Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
スタティック IPsec ピアの拡張認証を無効に する機能
スタティック IPsec ピアの拡張認証を無効にする機能
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

スタティック IPsec ピアの拡張認証を無効にする機能

機能情報の入手

この章の構成

機能の概要

利点

制約事項

関連資料

サポートされている規格、MIB、および RFC

前提条件

設定作業

スタティック IPsec ピアの Xauth のディセーブル化

設定例

スタティック IPsec ピア設定の Xauth のディセーブル化

スタティック IPsec ピアの拡張認証を無効にする機能の機能情報

スタティック IPsec ピアの拡張認証を無効にする機能

スタティック IPsec ピアの拡張認証を無効にする機能によりユーザは、Extended Authentication(Xauth)をディセーブルにし、ルータがユーザ名およびパスワードなどの Xauth 情報を求められないようにできます。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「スタティック IPsec ピアの拡張認証を無効にする機能の機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

機能の概要

Xauth を無効にできない場合、ユーザは、同じクリプト マップのどのピアに Xauth を使用させるかを選択できません。つまり、ルータ間 IP セキュリティ(IPsec)が Virtual Private Network(VPN; バーチャル プライベート ネットワーク)クライアント対 Cisco IOS IPsec と同じクリプト マップにある場合、どちらのピアでもユーザ名とパスワードを入力するプロンプトが表示されます。また、リモート スタティック ピア(Cisco IOS ルータ)は、ローカル Cisco IOS ルータと Internet Key Exchange(IKE; インターネット キー エクスチェンジ)Security Association(SA; セキュリティ アソシエーション)を確立できません (Xauth は任意のエクスチェンジではないため、ピアが Xauth 要求に応答しない場合、IKE SA は削除されます)。したがって、この機能を実装しない限り、(Xauth に応答できない)他の Cisco IOS ルータだけでなく(Xauth が必要な)VPN クライアントへの IPsec を終了するのに同じインターフェイスは使用できません。

利点

VPN クライアント対 Cisco IOS IPsec およびルータ間 IPsec が 1 つのインターフェイスに存在する場合、スタティック IPsec ピアの拡張認証を無効にする機能により、ユーザは、ルータ間 IPsec の事前共有鍵を設定しながら、Xauth をディセーブルにできます。したがって、ルータによりピアのユーザ名およびパスワードは要求されません。これらは、VPN クライアント対 Cisco IOS IPsec の Xauth が発生するときに転送されます。

制約事項

Xauth は、事前共有鍵が指定の暗号マップの認証メカニズムとして使用されている場合だけ、ディセーブルにできます。

関連資料

Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Configuring Internet Key Exchange for IPsec VPNs 」の章

Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Configuring Security for VPNs with IPsec 」の章

『Cisco IOS Security Command Reference』

サポートされている規格、MIB、および RFC

規格

なし

MIB

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

この機能によってサポートされる新しい RFC や変更された RFC はありません。

前提条件

スタティック IPsec ピアの Xauth をディセーブルにする前に、次の作業を行う必要があります。

AAA(Authentication, Authorization, and Accounting; 認証、認可、アカウンティング)をイネーブルにする。


) VPN クライアント対 Cisco IOS で AAA 認証が使用されている場合だけ AAA の設定が必要です。


IPsec トランスフォームを設定する。

スタティック クリプト マップを設定する。

ISAKMP ポリシーを設定する。

設定作業

スタティック IPsec ピアの拡張認証を無効にする機能の設定作業については、次の項を参照してください。一覧内の各作業は、必須と任意に分けています。

「スタティック IPsec ピアの Xauth のディセーブル化」

スタティック IPsec ピアの Xauth のディセーブル化

ルータ間 IPsec の Xauth をディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# crypto isakmp key keystring address peer-address [mask] [no-xauth]

事前共有認証キーを設定します。

no-xauth キーワードを 使用するのは、ルータ間 IPsec が VPN クライアント対 Cisco IOS IPsec と同じクリプト マップにある場合です 。このキーワードにより、ルータは、ピアに Xauth 情報を求めることがなくなります。

事前共有鍵のローカル ピアおよびリモート ピアを設定する必要があります。

(注) 事前共有鍵は、IKE メイン モードでの事前共有鍵認証の設計に従い、ピアの IP アドレスを基にしている必要があります。事前共有鍵認証の ID としてホスト名を送信できますが、鍵はピアの IP アドレスを基に検索されます。(IP アドレスに基づいて)鍵が検索されなかった場合、ネゴシエーションが失敗します。

設定例

ここでは、次の設定例について説明します。

「スタティック IPsec ピア設定の Xauth のディセーブル化」

スタティック IPsec ピア設定の Xauth のディセーブル化

次に、ローカル ピアで事前共有鍵が指定され、その IP アドレスでリモート ピアが指定され、Xauth がディセーブルにされている例を示します。

crypto isakmp key sharedkeystring address 172.21.230.33 no-xauth

スタティック IPsec ピアの拡張認証を無効にする機能の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 スタティック IPsec ピアの拡張認証を無効にする機能の機能情報

機能名
リリース
機能情報

スタティック IPsec ピアの拡張認証を無効にする機能

12.2(4)T

この機能によりユーザは、Xauth をディセーブルにし、ルータに対して Xauth 情報が求められないようにできます。

次のコマンドが変更されました。
crypto isakmp key