Cisco VPN Solutions Center: IPsec ソリューション プロビジョニング ガイド
Cisco IPsec VPN コマンド リファレンス
Cisco IPsec VPN コマンド リファレンス
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco IPsec VPN コマンド リファレンス

clear crypto sa

crypto dynamic-map

crypto ipsec security-association lifetime

crypto ipsec transform-set

crypto map(グローバル設定)

crypto map(インターフェイス設定)

crypto map local-address

initialization-vector size

match address

mode

set peer

set pfs

set security-association level per-host

set security-association lifetime

set session-key

set transform-set

show crypto ipsec sa

show crypto ipsec security-association lifetime

show crypto ipsec transform-set

show crypto dynamic-map

show crypto map

debug crypto engine

debug crypto ipsec

debug crypto isakmp

Cisco IPsec VPN コマンド リファレンス

この章では、IPsec ネットワークのセキュリティ コマンドについて説明します。IPsec は、インターネットなどのノンセキュアなネットワークを経由する機密情報の伝送に対してセキュリティを提供します。IPsec サービスは、Cisco IOS Software リリース 11.2 に導入されている独自のセキュリティ ソリューションである Cisco Encryption Technology(CET)が提供するサービスと同様のものです。ただし、IPsec はより一層強固なセキュリティ ソリューションで、標準に準拠しています。さらに IPsec は、データの機密保持サービスに加え、データ認証とリプレイ攻撃防止サービスも提供しますが、CET はデータ機密保持サービスだけを提供します。

clear crypto sa

IPsec セキュリティ結合を削除するには、グローバル設定コマンド clear crypto sa を使用します。

clear crypto sa

clear crypto sa peer { ip-address | peer-name }

clear crypto sa map map-name

clear crypto sa entry destination-address protocol spi

clear crypto sa counters

 
構文の説明

ip-address

リモート ピアの IP アドレスを指定します。

peer-name

リモート ピアの名前を完全修飾ドメイン名で指定します。たとえば、 remotepeer.domain.com など。

map-name

暗号マップ セットの名前を指定します。

destination-address

ピアまたはリモート ピアの IP アドレスを指定します。

protocol

AH または ESP プロトコルのいずれかを指定します。

spi

セキュリティ パラメータ インデックス(SPI)を指定します。この値は、セキュリティ結合データベースに表示されます。

 
デフォルト

ピア、マップ、エントリ、またはカウンタ キーワードを使用しない場合は、すべての IPsec セキュリティ結合が削除されます。

 
コマンドモード

グローバル設定。

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

このコマンドは、IPsec セキュリティ結合をクリア(削除)します。

IKE を介して確立されたセキュリティ結合は削除されるため、その後の IPsec トラフィックにはネゴシエートする新しいセキュリティ結合が必要があります。IKE を使用する場合、IPsec セキュリティ結合は必要な場合にだけ確立されます。

セキュリティ結合を手動で確立すると、セキュリティ結合は削除されて再インストールされます。IKE を使用しない場合、IPsec セキュリティ結合は設定が完了するとただちに作成されます。

ピア、マップ、エントリ、またはカウンタ キーワードを使用しない場合、すべての IPsec セキュリティ結合は削除されます。

peer キーワードは、指定されているピアのすべての IPsec セキュリティ結合を削除します。

map キーワードは、指定されている暗号マップ セットのすべての IPsec セキュリティ結合を削除します。

entry キーワードは、指定されているアドレス、プロトコル、SPI との IPsec セキュリティ結合を削除します。

上記のコマンドによって特定のセキュリティ結合が削除される場合、同じ IKE ネゴシエーション中に確立された同胞セキュリティ結合もすべて削除されます。

counters キーワードは、各セキュリティ結合に保持されているトラフィック カウンタをクリアします。セキュリティ結合そのものはクリアされません。

セキュリティ結合に影響を及ぼす設定の変更を行う場合、その変更は既存のセキュリティ結合には適用されませんが、設定の変更はその後のセキュリティ結合のネゴシエーションに適用されます。 clear crypto sa コマンドを使用すると、すべてのセキュリティ結合がリスタートされ、最新のコンフィギュレーション設定が使用されます。手動でセキュリティ結合を確立した後で、セキュリティ結合に影響を及ぼす変更を行う場合、変更が適用される 前に clear crypto sa コマンドを使用する必要があります。

ルータがアクティブな IPsec トラフィックを処理している場合には、セキュリティ結合データベースにおいて変更による影響を受ける部分だけをクリアすることをお勧めします。これを行うことにより、アクティブな IPsec トラフィックに一時的な障害の発生を防ぐことができます。

このコマンドは IPsec セキュリティ結合をクリアするだけです。IKE 状態をクリアするには、 clear crypto isakmp コマンドを使用します。

次の例では、ルータで IPsec セキュリティ結合をすべてクリア(さらに適切であれば再初期化)します。

clear crypto sa

次の例では、256 の SPI を持つ AH プロトコルを使用して、確立されている受信および送信 IPsec セキュリティ結合を、アドレス 10.0.0.1 に確立されているセキュリティ結合と共にクリア(さらに適切であれば再初期化)します。

clear crypto sa entry 10.0.0.1 AH 256

 
関連コマンド

コマンド
説明

clear crypto isakmp

IKE 状態をクリアします。

crypto dynamic-map

ダイナミック暗号マップ エントリを作成して暗号マップ設定コマンド モードに入るには、crypto dynamic-map グローバル設定コマンドを使用します。このコマンドの no フォームを使用すると、ダイナミック暗号マップ セットまたはエントリが削除されます。

crypto dynamic-map dynamic-map-name dynamic-seq-num

no crypto dynamic-map dynamic-map-name [ dynamic-seq-num ]

 
構文の説明

ip-address

リモート ピアの IP アドレスを指定します。

peer-name

リモート ピアの名前を完全修飾ドメイン名で指定します。たとえば、remotepeer.domain.com など。

map-name

暗号マップ セットの名前を指定します。

destination-address

ピアまたはリモート ピアの IP アドレスを指定します。

protocol

AH または ESP プロトコルのいずれかを指定します。

spi

SPI(セキュリティ結合データベースに表示される)を指定します。

 
デフォルト

ダイナミック暗号マップは存在しません。

 
コマンドモード

グローバル設定。このコマンドを使用すると「 暗号マップ設定 モード」に入ります。

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

リモート ピアとの通信に必要なすべての暗号マップのパラメータ(ピアの IP アドレスなど)が判明していない場合でも、ダイナミック暗号マップを使用することで、リモート IPsec ピアからの新しいセキュリティ結合におけるネゴシエーション要求の処理時に使用するポリシー テンプレートを作成できます。

たとえば、ネットワーク内の IPsec リモート ピアをすべて認識していない場合、ダイナミック暗号マップを利用して、それまで未知であったピアからの新しいセキュリティ結合の要求を受け入れることができます(ただし、これらの要求は IKE 認証が正常に終了するまで処理されません)。ルータが別の IPsec ピアから IKE を介したネゴシエーション要求を受け取ると、要求は暗号マップ エントリと一致するかどうか検査されます。ネゴシエーションが明示的な暗号マップ エントリと一致しないときに、暗号マップ セットにダイナミック暗号マップへの参照が含まれていない場合はネゴシエーションが拒否されます。

ダイナミック暗号マップはポリシー テンプレートです。ダイナミック暗号マップ エントリに明示的に指定されていないパラメータについて「ワイルドカード」パラメータを受け入れます。これを行うことにより、事前に不明な IPsec ピアとの IPsec セキュリティ結合をセットアップできます(ただし、ピアに関しては「ワイルドカード非対応」IPsec セキュリティ結合ネゴシエーション パラメータに対して一致する値を指定する必要があります)。

ルータがピアの要求を受け入れると、新しい IPsec セキュリティ結合をインストールするときに、一時暗号マップ エントリもインストールします。このエントリには、ネゴシエーションの結果が格納されています。この時点でルータは、この一時暗号マップ エントリを通常のエントリとして使用して通常の処理を行い、現在のセキュリティ結合の期限(一時暗号マップ エントリに指定されているポリシーに基づいている)が満了している場合は、新しいセキュリティ結合も要求します。フローが終了すると(つまり、対応するセキュリティ結合の期限がすべて満了すると)、一時暗号マップ エントリは削除されます。

ダイナミック暗号マップ セットは、IPsec セキュリティ結合の初期化には使用されません。ただし、トラフィックを保護するかどうかを判断する場合に使用されます。ダイナミック暗号マップに必要な設定は、 set transform-set コマンドだけです。他の設定はすべてオプションです。

dynamic-map-name。ダイナミック暗号マップ セットの名前を指定します。

dynamic-seq-num。ダイナミック暗号マップ エントリの数を指定します。

ダイナミック暗号マップ エントリは、通常のスタティック暗号マップ エントリと同様に、セットとしてグループ化されています。このコマンドを使用してダイナミック暗号マップ セット(通常含まれるマップ エントリは 1 つだけ)を定義した後で、 crypto map (グローバル設定)コマンドを使用して「親」暗号マップ セットのエントリにダイナミック暗号マップ セットを含めます。これを行うことにより、親の暗号マップ セットがインターフェイスに適用されます。

ダイナミック マップを参照する暗号マップ エントリの優先順位が最下位のマップ エントリになるようにし、セキュリティ結合のネゴシエーションがスタティック暗号マップ エントリを先に照合するようにする必要があります。ネゴシエーション要求がスタティック マップ エントリのどれとも一致しない場合に限り、ダイナミック マップに対する評価を行うようにします。

ダイナミック暗号マップを優先順位最下位のマップ エントリにするには、ダイナミック暗号マップを参照するマップ エントリに暗号マップ セットの中のすべてのマップ エントリで最上位の「順序番号」を与えます。スタティックおよびダイナミック暗号マップについて、ノンセキュアな受信トラフィックがアクセス リスト内の permit 文と一致し、対応する暗号マップ エントリに「IPsec」のタグが付けられている場合、トラフィックは IPsec の保護対象ではないため廃棄されます(これは、暗号マップ エントリで指定されているセキュリティ ポリシーによって、このトラフィックは IPsec による保護が必要であることが指定されているためです)。

スタティック暗号マップ エントリの場合には、送信トラフィックがアクセス リストの permit 文と一致し、対応するセキュリティ結合(SA)が確立されていなければ、ルータによるリモート ピアとの新しい SA を開始されます。ダイナミック暗号マップ エントリの場合には、SA が存在しなければ(ダイナミック暗号マップ は新しい SA の開始には使用されないため)トラフィックは単に廃棄されます。


) ダイナミック暗号マップにある permit エントリの any キーワードを使用する際には、注意が必要です。このような permit エントリにカバーされるトラフィックにマルチキャストまたはブロードキャスト トラフィックを含めることが可能な場合には、アクセス リストには適切なアドレス範囲に対する deny エントリを含める必要があります。さらにアクセス リストには、ネットワークおよびサブネット ブロードキャスト トラフィック、およびその他の IPsec ノンセキュア トラフィックに対する deny エントリも含める必要があります。


次に、IPsec 暗号マップ セットの設定例を示します。

暗号マップ エントリ「mymap 30」はダイナミック暗号マップ セット「mydynamicmap」を参照します。これは「mymap」エントリ 10 または 20 と一致しない受信セキュリティ結合ネゴシエーション要求を処理するために使用されます。このとき、アクセス リスト 103 によって「許可された」フローに対し、「mydynamicmap」で指定されているトランスフォーム セットの 1 つと一致するトランスフォーム セットをピアが指定すると、IPsec は要求を受け入れ、それまで未知であったリモート ピアとのセキュリティ結合をセットアップします。受け入れられた場合には、リモート ピアによって指定されている設定に従ってセキュリティ結合(および一時暗号マップ エントリ)が確立されます。

「mydynamicmap 10」に関連付けられているアクセス リストはフィルタとしても使用されます。このリストの permit 文と一致する受信パケットは、IPsec 保護対象ではないため廃棄されます(スタティック暗号マップ エントリに関連付けられているアクセス リストについても同様です)。既存の対応する IPsec SA を持たない permit 文に一致する送信パケットも廃棄されます。

crypto map mymap 10 ipsec-isakmp
match address 101
set transform-set my_t_set1
set peer 10.0.0.1
set peer 10.0.0.2
crypto map mymap 20 ipsec-isakmp
match address 102
set transform-set my_t_set1 my_t_set2
set peer 10.0.0.3
crypto map mymap 30 ipsec-isakmp dynamic mydynamicmap
!
crypto dynamic-map mydynamicmap 10
match address 103
set transform-set my_t_set1 my_t_set2 my_t_set3
 

 
関連コマンド

crypto map(グローバル設定)

crypto map (インターフェイス設定)

crypto map local-address

match address

set peer

set pfs

set security-association lifetime

set transform-set

show crypto dynamic-map

show crypto map

crypto ipsec security-association lifetime

IPsec セキュリティ結合のネゴシエーション時に使用されるグローバル ライフタイム値を変更するには、グローバル設定コマンド crypto ipsec security-association lifetime を使用します。ライフタイムをデフォルト値にリセットするには、コマンドの no フォームを使用します。

crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}

no crypto ipsec security-association lifetime {seconds | kilobytes}

 
構文の説明

seconds seconds

終了するまでにセキュリティ結合が存続する秒数を指定します。デフォルトは 3600 秒(1 時間)です。

kilobytes kilobytes

セキュリティ結合が終了する前に所定のセキュリティ結合を使用して IPsec ピア間で渡されるトラフィックの量(キロバイト単位)を指定します。デフォルトは 4,608,000 キロバイトです。

 
デフォルト

3600 秒(1 時間)および 4,608,000 キロバイト(1 時間に毎秒 10 MB)。

 
コマンドモード

グローバル設定。このコマンドを使用すると「 暗号マップ設定 モード」に入ります。

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

IPsec セキュリティ結合では、共有秘密キーを使用します。これらのキーとそのセキュリティ結合は同時にタイムアウトになります。

特定の暗号マップ エントリにライフタイム値が設定されていない場合は、ルータがセキュリティ結合のネゴシエーション中に新しいセキュリティ結合を要求するときに、ピアへの要求においてそのグローバル ライフタイム値を指定します。ルータはこの値を新しいセキュリティ結合のライフタイムとして使用します。ルータはピアからネゴシエーション要求を受け取ると、ピアから提示されたライフタイム値またはローカルに設定されているライフタイム値のうち小さい値を新しいセキュリティ結合のライフタイムとして使用します。

ライフタイムには、「時限」ライフタイムと「トラフィックボリューム」ライフタイムの 2 つの種類があります。セキュリティ結合は、これらのうち最初のライフタイムに到達すると期限が満了します。

グローバル ライフタイムを変更しても、暗号マップ エントリにライフタイム値が指定されていない場合に限り、変更が適用されます。変更は既存のセキュリティ結合には適用されませんが、新しいセキュリティ結合を確立するためのその後のネゴシエーションから使用されます。新しい設定をすぐに適用する場合は、clear crypto sa コマンドを使用してセキュリティ結合データベースの一部または全体をクリアすることもできます。詳細については、clear crypto sa コマンドを参照してください。

グローバル時限ライフタイム値を変更するには、コマンドの crypto ipsec security-association lifetime seconds フォームを使用します。時限ライフタイムにより、セキュリティ結合は指定された秒数が経過するとタイムアウトになります。

グローバル トラフィックボリューム ライフタイムを変更するには、コマンドの crypto ipsec security-association lifetime kilobytes フォームを使用します。トラフィックボリューム ライフタイムにより、セキュリティ結合は指定されたトラフィックの量(キロバイト単位)がセキュリティ結合のキーによって保護された後にタイムアウトになります。

ライフタイムが短いと、同一キーで暗号化されているデータが少なくなるため、攻撃者はキー回復攻撃を開始することが難しくなります。ただし、ライフタイムが短い場合には、新しいセキュリティ結合を確立するためにさらに多くの CPU 処理時間が必要になります。ライフタイム値は、手動で確立されたセキュリティ結合(暗号マップ エントリ ipsec-manual を使用してインストールされたセキュリティ結合)については無視されます。

ライフタイムのしくみ

セキュリティ結合(および対応するキー)は、(seconds キーワードで指定されている)秒数の経過、または(kilobytes キーワードで指定されている)キロバイト単位のトラフィック量の経過のうち、先に発生したものに従って使用期限が満了します。

新しいセキュリティ結合は、既存のセキュリティ結合のライフタイムしきい値に達する前にネゴシエートされ、以前のセキュリティ結合が期限満了したときには、確実に新しいセキュリティ結合が使用できる状態になっています。新しいセキュリティ結合は、seconds ライフタイムの期限が満了する 30 秒前、またはトンネルを経由するトラフィックのボリュームが kilobytes ライフタイムよりも 256 キロバイト少ない量に達したとき(いずれかが先に発生した場合)にネゴシエートされます。

セキュリティ結合の存続の全期間中にトラフィックがトンネルを通過しなかった場合は、ライフタイムの期限満了時に新しいセキュリティ結合はネゴシエートされません。ただし、保護する必要のある別のパケットが IPsec によって認識されると、新しいセキュリティ結合がネゴシエートされます。

この例では、キーが改ざんされる危険性が高いと管理者が考えているため、両方のライフタイムが短く設定されています。時限ライフタイムは 2,700 秒(45 分)に短縮され、トラフィックボリューム ライフタイムは 2,304,000 キロバイト(30 分に毎秒 10 メガバイト)に短縮されます。

crypto ipsec security-association lifetime seconds 2700
crypto ipsec security-association lifetime kilobytes 2304000
 

 
関連コマンド

マスター インデックスまたはオンライン検索を使用してマニュアルや関連コマンドを参照できます。

set security-association lifetime

show crypto ipsec security-association lifetime

crypto ipsec transform-set

トランスフォーム セット、つまり使用可能なセキュリティ プロトコルとアルゴリズムの組み合せを定義するには、グローバル設定コマンド crypto ipsec transform-set を使用します。

トランスフォーム セットを削除するには、コマンドの no フォームを使用します。

crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

no crypto ipsec transform-set transform-set-name

 
構文の説明

transform-set-name

作成する(または変更する)トランスフォーム セットの名前を指定します。

transform1
transform2
transform3

最大 3 つの トランスフォーム を指定します。これらのトランスフォームは、IPsec セキュリティ プロトコルとアルゴリズムを定義します。使用可能なトランスフォーム値については「使用方法」の項で説明しています。

 
デフォルト

なし

 
コマンドモード

グローバル設定。このコマンドは、「 暗号トランスフォーム設定 モード」を起動します。

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

「トランスフォーム セット」 は、IPsec セキュア トラフィックに適用する、セキュリティ プロトコル、アルゴリズム、およびその他の設定の使用可能な組み合せです。IPsec セキュリティ結合のネゴシエーション中に、特定のデータ フローの保護時に特定のトランスフォーム セットを使用することにピアが同意します。

複数のトランスフォーム セットを設定した後で、これらのトランスフォーム セットの 1 つまたは複数を暗号マップ エントリに指定できます。暗号マップ エントリで定義されるトランスフォーム セットは、IPsec セキュリティ結合のネゴシエーションに使用され、その暗号マップ エントリのアクセス リストによって指定されるデータ フローを保護します。ピアは、ネゴシエーション中に互いのトランスフォーム セットが同一のピアを探します。そのようなトランスフォーム セットが見つかると、それが選択され、両方のピアの IPsec セキュリティ結合の一部として保護トラフィックに適用されます。

セキュリティ結合の確立に IKE を使用しない場合は、1 つのトランスフォーム セットを使用する必要があります。トランスフォーム セットはネゴシエートされません。

トランスフォーム セットが暗号マップ エントリに含まれる前に、このコマンドを使用して定義する必要があります。

トランスフォーム セットは、1 つまたは 2 つの IPsec セキュリティ プロトコル(ESP または AH、あるいはその両方)と、選択されたセキュリティ プロトコルとともに使用するアルゴリズムを指定します。

ESP および AH IPsec セキュリティ プロトコルについては、「IPsec プロトコル:カプセル化セキュリティ プロトコルと認証ヘッダー」で説明しています。

トランスフォーム セットを定義するには、それぞれが IPsec セキュリティ プロトコル(ESP または AH)を表す 1~3 つのトランスフォーム、および使用するアルゴリズムを指定します。特定のトランスフォーム セットを IPsec セキュリティ結合のネゴシエーション中に使用する場合は、トランスフォーム セット全体(プロトコルの組み合せ、アルゴリズム、およびその他の設定)をリモート ピアのトランスフォーム セットと一致させる必要があります。

トランスフォーム セットでは、AH プロトコル、ESP プロトコル、またはその両方を指定できます。トランスフォーム セットに ESP プロトコルを指定する場合は、ESP 暗号化トランスフォームだけを指定するか、または ESP 暗号化トランスフォームと ESP 認証トランスフォームの両方を指定できます。

使用可能なトランスフォームの組み合せを 表 B-1 に示します。

 

表 B-1 トランスフォーム セットのトランスフォーム選択

AH トランスフォーム
ESP 暗号化トランスフォーム
ESP 認証トランスフォーム
Transform
説明
Transform
説明
Transform
説明

ah-md5-hmac

MD5 認証アルゴリズムを使用する AH

esp-des

56 ビット DES 暗号化アルゴリズムを使用する ESP

esp-md-hmac

MD5 暗号化アルゴリズムを使用する ESP

ah-sha-hmac

SHA 認証アルゴリズムを使用する AH

esp-rfc1829

旧バージョンの ESP プロトコル。ESP 認証トランスフォームは使用できません。

esp-sha-hmac

SHA 暗号化アルゴリズムを使用する ESP

ah-rfc1828

旧バージョンの AH プロトコル

使用可能なトランスフォームの組み合せ例は次のとおりです。

ah-md5-hmac

esp-des

esp-des および esp-md5-hmac

ah-sha-hmac esp-des 、および esp-sha-hmac

ah-rfc1828 および esp-rfc1829

無効な組み合せの入力はパーサーによって防止されます。たとえば、AH トランスフォームを指定すると、現在のトランスフォーム セットに別の AH トランスフォームは指定できません。

IPsec プロトコル:カプセル化セキュリティ プロトコルと認証ヘッダー

カプセル化セキュリティ プロトコル(ESP)および認証ヘッダー(AH)プロトコルはいずれも IPsec のセキュリティ サービスを実装します。

ESP は、パケット暗号化とオプションのデータ認証およびリプレイ攻撃防止サービスを提供します。ESP の旧 IPsec バージョンは(RFC 1829 に従って)暗号化サービスだけを提供します。

AH は、データ認証およびリプレイ攻撃防止サービスを提供します。AH の旧 IPsec バージョンは(RFC 1828 に従って)データ認証サービスだけを提供します。

ESP は、フル IP データグラム(またはペイロードだけ)の保護データを、ESP ヘッダーと ESP トレーラーのいずれかによりカプセル化します。AH は保護データに埋め込まれます。AH ヘッダーを、外部 IP ヘッダーの直後で内部 IP データグラムまたはペイロードの直前に挿入します。IPsec ピアにおいて発信および終端するトラフィックは、トンネル モードまたはトランスポート モードのいずれかで送信できます。他のトラフィックはすべて、トンネル モードで送信されます。トンネル モードではフル IP データグラムをカプセル化して保護しますが、トランスポート モードでは IP データグラムのペイロードをカプセル化/保護します。モードの詳細については、 「mode」 を参照してください。

適切なトランスフォームの選択

ルータが、旧 IPsec トランスフォーム(ah-rfc1828 および esp-rfc1829)だけをサポートするデバイスとの間に IPsec セキュア トンネルを確立する必要がある場合は、これらの旧バージョンのトランスフォームを指定する必要があります。RFC 1829 ESP は認証を提供しないため、通常は esp-rfc1829 を持つトランスフォーム セットに ah-rfc1828 トランスフォームを含めます。旧 IPsec トランスフォームだけをサポートするピアとの相互運用性を得るために推奨されるトランスフォームの組み合せは次のとおりです。

ah-rfc1828

ah-rfc1828 および esp-rfc1829

ピアがより新しい IPsec トランスフォームをサポートする場合は、選択肢がさらに複雑になります。次のヒントは、状況に応じて適切なトランスフォームを選択する上で役立ちます。

データの機密保持が必要な場合には、ESP 暗号化トランスフォームを含めます。

外部 IP ヘッダーおよびデータのデータ認証を確実にする場合には、AH トランスフォームを含めます(外部 IP ヘッダーによるデータ整合性の利点には異論もあります)。

ESP 暗号化トランスフォームを使用する場合には、ESP 認証トランスフォームまたは AH トランスフォームを含めて、トランスフォーム セットに認証サービスを提供することもできます。

データ認証(ESP または AH を使用)が必要な場合には、MD5 または SHA(HMAC キー付きハッシュ バリアント)認証アルゴリズムを選択できます。SHA アルゴリズムは一般に MD5 よりも強力であるとみなされますが、より多くの時間が処理にかかります。


) 一部のトランスフォームは IPsec ピアでサポートされていない場合もあります。


推奨されるトランスフォームの組み合せは次のとおりです。

esp-des および esp-sha-hmac

ah-sha-hmac esp-des 、および esp-sha-hmac

暗号トランスフォーム設定モード

crypto ipsec transform-set コマンドを発行すると、暗号トランスフォーム設定モードに入ります。このモードでは、esp-rfc1829 トランスフォームの初期ベクトル長の変更や、モードをトンネルまたはトランスポートに変更できます(これらはオプションです)。これらの変更のいずれかを行ったら、 exit を入力してグローバル設定モードに戻ります。

既存のトランスフォームの変更

crypto ipsec transform-set コマンドによって、既存のトランスフォーム セットに 1 つまたは複数のトランスフォームが指定されていると、そのトランスフォーム セットについては指定されたトランスフォームが既存のトランスフォームと置き換えられます。

トランスフォーム セットの定義を変更した場合にその変更が適用されるのは、そのトランスフォーム セットを参照する暗号マップ エントリだけです。変更は既存のセキュリティ結合には適用されませんが、新しいセキュリティ結合を確立するためのその後のネゴシエーションに使用されます。新しい設定をすぐに適用する場合は、 clear crypto sa コマンドを使用してセキュリティ結合データベースの一部または全体をクリアします。

この例では、2 つのトランスフォーム セットを定義します。最初のトランスフォーム セットは、新しい ESP および AH プロトコルをサポートする IPsec ピアと共に使用されます。2 番目のトランスフォーム セットは、旧バージョンのトランスフォームだけをサポートする IPsec ピアと共に使用されます。

crypto ipsec transform-set newer esp-des esp-sha-hmac
crypto ipsec transform-set older ah-rfc-1828 esp-rfc1829
 

 
関連コマンド

マスター インデックスまたはオンライン検索を使用してマニュアルや関連コマンドを参照できます。

initialization-vector size

mode

set transform-set

show crypto ipsec transform-set

crypto map(グローバル設定)

暗号マップ エントリを作成または変更して暗号マップ設定モードに入るには、グローバル設定コマンド crypto map を使用します。このコマンドの no フォームを使用して、暗号マップ エントリまたはセットを削除します。

crypto map map-name seq-num [cisco]

crypto map map-name seq-num ipsec-manual

crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name ]


) キーワードを使用せずに crypto map map-name seq-num コマンドを発行して、既存の暗号マップエントリを変更します。ただし、指定されている seq-num が存在しない場合には、デフォルトである CET 暗号マップが作成されます。


no crypto ipsec transform-set transform-set-name

 
構文の説明

cisco

(デフォルト値)新たに指定されたこの暗号マップ エントリが指定するトラフィックを保護するために、IPsec ではなく CET が使用されることを示します。このキーワードを使用すると、IPsec 固有の暗号マップ設定コマンドはすべて利用できなくなります。その代わり、CET 固有のコマンドが使用可能になります。

map-name

暗号マップ セットに割り当てる名前。

seq-num

暗号マップ エントリに割り当てる数値。この引数の使用方法についての詳細は、「使用方法」の項を参照してください。

ipsec-manual

この暗号マップ エントリによって指定されたトラフィックを保護するための IPsec セキュリティ結合の確立に IKE が使用されないことを示します。

ipsec-isakmp

この暗号マップ エントリによって指定されたトラフィックを保護するための IPsec セキュリティ結合の確立に IKE が使用されることを示します。

dynamic

(オプション)この暗号マップ エントリが、既存のダイナミック暗号マップを参照することを指定します。ダイナミック暗号マップは、ピア IPsec デバイスからのネゴシエーション要求を処理する際に使用されるポリシー テンプレートです。このキーワードを使用すると、暗号マップ設定コマンドはすべて利用できなくなります。

dynamic-map-name

(オプション)ポリシー テンプレートとして使用されるダイナミック暗号マップ セットの名前を指定します。

 
デフォルト

暗号マップは存在しません。

 
コマンドモード

グローバル設定。このコマンドを使用すると、 dynamic キーワードを使用しない限り暗号マップ設定モードに入ります。

 
使用方法

このコマンドは Cisco IOS Release 11.2 に初出しています。 cisco ipsec-manual ipsec-isakmp 、および dynamic キーワードは、Cisco IOS Release 11.3 T で追加されたものです。dynamic-map-name 引数も Cisco IOS Release 11.3 T で追加されました。

このコマンドを使用して、新しい暗号マップ エントリを作成するか、または既存の暗号マップ エントリを変更できます。

いったん暗号マップ エントリが作成されると、グローバル設定レベルで指定されたパラメータを変更することはできません。これらのパラメータは暗号マップ レベルで有効な設定コマンドを決定するためです。たとえば、マップ エントリを ipsec-isakmp として作成すると、これを ipsec-manual または cisco に変更できません。マップ エントリを削除して再入力する必要があります。

暗号マップ エントリの定義が完了したら、 crypto map( インターフェイス設定)コマンドを使用して暗号マップ セットをインターフェイスに割り当てることができます。

暗号マップの機能

暗号マップは、a)トラフィックが保護されるようにフィルタリングして分類する、b)そのトラフィックに適用されるポリシーを定義する、という 2 つの機能を提供します。最初の機能を使用すると、インターフェイス上のトラフィックのフローに影響を与えます。2 番目の機能は、そのトラフィックに代わって(IKE 経由で)行われるネゴシエーションに影響を与えます。

IPsec 暗号マップは次の定義を結合します。

保護が必要なトラフィック。

保護トラフィックを転送する IPsec ピア。これらは、セキュリティ結合を確立できるピアです。

保護トラフィックで使用可能なトランスフォーム セット。

キーとセキュリティ結合の使用方法および管理方法(または IKE が使用されない場合に使用するキー)。

同一マップ名を持つ複数の暗号マップ エントリで形成された暗号マップ セット

暗号マップ セットは、それぞれ異なる「 順序番号 」を持ちながら、同一の「 マップ名 」を持つ暗号マップ エントリの集まりです。したがって、あるインターフェイスについて、指定されたセキュリティを適用した特定のトラフィックを 1 つの IPsec ピアに転送し、別のトラフィックには異なる IPsec セキュリティを適用して同一または異なる IPsec ピアに転送することもできます。これには、それぞれ同一の マップ名(map-name) と異なる 順序番号(seq-num) を持つ 2 つの暗号マップを作成します。暗号マップ セットには、CET および IPsec 暗号マップのエントリの組み合せを含めることができます。

seq-num 引数

seq-num 引数には、任意の数値を割り当てることができません。この数値は、暗号マップ セット内の複数の暗号マップ エントリの分類に使用されます。暗号マップ セット内では、より小さい 順序番号 を持つ暗号マップ エントリは、より大きい 順序番号 を持つマップ エントリよりも先に評価されます。つまり、小さい数値を持つマップ エントリの優先順位が高くなります。

たとえば、 mymap 10 mymap 20 、および mymap 30 という 3 つの暗号マップ エントリを含む暗号マップ セットがあるとします。mymap という名前の暗号マップ セットは、インターフェイス Serial 0 に適用されます。トラフィックが Serial 0 インターフェイスを通過すると、そのトラフィックは最初に mymap 10 に対して評価されます。そのトラフィックが mymap 10 の拡張アクセス リスト内の許可エントリと一致すると、トラフィックは mymap 10 に定義されている情報に従って処理されます(必要に応じて IPsec セキュリティ結合または CET 接続の確立も含まれます)。トラフィックが mymap 10 アクセス リストと一致しない場合には、そのトラフィックは mymap 20 に対して評価され、続いて mymap 30 に対して評価されるというように、トラフィックがマップ エントリの許可エントリと一致するまで評価されます(トラフィックがどの暗号マップ エントリ内の許可エントリとも一致しない場合には、IPsec(または CET)セキュリティなしで転送されます)。

ダイナミック暗号マップ

ダイナミック暗号マップの説明については、 crypto dynamic-map コマンドの「使用方法」の項を参照してください。

ダイナミック マップ セットを参照する暗号マップ エントリを優先順位最下位のマップ エントリにして、受信セキュリティ結合のネゴシエーション要求がスタティック マップを先に照合するようにする必要があります。要求がスタティック マップのいずれとも一致しない場合に限り、これをダイナミック マップ セットに対して評価するようにします。

ダイナミック暗号マップ セットを参照する暗号マップ エントリを優先順位最下位のマップ エントリにするには、そのマップ エントリに暗号マップ セットの中のすべてのマップ エントリで最大の順序番号を与えます。

crypto dynamic-map コマンドを使用して、ダイナミック暗号マップ エントリを作成します。ダイナミック暗号マップ セットを作成した後で、 crypto map (グローバル設定)コマンドで dynamic キーワードを使用して、ダイナミック暗号マップ セットをスタティック暗号マップ セットに追加します。

次の例は、セキュリティ結合の確立に IKE が使用される場合に最小限必要な暗号マップの設定を示しています。

crypto map mymap 10 ipsec-isakmp
match address 101
set transform-set my_t_set1
set peer 10.0.0.1
 

次の例は、セキュリティ結合を手動で確立する場合に最小限必要な暗号マップの設定を示しています。

crypto transform-set someset ah-md5-hmac esp-des
crypto map mymap 10 ipsec-manual
match address 102
set transform-set someset
set peer 10.0.0.5
set session-key inbound ah 256 98765432109876549876543210987654
set session-key outbound ah 256 fedcbafedcbafedcfedcbafedcbafedc
set session-key inbound esp 256 cipher 0123456789012345
set session-key outbound esp 256 cipher abcdefabcdefabcd
 

次の例では、ダイナミック暗号マップ セットへの参照を含む IPsec 暗号マップ セットを設定します。

暗号マップ mymap 10 により、アクセス リスト 101 と一致するトラフィックの 2 つのリモート IPsec ピアのいずれか(または両方)とルータとの間でセキュリティ結合が確立されます。暗号マップ mymap 20 により、2 つのトランスフォーム セットのどちらか一方は、アクセス リスト 102 と一致するトラフィックのリモート ピアとネゴシエートされます。

暗号マップ エントリ mymap 30 はダイナミック暗号マップ セット mydynamicmap を参照します。これは mymap エントリ 10 または 20 と一致しない受信セキュリティ結合ネゴシエーション要求の処理に使用されます。この場合、アクセス リスト 103 によって許可されたフローに対し、 mydynamicmap で指定されているトランスフォーム セットの 1 つと一致するトランスフォーム セットをピアが指定すると、IPsec は要求を受け入れ、それまで未知であったリモート ピアとのセキュリティ結合をセットアップします。受け入れられた場合には、このセキュリティ結合(および一時暗号マップ エントリ)は、リモート ピアによって指定された設定に従って確立されます。

mydynamicmap 10 に関連付けられているアクセス リストはフィルタとしても使用されます。このリストの permit 文と一致する受信パケットは、IPsec 保護対象ではないため、廃棄されます(スタティック暗号マップ エントリに関連付けられているアクセス リストについても同様です)。既存の対応する IPsec SA を持たない permit 文と一致する送信パケットも廃棄されます。

crypto map mymap 10 ipsec-isakmp
match address 101
set transform-set my_t_set1
set peer 10.0.0.1
set peer 10.0.0.2
crypto map mymap 20 ipsec-isakmp
match address 102
set transform-set my_t_set1 my_t_set2
set peer 10.0.0.3
crypto map mymap 30 ipsec-isakmp dynamic mydynamicmap
!
crypto dynamic-map mydynamicmap 10
match address 103
set transform-set my_t_set1 my_t_set2 my_t_set3
 

 
関連コマンド

マスター インデックスまたはオンライン検索を使用してマニュアルや関連コマンドを参照できます。

crypto dynamic-map

crypto map インターフェイス設定)

crypto map local-address

match address

set peer

set pfs

set security-association level per-host

set security-association lifetime

set session-key

set transform-set

show crypto map

crypto map(インターフェイス設定)

事前に定義された暗号マップ セットをインターフェイスに適用するには、 crypto map (インターフェイス設定)コマンドを使用します。インターフェイスから暗号マップ セットを削除するには、このコマンドの no フォームを使用します。

crypto map map-name

no crypto map [ map-name ]

 
構文の説明

map-name

暗号マップ セットを識別する名前。これは、暗号マップ の作成時に割り当てられる名前です。

コマンドの no フォームを使用するときは、この引数はオプションになります。引数に渡される値はすべて無視されます。

 
デフォルト

インターフェイスに割り当てられている暗号マップはありません。

 
コマンドモード

インターフェイス設定

 
使用方法

このコマンドは Cisco IOS Release 11.2 に初出しています。

暗号マップ セットをインターフェイスに割り当てるには、このコマンドを使用します。インターフェイスが IPsec または CET サービスを提供できるようにするには、まず暗号マップ セットを割り当てる必要があります。インターフェイスに割り当てることのできる暗号マップ セットは 1 つだけです。複数の暗号マップ エントリが、同一のマップ名と異なる順序番号を持つ場合、同一のセットの一部とみなされるため、すべてインターフェイスに適用されます。最も小さい順序番号を持つ暗号マップ エントリは、最高の優先順位とみなされて最初に評価されます。1 つの暗号マップ セットには、暗号マップ エントリの cisco、ipsec-isakmp、および ipsec-manual の組み合せを含めることができます。

次の例では、暗号マップ セット mymap を S0 インターフェイスに割り当てます。トラフィックが S0 を通過すると、そのトラフィックは「mymap」セット内のすべての暗号マップ エントリに対して評価されます。送信トラフィックが「mymap」暗号マップ エントリの 1 つのアクセス リストと一致すると、(セキュリティ結合または接続がすでに存在していない場合)暗号マップ エントリの設定ごとにセキュリティ結合(IPsec の場合)が確立されます。

interface S0
crypto map mymap
 

 
関連コマンド

マスター インデックスまたはオンライン検索を使用してマニュアルや関連コマンドを参照できます。

crypto map(グローバル設定)

crypto map local-address

show crypto map

crypto map local-address

IPsec トラフィックの暗号マップに使用される識別インターフェイスを指定して命名するには、グローバル設定コマンド crypto map local-address を使用します。設定からこのコマンドを削除するには、このコマンドの no フォームを使用します。

crypto map map-name local-address interface-id

no crypto map map-name local-address

 
構文の説明

map-name

暗号マップ セットを識別する名前。これは、暗号マップの作成時に割り当てられる名前です。

コマンドの no フォームを使用する場合は、この引数はオプションになります。引数に渡される値はすべて無視されます。

interface-id

ルータがリモート ピアに対する自身の識別に使用する識別インターフェイスを指定します。

IKE が有効な状態で、認証局(CA)を使用して証明を取得する場合には、これは CA 証明に指定されたアドレスを持つインターフェイスである必要があります。

 
デフォルト

なし

 
コマンドモード

グローバル設定。

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

同一の暗号マップ を 2 つのインターフェイスに適用し、このコマンドを使用しない場合には、2 つの別個のセキュリティ結合(異なるローカル IP アドレスを持つ)が、類似したトラフィックの同じピアに対して確立される可能性があります。最初のインターフェイスに対する冗長として第 2 のインターフェイスを使用している場合は、2 つのインターフェイスを共有するトラフィックに 1 つのセキュリティ結合を作成することをお勧めします。単一のセキュリティ結合を使用することで、オーバーヘッドが軽減し、管理も簡素化されます。

このコマンドにより、ピアは 2 つの冗長インターフェイスによって共有される、単一のセキュリティ結合を確立(および単一のローカル IP アドレスを使用)できます。

同一の暗号マップ セットを複数のインターフェイスに適用するときのデフォルトの動作は次のとおりです。

各インターフェイスが独自のセキュリティ結合データベースを持ちます。

ローカル インターフェイスの IP アドレスは、そのインターフェイスを発信元/宛先とする IPsec トラフィックのローカル アドレスとして使用されます。

ただし、その暗号マップ セットにローカル アドレスを使用する場合には、次のような影響が生じます。

両方のインターフェイスを経由するトラフィックに対して 1 つだけ IPsec セキュリティ結合データベースが確立され、共有されます。

指定されているインターフェイスの IP アドレスは、そのインターフェイスを発信元/宛先とする IPsec(および IKE)トラフィックのローカル アドレスとして使用されます。

ループバック インターフェイスはダウンすることがないため、ループバック インターフェイスを参照先ローカル アドレス インターフェイスとして使用することをお勧めします。

次の例では、 mymap という名前の暗号マップ セットを Serial0 インターフェイスおよび Serial1 インターフェイスに割り当てています。トラフィックが S0 または S1 を通過すると、そのトラフィックは mymap セット内のすべての暗号マップ に対して評価されます。いずれかのインターフェイスを経由するトラフィックが、暗号マップ mymap の 1 つのアクセス リストと一致すると、セキュリティ結合が確立されます。次に、そのセキュリティ結合は、最初に一致した IPsec アクセス リストと一致する S0 および S1 トラフィックの両方に適用されます。

IPsec が両方のインターフェイスで使用するローカル アドレスは、インターフェイス loopback0 の IP アドレスです。

interface S0
crypto map mymap
interface S1
crypto map mymap
crypto map mymap local-address loopback0
 

 
関連コマンド

マスター インデックスまたはオンライン検索を使用してマニュアルや関連コマンドを参照できます。

crypto map (インターフェイス設定)

initialization-vector size

esp-rfc1829 トランスフォームの初期ベクトルの長さを変更するには、暗号トランスフォーム設定コマンド initialization-vector size を使用します。初期ベクトル長をデフォルト値にリセットするには、コマンドの no フォームを使用します。

initialization-vector size [4 | 8]

no initialization-vector size

 
構文の説明

4 | 8

(オプション)初期ベクトル長を指定します。このベクトルは、4 バイトまたは 8 バイトのいずれかです。4 または 8 が指定されない場合は、デフォルト長の 8 が割り当てられます。

 
デフォルト

8 バイト

 
コマンドモード

暗号トランスフォーム設定。

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

このコマンドを使用して、 esp-rfc1829 トランスフォームの初期ベクトル(IV)長を変更します。

ネゴシエーション時に、IV 長はリモート ピアのトランスフォーム セットのIV 長と一致する必要があります。長さが一致しない場合は、トランスフォーム セットは一致しているとはみなされません。

トランスフォーム セットを定義すると、暗号トランスフォーム設定モードに入ります。このモードでは、 esp-rfc1829 初期ベクトル長を 4 バイトまたは 8 バイトに変更できます。この変更は、定義したトランスフォーム セットだけに適用されます(このコマンドは、トランスフォーム セットに esp-rfc1829 トランスフォームが含まれる場合に限り使用できます)。

初回のトランスフォーム セット定義時にIV 長を変更せず、後でそのトランスフォーム セットのIV 長を変更した場合は、トランスフォーム セットを再入力(トランスフォーム リストなしでトランスフォーム名を指定)してから、IV 長を変更します。

このコマンドを使用してIV 長を変更すると、変更内容が適用されるのは、このトランスフォーム セットを指定する暗号マップ エントリを介するそれ以降の IPsec セキュリティ結合のネゴシエーションだけです。新しい設定をすぐに適用する場合は、セキュリティ結合データベースの一部または全体をクリアします。詳細については、「clear crypto sa」 を参照してください。

この例では、トランスフォーム セットを定義して、初期ベクトル長を 4 バイトに変更します。

MyPeerRouter(config)# crypto ipsec transform-set older ah-rfc-1828 esp-rfc1829
MyPeerRouter(cfg-crypto-trans)# initialization-vector size 4
MyPeerRouter(cfg-crypto-trans)# exit
MyPeerRouter(config)#
 

match address

暗号マップ エントリの拡張アクセス リストを指定するには、暗号マップ 設定コマンド match address を使用します。暗号マップ エントリから拡張アクセス リストを削除するには、このコマンドの no フォームを使用します。

match address [ access-list-id | name ]

no match address [ access-list-id | name ]

 
構文の説明

access-list-id

(オプション)拡張アクセス リストをその名前または番号により識別します。この値は、照合される拡張アクセス リストの access-list-number または name 引数と一致する必要があります。

name

(オプション)名前付き暗号化アクセス リストを識別します。この名前は、照合される名前付き暗号化アクセス リストの name 引数と一致する必要があります。

 
デフォルト

暗号マップ エントリに照合されているアクセス リストはありません。

 
コマンドモード

暗号マップ設定

 
使用方法

このコマンドは Cisco IOS Release 11.2 に初出しています。

このコマンドは、すべてのスタティック暗号マップ エントリに必要です。ダイナミック暗号マップ エントリを( crypto dynamic-map コマンドにより)定義する場合には、このコマンドは必要ありませんが、使用することを強くお勧めします。

このコマンドを使用して、拡張アクセス リストを暗号マップ エントリに割り当てます。さらに access-list または ip access-list extended コマンドを使用して、このアクセス リストを定義する必要があります。

このコマンドで指定される拡張アクセス リストは、暗号によって保護すべきトラフィックと、暗号による保護の必要がないトラフィックを IPsec が判別するために使用されます(アクセス リストに許可されたトラフィックは保護されます。アクセス リストによって拒否されたトラフィックは、対応する暗号マップ エントリのコンテキストでは保護されません)。

暗号アクセス リストは、インターフェイスを介するトラフィックを許可または拒否するかどうかの判別には使用されません。これは、直接インターフェイスに適用されるアクセス リストによって判別されます。

このコマンドによって指定される暗号アクセス リストは、受信トラフィックと送信トラフィックの両方を評価するときに使用されます。送信トラフィックは、暗号によって保護すべきかどうかを判別するために、インターフェイスの暗号マップ エントリに対して評価されますが、保護対象である場合(トラフィックが permit エントリと一致した場合)は暗号ポリシーが適用されます(スタティック IPsec 暗号マップの場合には、必要に応じて新しいセキュリティ結合が permit エントリで指定されているデータ フロー識別を使用して確立されます。ダイナミック暗号マップの場合には、SA が存在しなければパケットが廃棄されます)。

インターフェイスで通常のアクセス リストを渡した後、受信トラフィックは、暗号によって保護すべきかどうかを判別するために、インターフェイスの暗号マップ セットのエントリによって指定された暗号アクセス リストに対して評価されますが、保護対象である場合は暗号ポリシーが適用されます(IPsec の場合、ノンセキュアなトラフィックは IPsec によって保護される必要があるため廃棄されます)。

IPsec の場合、アクセス リストは IPsec セキュリティ結合が確立されるフローを識別するためにも使用されます。送信の場合には、 permit エントリが(一般に)データ フロー識別として使用されますが、受信の場合には、ピアによって指定されたデータ フロー識別が暗号アクセス リストによって許可されている必要があります。

次の例(スタティック暗号マップ)は、セキュリティ結合の確立に IKE が使用される場合に最小限必要な暗号マップ設定を示しています。

crypto map mymap 10 ipsec-isakmp
match address 101
set transform-set my_t_set1
set peer 10.0.0.1
 

 
関連コマンド

crypto dynamic-map

crypto map( グローバル設定)

crypto map(インターフェイス設定)

crypto map local-address

set peer

set pfs

set security-association level per-host

set security-association lifetime

set session-key

set transform-set

show crypto map

mode

トランスフォーム セットのモードを変更するには、暗号トランスフォーム設定コマンド mode を使用します。モードをトンネル モードのデフォルト値にリセットするには、コマンドの no フォームを使用します。

mode [tunnel | transport]

no mode

no match address [ access-list-id | name ]

 
構文の説明

tunnel | transport

(オプション)トランスフォーム セットのモードをトンネル モードまたはトランスポート モードのいずれかに指定します。 tunnel または transport のいずれも指定されない場合は、デフォルト(トンネル モード)が割り当てられます。

 
デフォルト

トンネル モード

 
コマンドモード

暗号トランスフォーム設定。

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

このコマンドを使用して、トランスフォームに指定されているモードを変更します。この設定は、保護対象のトラフィックが IPsec ピアと同じ IP アドレスを持つ場合にだけ使用できます(このトラフィックはトンネル モードまたはトランスポート モードでカプセル化されます)。この設定は、他のすべてのトラフィックで無視されます(他のすべてのトラフィックはトンネル モードでカプセル化されます)。

保護対象のトラフィックが IPsec ピアと同じ IP アドレスを持ち、トランスポート モードが指定されている場合、ルータはネゴシエーション中にトランスポート モードを要求しますが、トランスポート モードとトンネル モードの両方を受け入れます。トンネル モードが指定されている場合、ルータはトンネル モードを要求し、トンネル モードだけを受け入れます。

トランスフォーム セットを定義すると、暗号トランスフォーム設定モードに入ります。このモードの間は、モードをトンネルまたはトランスポートに変更できます。この変更は、定義したトランスフォーム セットだけに適用されます。

最初にトランスフォーム セットを定義するときにモードを変更せず、後でそのトランスフォーム セットのモードを変更する場合、トランスフォーム セットを再入力(トランスフォーム名とそのすべてのトランスフォームを指定)してから、モードを変更します。

このコマンドを使用してモードを変更したときに、変更が適用されるのは、このトランスフォーム セットを指定する暗号マップ エントリを介するそれ以降の IPsec セキュリティ結合のネゴシエーションだけです(新しい設定をすぐに適用する場合には、セキュリティ結合データベースの一部または全体をクリアします。詳細については、「clear crypto sa」 を参照してください。

トンネル モード

トンネル モードでは、元の IP パケットは保護され(暗号化、認証、またその両方が行われる)、IPsec ヘッダーおよびトレーラー(ESP ヘッダーおよびトレーラー、AH ヘッダー、またはその両方)によってカプセル化されます。次にIPsec エンドポイントを発信元と宛先として指定する新しい IP ヘッダーがパケットの先頭に付加されます。

トンネル モードは、すべての IP トラフィックで使用できます。IPsec が、トラフィックをIPsec ピアの背後のホストから保護している場合には、トンネル モードを使用する必要があります。たとえば、トンネル モードは、ある保護ネットワーク上のホストが 1 対の IPsec ピアを介して異なる保護ネットワーク上のホストにパケットを送信するような仮想プライベート ネットワーク(VPN)で使用されます。

VPN では、セキュアなネットワーク上のホストがセッション エンドポイントとなり、IPsec ピアはピア間のセキュアなトラフィックを「トンネル」します。

トランスポート モード

トランスポート モードでは、元の IP パケットのペイロード(データ)だけが保護(暗号化、認証、またはその両方)されます。ペイロードは、IPsec ヘッダーおよびトレーラー(ESP ヘッダーおよびトレーラー、AH ヘッダー、あるいはその両方)によってカプセル化されます。元の IP ヘッダーはそのままの状態が保たれ、IPsec による保護は行われません。

トランスポート モードは、保護される IP トラフィックが発信元および宛先として IPsec ピアを持つ場合にだけ使用してください。たとえば、ルータ管理トラフィックを保護するためにトランスポート モードを使用できます。トランスポート モードを指定することで、ルータはトランスポート モードまたはトンネル モードのいずれを使用するかをリモート ピアとネゴシエートできます。

この例では、トランスフォーム セットを定義して、モードをトランスポート モードに変更します。モード値が適用されるのは、ローカルおよびリモートの IPsec ピアに発信元アドレスと宛先アドレスを持つ IP トラフィックだけです。

MyPeerRouter(config)# crypto ipsec transform-set newer esp-des esp-sha-hmac
MyPeerRouter(cfg-crypto-trans)# mode transport
MyPeerRouter(cfg-crypto-trans)# exit
MyPeerRouter(config)#
 

 
関連コマンド

crypto ipsec transform-set

initialization-vector size

set peer

暗号マップ エントリに IPsec ピアを指定するには、暗号マップ設定コマンド set peer を使用します。暗号マップ エントリから IPsec ピアを削除するには、このコマンドの no フォームを使用します。

set peer { hostname | ip-address }

no set peer { hostname | ip-address }

 
構文の説明

hostname

ホスト名によって IPsec ピアを指定します。これは、ドメイン名と連結されたピアのホスト名です(たとえば、myhost.domain.com)。

ip-address

IP アドレスによって IPsec ピアを指定します。

 
デフォルト

デフォルトではピアは定義されていません。

 
コマンドモード

暗号マップ設定

 
使用方法

このコマンドは Cisco IOS Release 11.2 に初出しています。

このコマンドを使用して、暗号マップの IPsec ピアを指定します。このコマンドは、すべてのスタティック暗号マップに必要です。ダイナミック暗号マップを( crypto dynamic-map コマンドにより)定義する場合には、このコマンドは必要ありません。また、ほとんどの場合は使用されません(一般にピアが不明であるため)。

暗号マップ エントリ ipsec-isakmp の場合は、このコマンドを繰り返し使用することで複数のピアを指定できます。パケットが実際に送信されるピアは、特定のデータ フローに対してルータが最後に受信した(トラフィックまたはネゴシエーション要求を受信した)ピアによって決定されます。最初のピアで失敗すると、IKE は暗号マップ リストにある次のピアで試行します。

暗号エントリ ipsec-manual の場合には、暗号マップごとに 1 つの IPsec ピアだけを指定できます。ピアを変更する場合は、まず以前のピアを削除してから新しいピアを指定します。

ホスト名でリモート IPsec ピアを指定できるのは、ホスト名が DNS サーバ内のピアの IP アドレスにマップされている場合、または ip host コマンドによりホスト名を IP アドレスに手動でマップする場合に限られます。

次の例は、セキュリティ結合の確立に IKE が使用される場合の暗号マップ設定を示しています。この例では、セキュリティ結合は 10.0.0.1 の IPsec ピアまたは 10.0.0.2 のピアにセットアップされます。

crypto map mymap 10 ipsec-isakmp
match address 101
set transform-set my_t_set1
set peer 10.0.0.1
set peer 10.0.0.2
 

 
関連コマンド

crypto dynamic-map

crypto map( グローバル設定)

crypto map (インターフェイス設定)

crypto map local-address

match address

set pfs

set security-association level per-host

set security-association lifetime

set session-key

set transform-set

show crypto map

set pfs

この暗号マップ エントリの新しいセキュリティ結合を要求するときに IPsecが完全転送秘密(PFS)を求めるように指定するか、または新しいセキュリティ結合の要求を受け取るときに IPsec が PFS を必要とするように指定するには、暗号マップ設定コマンド set pfs を使用します。IPsec が PFS を要求しないように指定するには、コマンドの no フォームを使用します。

set pfs [group1 | group2]

no set pfs

no set peer { hostname | ip-address }

 
構文の説明

group1

新しい Diffie-Hellman 交換を行う場合に IPsec が 768 ビット Diffie-Hellman prime modulus グループを使用するよう指定します。

group2

新しい Diffie-Hellman 交換を行う場合に IPsec が 1024 ビット Diffie-Hellman prime modulus グループを使用するよう指定します。

 
デフォルト

デフォルトでは、PFS は要求されません。このコマンドによりグループが指定されない場合は、 group1 がデフォルトで使用されます。

 
コマンドモード

暗号マップ設定

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。 ipsec-isakmp 暗号マップ エントリおよびダイナミック暗号マップ エントリだけがこのコマンドを使用できます。

このコマンドを使用すると、ネゴシエーションにおいて暗号マップ エントリの新しいセキュリティ結合を要求するときに、 IPsec が PFS を要求します。 set pfs 文がグループを指定しない場合は、デフォルト( group1 )が送信されます。ピアがネゴシエーションを開始し、ローカル コンフィギュレーションが PFS を指定する場合、リモート ピアは PFS 交換を実行する必要があります。実行しない場合はネゴシエーションが失敗します。ローカル コンフィギュレーションがグループを指定しない場合は、デフォルトの group1 が想定され、 group1 または group2 のオファーが受け入れられます。ローカル コンフィギュレーションが group2 を指定する場合、そのグループはピアのオファーの一部である必要があります。そうでない場合には、ネゴシエーションが失敗します。ローカル コンフィギュレーションが PFS を指定しない場合は、ピアからのすべての PFS オファーを受け入れます。

PFS を使用することで、セキュリティのレベルがさらに強化されます。1 つのキーが攻撃者によってクラッキングされても、危険にさらされるデータはそのキーで送信されるデータだけになります。PFS を使用しない場合は、他のキーで送信されるデータも危険にさらされる可能性があります。PFS により、新しいセキュリティ結合がネゴシエートされるごとに、新しい Diffie-Hellman 交換が行われます(この交換には、追加の処理時間が必要です)。

1024 ビット Diffie-Hellman prime modulus グループの group2 は、 group1 よりも強固なセキュリティを提供しますが、 group1 に比べて長い処理時間が必要になります。

この例では、暗号マップ mymap 10 に対する新しいセキュリティ結合がネゴシエートされるごとに PFS を使用するよう指定します。

crypto map mymap 10 ipsec-isakmp
set pfs group2
 

 
関連コマンド

crypto dynamic-map

crypto map( グローバル設定)

crypto map (インターフェイス設定)

crypto map local-address

match address

set peer

set security-association level per-host

set security-association lifetime

set transform-set

show crypto map

set security-association level per-host

各発信元/宛先ホストのペアに個別の IPsec セキュリティ結合を要求するように指定するには、暗号マップ設定コマンド set security-association level per-host を使用します。コマンドの no フォームを使用すると、各暗号マップ アクセス リスト許可エントリごとに 1 つのセキュリティ結合を要求するように指定できます。

set security-association level per-host

no set security-association level per-host

 
構文の説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

所定の暗号マップに対して、単一の暗号マップ アクセス リスト許可エントリと一致する 2 つの IPsec ピア間のすべてのトラフィックは、同じセキュリティ結合を共有します。

 
コマンドモード

暗号マップ設定

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。このコマンドを使用できるのは、暗号マップ エントリ ipsec-isakmp だけで、ダイナミック暗号マップ エントリではサポートされません。


ヒント このコマンドを使用すると、サブネット間の複数のストリームがシステム リソースを急速に消費する可能性があるため、使用の際には注意が必要です。


このコマンドを使用して、各発信元/宛先ホストのペアごとに別個のセキュリティ結合が使用されるように指定します。

通常 IPsec は、所定の暗号マップ内で、アクセス リストのエントリに指定されている細かさでセキュリティ結合を要求しようと試みます。たとえば、アクセス リストのエントリで permit ip between Subnet A and Subnet B が指定されているとき、IPsec は(任意の IP プロトコルの) Subnet A および Subnet B 間のセキュリティ結合を要求しようと試みます。さらに細かいセキュリティ結合が(ピア要求によって)確立されない限り、これらの 2 つのサブネット間の IPsec 保護トラフィックはすべて同じセキュリティ結合を使用することになります。

このコマンドにより、IPsec は各発信元/宛先ホストのペアごとに別個のセキュリティ結合を要求します。この場合、各ホストの組み合せ(つまり一方のホストが Subnet A にあり、もう一方のホストが Subnet B にあるような)によって、IPsec が別個のセキュリティ結合を要求するようになります。

このコマンドを使用すると、Host A および Host B 間のトラフィックを保護するために 1 つのセキュリティ結合が要求され、Host A および Host C 間のトラフィックを保護するために別のセキュリティ結合が要求されるようになります。

アクセス リストのエントリは、ローカルおよびリモートのサブネットを指定できます。または、ホストとサブネットの組み合せを指定できます。アクセス リストのエントリにプロトコルとポートが指定されていると、これらの値は一意のセキュリティ結合を確立するときに適用されます。

アクセス リスト エントリ permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 と per-host レベルの場合、次の状態を伴います。

1.1.1.1 ~ 2.2.2.1 のパケットは、 permit ip host 1.1.1.1 host 2.2.2.1 を介して発信するセキュリティ結合要求を初期化します。

1.10.20.2 ~ 2.2.2.1 のパケットは、 permit ip host 1.1.1.1 host 2.2.2.1 を介して発信するセキュリティ結合要求を初期化します。

1.10.20.2 ~ 2.2.2.1 のパケットは、 permit ip host 1.1.1.1 host 2.2.2.1 を介して発信するセキュリティ結合要求を初期化します。

per-host レベルがない場合には、上記の任意のパケットが permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 を介して発信する 1 つのセキュリティ結合要求を開始します。

 
関連コマンド

crypto dynamic-map

crypto map (グローバル設定)

crypto map (インターフェイス設定)

crypto map local-address

match address

set peer

set pfs

set security-association lifetime

set transform-set

show crypto map

set security-association lifetime

IPsec セキュリティ結合のネゴシエーション時に使用されるグローバル ライフタイム値を(特定の暗号マップ エントリに対して)変更するには、暗号マップ設定コマンド set security-association lifetime を使用します。暗号マップ エントリのライフタイム値をグローバル値にリセットするには、コマンドの no フォームを使用します。

set security-association lifetime {seconds seconds | kilobytes kilobytes }

no set security-association lifetime {seconds | kilobytes}

 
構文の説明

seconds seconds

タイムアウト前にセキュリティ結合が存続する秒数を指定します。

kilobytes kilobytes

セキュリティ結合がタイムアウトする前に所定のセキュリティ結合を使用して IPsec ピア間で渡されるトラフィックの量(キロバイト単位)を指定します。

 
デフォルト

暗号マップのセキュリティ結合は、グローバル ライフタイムに従ってネゴシエートされます。

 
コマンドモード

暗号マップ設定

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。このコマンドを使用できるのは、 ipsec-isakmp 暗号マップ エントリおよびダイナミック暗号マップ エントリだけです。

IPsec セキュリティ結合では、共用秘密キーを使用します。これらのキーとそのセキュリティ結合は同時にタイムアウトになります。特定の暗号マップ エントリにライフタイム値が設定されているとみなすと、ルータはセキュリティ結合のネゴシエーション中に新しいセキュリティ結合を要求するときに、ピアへの要求においてその暗号マップ ライフタイム値を指定します。ルータはこの値を新しいセキュリティ結合のライフタイムとして使用します。

ルータはピアからネゴシエーション要求を受け取ると、ピアに提示されたライフタイム値またはローカルに設定されているライフタイム値のうち小さいほうを新しいセキュリティ結合のライフタイムとして使用します。

ライフタイムには、「 時限 ライフタイム」と「 トラフィックボリューム ライフタイム」の 2 つの種類があります。セッション キー/セキュリティー結合は、これらのうち最初のライフタイムに到達すると期限満了します。

ライフタイムを変更すると、変更は既存のセキュリティ結合に適用されませんが、その後のネゴシエーションで、この暗号マップ エントリがサポートするデータ フローのセキュリティ結合を確立するために使用されます。新しい設定をすぐに適用する場合は、clear crypto sa コマンドを使用してセキュリティ結合データベースの一部または全体をクリアします。詳細については、「clear crypto sa」 を参照してください。

時限ライフタイムを変更するには、コマンドの set security-association lifetime seconds フォームを使用します。時限ライフタイムにより、キーとセキュリティ結合は指定された秒数が経過するとタイムアウトになります。

トラフィックボリューム ライフタイムを変更するには、コマンドの set security-association lifetime kilobytes フォームを使用します。トラフィックボリューム ライフタイムにより、キーとセキュリティ結合は指定されたトラフィックの量(キロバイト単位)がセキュリティ結合のキーによって保護された後にタイムアウトになります。

ライフタイムが短いと、同一キーで暗号化されているデータが少なくなるため、攻撃者はキー回復攻撃を開始することが難しくなります。ただし、ライフタイムが短い場合は、それに応じて多くの CPU 処理時間が必要になります。

ライフタイム値は、手動で確立されたセキュリティ結合(暗号マップ エントリ ipsec-manual を使用してインストールされたセキュリティ結合)については無視されます。

ライフタイムのしくみ

特定の暗号マップ エントリにライフタイム値が設定されていないとみなすと、ルータは新しいセキュリティ結合を要求するときに、ピアへの要求においてそのグローバル ライフタイム値を指定します。ルータはこの値を新しいセキュリティ結合のライフタイムとして使用します。ルータはピアからネゴシエーション要求を受け取ると、ピアに提示されたライフタイム値またはローカルに設定されているライフタイム値のうち小さいほうを新しいセキュリティ結合のライフタイムとして使用します。

セキュリティ結合(および対応するキー)は、タイムアウトの秒数が経過した後、またはトラフィック量がキロバイトに到達した後のうち、どちらか先に到達したものに従って期限満了します。

新しいセキュリティ結合は、既存のセキュリティ結合のライフタイムしきい値に達する前にネゴシエートされ、以前のセキュリティ結合が期限満了したとき新しいセキュリティ結合が使用できる状態になっています。新しいセキュリティ結合は、ライフタイムの秒数が期限満了する 30 秒前、またはトンネルを経由するトラフィックのボリュームがライフタイムのキロバイト数よりも 256 キロバイト少ない量に達したとき(いずれかが先に発生した場合)にネゴシエートされます。

セキュリティ結合の存続の全期間中にトラフィックがトンネルを通過しなかった場合には、新しいセキュリティ結合はライフタイムのタイムアウト時にネゴシエートされません。新しいセキュリティ結合は、IPsec の保護対象となる別のパケットが認識されたときにだけネゴシエートされます。

暗号マップ エントリに属しているセキュリティ結合ではキーが危険にさらされる可能性が高くなるため、この例では特定の暗号マップ エントリの時限ライフタイムを短縮しています。トラフィックボリューム ライフタイムは、これらのセキュリティ結合に大量のトラフィックが予想されないため、変更されていません。

時限ライフタイムは 2,700 秒(45 分)に短縮されます。

crypto map mymap 10 ipsec-isakmp
set security-association lifetime seconds 2700

 
関連コマンド

crypto dynamic-map

crypto ipsec security-association lifetime

crypto map( グローバル設定)

crypto map (インターフェイス設定)

crypto map local-address

match address

set peer

set pfs

set security-association level per-host

set transform-set

show crypto map

set session-key

暗号マップ エントリ内の IPsec セッション キーを指定するには、暗号マップ設定コマンド set session-key を使用します。このコマンドの no フォームを使用すると、暗号マップ エントリから IPsec セッション キーが削除されます。このコマンドを使用できるのは、暗号マップ エントリ ipsec-manual だけです。

set session-key {inbound | outbound} ah spi hex-key-string

set session-key {inbound | outbound} esp spi cipher hex-key-string

[authenticator hex-key-string ]

no set session-key {inbound | outbound} ah

no set session-key {inbound | outbound} esp

 
構文の説明

inbound

受信 IPsec セッション キーを設定します(受信キーと送信キーの両方を設定する必要があります)。

outbound

送信 IPsec セッション キーを設定します(受信キーと送信キーの両方を設定する必要があります)。

ah

AH プロトコルの IPsec セッション キーを設定します。暗号マップ エントリのトランスフォーム セットに AH トランスフォームが含まれる場合に使用します。

esp

ESP プロトコルの IPsec セッション キーを設定します。暗号マップ エントリのトランスフォーム セットに ESP トランスフォームが含まれる場合に使用します。

spi

セキュリティ パラメータ インデックス(SPI)を指定します。これは、セキュリティ結合を一意に識別するために使用される数値です。SPI は、256~4,294,967,295(FFFF FFFF)の範囲で割り当てる任意の数値です。

同一の SPI を両方向にも両方のプロトコルにも割り当てることができます。ただし、すべてのピアが SPI の割り当てに対して同様の柔軟性を備えているわけではありません。所定の宛先アドレス/プロトコルの組み合せに対して、一意の SPI 値を使用する必要があります。宛先アドレスは、受信の場合はルータのアドレス、送信の場合はピアのアドレスになります。

hex-key-string

入力するセッション キーを 16 進形式で指定します。これは、8、16、または 20 バイトの任意の 16 進文字列です。20 バイトよりも長いキーは切り捨てられます。

暗号マップのトランスフォーム セットに DES アルゴリズムが含まれている場合には、キーごとに最低 8 バイトを指定します。

暗号マップのトランスフォーム セットに MD5 アルゴリズムが含まれている場合には、キーごとに最低 16 バイトを指定します。

暗号マップのトランスフォーム セットに SHA アルゴリズムが含まれている場合には、キーごとに最低 20 バイトを指定します。

cipher

キー ストリングが ESP 暗号化トランスフォームで使用されることを示します。

authenticator

(オプション)キー ストリングが ESP 認証トランスフォームで使用されることを示します。暗号マップ エントリのトランスフォーム セットに ESP 認証トランスフォームが含まれている場合だけ、この引数が必要になります。

 
デフォルト

デフォルトによりセッション キーは定義されていません。

 
コマンドモード

暗号マップ設定

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

このコマンドを使用して、暗号マップ エントリ ipsec-manual を介するセキュリティ結合の IPsec キーを定義します(暗号マップ エントリ ipsec-isakmp の場合は、対応するキーとのセキュリティ結合は IKE ネゴシエーションを通じて自動的に確立されます)。

暗号マップのトランスフォーム セットに AH プロトコルが含まれている場合には、受信トラフィックと送信トラフィックの両方について AH の IPsec キーを定義する必要があります。暗号マップのトランスフォーム セットに ESP 暗号化プロトコルが含まれている場合には、受信トラフィックと送信トラフィックの両方について ESP 暗号化の IPsec キーを定義する必要があります。暗号マップのトランスフォーム セットに ESP 認証プロトコルが含まれている場合には、受信トラフィックと送信トラフィックの両方について ESP 認証の IPsec キーを定義する必要があります。

複数の IPsec セッション キーを 1 つの暗号マップ内に定義する場合には、同一のセキュリティ パラメータ インデックス(SPI)番号をすべてのキーに割り当てることができます。SPI は、暗号マップで使用されるセキュリティ結合を識別するために使用されます。ただし、すべてのピアが SPI の割り当てにおいて同様の柔軟性を備えているわけではありません。SPI の割り当てをピアのオペレータと調整して、同一の SPI が同じ宛先アドレス/プロトコルの組み合せに複数回使用されないよう確認する必要があります。

このコマンドを通じて確立されたセキュリティ結合は(IKE を通じて確立されたセキュリティ結合とは異なり)期限満了することはありません。

1 つのピアのセッション キーはリモート ピアのセッション キーと一致する必要があります。

セッション キーを変更すると、そのキーを使用するセキュリティ結合は削除されて再初期化されます。

次に、手動で確立されるセキュリティ結合の暗号マップ エントリの例を示します。 t_set という名前のトランスフォーム セットには、AH プロトコルだけが含まれています。

crypto ipsec transform-set t_set ah-sha-hmac
crypto map mymap 20 ipsec-manual
match address 102
set transform-set t_set
set peer 10.0.0.21
set session-key inbound ah 300 1111111111111111111111111111111111111111
set session-key outbound ah 300 2222222222222222222222222222222222222222
 

次に、手動で確立されるセキュリティ結合の暗号マップ エントリの例を示します。 someset という名前のトランスフォーム セットには、AH と ESP の両プロトコルが含まれているため、セッション キーは受信トラフィックと送信トラフィックの AH および ESP に対して設定されます。トランスフォーム セットには、暗号化および認証の両 ESP トランスフォームが含まれているため、セッション キーはキーワード cipher とキーワード authenticator を使用して両方に対して作成されます。

crypto ipsec transform-set someset ah-sha-hmac esp-des esp-sha-hmac
crypto map mymap 10 ipsec-manual
match address 101
set transform-set someset
set peer 10.0.0.1
set session-key inbound ah 300 9876543210987654321098765432109876543210
set session-key outbound ah 300 fedcbafedcbafedcbafedcbafedcbafedcbafedc
set session-key inbound esp 300 cipher 0123456789012345
authenticator 0000111122223333444455556666777788889999
set session-key outbound esp 300 cipher abcdefabcdefabcd
authenticator 9999888877776666555544443333222211110000
 

 
関連コマンド

crypto map( グローバル設定)

crypto map (インターフェイス設定)

crypto map local-address

match address

set peer

set transform-set

show crypto map

set transform-set

暗号マップ エントリ使用可能なトランスフォーム セットを指定するには、暗号マップ設定コマンド set transform-set を使用します。このコマンドの no フォームを使用すると、暗号マップ エントリからすべてのトランスフォーム セットを削除できます。

set transform-set transform-set-name1 [ transform-set-name2...transform-set-name6 ]

no set transform-set

 
構文の説明

transform-set-name

トランスフォーム セットの名前

暗号マップ エントリ ipsec-manual については、指定できるトランスフォーム セットは 1 つだけです。

ipsec-isakmp またはダイナミック暗号マップ エントリの場合には、最大 6 つのトランスフォーム セットを指定できます。

 
デフォルト

デフォルトによりトランスフォーム セットは含まれていません。

 
コマンドモード

暗号マップ設定

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。このコマンドは、すべてのスタティックおよびダイナミック暗号マップ エントリに必要です。このコマンドを使用して、暗号マップ エントリに含めるトランスフォーム セットを指定します。

暗号マップ エントリ ipsec-isakmp の場合には、このコマンドにより複数のトランスフォーム セットをリストにできます。優先順位の高いトランスフォーム セットを先にリストにします。

ローカルのルータがネゴシエーションを開始すると、トランスフォーム セットは暗号マップ エントリに指定されている順序でピアに提示されます。ピアがネゴシエーションを開始すると、ローカル ルータは暗号マップ エントリに指定されているトランスフォーム セットの 1 つと一致する最初のトランスフォーム セットを受け入れます。

両方のピアで検出された最初の一致するトランスフォーム セットは、セキュリティ結合に使用されます。一致するトランスフォーム セットが見つからない場合は、IPsec はセキュリティ結合を確立しません。トラフィックを保護するセキュリティ結合がないため、トラフィックは廃棄されます。

暗号マップ エントリ ipsec-manual の場合は、指定できるトランスフォーム セットは 1 つだけです。トランスフォーム セットが、リモート ピアの暗号マップのトランスフォーム セットと一致しない場合には、2 つのピアは正しく通信できません。これは、ピアが異なる規則を使用してトラフィックを処理するからです。

トランスフォーム セットのリストを変更する場合には、新しいトランスフォーム セットのリストを指定して以前のリストと置き換えます。この変更が適用されるのは、このトランスフォーム セットを参照する暗号マップ エントリだけです。変更は既存のセキュリティ結合には適用されませんが、その後のネゴシエーションにおいて、新しいセキュリティ結合を確立するために使用されます。新しい設定をすぐに適用する場合は、 clear crypto sa コマンドを使用してセキュリティ結合データベースの一部または全体をクリアします。

暗号マップに含まれているトランスフォーム セットは、 crypto ipsec transform-set コマンドを使用してあらかじめ定義されている必要があります。

次の例では、2 つのトランスフォーム セットを定義し、暗号マップ エントリ内でその両方が使用できるように指定します。この例は、IKE がセキュリティ結合の確立に使用される場合に限り適用できます。手動で確立するセキュリティ結合に暗号マップを使用しているため、所定の暗号マップ エントリに含めることができるトランスフォーム セットは 1 つだけです。

crypto ipsec transform-set my_t_set1 esp-des esp-sha-hmac
crypto ipsec transform-set my_t_set2 ah-sha-hmac esp-des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
match address 101
set transform-set my_t_set1 my_t_set2
set peer 10.0.0.1
set peer 10.0.0.2
 

この例では、トラフィックがアクセス リスト 101 と一致したときに、セキュリティ結合は、リモート ピアのトランスフォーム セットとの一致に応じて my_t_set1 (最優先)または my_t_set2 (2 番目の優先度)のトランスフォーム セットのいずれかを使用できます。

 
関連コマンド

crypto dynamic-map

crypto map (グローバル設定)

crypto map (インターフェイス設定)

crypto map local-address

match address

set peer

set pfs

set security-association level per-host

set security-association lifetime

set session-key

show crypto map

show crypto ipsec sa

現在のセキュリティ結合が使用している設定を表示するには、 show crypto ipsec sa EXEC コマンドを使用します。

show crypto ipsec sa [map map-name | address | identity] [detail]

 
構文の説明

map map-name

(オプション)map-name という名前の暗号マップ セットに対して作成された既存のセキュリティ結合を表示します。

address

(オプション)宛先アドレス(ローカル アドレスまたは IPsec リモート ピアのアドレス)でソートされ、次にプロトコル(AH または ESP)でソートされたすべての既存のセキュリティ結合を表示します。

identity

(オプション)フロー情報だけを表示します。セキュリティ結合情報は表示しません。

detail

(オプション)詳細なエラー カウンタを表示します(デフォルトはハイレベルの送信/受信 カウンタです)。

 
デフォルト

キーワードを使用しない場合は、すべてのセキュリティ結合が表示されます。最初にインターフェイスでソートされ、次にトラフィック フロー(たとえば、発信元/宛先アドレス、マスク、プロトコル、ポート)でソートされます。フロー内では、SA はプロトコル(ESP/AH)および方向(受信/送信)別にリストに入れられます。

 
コマンドモード

EXEC

show crypto ipsec security-association lifetime

特定の暗号マップ エントリに設定されているセキュリティ結合のライフタイム値を表示するには、 show crypto ipsec security-association lifetime EXEC コマンドを使用します。

show crypto ipsec security-association lifetime

 
構文の説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

なし

 
コマンドモード

EXEC

 
使用方法

このコマンドは Cisco IOS Release 11.3 T に初出しています。

サンプルの出力

次に show crypto ipsec security-association lifetime コマンドのサンプル出力を示します。

router#show crypto ipsec security-association lifetime
Security-association lifetime: 4608000 kilobytes/120 seconds
 

上記の show crypto ipsec security-association lifetime コマンド が発行されたことにより、次のコンフィギュレーションが適用されました。

crypto ipsec security-association lifetime seconds 120

show crypto ipsec transform-set

設定済みのトランスフォーム セットを表示するには、 show crypto ipsec transform-set EXEC コマンドを使用します。

show crypto ipsec transform-set [tag transform-set-name ]

show crypto ipsec sa [map map-name | address | identity] [detail]

 
構文の説明

tag transform-set-name

(オプション)指定されたトランスフォーム セット名を持つトランスフォーム セットだけを表示します。

 
デフォルト

キーワードを使用しない場合は、ルータに設定されているすべてのトランスフォーム セットが表示されます。

 
コマンドモード

EXEC

show crypto dynamic-map

ダイナミック暗号マップ セットを表示するには、 show crypto dynamic-map EXEC コマンドを使用します。

show crypto dynamic-map [tag map-name ]

 
構文の説明

tag map-name

(オプション)指定されたマップ名を持つダイナミック暗号マップ セットだけを表示します。

 
デフォルト

キーワードを使用しない場合は、ルータに設定されているすべてのダイナミック暗号マップが表示されます。

 
コマンドモード

EXEC

show crypto map

暗号マップ コンフィギュレーションを表示するには、 show crypto map EXEC コマンドを使用します。

show crypto map [interface interface | tag map-name ]

 
構文の説明

interface interface

(オプション)指定されたインターフェイスに適用される暗号マップ セットだけを表示します。

tag map-name

(オプション)指定されたマップ名を持つ暗号マップ セットだけを表示します。

 
デフォルト

キーワードを使用しない場合は、ルータに設定されているすべての暗号マップが表示されます。

 
コマンドモード

EXEC

 
使用方法

このコマンドは Cisco IOS Release 11.2 に初出しています。

サンプルの表示

次に show crypto map コマンドのサンプル出力を示します。

Router# show crypto map

Crypto Map:"router-alice" idb:Ethernet0 local address: 172.21.114.123

Crypto Map “router-alice” 10 ipsec-isakmp
Peer = 172.21.114.67
Extended IP access list 141
access-list 141 permit ip
source: addr = 172.21.114.123/0.0.0.0
dest: addr = 172.21.114.67/0.0.0.0
Current peer: 172.21.114.67
Security-association lifetime: 4608000 kilobytes/120 seconds
PFS (Y/N): N
Transform sets={ t1, }
 

上記の show crypto map コマンドが発行されたことにより、次のコンフィギュレーションが適用されました。

crypto map router-alice local-address Ethernet0
crypto map router-alice 10 ipsec-isakmp
set peer 172.21.114.67
set transform-set t1
match address 141
 

次に、手動で確立されるセキュリティ結合が使用された場合の show crypto map コマンドのサンプル出力を示します。

Router#show crypto map
Crypto Map “multi-peer” 20 ipsec-manual
Peer = 172.21.114.67
Extended IP access list 120
access-list 120 permit ip
source: addr = 1.1.1.1/0.0.0.0
dest: addr = 1.1.1.2/0.0.0.0
Current peer: 172.21.114.67
Transform sets={ t2, }
Inbound esp spi: 0,
cipher key: ,
auth_key: ,
Inbound ah spi: 256,
key: 010203040506070809010203040506070809010203040506070809,
Outbound esp spi: 0
cipher key: ,
auth key: ,
Outbound ah spi: 256,
key: 010203040506070809010203040506070809010203040506070809,
 

上記の show crypto map コマンドが発行されたことにより、次のコンフィギュレーションが適用されました。

crypto map multi-peer 20 ipsec-manual
set peer 172.21.114.67
set session-key inbound ah 256
010203040506070809010203040506070809010203040506070809
set session-key outbound ah 256
010203040506070809010203040506070809010203040506070809
set transform-set t2
match address 120
 

 

表 B-2 Show Crypto Map のフィールドの説明

フィールド名
説明

Peer

リモート IPsec ピアの IP アドレスを示します。

Extended IP access list

暗号マップに関連付けられているアクセス リストをリストします。アクセス リストが関連付けられていない場合には、「No matching address list set」というメッセージが表示されます。

Current Peer

現在の IPsec ピアを表示します。

Security-association lifetime

セキュリティ結合のライフタイムを示します。

PFS

この暗号マップの新しい SA を確立する際に IPsec が完全転送秘密をネゴシエートするかどうか示します。

Transform sets

暗号マップで使用できるトランスフォーム セットの名前を示します。

Inbound

受信 IPsec セッション キーの設定を示します。

Outbound

送信 IPsec セッション キーの設定を示します。

デバッグ特権 EXEC コマンドからの出力は、一般にプロトコル ステータスとネットワーク アクティビティに関連する各種インターネットワーク イベントに関する診断情報を提供します。これらのコマンドの使用には細心の注意を払います。一般に、特定の問題のトラブルシューティングについては、ルータのテクニカル サポート担当者の指導がある場合に限り、これらのコマンドを使用するようお勧めします。


注意 デバッギングを有効にすると、インターネットワークの負荷が高い状態のときに、ルータのオペレーションが中断される可能性があります。
デバッグ コマンドの使用を終えたら、専用の no debug コマンドまたは no debug all コマンド(undebug コマンドも使用可能)を使用して、必ずデバッグ コマンドを無効にします。

デバッグ コマンドの影響を最小限に抑えるには、次の手順を実行します。


ステップ 1 no logging コンソール コマンドを発行します。

これは、コンソール ターミナルへのすべてのロギングを無効にするグローバル設定コマンドです。コンソールへのロギングを再び有効にするには、 logging console コマンドを発行します。

ステップ 2 ルータ ポートへ Telnet で接続し、enable EXEC コマンドを入力します。

ステップ 3 terminal monitor コマンドを発行し、次に必要なデバッグ コマンドを発行します。

コンソールではなく Telnet 経由でルータにアクセスする場合は、terminal monitor コマンドが必要です。

仮想ターミナルのロギングを無効にするには、 terminal no monitor コマンドを発行します。

以上の手順に従うことで、デバッグ コマンドの使用によって生じる負荷を最小限に抑えることができます。これは、コンソール ポートが文字単位のプロセッサ割り込みを生成する必要がないためです。


 

debug crypto engine

暗号エンジン イベントを表示します。

debug crypto ipsec

IPsec イベントを表示します。

debug crypto isakmp

Internet Key Exchange(IKE)イベントに関するメッセージを表示します。