Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
詳細情報
詳細情報
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

詳細情報

IP アドレスとサブネット マスク

ホストやネットワークを指定するフィールド

使用可能なインターフェイス設定

DHCP アドレス プール

キーワード「許可」と「拒否」の意味

サービスとポート

NAT に関する詳細情報

スタティック アドレス変換のシナリオ

ダイナミック アドレス変換のシナリオ

で NAT ルールを編集できない原因

VPN に関する詳細情報

Cisco.com のリソース

VPN 接続と IPSec ポリシーに関する詳細情報

IKE に関する詳細情報

IKE ポリシーに関する詳細情報

許容されるトランスフォームの組み合わせ

シリアル インターフェイスまたはシリアル サブインターフェイスの設定が読み取り専用になる原因

ATM インターフェイスまたは ATM サブインターフェイスの設定が読み取り専用になる原因

イーサネット インターフェイスの設定が読み取り専用になる原因

ISDN BRI インターフェイスの設定が読み取り専用になる原因

アナログ モデム インターフェイスの設定が読み取り専用になる原因

DMVPN の設定に関する推奨事項

のホワイト ペーパー

詳細情報

ここでは、Cisco CP オンライン ヘルプで説明している項目に関する詳細情報を示します。

IP アドレスとサブネット マスク

このトピックでは、IP アドレスとサブネット マスクの背景情報を説明し、Cisco CP にアドレスとマスクを入力するときにこの情報を適用する方法について説明します。

IP(バージョン 4)アドレスは 32 ビット長、つまり 4 バイト長です。このアドレス「空間」は、次を指定するために使用します。

ネットワーク番号

オプションのサブネットワーク番号

ホスト番号


) Cisco CP では、IP バージョン 6 はサポートされていません。


Cisco CP では、IP アドレスをドット(.)で区切った 10 進表記で入力する必要があります。この表記方式では、アドレスをわかりやすく扱いやすいものにするため、32 ビットを 4 つのオクテットに分け、これらをピリオドつまり「ドット」で区切られた 10 進数にして、172.16.122.204 のように表現します。10 進表記のアドレス 172.16.122.204 は、次の図が示す 2 進表記の IP アドレスを表しています。

 

サブネット マスクは、32 ビットのうち、ネットワーク番号に使用するビットの数を指定します。さらに、サブネット化を採用している場合は、ネットワーク番号とサブネット番号に使用するビットの数を指定します。これはバイナリ マスクです。ネットワーク番号とサブネット番号を表すために使用する桁(ビット)のすべてに 1 を設定します。IP アドレスと同様にこのマスクも 32 ビット値であり、10 進表記で表されます。次の図は、Cisco CP に入力したサブネット マスクを示しています。サブネット マスクと、そのマスクに設定されているビットの数が Cisco CP に表示されています。

 

Cisco CP に入力されたこれらの値は、次の図に示すバイナリ マスクを表しています。

 

このサブネット マスクは、ネットワーク番号とサブネット番号が IP アドレスの最初の 24 ビットによって表されること、および、指定されたネットワークとサブネットの内部のホスト番号が最後の 8 ビットによって表されることを示しています。サブネット マスクは、ここに示したようなドット(.)で区切った 10 進表記で[サブネット マスク]フィールドに入力します。または、ビット フィールドで適切なビット数を選択します。一方のフィールドで値を入力または選択すると、Cisco CP によってもう一方のフィールドの値が自動調整されます。

ネットワークとサブネットを指定する部分に、バイナリのゼロ(0)が発生するような 10 進表記マスクを入力すると、警告ウィンドウが表示されます。次の[サブネット マスク]フィールドには、2 進表記するとネットワーク/サブネット番号部分にゼロが含まれる 10 進表記マスクが入力されています。右側のビット数フィールドは空になっています。これは、[サブネット マスク]フィールドに無効な値が入力されたことを示しています。

 

ネットワーク アドレスが Cisco CP ウィンドウに表示されるときには、次の例のように、IP アドレスとそのアドレスのサブネット マスクが「ネットワーク アドレス/サブネット ビット数」形式で表示されることがあります。

172.28.33.0/24
 

この例では、ネットワーク アドレスは 172.28.33.0 です。24 という数値は、使用されているサブネット ビットの数を示します。これは、255.255.255.0 というサブネット マスクの簡略表記と考えることができます。

パブリックなインターネットで使用されるアドレスは、使用時にそれぞれが完全に一意になる必要があります。プライベート ネットワークでは、アドレスはプライベート ネットワークまたはサブネットワーク内でだけ一意であれば問題ありません。

また、アドレスは、 NAT PAT などの手法を使用して変換できます。また、 DHCP を使用して一時的に割り当てることもできます。NAT、PAT、および DHCP の設定は、Cisco CP を使用して行うことができます。

ホストやネットワークを指定するフィールド

このトピックでは、ネットワーク アドレス、ホスト アドレス、またはホスト名を指定できるウィンドウでホスト情報またはネットワーク情報を指定する方法について説明します。

ネットワークまたはホストを指定します。

タイプ

次のタイプがあります。

[ネットワーク]― このタイプを選択する場合は、[IP アドレス]フィールドにネットワーク アドレスを入力します。ワイルドカード マスクを使用すると、1 つのネットワーク番号を入力するだけで複数のサブネットを指定できます。

[ホスト名または IP アドレス]― このタイプを選択する場合は、次のフィールドにホスト IP アドレスまたはホスト名を入力します。

[任意の IP アドレス]― 指定したアクションが、すべてのホストとネットワークに適用されます。

IP アドレス/ワイルドカード マスク

ネットワーク アドレスを入力した後、ワイルドカード マスクを入力すると、ネットワーク アドレスの完全一致部分を指定できます。

たとえば、ネットワーク アドレスとして「10.25.29.0」を、ワイルドカード マスクとして「0.0.0.255」を入力すると、送信元アドレスが 10.25.29 で始まる Java アプレットにフィルタがかけられます。ワイルドカード マスクが 0.0.255.255 の場合、送信元アドレスが 10.25 で始まる Java アプレットにフィルタがかけられます。

ホスト名/IP

このフィールドは、タイプとして[ホスト名または IP アドレス]を選択した場合に表示されます。ホスト名を入力する場合は、ホスト名を IP アドレスに解決できる DNS サーバがネットワーク上にあることを確認してください。

使用可能なインターフェイス設定

次の表は、使用可能な設定をインターフェイス タイプ別に示しています。

 

選択したタイプ
追加可能な項目

イーサネット インターフェイス

PPPoE 接続

トンネル インターフェイス

ループバック インターフェイス

次のいずれか

PPPoE 接続を使用するイーサネット

ADSL 設定または G.SHDSL 設定に関連付けられているダイヤラ インターフェイス

PPP 設定または HDLC 設定に関連付けられているシリアル インターフェイス

フレーム リレー設定に関連付けられているシリアル サブインターフェイス

サポートされていない WAN インターフェイス

トンネル インターフェイス

ループバック インターフェイス

カプセル化を行わない ATM インターフェイス

ADSL インターフェイス

G.SHDSL インターフェイス

上記のいずれかのためのトンネルまたはループバック

シリアル インターフェイス

フレーム リレー接続

PPP 接続

トンネル インターフェイス

ループバック インターフェイス

ATM サブインターフェイス

イーサネット サブインターフェイス

ATM インターフェイスに関連付けられていないダイヤラ インターフェイス

ループバック

トンネル

トンネル インターフェイス

ループバック インターフェイス

DHCP アドレス プール

DHCP サーバによって割り当てられる IP アドレスは、範囲内の開始 IP アドレスと終了 IP アドレスを指定することによって設定した共通プール内のアドレスです。

指定するアドレス範囲は、次のプライベート アドレスの範囲内である必要があります。

10.1.1.1 ~ 10.255.255.255

172.16.1.1 ~ 172.31.255.255

また、指定するアドレス範囲は、LAN インターフェイスの IP アドレスと同じサブネットに属している必要があります。この範囲によって表すことができるアドレスの数は、最大 254 個です。次の例では、有効な範囲を示します。

10.1.1.1 ~ 10.1.1.254(LAN IP アドレスが 10.1.1.0 のサブネットに属している場合)

172.16.1.1 ~ 172.16.1.254(LAN IP アドレスが 172.16.1.0 のサブネットに属している場合)

Cisco CP からルータを設定すると、LAN インターフェイスの IP アドレスはプールから自動的に除外されます。

予約済みアドレス

次のアドレスは、指定するアドレス範囲に含めることができません。

ネットワークまたはサブネットワークの IP アドレス。

ネットワークのブロードキャスト アドレス。

キーワード「許可」と「拒否」の意味

ルール エントリは、アクセス ルール、NAT ルール、IPSec ルール、およびルート マップに関連付けられたアクセス ルールで使用されます。「許可」と「拒否」の意味は、これらのキーワードを使用するルールのタイプによって異なります。

 

ルール タイプ
「許可」の意味
「拒否」の意味

アクセス ルール

ルールが適用されたインターフェイスでのインバウンドまたはアウトバウンド トラフィックのうち、条件に一致するものを許可する。

条件に一致するトラフィックを廃棄する。

NAT ルール

条件に一致する IP アドレスを、指定された 内部ローカル アドレスまたは 外部ローカル アドレスに変換する。

アドレスを変換しない。

IPSec ルール
(拡張ルールのみ)

アドレスが条件に一致するトラフィックを暗号化する。

トラフィックを暗号化しない。暗号化なしで送信することを許可する。

ルート マップで使用されるアクセス ルール

条件に一致するアドレスを NAT 変換から保護する。

条件に一致するアドレスは NAT 変換から保護しない。

サービスとポート

このトピックでは、ルールに指定できるサービスと、それに対応するポート番号を示します。また、各サービスについて簡単に説明します。

このトピックは、次のセクションに分かれています。

TCP サービス

UDP サービス

ICMP メッセージ タイプ

IP サービス

インスペクション ルール内に指定できるサービス

TCP サービス

 

TCP サービス
ポート番号
説明

bgp

179

Border Gateway Protocol (BGP)。BGP プロトコルを使用している他のシステムとの間で到達可能性情報を交換する。

chargen

19

Character Generator。

cmd

514

リモート コマンド。exec とほぼ同じ。ただし cmd は自動認証に対応している。

daytime

13

Daytime。

discard

9

Discard。

domain

53

ドメイン ネーム サービス。ネットワーク ノード名をアドレスに変換するためにインターネット上で使用されているシステム。

echo

7

エコー要求。ping コマンドが発行されたときに送信されるメッセージ。

exec

512

リモート プロセスの実行。

finger

79

Finger。特定のインターネット サイトに対するアカウントがあるかどうかを確認するアプリケーション。

ftp

21

ファイル転送プロトコル。ネットワーク ノード間でのファイル転送に使用されるアプリケーション層プロトコル。

ftp-data

20

FTP データ接続。

gopher

70

Gopher。分散型文書配信システム。

hostname

101

NIC ホスト名サーバ。

ident

113

Ident プロトコル。

irc

194

Internet Relay Chat。ユーザ間でリアルタイムにテキスト メッセージ交換が行えるようにする、全世界にまたがるプロトコル。

klogin

543

Kerberos ログイン。Kerberos は、ネットワーク ユーザの認証に利用されている、開発中の標準である。

kshell

544

Kerberos シェル。

login

513

ログイン。

lpd

515

Line Printer Daemon。UNIX システム間で印刷ジョブの送信に使用されるプロトコル。

nntp

119

ネットワーク ニュース転送プロトコル。

pim-auto-rp

496

プロトコル独立マルチキャスト(PIM)の Auto-RP。PIM は、既存 IP ネットワークへのマルチキャスト IP ルーティングの追加を可能にするマルチキャスト ルーティング アーキテクチャである。

pop2

109

Post Office Protocol v2。メール サーバからメールを取得するときにクライアントの電子メール アプリケーションで使用されるプロトコル。

pop3

110

Post Office Protocol v3。

smtp

25

簡易メール転送プロトコル。電子メール サービスを提供するインターネット プロトコル。

sunrpc

111

SUN リモート プロシージャ コール。「rpc」を参照してください。

syslog

514

システム ログ。

UDP サービス

 

UDP サービス
ポート番号
説明

biff

512

メール システムが新しいメールの着信をユーザに通知するときに使用される。

bootpc

69

Bootstrap Protocol(BOOTP)クライアント。

bootps

67

Bootstrap Protocol(BOOTP)サーバ。

discard

9

Discard。

dnsix

195

DNSIX セキュリティ プロトコル関連の監査。

domain

53

ドメイン ネーム サービス(DNS)。

echo

7

echo」を参照してください。

isakmp

500

Internet Security Association and Key Management Protocol。

mobile-ip

434

Mobile IP 関連の登録処理。

nameserver

42

IEN116 ネーム サービス(廃止)。

netbios-dgm

138

NetBios データグラム サービス。Network Basic Input Output System。アプリケーションが下位のネットワーク プロセスにサービスを要求するときに使用する API。

netbios-ns

137

NetBIOS ネーム サービス。

netbios-ss

139

NetBIOS セッション サービス。

ntp

123

ネットワーク タイム プロトコル。インターネット上の電波時計または原子時計を参照してローカルの時刻情報を正確に保つ TCP プロトコル。

pim-auto-rp

496

プロトコル独立マルチキャスト(Reverse Path Flooding、稠密モード)。

rip

520

ルーティング インフォメーション プロトコル。ルータ間でルート情報の交換に使用されるプロトコル。

snmp

161

簡易ネットワーク管理プロトコル。ネットワーク デバイスの監視と制御に使用されるプロトコル。

snmptrap

162

SNMP トラップ。リモート管理対象のシステムでイベントが発生したことを知らせる、システム管理用の通知。

sunrpc

111

SUN リモート プロシージャ コール。クライアントによって作成または指定され、サーバ上で実行されるプロシージャ コール。その結果はネットワーク経由でクライアントに返される。

syslog

514

システム ログ サービス。

tacacs

49

Terminal Access Controller Access Control System。リモート アクセス認証サービスと関連サービス(ロギングなど)を提供する認証プロトコル。

talk

517

Talk。テレタイプ端末間通信用に考案されたプロトコル。ただし、現在このポートは TCP 接続を確立できるランデブー ポートである。

tftp

69

Trivial File Transfer Protocol。FTP を簡素化したもの。このプロトコルを使用するとネットワーク ノード間でファイルを転送できる。

time

37

Time。

who

513

ローカル ネット上のマシンにログインしたユーザとマシンの平均負荷を示すデータベースへのポート。

xdmcp

177

X-Display Manager Client Protocol。X ディスプレイ(クライアント)と X ディスプレイ マネージャの間の通信に使用されるプロトコル。

non500-isakmp

4500

Internet Security Association and Key Management Protocol。このキーワードは、NAT トラバーサル ポート フローティングが必要な場合に使用する。

ICMP メッセージ タイプ

 

ICMP メッセージ
ポート番号
説明

alternate-address

6

代替ホスト アドレス。

conversion-error

31

データグラム変換エラーの報告のために送信される。

echo

8

ping コマンドが発行されたときに送信されるメッセージのタイプ。

echo-reply

0

エコー要求(ping)メッセージへの応答。

information-reply

16

廃止。ホストが所属ネットワークの番号を検出するために送信したメッセージへの応答。現在は DHCP が利用されている。

information-request

15

廃止。ホストが所属ネットワークの番号を検出するために送信したメッセージ。現在は DHCP が利用されている。

mask-reply

18

ホストが所属ネットワークのネットワーク マスクを検出するために送信したメッセージへの応答。

mask-request

17

廃止。ホストが所属ネットワークのネットワーク マスクを検出するために送信したメッセージ。

mobile-redirect

32

モバイル ホストのリダイレクト。宛先へのパスの最初のホップ ノードとしてより適しているノードをモバイル ホストに通知するために送信される。

parameter-problem

12

ヘッダーに問題があるパケットへの応答として生成されたメッセージ。

redirect

5

宛先へのパスの最初のホップ ノードとしてより適しているノードをホストに通知するために送信される。

router-advertisement

9

定期的に送信されるか、ルータ送信要求に応じて送信される。

router-solicitation

10

ルータに対し、ルータ アドバタイズ メッセージを速やかに生成するように促すために送信されるメッセージ。

source-quench

4

パケットをネクスト ホップへ転送するためのパケット キューイングに使用できるバッファ スペースが十分にない場合に送信される。または、宛先ルータでのパケット到着のペースがパケット処理のペースを上回っている場合に宛先ルータによって送信される。

time-exceeded

11

受信パケットの TTL フィールドの値がゼロになったことを通知するために送信される。

timestamp-reply

14

2 つのデバイスの同期に利用されるタイムスタンプを送信するように求める要求への応答。

timestamp-request

13

2 つのデバイスの同期に利用されるタイムスタンプを送信するように求める要求。

traceroute

30

traceroute 要求を発行したホストへの応答として送信されるメッセージ。

unreachable

3

宛先到達不可。輻輳以外の理由が原因でパケットを送達できない。

IP サービス

 

IP サービス
ポート番号
説明

aahp

51

eigrp

88

Enhanced Interior Gateway Routing Protocol。Cisco が開発した IGRP の拡張版。

esp

50

拡張サービス プロセッサ。

icmp

1

インターネット制御メッセージ プロトコル。エラーを報告し、IP パケット処理に関するその他の情報を提供するネットワーク層プロトコル。

igmp

2

Internet Group Management Protocol。IP ホストがそのホスト自体のマルチキャスト グループのメンバ情報を隣接マルチキャスト ルータに通知するときに使用される。

ip

0

インターネット プロトコル。コネクションレス型インターネットワーク サービスを提供するネットワーク層プロトコル。

ipinip

4

IP-in-IP カプセル化。

nos

94

ネットワーク オペレーティング システム。分散型ファイル システム プロトコル。

ospf

89

Open Shortest Path First。リンクステート型階層ルーティングのアルゴリズム。

pcp

108

ペイロード圧縮プロトコル。

pim

103

プロトコル独立マルチキャスト(PIM)。PIM は、既存 IP ネットワークへのマルチキャスト IP ルーティングの追加を可能にするマルチキャスト ルーティング アーキテクチャである。

tcp

6

転送制御プロトコル。信頼性のある全二重データ転送を提供する接続指向のトランスポート層プロトコル。

udp

17

ユーザ データグラム プロトコル。TCP/IP プロトコル スタックのトランスポート層のコネクションレス型プロトコル。

インスペクション ルール内に指定できるサービス

 

プロトコル
説明

cuseeme

ビデオ会議用のプロトコル。

fragment

フラグメント インスペクションを実行することを示す。

ftp

ftp」を参照してください。

h323

H.323」を参照してください。

http

HTTP」を参照してください。

icmp

icmp」を参照してください。

netshow

NetShow。ストリーミング ビデオ用のプロトコル。

rcmd

リモート コマンド。ローカル システムからリモート システムに対してコマンドが実行されるときに使用されるプロトコル。

realaudio

RealAudio。ストリーミング オーディオ用のプロトコル。

rpc

リモート プロシージャ コール。クライアントによって作成または指定され、サーバ上で実行されるプロシージャ コール。その結果はネットワーク経由でクライアントに返される。

rtsp

Real-Time Streaming Protocol。リアルタイム配信データの配信制御に使用されるアプリケーション レベル プロトコル。

sip

Session Initiation Protocol。SIP は、テレフォニー サービスとデータ サービスの統合に使用されているテレフォニー プロトコルである。

skinny

テレフォニー クライアントを H.323 準拠にすることができるテレフォニー プロトコル。

smtp

smtp」を参照してください。

sqlnet

ネットワーク対応データベース用のプロトコル。

streamworks

StreamWorks プロトコル。ストリーミング ビデオ用のプロトコル。

tcp

tcp」を参照してください。

tftp

tftp」を参照してください。

udp

udp」を参照してください。

vdolive

VDOLive プロトコル。ストリーミング ビデオ用のプロトコル。

NAT に関する詳細情報

このセクションでは、NAT 変換ルールを指定するウィンドウに入力するときに役立つ情報をシナリオにまとめて紹介します。また、その他に、CLI を使用して作成した NAT ルールを Cisco CP で編集できない場合の原因も説明します。

スタティック アドレス変換のシナリオ

以下のシナリオでは、スタティック アドレス変換ルールの使用方法を説明します。

シナリオ 1

1 つのホストの IP アドレスをパブリック アドレスにマッピングする必要があるとします。そのホストのアドレスは 10.12.12.3 です。パブリック アドレスは 172.17.4.8 です。

次の表は、[アドレス変換ルールの追加]ウィンドウのフィールドの使用方法について示しています。

 

スタティック/ダイナミック
変換元インターフェイスのフィールド
変換先インターフェイスのフィールド
IP アドレス
ネット マスク
IP アドレス
リダイレクト ポート

スタティック

10.12.12.3

空白のままにする

172.17.4.8

選択解除された状態のままにする

結果

ルータから送出されるパケットでは、元のアドレス 10.12.12.3 がアドレス 172.17.4.8 に変換されます。このネットワークに他の NAT ルールがない場合、このネットワークでは 10.12.12.3 が唯一の変換対象アドレスになります。

シナリオ 2

ネットワーク内の各 IP アドレスをそれぞれ一意のパブリック IP アドレスにマッピングする必要があり、各マッピングごとにルールを作成しなくても済むようにしたいと考えているとします。変換前のネットワーク番号は 10.l2.12.0、変換後のネットワーク番号は 172.17.4.0 です。ただし、このシナリオでは、変換前と変換後のネットワーク番号を意識する必要はありません。ホスト アドレスとネットワーク マスクを入力するだけで済みます。

次の表は、[アドレス変換ルールの追加]ウィンドウのフィールドの使用方法について示しています。

 

スタティック/ダイナミック
変換元インターフェイスのフィールド
変換先インターフェイスのフィールド
IP アドレス
ネット マスク
IP アドレス
リダイレクト ポート

スタティック

10.12.12.35
(ホスト)

255.255.255.0

172.17.4.8
(ホスト)

選択解除された状態のままにする

結果

NAT により、ホスト IP アドレスとサブネット マスクから「変換元」のネットワーク アドレスが導き出されます。また、「変換元」用のフィールドに入力されたネット マスクと「変換先」の IP アドレスに基づいて、「変換先」のネットワーク アドレスも導き出されます。送信元ネットワークから送出されたパケットに含まれる元の IP アドレスは、172.17.4.0 のネットワークに属するアドレスに変換されます。

シナリオ 3

内部ネットワークの複数のホストに同一のグローバル IP アドレスを使用する必要があるとします。インバウンド トラフィックに含まれるポート番号は宛先ホストに応じて異なります。

次の表は、[アドレス変換ルールの追加]ウィンドウのフィールドの使用方法について示しています。

 

スタティック/ダイナミック
変換元インターフェイスのフィールド
変換先インターフェイスのフィールド
IP アドレス
ネット マスク
IP アドレス
リダイレクト ポート

スタティック

10.12.12.3

空白のままにする

172.17.4.8

UDP

[元のポート]: 137

[変換後のポート]: 139

結果

ルータから送出されるパケットでは、元のアドレス 10.12.12.3 がアドレス 172.17.4.8 に変換されます。[リダイレクト ポート]フィールドのポート番号は、137 から 139 に変更されます。宛先アドレスが 172.17.4.8 のリターン トラフィックについては、IP アドレスが 10.12.12.3 のホストのポート番号 137 にルート指定されます。

作成するホスト/ポート マッピングごとに別個のエントリを作成する必要があります。「変換先」IP アドレスについてはすべてのエントリで同一のアドレスを使用できますが、「変換元」IP アドレスについてはエントリごとに異なるアドレスを入力する必要があり、ポート番号の組み合わせについてもエントリごとに異なっていなければなりません。

シナリオ 4

元のアドレス(「変換元」IP アドレス)を、ルータの Fast Ethernet 0/1 インターフェイスに割り当てられている IP アドレス 172.17.4.8 に変換します。また、内部ネットワークの複数のホストに同一のグローバル IP アドレスを使用する必要があるとします。インバウンド トラフィックに含まれるポート番号は宛先ホストに応じて異なります。次の表は、[アドレス変換ルールの追加]ウィンドウのフィールドの使用方法について示しています。

 

スタティック/ダイナミック
変換元インターフェイスのフィールド
変換先インターフェイスのフィールド
IP アドレス
ネット マスク
IP アドレス
リダイレクト ポート

スタティック

10.12.12.3

空白のままにする

FastEthernet 0/1

UDP

[元のポート]: 137

[変換後のポート]: 139

結果

ルータから送出されるパケットでは、元のアドレス 10.12.12.3 がアドレス 172.17.4.8 に変換されます。[リダイレクト ポート]フィールドのポート番号は、137 から 139 に変更されます。宛先アドレスが 172.17.4.8 でポート番号が 139 のリターン トラフィックについては、IP アドレスが 10.12.12.3 のホストのポート番号 137 にルート指定されます。

ダイナミック アドレス変換のシナリオ

以下のシナリオでは、ダイナミック アドレス変換ルールの使用方法を説明します。各シナリオは、[内部から外部へ]または[外部から内部へ]を選択している場合に使用できます。

シナリオ 1

元のアドレス(「変換元」IP アドレス)を、ルータの Fast Ethernet 0/1 インターフェイスに割り当てられている IP アドレス 172.17.4.8 に変換します。各ホストに関連付けられているトラフィックを識別するために、ポート アドレス 変換( PAT)が使用されます。「変換元」アドレスを定義するために使用する ACL ルールは、次のように設定します。

access-list 7 deny host 10.10.10.1
access-list 7 permit 10.10.10.0 0.0.0.255
 

NAT ルール内でこのアクセス ルールを使用すると、10.10.10.0 のネットワークに属するホストは、アドレスが 10.10.10.1 のホストを除き、いずれもアドレス変換が適用されます。

次の表は、[アドレス変換ルールの追加]ウィンドウのフィールドの使用方法について示しています。

 

スタティック/
ダイナミック
変換元
インターフェイスのフィールド
変換先インターフェイスのフィールド
ACL ルール
タイプ
インターフェイス
アドレス プール

ダイナミック

7

インターフェイス

FastEthernet0/1

無効

結果

10.10.10.0 のネットワーク上にあるどのホストからのトラフィックも、元の IP アドレスが 172.17.4.8 に変換されます。各ホストに関連付けられているトラフィックを識別するために、PAT が使用されます。

シナリオ 2

上記のシナリオの access-list 7 に指定されているホスト アドレスを、定義済みのプールに含まれているアドレスに変換します。プール内のアドレスが足りなくなった場合、それ以降にプール内のアドレスが必要になったときには、PAT を使用して対応するものとします。

次の表は、このシナリオの[アドレス プール]ウィンドウのフィールドの使用方法を示しています。

 

プール名
ポート アドレス変換
IP アドレスのフィールド
ネットワーク マスク

Pool 1

選択する

172.16.131.2

172.16.131.10

255.255.255.0

次の表は、このシナリオでの[アドレス変換ルールの追加]ウィンドウのフィールドの使用方法について示しています。

 

スタティック/
ダイナミック
変換元
インターフェイスのフィールド
変換先インターフェイスのフィールド
ACL ルール
タイプ
インターフェイス
アドレス プール

ダイナミック

7

アドレス プール

無効

Pool 1

結果

ネットワークのホスト IP アドレス 10.10.10.0 は、172.16.131.2 から 172.16.131.10 の範囲の IP アドレスに変換されます。アドレス変換要求の数が、Pool 1 で使用可能なアドレスの数よりも多い場合、これ以降の要求を満たすために同じアドレスが使用されますが、このアドレスを使用しているホストを区別するためには PAT が使用されます。

Cisco CP で NAT ルールを編集できない原因

以前に設定した NAT ルールが読み取り専用になり、設定の変更ができなくなるのは、次の手段を使用してスタティック NAT ルールを設定している場合です。

Cisco IOS コマンド inside source static および destination

「extendable」、「no-alias」、「no-payload」のいずれかのキーワードが指定された inside source static network コマンド

「extendable」、「no-alias」、「no-payload」のいずれかのキーワードが指定された outside source static network コマンド

「no-alias」、「no-payload」のいずれかのキーワードが指定された inside source static tcp コマンド

「no-alias」、「no-payload」のいずれかのキーワードが指定された inside source static udp コマンド

「no-alias」、「no-payload」のいずれかのキーワードが指定された outside source static tcp コマンド

「no-alias」、「no-payload」のいずれかのキーワードが指定された outside source static udp コマンド

「no-alias」、「no-payload」、「extendable」、「redundancy」、「route-map」、「vrf」のいずれかのキーワードが指定された inside source static コマンド

「no-alias」、「no-payload」、「extendable」、「add-route」のいずれかのキーワードが指定された outside source static コマンド

キーワード「esp」が指定された inside source static コマンド

interface コマンドが指定された inside source static コマンド

ダイナミック NAT ルールの設定にループバック インターフェイスが使用されている場合。

VPN に関する詳細情報

以下のトピックでは、VPN、DMVPN、IPSec、IKE に関する詳細情報を示します。

Cisco.com のリソース

次のリンクは、VPN の問題に関連する TAC リソースやその他の情報へのリンクです。

仮想プライベート ネットワークの動作

ダイナミック マルチポイント IPSec VPN

IP Security のトラブルシューティング - debug コマンドの理解と使用

Field Notice(英語)

VPN 接続と IPSec ポリシーに関する詳細情報

VPN 接続はルータ インターフェイスと IPSec ポリシーを関連付けたものです。IPSec ポリシーの基本要素は暗号マップです。暗号マップには、暗号化を制御するトランスフォーム セットとその他のパラメータ、1 つ以上のピアの識別情報、および暗号化対象のトラフィックを特定する IPSec ルールが指定されています。1 つの IPSec ポリシーに複数の暗号マップを含めることができます。

次の図は、IPSec ポリシーに関連付けられたインターフェイス(ATM 3/1.1)を示しています。このポリシーには 3 つの暗号マップがあり、各マップにはそれぞれ異なるピア システムが指定されています。したがって、ATM 3/1.1 インターフェイスは 3 つの VPN 接続に関連付けられています。

 

暗号マップでは、1 つの接続に対して複数のピアを指定できます。これにより、冗長性を実現することができます。次の図では、インターフェイスとポリシーは前の図と同じですが、暗号マップについては Crypto Map 3 に指定されているピアが Topeka と Lawrence の 2 つになっています。

 

1 つのルータ インターフェイスを関連付けできる IPSec ポリシーは 1 つのみです。ただし、1 つの IPSec ポリシーを複数のルータ インターフェイスに関連付けることはできます。また、暗号マップでは 1 つの接続に対して複数のピアを指定することができます。次の図では、2 つのルータ インターフェイスが 1 つのポリシーに関連付けられており、1 つの暗号マップに 2 つのピアが指定されています。

 

この設定では、Dialer 3 と Serial 1/1 の両方が Seattle、Chicago、Topeka、および Lawrence に接続しており、6 つの VPN 接続が存在します。Cisco CP では、どちらのインターフェイスに対しても Topeka と Laurence へのリンクが 1 つの接続として表示されます。

IKE に関する詳細情報

IKE で処理されるタスクには次のものがあります。

認証

セッション ネゴシエーション

キー交換

IPSec トンネルのネゴシエーションと設定

認証

認証は、IKE で処理されるタスクの中でおそらく最も重要なタスクです。また、これは疑いなく最も複雑なタスクです。何かについて交渉する場合に最も重要なことは、交渉相手を知っていることです。IKE では、複数の方法から 1 つを使用して、交渉(ネゴシエーション)の当事者間の相互認証が行われます。

事前共有キー 。IKE パケットの送信元が間違いなく共有キーの保有者であることを、ハッシュ法を利用して確認します。

DSS デジタル署名または RSA デジタル署名 。デジタル署名を使用するパブリック キー暗号化方式を利用して、各当事者の身元証明を確認します。

RSA 暗号化 。2 つの方法のうちの一方を使用してネゴシエーションを十分に暗号化し、正しい秘密キーを持つ当事者のみがネゴシエーションを継続できるようにします。


) Cisco CP では、事前共有キーによる認証がサポートされています。


セッション ネゴシエーション

セッション ネゴシエーションの際には、認証の実行方法や、以後のネゴシエーション(IPSec トンネルのネゴシエーション)を保護する方法が、当事者間でネゴシエートされます。次の項目がネゴシエートされます。

認証方法 。上記の認証方法のいずれかです。

キー交換アルゴリズム 。公開のメディアを介して暗号キーを安全に交換できるようにするための数学的な技術です(Diffie-Hellman が使用されます)。交換されたキーは、暗号化アルゴリズムやパケット署名アルゴリズムで使用されます。

暗号化アルゴリズム :DES、3DES、または AES

パケット署名アルゴリズム :MD5 または SHA-1

キー交換

以後のトランザクションのセキュリティ保護のため、ネゴシエート済みのキー交換方式(このトピックの「セッション ネゴシエーション」を参照)を使用して、十分なビット長を持つ暗号キー材料が作成されます。これにより、各 IKE セッションを新しい安全なキー セットで保護できるようになります。

認証、セッション ネゴシエーション、およびキー交換は IKE ネゴシエーションのフェーズ 1 で行われます。

IPSec トンネルのネゴシエーションと設定

安全に情報を交換できる方法についてのネゴシエーション(フェーズ 1)が完了すると、IPSec トンネルのネゴシエーションが IKE を使用して行われます。これは IKE フェーズ 2 として行われます。この交換プロセスでは、IPSec トンネルで使用されるキー材料が新しく作成されます。このキー材料は、IKE フェーズ 1 のキーを元にして作成されるか、新しいキー交換を行って作成されます。トンネルで使用される暗号化アルゴリズムと認証アルゴリズムもネゴシエートされます。

IKE ポリシーに関する詳細情報

IKE ネゴシエーションが開始されると、2 つのピアに同一の IKE ポリシーがあるかどうかが検査されます。ネゴシエーションの開始側のピアは、自己のポリシーをすべてリモート ピアに送信します。リモート ピアは、それらに一致するポリシーを検索します。リモート ピアは、自己の最も優先順位が高いポリシーと相手ピアから受信したポリシーを比較して、一致するかどうかを調べます。一致するものが見つかるまで、優先順位の高いものから順に自己のポリシーを 1 つずつ確認します。

暗号化関連、ハッシュ関連、認証関連、および Diffie-Hellman 関連のパラメータ値がこれらの 2 つのピアのポリシーで同じになっており、リモート ピアのポリシーに指定されているライフタイムが比較対象のポリシーのライフタイム以下である場合に、一致と見なされます。ライフタイムが異なる場合、リモート ピアのポリシーに指定されている短い方のライフタイムが使用されます。

許容されるトランスフォームの組み合わせ

トランスフォーム セットを定義するには、1 ~ 3 個のトランスフォームを指定します。各トランスフォームは、IPSec セキュリティ プロトコル( AH または ESP)と、使用するアルゴリズムを示します。IPSec セキュリティ アソシエーションのネゴシエーションに特定のトランスフォーム セットを使用する場合、そのトランスフォーム セット全体(プロトコル、アルゴリズム、およびその他の設定の組み合わせ)が、リモート ピアのトランスフォーム セットの 1 つと一致している必要があります。

次の表は、AH プロトコルまたは ESP プロトコルに対して使用できるトランスフォームの選択肢の組み合わせを示しています。

 

AH トランスフォーム
1 つのみ選択可
ESP 暗号化
トランスフォーム
1 つのみ選択可
認証トランスフォーム
1 つのみ選択可
IP 圧縮トランスフォーム
1 つのみ選択可

(選択できるトランスフォームは 3 個まで)

ah-md5-hmac

ah-sha-hmac

esp-des

esp-3des

esp-null

es-aes-128

esp-aes-192

esp-aes-256

esp-seal

esp-md5-hmac

esp-sha-hmac

comp-lzs

1. ah-md5-hmac

2. esp-3des および esp-md5-hmac

3. ah-sha-hmac、esp-des、および esp-sha-hmac

次の表は、各トランスフォームについて説明しています。

 

トランスフォーム
説明
ah-md5-hmac

MD5 (HMAC の一種)認証アルゴリズムを使用する AH。

ah-sha-hmac

SHA(HMAC の一種)認証アルゴリズムを使用する AH。

esp-des

56 ビット DES 暗号化アルゴリズムを使用する ESP。

esp-3des

168 ビット DES 暗号化アルゴリズム(3DES、トリプル DES とも呼ばれる)を使用する ESP。

esp-null

Null 暗号化アルゴリズム。

esp-seal

160 ビット暗号キーに基づく Software Encryption Algorithm(SEAL)暗号化アルゴリズムを使用する ESP。

esp-md5-hmac

MD5(HMAC の一種)認証アルゴリズムを使用する ESP。

es-aes-128

Advanced Encryption Standard(AES)を使用する ESP。暗号化には 128 ビットのキーが使用される。

esp-aes-192

AES を使用する ESP。暗号化には 192 ビットのキーが使用される。

esp-aes-256

AES を使用する ESP。暗号化には 256 ビットのキーが使用される。

esp-sha-hmac

SHA(HMAC の一種)認証アルゴリズムを使用する ESP。

comp-lzs

LZS アルゴリズムを使用する IP 圧縮。

次に示すのは、許容されるトランスフォームの組み合わせの例です。

ah-md5-hmac

esp-des

esp-3des および esp-md5-hmac

ah-sha-hmac、esp-des、および esp-sha-hmac

comp-lzs

シリアル インターフェイスまたはシリアル サブインターフェイスの設定が読み取り専用になる原因

以前に設定したシリアル インターフェイスまたはシリアル サブインターフェイスが読み取り専用になり、設定を変更できなくなるのは、次の場合です。

そのインターフェイスが、Cisco IOS コマンドである encapsulation ppp および ppp multilink ... を使用して設定されている。

そのインターフェイスが、 encapsulation hdlc コマンドおよび ip address negotiated コマンドを使用して設定されている。

そのインターフェイスが SERIAL_CSUDSU_56K WIC の一部になっている。

そのインターフェイスが同期/非同期 WIC の一部になっており、 physical-layer async コマンドを使用して設定されている。

そのインターフェイスが encapsulation frame-relay コマンドを使用して設定されており、メイン インターフェイスに IP アドレスが設定されている。

そのインターフェイスのカプセル化が「hdlc」、「ppp」、または「frame-relay」のいずれでもない。

encapsulation frame-relay ... コマンドに mfr ... オプションが指定されている。

そのインターフェイスの設定に encapsulation ppp コマンドが使用されているが、サポートされていないコマンドが PPP 設定に指定されている。

そのインターフェイスが、 encapsulation frame-relay コマンドおよび frame-relay map ... コマンドを使用して設定されている。

メイン インターフェイスが、 encapsulation frame-relay コマンドおよび frame-relay interface-dlci ... コマンドを使用して設定されている。

メイン インターフェイスが encapsulation frame-relay コマンドを使用して設定されており、サブインターフェイスが frame-relay priority-dlci-group ... コマンドを使用して設定されている。

サブインターフェイスが、「ppp」、「protocol」、「switched」のいずれかのキーワードを含む interface-dlci ... コマンドを使用して設定されている。

サブインターフェイスのタイプが、「point-to-point」ではなく「multipoint」である。

サブインターフェイスに「frame-relay」以外のカプセル化が設定されている。

ATM インターフェイスまたは ATM サブインターフェイスの設定が読み取り専用になる原因

以前に設定した ATM インターフェイスまたは ATM サブインターフェイスが読み取り専用になり、設定の変更ができなくなるのは、次の場合です。

そのインターフェイスに、 dialer pool-member コマンドが指定された PVC が設定されている。

protocol コマンドが指定された PVC がそのインターフェイスで設定されているが、このコマンドに指定されているプロトコルが ip になっていない。

そのインターフェイスに、複数の protocol ip コマンドが指定された PVC が設定されている。

PVC のカプセル化が「aal5mux」または「aal5snap」になっていない。

aal5mux のカプセル化プロトコルが「ip」になっていない。

PVC の設定に含まれる protocol ip コマンドに、IP アドレスが指定されていない。

pppoe-client コマンドに「dial-on-demand」オプションが指定されている。

そのインターフェイスに複数の PVC が設定されている。

関連付けられているダイヤラのカプセル化の設定が、空白になっているか「ppp」以外になっている。

関連付けられているダイヤラに IP アドレスが設定されていない。

VPDN が必要である(これは Cisco IOS イメージに基づいてダイナミックに判断される)が、現在の接続では設定されていない。

SHDSL インターフェイスの動作モードが「CO」になっている(ATM メイン インターフェイスのみ)。

インターフェイスに IP アドレスが設定されておらず、インターフェイスを PPPoE 対応にするための設定も行われていない(ATM サブインターフェイスのみ)。

そのインターフェイスに IP アドレスが設定されているが、関連付けられている PVC がない。

そのインターフェイスに PVC が設定されているが、関連付けられている IP アドレスがない。また、そのインターフェイスが PPPoE に対応するように設定されていない。

そのインターフェイスの設定に bridge-group コマンドが指定されている。

メイン インターフェイスに PVC とサブインターフェイスがそれぞれ 1 つ以上設定されている。

設定変更可能なメイン インターフェイスではない(ATM サブインターフェイスのみ)。

そのインターフェイスがマルチポイント インターフェイスである(ATM サブインターフェイスのみ)。

イーサネット インターフェイスの設定が読み取り専用になる原因

以前に設定したイーサネット LAN または WAN インターフェイスが読み取り専用になり、設定の変更ができなくなるのは、次の場合です。

その LAN インターフェイスが DHCP サーバとして設定されており、IP ヘルパー アドレスが設定されている。

ISDN BRI インターフェイスの設定が読み取り専用になる原因

以前に設定した ISDN BRI インターフェイスが読み取り専用になり、設定の変更ができなくなるのは、次の場合です。

その ISDN BRI インターフェイスに IP アドレスが割り当てられている。

その ISDN BRI インターフェイスに ppp 以外のカプセル化が設定されている。

その ISDN BRI インターフェイスの設定に dialer-group コマンドまたは dialer string コマンドが指定されている。

その ISDN BRI インターフェイスの設定に dialer pool-member <x> が指定されているが、対応するダイヤラ インターフェイス <x> が存在しない。

その ISDN BRI インターフェイスの設定に複数の dialer pool-member が指定されている。

その ISDN BRI インターフェイスの設定に dialer map コマンドが指定されている。

ダイヤラ インターフェイスに ppp 以外のカプセル化が設定されている。

ダイヤラ インターフェイスの設定に dialer-group dialer-pool のどちらも指定されていない。

ダイヤラ インターフェイスの設定に dialer-group <x> が指定されているが、対応する dialer -list <x> protocol コマンドが指定されていない。

オプションのキーワード(either/inbound)が指定された dialer idle-timeout <num> が、ダイヤラ インターフェイスの設定に指定されている。

オプションのキーワード class が指定された dialer string コマンドが、ダイヤラ インターフェイスの設定に指定されている。

ISDN BRI 接続をバックアップ接続として使用している場合、Cisco CP からバックアップ設定を行った後に次のいずれかの状態が発生すると、バックアップ接続が読み取り専用で表示される。

プライマリ インターフェイス経由のデフォルト ルートが削除された。

バックアップ インターフェイスのデフォルト ルートが設定されていない。

ip local policy が削除された。

track /rtr または both が指定されていない。

route-map が削除された。

access-list が削除されたか、access-list が変更された(追跡 IP アドレスが変更された場合など)。

Cisco CP がサポートするインターフェイスの設定に、サポートされていない設定が使用されている。

プライマリ インターフェイスが Cisco CP でサポートされていない。

アナログ モデム インターフェイスの設定が読み取り専用になる原因

以前に設定したアナログ モデム インターフェイスが読み取り専用になり、設定の変更ができなくなるのは、次の場合です。

非同期インターフェイスに IP アドレスが割り当てられている。

非同期インターフェイスに ppp 以外のカプセル化が設定されている。

非同期インターフェイスの設定に dialer-group コマンドまたは dialer string コマンドが指定されている。

非同期インターフェイスの設定に async mode interactive が指定されている。

非同期インターフェイスの設定に dialer pool-member <x> が指定されているが、対応するダイヤラ インターフェイス <x> が存在しない。

非同期インターフェイスの設定に複数の dialer pool-member が指定されている。

ダイヤラ インターフェイスに ppp 以外のカプセル化が設定されている。

ダイヤラ インターフェイスの設定に dialer-group dialer-pool のどちらも指定されていない。

ダイヤラ インターフェイスの設定に dialer-group <x> が指定されているが、対応する dialer -list <x> protocol コマンドが指定されていない。

オプションのキーワード(either/inbound)が指定された dialer idle-timeout <num> が、ダイヤラ インターフェイスの設定に指定されている。

modem inout が設定に指定されていない(回線設定収集モードのとき)。

autoselect ppp が設定に指定されていない(回線設定収集モードのとき)。

アナログ モデム接続をバックアップ接続として使用している場合、Cisco CP からバックアップ設定を行った後に次のいずれかの状態が発生すると、バックアップ接続が読み取り専用で表示される。

プライマリ インターフェイス経由のデフォルト ルートが削除された。

バックアップ インターフェイスのデフォルト ルートが設定されていない。

ip local policy が削除された。

track /rtr または both が指定されていない。

route-map が削除された。

access-list が削除されたか、access-list が変更された(追跡 IP アドレスが変更された場合など)。

Cisco CP がサポートするインターフェイスの設定に、サポートされていない設定が使用されている。

プライマリ インターフェイスが Cisco CP でサポートされていない。

DMVPN の設定に関する推奨事項

このヘルプ トピックでは、DMVPN 上のルータを設定するときの手順に関する推奨事項について説明します。

ハブを最初に設定する

ハブを最初に設定することが重要です。これは、スポークを設定するときに、ハブの情報を使用する必要があるためです。ハブを設定する場合は、[要約]ウィンドウの[スポーク設定]機能を使用して、正しいハブ情報を指定する手順のテキスト ファイルを生成します。このファイルをスポーク管理者に送信し、正しいハブ情報によるスポークの設定を依頼します。スポークを設定するときには、あらかじめ正しいハブ情報を入手しておく必要があります。

スポーク アドレスの割り当て

DMVPN 上のルータは、すべて同じサブネットに属している必要があります。したがって、ハブ管理者は、アドレスの競合が発生しないように、また各スポーク ルータで使用されるサブネット マスクが同じになるように、同一サブネットに属するアドレスを各スポーク ルータに割り当てる必要があります。

DMVPN 用のルーティング プロトコルの設定に関する推奨事項

ここでは、DMVPN 用にルーティング プロトコルを設定する際に留意する必要があるガイドラインを示します。これらのガイドラインは無視できます。ただし、Cisco CP はこれらのガイドラインに従っていないシナリオでは検証されていません。そのため、ガイドラインを無視した場合、設定を入力した後 Cisco CP でその設定を編集できない可能性があります。

次の推奨事項は、推奨度が高いものから順に記載されています。

内部ネットワークをアドバタイズするルーティング プロセスが存在する場合は、そのプロセスを使用して DMVPN にネットワークをアドバタイズする。

VPN のトンネル ネットワーク(GRE over IPSec トンネルなど)をアドバタイズするルーティング プロセスが存在する場合は、そのプロセスを使用して DMVPN ネットワークをアドバタイズする。

WAN インターフェイスのネットワークをアドバタイズするルーティング プロセスが存在する場合、それらの WAN インターフェイスが使用していない AS 番号またはプロセス ID を使用してネットワークをアドバタイズする。

DMVPN ルーティング情報を設定すると、入力した AS 番号(EIGRP の場合)またはエリア ID(OSPF の場合)が、ルータの物理インターフェイスのネットワークのアドバタイズのためにすでに使用されていないかどうかが、Cisco CP によって確認される。この値がすでに使用されている場合、Cisco CP によってそのことが通知され、新しい値を使用するか、別のルーティング プロトコルを選択して DMVPN 上のネットワークをアドバタイズすることが推奨される。

ダイヤルアップ設定でのインターフェイスの使用

ダイヤルアップ接続を使用するインターフェイスを選択すると、その接続が常に稼働中になることがあります。サポートされているインターフェイスを[インターフェイスと接続]で確認すれば、選択した物理インターフェイスでダイヤルアップ接続(ISDN 接続や非同期接続など)が設定されているかどうかを判断できます。

スポーク設定を開始する前に、ハブに対して ping を行う

スポーク ルータの設定を始める前に ping コマンドを発行して、ハブへの接続性をテストすることをお勧めします。ping が失敗した場合は、ハブへのルートを設定する必要があります。

Cisco CP のホワイト ペーパー

Cisco CP の使用方法については、多数のホワイト ペーパーにその説明が記載されています。これらのホワイト ペーパーは、次のリンクから入手できます。

http://www.cisco.com/univercd/cc/td/doc/product/software/sdm/appnote/index.htm