Cisco IOS XR インターフェイスおよびハードウェア コンポーネント コンフィギュレーション ガイド
Cisco IOS XRソフトウェアでのトンネ ル インターフェイスの設定
Cisco IOS XRソフトウェアでのトンネル インターフェイスの設定
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 977KB) | フィードバック

目次

Cisco IOS XRソフトウェアでのトンネル インターフェイスの設定

内容

トンネル インターフェイスを設定するための前提事項

トンネル インターフェイスの設定に関する情報

トンネル インターフェイスの概要

仮想インターフェイスの命名規則

アクティブRP、スタンバイRP、および仮想インターフェイスの設定

トンネルIPSecの概要

トンネルIPSecの命名規則

クリプト プロファイル セット

MPLSトラフィック エンジニアリングの概要

トンネル インターフェイスの設定手順

トンネルIPSecインターフェイスの設定

前提条件

トンネル インターフェイスの設定例

トンネルIPSecの例

次の作業

その他の参考資料

関連マニュアル

テクニカル サポート

GLOSSARY

Cisco IOS XRソフトウェアでのトンネル インターフェイスの設定

ここでは、Cisco IOS XRソフトウェアをサポートするルータ上でのトンネルIPSecインターフェイスの設定について説明します。トンネル インターフェイスは、別のトランスポート プロトコル内の任意のパケットをカプセル化する仮想インターフェイスです。トンネルIPSecインターフェイスは、保護されないパブリック ルートで安全な通信を実現します。

仮想インターフェイスは、ルータ内部の論理パケット スイッチング エンティティです。仮想インターフェイスにはグローバル スコープが与えられ、位置は対応付けられません。Cisco IOS XRソフトウェアではrack/slot/module/portという形式で物理インターフェイスを識別しますが、仮想インターフェイスはインターフェイス名の後ろにグローバルに固有の番号IDを使用して識別します。Loopback 0、Loopback 1、Null99999などがこの番号IDの例です。このIDは仮想インターフェイス タイプごとに固有なので、Loopback 0およびNull 0は同時に使用できます。

リリース3.0では、仮想インターフェイスはアクティブRoute Processor(RP;ルート プロセッサ)の制御プレーンに存在します。コンフィギュレーションおよび制御プレーンはスタンバイRP上でミラー化され、フェールオーバーが発生した場合は、仮想インターフェイスがスタンバイに移り、スタンバイRPが新しいアクティブRPになります。

Cisco IOS XRソフトウェアの今後のリリースでは、仮想インターフェイスが他のRP間で分散される予定です。


) サブインターフェイスは、親インターフェイスに応じて物理インターフェイスまたは仮想インターフェイスにできます。


仮想トンネルは任意のRPまたはDistributed RP(DRP;分散RP)上で設定できますが、作成および運用できるのはRPからだけです。


) トンネルとライン カードは1対1の対応ではありません。


Cisco IOS-XRソフトウェアのトンネル インターフェイス設定に関する機能の履歴

リリース
変更事項

リリース2.0

この機能が導入されました。

トンネル インターフェイスを設定するための前提事項

トンネル インターフェイスを設定する前に、次の条件が満たされているかどうかを確認してください。

tunnelコマンド用の適切なタスクIDが含まれているタスク グループに対応付けられたユーザ グループに所属している必要があります。

コマンドに対応するタスクIDについては、『Cisco IOS XR Task ID Reference Guide』を参照してください。

トンネル インターフェイスの設定に関する情報

トンネル インターフェイスを実装するには、次の概念を理解している必要があります。

「トンネル インターフェイスの概要」

「仮想インターフェイスの命名規則」

「アクティブRP、スタンバイRP、および仮想インターフェイスの設定」

「トンネルIPSecの概要」

「トンネルIPSecの命名規則」

「MPLSトラフィック エンジニアリングの概要」

トンネル インターフェイスの概要

トンネリングは、トランスポート プロトコル内の任意のパケットをカプセル化する手段です。この機能を仮想インターフェイスとして実装することによって、インターフェイスの設定が容易になります。トンネル インターフェイスは特定の「パッセンジャー」または「トランスポート」プロトコルとは結びつきません。むしろ、任意の標準ポイントツーポイント カプセル化方式を実装するために必要なサービスを提供するアーキテクチャです。サポートされるトンネルはポイントツーポイント リンクなので、リンクごとに別個のトンネルを設定する必要があります。

トンネル インターフェイスは、3つのステップで設定します。

1. トンネル インターフェイスを指定 ― interface tunnel-te numberまたはinterface tunnel-ipsec identifier

2. トンネルの起点を設定 ― tunnel source {ip-address | interface-id}

3. トンネルの終点を設定 ― tunnel destination {ip-address | tunnel-id}

Cisco IOS XRソフトウェア リリース2.0は、MPLS(マルチプロトコル ラベル スイッチング)トラフィック エンジニアリングをサポートします。リリース3.0は、公衆回線で安全な通信を実現するIPSecトンネルをサポートします。

仮想インターフェイスの命名規則

仮想インターフェイスは物理インターフェイスまたはサブインターフェイスとの結びつきがないので、インターフェイスのラック/スロット/モジュール/ポートを特定する、物理インターフェイスの命名形式rack/slot/module/portは使用しません。

仮想インターフェイスでは、グローバルに固有の番号ID(仮想インターフェイス タイプ別)を使用します。

仮想インターフェイス名を指定する形式の例を示します。

Interface IP-Address Status Protocol
Loopback0 10.9.0.0 Up Up
Loopback10 10.7.0.0 Up Up
Tunnel-TE5000 172.18.189.38 Down Down
Null10 10.8.0.0 Up Up
 

アクティブRP、スタンバイRP、および仮想インターフェイスの設定

スタンバイRPが利用可能な状態では、必要に応じてアクティブRPから作業を引き継ぐことができる状態です。スタンバイRPがアクティブRPになって、アクティブRPの役割を引き受けなければならない状況は、次のとおりです。

ウォッチドッグによる障害検出

管理コマンドによる引き継ぎ

アクティブRPのシャーシからの取り外し

セカンダリRPがシャーシに搭載されていなかった場合、プライマリRPの稼働中にセカンダリRPを搭載すると、自動的にスタンバイRPになります。シャーシからスタンバイRPを取り外しても、RPの冗長性が失われるだけで、システムに影響はありません。

フェールオーバーのあと、仮想インターフェイスは、必ず、スタンバイ(新たにアクティブになった)RPに存在します。ステートおよび設定は元のままであり、(トンネルの場合)フェールオーバー時にインターフェイス経由の転送が中断されることはありません。CRS-1システムはホストRPのフェールオーバーによって、トンネルで上でnonstop forwarding(NSF;無停止転送)を使用します。


) スタンバイ インターフェイスの設定維持を保証するために、ユーザ側で何かを設定する必要はありません。


トンネルIPSecの概要

IPSec(IP Security)は、インターネット上で機密が保持される安全な通信を保証する、オープンな標準規格からなるフレームワークです。IPSecを使用すると、パブリックすなわち保護されないネットワークを介してデータを転送しなければならない、Virtual Private Network(VPN;仮想私設網)、ファイアウォール、およびその他のアプリケーションをサポートできます。ルータのIPSecプロトコル スイートは、IPレイヤでプライバシ、整合性、および認証サービスを提供するために使用する、一連の標準規格を提供します。IPSecプロトコル スイートには、ネットワーク レイヤのセキュリティに必要な鍵管理をサポートする暗号技法も含まれています。

IPSecによって、ルータとクライアント ワークステーション間に安全なトンネルを確立できます。IPSecはIPレイヤで動作するので、IPの上で動作しているかぎり、複数のアプリケーションで同時にIPSecトンネルを利用できます。ただし、別のLogical Router(LR;論理ルータ)と通信する場合は、各LRに対してIPSecトンネルを確立する必要があります。

IPSecを使用する場合は、Secure Shell(SSH;セキュア シェル)またはSecure Socket Layer(SSL)を使用する必要はありません。SSHおよびSSLを使用すると、同じデータが2回ずつ暗号化または復号化されるので、不要なオーバーヘッドが生じます。IPSecデーモンは、RPおよびDRPの両方で動作します。IPSecはルータのオプション機能になります。IPSecは、複数のアプリケーションでセキュア トランスポートが必要な場合に有効な選択肢です。クライアント側で「Cisco VPN 300 Client」または他社のIPSecクライアント ソフトウェアを使用してIPSec VPNを作成できます。


) IPSecトンネルは制御プレーンに存在するので、アップ/ダウンはありません。IPSecトンネルに入ることができるのは、ローカルなRPまたはDRPを起点とするトラフィックだけであり、トンネルIPSecに適用されるプロファイルの一部として設定されているAccess Control List(ACL;アクセス制御リスト)によって規定されます。


トンネルIPSecの命名規則

リリース2.0では、トンネル モードIPSecに新しいキーワードprofileが追加されました。

プロファイルは、インターフェイス トンネルIPSecに対応するインターフェイス コンフィギュレーション サブモードから入力します。例を示します。

int Tunnel-ipsec 30
profile <profile name>

クリプト プロファイル セット

クリプト プロファイル セットを設定して、トンネル インターフェイス(またはクリプトIPSecトランスポート)に適用する必要があります。クリプトIPSecトランスポートを使用する詳細については、あとで記載された「その他の参考資料」にあるリンクを参照してください。2つのIPSecピア間でIPSecを正常に機能させるには、両方のピアのクリプト プロファイル エントリに矛盾のないコンフィギュレーション ステートメントが含まれていなければなりません。

セキュリティ アソシエーションを確立しようとする2つのピアは、お互いに相手のクリプト プロファイル エントリの1つと矛盾しないクリプト プロファイル エントリが1つ以上なければなりません。2つのクリプト プロファイル エントリが矛盾しないようにするには、それぞれが少なくとも次の条件を満たしている必要があります。

矛盾のないクリプト アクセス リストが指定されていなければなりません。応答するピアが動的クリプト プロファイルを使用している場合は、ピアのクリプト アクセス リストによって、ローカル クリプト アクセス リストのエントリが「許可」されなければなりません。

それぞれが相手を認識しなければなりません(応答するピアが動的クリプト プロファイルを使用している場合以外)。

共通するトランスフォーム セットが1つ以上なければなりません。


) クリプト プロファイルは共有できないので、同じプロファイルを複数のインターフェイスに結合することはできません。


MPLSトラフィック エンジニアリングの概要

MPLSトラフィック エンジニアリング ソフトウェアを使用すると、MPLSバックボーンによってレイヤ2 ATMやフレーム リレー ネットワークのトラフィック エンジニアリング機能が複製され、拡張されます。MPLSにはレイヤ2およびレイヤ3のテクノロジーが統合されています。従来のレイヤ2機能をレイヤ3で利用できるようにすることによって、MPLSはトラフィック エンジニアリングを可能にします。したがって、レイヤ2ネットワークの上にレイヤ3ネットワークを重ねることによって初めて実現した、1層のネットワークを提供できます。

トラフィック エンジニアリングは、サービス プロバイダーまたはISP(インターネット サービス プロバイダー)のバックボーンに不可欠です。このようなバックボーンは、伝送容量の大量使用をサポートしなければなりません。また、リンク障害やノード障害に耐えられるように、抵抗力の非常に強いネットワークでなければなりません。MPLSトラフィック エンジニアリングによって、統合型のトラフィック エンジニアリングが可能です。MPLSを使用すると、レイヤ3にトラフィック エンジニアリング機能が統合され、バックボーンの容量とトポロジーによる制約を前提に、IPトラフィックのルーティングが最適化されます。

MPLSトラフィック エンジニアリングの詳細については、『Cisco IOS XR Multiprotocol Label Switching Configuration Guide』の「Implementing MPLS Traffic Engineering on Cisco IOS XR Software」を参照してください。

トンネル インターフェイスの設定手順

ここでは、次の手順について説明します。

「トンネルIPSecインターフェイスの設定」(必須)

トンネルIPSecインターフェイスの設定

ここでは、トンネルIPSecインターフェイスの設定手順について説明します。

前提条件

profileコマンドを使用するには、cryptoコマンド用の適切なタスクIDが含まれているタスク グループに対応付けられたユーザ グループに所属している必要があります。tunnel destinationコマンドを使用するには、interfaceコマンド用の適切なタスクIDが含まれているタスク グループに対応付けられたユーザ グループに所属している必要があります。

ユーザ グループおよびタスクIDに関する詳細については、『 Cisco IOS-XR System Security Configuration Guide 』の「 Configuring AAA Services on Cisco IOS-XR Software 」を参照してください。

トンネルIPSecインターフェイスを作成するには、次の作業が必要です。

IPSecセキュリティ アソシエーションのグローバル ライフタイムを設定する

チェックポイントを設定する

クリプト プロファイルを設定する

前提条件であるチェックポイントおよびクリプト プロファイルの設定、およびIPSecセキュリティ アソシエーションのグローバル ライフタイム設定の詳細については、『Cisco IOS XR System Security Configuration Guide』の「Implementing IPSec Network Security on Cisco IOS XR Software」を参照してください。

クリプト プロファイルの設定後、IPSecトラフィックが流れる各トンネル インターフェイスに、クリプト プロファイルを適用する必要があります。トンネル インターフェイスにクリプト プロファイル セットを適用することによって、すべてのインターフェイスのトラフィックをクリプト プロファイル セットに基づいて評価し、クリプトによって保護されるトラフィックに関しては、接続またはセキュリティ アソシエーションのネゴシエーション時に指定されたポリシーを使用することが、ルータに指示されます。

手順概要

1. configure

2. interface tunnel-ipsec identifier

3. profile profile-name

4. tunnel source {ip-address | interface-id}

5. tunnel destination {ip-address | tunnel-id}

6. end
または
commit

7. ping ip-address

8. show ip route

手順詳細

 

コマンドまたは操作
説明

ステップ 1

configure

 

RP/0/RP0/CPU0:router# configure

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface tunnel-ipsec identifier

 

RP/0/RP0/CPU0:router(config)> interface tunnel-ipsec 30

クリプト プロファイルを結合するIPSecインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

profile profile-name

 

RP/0/RP0/CPU0:router(config-if)> profile user1

IPSec処理用のトンネルに適用するクリプト プロファイル名を指定します。

複数のIPSecモードで同じクリプト プロファイルを共有することはできません。

ステップ 4

tunnel source (ip-address | interface-id)

 

RP/0/RP0/CPU0:router(config-if)# tunnel source Ethernet0/1/1/2

トンネルの起点のIPアドレスまたはインターフェイスIDを指定します。

このコマンドは、スタティック プロファイルとダイナミック プロファイルの両方に必要です。

ステップ 5

tunnel destination {ip-address | tunnel-id}

 

RP/0/RP0/CPU0:router(config-if)# tunnel destination 192.168.164.19

(任意)トンネルの終点のIPアドレスを指定します。

ダイナミック プロファイルの場合、このコマンドは不要です。

ステップ 6

end

または

commit

 

RP/0/RP0/CPU0:router(config-if)# end

または

RP/0/RP0/CPU0:router(config-if)# commit

設定変更を保存します。

end コマンドを入力すると、次のように、変更のコミットを要求するプロンプトが表示されます。
Uncommitted changes found.Commit them?

yes を入力すると、設定変更が実行コンフィギュレーション ファイルに保存され、コンフィギュレーション セッションが終了してEXECモードに戻ります。

no を入力すると、設定変更がコミットされずに、コンフィギュレーション セッションが終了してEXECモードに戻ります。

コンフィギュレーション セッションを継続したまま、実行コンフィギュレーション ファイルに設定変更を保存する場合は、 commit コマンドを使用します。

ステップ 7

ping ip-address

 
RP/0/RP0/CPU0:router(config)# ping 192.168.164.19

特定のIPアドレスに接続できるかどうかを確認します。

ステップ 8

show ip route

 
RP/0/RP0/CPU0:router# show ip route

トンネルの転送情報を表示します。

show ip routeコマンドを使用すると、アドバタイズされたものが表示され、さらにスタティックおよび自動ルーティングのルートが表示されます。

トンネル インターフェイスの設定例

ここでは、次の例を紹介します。

「トンネルIPSecの例」

トンネルIPSecの例

プロファイルを作成してIPSecトンネルに適用する例を示します。準備として必要なステップも示します。最初にトランスフォーム セットを定義し、プロファイルを作成してから、IPSecトンネルを設定する必要があります。

RP/0/RP0/CPU0:router# configure
RP/0/RP0/CPU0:router(config)# crypto ipsec transform-set tset1 esp-sha-hmac
RP/0/RP0/CPU0:router(config)# end
Uncommitted changes found, commit them? [yes]: yes
 
 
RP/0/RP0/CPU0:router# configure
RP/0/RP0/CPU0:router(config)# crypto ipsec profile user1
RP/0/RP0/CPU0:router(config-user1)# match sampleac1 transform-set tset1
RP/0/RP0/CPU0:router(config-user1)# set pfs group5
RP/0/RP0/CPU0:router(config-user1)# set type dynamic discover
RP/0/RP0/CPU0:router(config-user1)# isakmp authorization list list1
RP/0/RP0/CPU0:router(config-user1)# client authentication list list2
RP/0/RP0/CPU0:router(config-user1)# exit
RP/0/RP0/CPU0:router(config)# crypto isakmp client configuration group group1
RP/0/RP0/CPU0:router(config-group)# end
Uncommitted changes found, commit them? [yes]: yes
 
 
RP/0/RP0/CPU0:router# configure
RP/0/RP0/CPU0:router(config)# interface tunnel-ipsec 30
RP/0/RP0/CPU0:router(config-if)# profile user1
RP/0/RP0/CPU0:router(config-if)# tunnel source MgmtEth 0/RP0/CPU0/0
RP/0/RP0/CPU0:router(config-if)# tunnel destination 192.168.164.19
RP/0/RP0/CPU0:router(config-if)# end
Uncommitted changes found, commit them? [yes]: yes
 

次の作業

他の仮想インターフェイスの設定については、このマニュアルの 「Cisco IOS XRソフトウェアでのループバック インターフェイスおよびヌル インターフェイスの設定」 を参照してください。

各トランスポートにクリプト プロファイルを1つずつ適用することが必要になります。トランスポートにクリプト プロファイル セットを適用することによって、すべてのインターフェイスのトラフィックをクリプト プロファイル セットに基づいて評価し、クリプトによって保護されるトラフィックに関しては、接続またはセキュリティ アソシエーションのネゴシエーション時に指定されたポリシーを使用することが、ルータに指示されます。

各トランスポートにクリプト プロファイルを適用する手順については、『Cisco IOS XR System Security Configuration Guide』の「Implementing IPSec Network Security on Cisco IOS XR Software」を参照してください。

MPLSトラフィック エンジニアリングの詳細については、『Cisco IOS XR Multiprotocol Label Switching Configuration Guide』の「Implementing MPLS Traffic Engineering on Cisco IOS XR Software」を参照してください。

その他の参考資料

ここでは、トンネル インターフェイスの設定に関連する参考資料を紹介します。

関連マニュアル

関連トピック
マニュアル タイトル

Cisco IOS XRマスター コマンド リファレンス

Cisco IOS XR Master Commands List Release 3.0

Cisco IOS XRインターフェイス コンフィギュレーション コマンド

Cisco IOS XR Interface and Hardware Component Command Reference

IPSecおよびクリプト プロファイル

Cisco IOS XR System Security Configuration Guide

MPLSトラフィック エンジニアリング

Cisco IOS XR Multiprotocol Label Switching Configuration Guide

ユーザ グループおよびタスクID

Cisco IOS XR Task ID Reference Guide

リモートCraft Works Interface(CWI)クライアント管理アプリケーションからCisco CRS-1シリーズルータのインターフェイスおよびその他のコンポーネントを設定する方法

Cisco CRS-1 Series Carrier Routing System Craft Works Interface Configuration Guide

テクニカル サポート

説明
リンク

TACのホームページには、3万ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、ヒント、およびツールのリンクもあります。Cisco.comに登録されていれば、このページから詳細情報にアクセスできます。

http://www.cisco.com/public/support/tac/home.shtml

GLOSSARY

巻末にある、このマニュアル専用のGLOSSARY(用語集)を参照してください。


) GLOSSARYに含まれていない用語については、『Internetworking Terms and Acronyms』を参照してください。