhancements の機能情報

表 3 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 3 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 3 IPsec Usability Enhancements の機能情報

機能名
リリース
機能情報

IPsec Usability Enhancements

12.4(20)T

Cisco IOS XE リリース 2.4

この機能では、IKE および IPsec のインテリジェントなデフォルト、および、MIB 統計情報にアクセスするためおよびトラブルシューティングを支援するための各種 show コマンドが導入されています。

この機能は、Cisco IOS リリース XE 2.4 で、Cisco ASR 1000 シリーズ ルータに実装されました。

次のコマンドが、導入または変更されました。
crypto ipsec default transform-set crypto isakmp default policy crypto isakmp policy show crypto ipsec default transform-set , show crypto ipsec transform-set show crypto isakmp default policy show crypto isakmp policy show crypto map (IPsec) show crypto mib ipsec flowmib endpoint show crypto mib ipsec flowmib failure show crypto mib ipsec flowmib global show crypto mib ipsec flowmib history show crypto mib ipsec flowmib spi show crypto mib ipsec flowmib tunnel show crypto mib isakmp flowmib failure show crypto mib isakmp flowmib global show crypto mib isakmp flowmib history show crypto mib isakmp flowmib peer show crypto mib isakmp flowmib tunnel show tech-support ipsec

用語集

SA:Security Association(SA; セキュリティ アソシエーション)。2 つ以上のエンティティが、特定のデータ フローにおいて安全に通信するために、特定のセキュリティ プロトコル(AH または ESP)と関連してセキュリティ サービスを使用する方法を記述します。トラフィックを保護するために、トランス フォームと共有秘密鍵が使用されます。

ピア:ここでのピアとは、IPsec に参加するルータまたはその他の装置です。

トランスフォーム:データ認証、データ機密性、およびデータ圧縮を実現するためにデータ フローで実行される処理のリスト。たとえば、トランスフォームには、HMAC MD5 認証アルゴリズムを使用する ESP プロトコル、56 ビット DES 暗号規格アルゴリズムを使用する AH プロトコルおよび HMAC-SHA 認証アルゴリズムを使用する ESP プロトコルなどがあります。

トンネル:ここで使用するトンネルとは、2 つのピア間(2 台のルータなど)の安全な通信パスです。トンネル モードで IPsec を使用することではありません。