Cisco ASR 9000 シリーズアグリゲーション サービス ルータシステム セキュリティ コマンド リファレンス
Cisco ASR 9000 シリーズ サービス ルータ のインターネット鍵交換セキュリティ プロト コル コマンド
Cisco ASR 9000 シリーズ サービス ルータのインターネット鍵交換セキュリティ プロトコル コマンド
発行日;2012/01/23 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Cisco ASR 9000 シリーズ サービス ルータのインターネット鍵交換セキュリティ プロトコル コマンド

accounting (IKE)

address

authentication (IKE policy)

clear crypto isakmp

clear crypto isakmp call admission statistics

clear crypto isakmp errors

clear crypto session

crypto isakmp

crypto isakmp call admission limit

crypto isakmp identity

crypto isakmp keepalive

crypto isakmp peer

crypto isakmp policy

crypto isakmp policy-set

crypto isakmp profile

crypto keyring

crypto logging

description (IKE policy)

description (ISAKMP policy-set)

description (ISAKMP peer)

description (keyring)

encryption (IKE policy)

group (IKE policy)

hash (IKE policy)

keepalive (ISAKMP profile)

keyring

key-string (IKE)

lifetime (IKE policy)

local-address (keyring)

match identity (ISAKMP profile)

match identity (ISAKMP policy-set)

policy (ISAKMP policy-set)

pre-shared-key

rsa-pubkey

self-identity

set interface tunnel-ipsec

set ipsec-profile

show crypto isakmp call admission statistics

show crypto isakmp errors

show crypto isakmp key

show crypto isakmp peers

show crypto isakmp policy

show crypto isakmp profile

show crypto isakmp sa

show crypto isakmp stats

show crypto key pubkey-chain rsa

show crypto session

Cisco ASR 9000 シリーズ サービス ルータのインターネット鍵交換セキュリティ プロトコル コマンド

このモジュールでは、Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ上で Internet Key Exchange(IKE; インターネット鍵交換)セキュリティ プロトコルを設定する場合に使用される Cisco IOS XR ソフトウェアのコマンドについて説明します。

IKE の概念、設定作業、および例の詳細については、『 Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide 』の「 Cisco ASR 9000 シリーズ サービス ルータ 」の「 Implementing Internet Key Exchange Security Protocol 」を参照してください。

accounting (IKE)

ISAKMP プロファイルを介して接続するすべてのピアについて Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サービスをイネーブルにするには、ISAKMP プロファイル コンフィギュレーション モードで accounting コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

accounting list-name

no accounting

 
シンタックスの説明

list-name

クライアント アカウンティング リストの名前。最大長は 127 文字です。

 
デフォルト

デフォルト値は no accounting です。

 
コマンド モード

ISAKMP プロファイル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、アカウンティング リストを作成する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile
RP/0/RSP0/CPU0:router(config-isa-prof)# accounting aaalist
 

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

address

手動で設定するリモート ピアの Rivest, Shamir, and Adelman(RSA)公開鍵の IP アドレスを指定するには、公開鍵コンフィギュレーション モードで address コマンドを使用します。リモート ピアの IP アドレスを削除するには、このコマンドの no 形式を使用します。

address ip-address

no address ip-address

 
シンタックスの説明

ip-address

手動で設定するピアのリモート RSA 公開鍵の IP アドレス

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

公開鍵コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

次に手動で設定する IP Security(IPSec)ピアの RSA 公開鍵を指定するには、 address コマンドを使用します。

RSA 鍵の指定が終了したら、新しい行に quit と入力してグローバル コンフィギュレーション モードに戻る必要があります。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IPSec ピアの RSA 公開鍵を手動で指定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkey
RP/0/RSP0/CPU0:router(config-keyring)# rsa-pubkey name host.vpn.com
RP/0/RSP0/CPU0:router(config-pubkey)# address 10.5.5.1
RP/0/RSP0/CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105
005C300D 06092A86 4886F70D 01010105
00034B00 30480241 00C5E23B 55D6AB22
04AEF1BA A54028A6 9ACC01C5 129D99E4
64CAB820 847EDAD9 DF0B4E4C 73A05DD2
D58AD221 B583D7A4 71020301 0001
quit

 
関連コマンド

コマンド
説明

key-string (IKE)

リモート ピアの RSA 公開鍵を指定します。

rsa-pubkey

IKE 認証時の暗号化またはシグニチャに使用される Rivest, Shamir, and Adelman(RSA)手動鍵を定義します。

show crypto key pubkey-chain rsa

ルータに保存されているピアの RSA 公開鍵を表示します。

authentication (IKE policy)

インターネット鍵交換(IKE)ポリシー内の認証方式を指定するには、ISAKMP ポリシー コンフィギュレーション モードで authentication コマンドを使用します。認証方式をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

authentication { pre-share | rsa-sig | rsa-encr }

no authentication { pre-share | rsa-sig | rsa-encr }

 
シンタックスの説明

pre-share

認証方式として事前共有キーを指定します。

rsa-sig

認証方式として RSA シグニチャを指定します。

rsa-encr

認証方式として Rivest, Shamir, and Adelman(RSA)暗号化ナンスを指定します。

 
デフォルト

RSA シグニチャ

 
コマンド モード

ISAKMP ポリシー コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。IKE ポリシーの認証方式を指定するには、 authentication コマンドを使用します。事前共有キーを指定した場合は、これらの事前共有キーも個別に設定する必要があります。

RSA 暗号化ナンスを指定した場合は、各ピアが他のピアの RSA 公開鍵を持っていることを確認する必要があります ( address rsa-pubkey 、および key-string コマンドを参照)。

RSA シグニチャを指定した場合は、Certification Authority(CA; 認証局)から証明書を取得するためにピア ルータを設定する必要があります。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、認証方式として事前共有キーを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# authentication pre-share
 

次に、認証方式として RSA 暗号鍵を指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# authentication rsa-encr
 

次に、認証方式として RSA シグニチャを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# authentication rsa-sig
 

 
関連コマンド

コマンド
説明

address

手動で設定するリモート ピアのリモート RSA 公開鍵の IP アドレスを指定します。

crypto isakmp policy

IKE ポリシーを定義します。

crypto key generate rsa

RSA キー ペアを生成します。

encryption (IKE policy)

IKE ポリシー内の暗号化アルゴリズムを指定します。

group (IKE policy)

IKE ポリシー内の Diffie-Hellman グループ ID を指定します。

hash (IKE policy)

IKE ポリシー内のハッシュ アルゴリズムを指定します。

key-string (IKE)

リモート ピアの RSA 公開鍵を指定します。

lifetime (IKE policy)

IKE SA のライフタイムを指定します。

rsa-pubkey

IKE 認証時の暗号化またはシグニチャに使用される Rivest, Shamir, and Adelman(RSA)手動鍵を定義します。

show crypto isakmp policy

各 IKE ポリシーのパラメータを表示します。

clear crypto isakmp

アクティブなインターネット鍵交換(IKE)接続をクリアするには、EXEC モードで clear crypto isakmp コマンドを使用します。

clear crypto isakmp [ connection-id ]

 
シンタックスの説明

connection-id

(任意)クリアする接続の名前。この引数を使用しない場合は、既存のすべての接続がクリアされます。範囲は 1 ~ 64000 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。


connection-id 引数を使用しない場合は、このコマンドの発行時に既存のすべての IKE 接続がクリアされます。


タスク ID

タスク ID
操作

crypto

実行

次に、インターフェイス 172.21.114.123 および 172.21.114.67 で接続された 2 つのピア間の IKE 接続をクリアする例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp sa
 
vrf dst src state conn-id nodeid
---------- ------------ ------------ --------- ------- ------
default 172.21.114.123 172.21.114.67 QM_IDLE 1 0
default 172.0.0.2 172.0.0.1 QM_IDLE 8 0
 
RP/0/RSP0/CPU0:router# configure
Enter configuration commands, one per line. End with CNTL/Z.
 
RP/0/RSP0/CPU0:router# clear crypto isakmp 1
RP/0/RSP0/CPU0:router# show crypto isakmp sa
 
vrf dst src state conn-id nodeid
---------- ------------ ------------ --------- ------- ------
default 172.0.0.2 172.0.0.1 QM_IDLE 8 0

 
関連コマンド

コマンド
説明

show crypto isakmp sa

ピアにおける現在のすべての IKE SA を表示します。

clear crypto isakmp call admission statistics

ISAKMP コール アドミッション統計情報をクリアするには、EXEC モードで clear crypto isakmp call admission statistics コマンドを使用します。

clear crypto isakmp call isakmp call admission statistics

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

実行

次に、コール アドミッション統計情報をクリアする例を示します。

RP/0/RSP0/CPU0:router# clear crypto isakmp call admission statistics
 

 
関連コマンド

コマンド
説明

show crypto isakmp call admission statistics

IKE プロトコルに対する Call Admission Control(CAC; コール アドミッション制御)の設定を表示します。

clear crypto isakmp errors

Internet Security Association and Key Management Protocol(ISAKMP)エラーの統計情報をクリアするには、EXEC モードで clear crypto isakmp errors コマンドを使用します。

clear crypto isakmp error

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

実行

次に、ISAKMP エラー統計情報をクリアする例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp errors
 
Control Plane Errors
---------------------
ERR NO MEMORY.....................................0
INVALID CERT......................................0
CRYPTO FAILURE....................................0
SA NOT AUTH.......................................0
AUTHENTICATION FAILED.............................0
GROUP AUTHOR FAILED...............................0
USER AUTHEN REJECTED..............................0
LOCAL ADDRESS FAILURE.............................0
FAILED TO CREATE SKEYID...........................0
RSA PUBLIC KEY NOT FOUND..........................0
RETRANSMITION LIMIT...............................0
MALFORMED MESSAGE.................................0
QUICK MODE TIMER EXPIRED..........................0
KEY NOT FOUND IN PROFILE..........................0
PROFILE NOT FOUND.................................0
PRESHARED KEY NOT FOUND...........................0
PHASE2 PROPOSAL NOT CHOSEN........................0
POLICY MISMATCH...................................0
NO POLICY FOUND...................................0
PACKET PROCESS FAILURE............................0
 
Warnings
---------
CERT DOESNT MATCH ID..............................0
CERT ISNT TRUSTED ROOT............................0
PACKET NOT ENCRYPTED..............................0
UNRELIABLE INFO MSG...............................0
NO SA.............................................0
BAD DOI SA........................................0
UNKNOWN EXCHANGE TYPE.............................0
OUTGOING PKT TOO BIG..............................0
INCOMING PKT TOO BIG..............................0
 
Informational
--------------
CAC DROPS.........................................0
DEFAULT POLICY ACCEPTED...........................0
 
RP/0/RSP0/CPU0:router# clear crypto isakmp errors
 

 
関連コマンド

コマンド
説明

show crypto isakmp errors

トンネルの確立時に発生する ISAKMP エラーを表示します。

clear crypto session

暗号化セッション(IP セキュリティ [IPSec] およびインターネット鍵交換 [IKE] セキュリティ アソシエーション [SA])を削除するには、EXEC モードで clear crypto session コマンドを使用します。

clear crypto session [ user username | group group | interface | ivrf vrf-name | local ip-address | fvrf vrf-name | remote ip-address ]

 
シンタックスの説明

user username

(任意)ユーザの名前を指定します。

group group

(任意)グループの識別名を指定します。

interface

(任意)インターフェイスの名前を指定します。

ivrf vrf-name

(任意)クリアされる 内部 VRF(IVRF)セッションを指定します。

local ip-address

(任意)ローカル暗号化エンドポイントの暗号化セッションをクリアします。 ip-address 引数は、ローカル暗号化エンドポイントの IP アドレスです。

fvrf vrf-name

(任意)Front Door Virtual Routing and Forwarding(FVRF; 前面扉仮想ルーティングおよび転送)セッションを指定します。

remote ip-address

(任意)リモート IKE ピアの暗号化セッションをクリアします。 ip-address 引数は、リモート IKE ピアの IP アドレスです。

 
デフォルト

キーワードを指定しないで clear crypto session コマンドを入力した場合は、既存のすべてのセッションがクリアされます。IPSec SA が最初に削除されます。次に、IKE SA が削除されます。リモート ポートのデフォルト値は 500 です。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

特定の暗号化セッションまたはすべてのセッションのサブセットをクリアするには、ローカル インターフェイス、ローカル IP アドレス、リモート IP アドレス(およびポート)、FVRF 名、または IVRF 名などのセッション固有のパラメータを指定する必要があります。

ローカル IP アドレスがパラメータとして指定された場合は、その IP アドレスをローカル暗号化エンドポイント(IKE ローカル アドレス)として共有するすべてのセッション(とその IKE SA および IPSec SA)が削除されます。

タスク ID

タスク ID
操作

crypto

実行

次に、すべての暗号化セッションを削除する例を示します。

RP/0/RSP0/CPU0:router# clear crypto session
 

次に、「blue」という名前の FVRF の暗号化セッションが削除される例を示します。

RP/0/RSP0/CPU0:router# clear crypto session fvrf blue
 

次に、ローカル エンドポイント 10.1.1.1 の暗号化セッションが削除される例を示します。

RP/0/RSP0/CPU0:router# clear crypto session local 10.1.1.1
 

 
関連コマンド

コマンド
説明

description (ISAKMP peer)

インターネット鍵交換(IKE)ピアの説明を追加します。

show crypto session

アクティブな暗号化セッションのステータス情報を表示します。

crypto isakmp

ピア ルータでインターネット鍵交換(IKE)をグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp コマンドを使用します。ピアで IKE をディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp

no crypto isakmp

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IKE はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE は 個々のインターフェイスに対してイネーブルにする必要はありませんが、ルータのすべてのインターフェイスに対してグローバルにイネーブルにします。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、1 つのピアの IKE をディセーブルにする例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp
RP/0/RSP0/CPU0:router(config)# no crypto isakmp

crypto isakmp call admission limit

複数のメトリックに基づいて着信または発信セッション要求を拒否するには、グローバル コンフィギュレーション モードで crypto isakmp call admission limit コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp call admission limit { cpu { total percent | ike percent } | in-negotiation-sa number | sa number }

no crypto isakmp call admission limit { cpu { total percent | ike percent } | in-negotiation-sa number | sa number }

 
シンタックスの説明

cpu

新しいコールを受け入れるための CPU 使用率の合計リソース制限を指定します。

total percent

新しいコールを受け入れるための最大合計 CPU 使用率を指定します。 percent 引数の範囲は 1 ~ 100 です。

ike percent

新しいコールを受け入れるための最大 IKE CPU 使用率を指定します。 percent 引数の範囲は 1 ~ 100 です。

in-negotiation-sa number

IKE が新しい SA 要求の拒否を開始するまでにルータが確立できる、ネゴシエーション中(初期)IKE セキュリティ アソシエーション(SA)の最大数を指定します。number 引数の範囲は 1 ~ 100000 です。

sa number

IKE が新しい SA 要求の拒否を開始するまでにルータが確立できる、アクティブな IKE SA の最大数を指定します。ネゴシエーション中の接続数に制限を設定できます。このタイプの接続は、認証と実際の確立よりも前の、アグレッシブ モードの IKE SA またはメイン モードの SA を意味します。number 引数の範囲は 1 ~ 100000 です。

 
デフォルト

in-negotiation-sa キーワードのデフォルト値は 1000 SA に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ネゴシエーションを処理するのに十分なシステム リソースが存在しない場合、IKE SA の要求は拒否されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、 crypto isakmp call admission limit コマンドを使用する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp call admission limit cpu ike 30
 

 
関連コマンド

コマンド
説明

crypto ipsec profile

IPSec プロファイルを設定します。

crypto isakmp policy

IKE ポリシーを定義します。

crypto isakmp identity

インターネット鍵交換(IKE)プロトコルへの参加時にルータで使用される識別情報を指定するには、グローバル コンフィギュレーション モードで crypto isakmp identity コマンドを使用します。Internet Security Association Key Management Protocol(ISAKMP)識別情報をデフォルト値(address)にリセットするには、このコマンドの no 形式を使用します。

crypto isakmp identity { address | hostname }

no crypto isakmp identity

 
シンタックスの説明

address

ISAKMP 識別情報を、IKE ネゴシエーション時にリモート ピアと通信するインターフェイスの IP アドレスに設定します。

hostname

ISAKMP 識別情報を、ドメイン名と連結されたホスト名(例:myhost.example.com)に設定します。

 
デフォルト

IP アドレスが ISAKMP 識別情報に使用されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IP アドレスまたはホスト名のいずれかによって ISAKMP 識別情報を指定するには、 crypto isakmp identity コマンドを使用します。原則として、ピアの識別情報はすべて同じ方法で(IP アドレス またはホスト名のいずれかで)設定してください。

事前共有キーを指定する場合は必ず ISAKMP 識別情報を設定します。

IKE ネゴシエーションに 1 つのインターフェイスだけ(したがって、1つの IP アドレスだけ)がピアによって使用され、その IP アドレスが既知である場合は、 address キーワードを使用します。

ピア上の複数のインターフェイスが IKE ネゴシエーションに使用される可能性がある場合、またはインターフェイスの IP アドレスが未知である場合(ダイナミックに割り当てられる IP アドレスなど)は、 hostname キーワードを使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、2 つのピアで事前共有キーを使用し、両方の ISAKMP 識別情報を IP アドレスに設定する例を示します。

ローカル ピア(10.0.0.1)で、ISAKMP 識別情報が設定され、事前共有キーが指定されます。

RP/0/RSP0/CPU0:router(config)# crypto isakmp identity address
RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 192.168.1.33 key presharedkey
 

リモート ピア(192.168.1.33)で、ISAKMP 識別情報が設定され、同じ事前共有キーが指定されます。

RP/0/RSP0/CPU0:router(config)# crypto isakmp identity address
RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 10.0.0.1 key presharedkey
 

) 前の例で、crypto isakmp identity コマンドが実行されなかった場合、ISAKMP 識別情報は IP アドレス(デフォルトの識別情報)に設定されたままになります。


次に、2 つのピアで事前共有キーを使用し、両方の ISAKMP 識別情報をホスト名に設定する例を示します。

ローカル ピアで、ISAKMP 識別情報が設定され、事前共有キーが指定されます。

RP/0/RSP0/CPU0:router(config)# crypto isakmp identity hostname
RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key hostname remoterouter.example.com key presharedkey
 

リモート ピアで、ISAKMP 識別情報が設定され、同じ事前共有キーが指定されます。

RP/0/RSP0/CPU0:router(config)# crypto isakmp identity hostname
RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key hostname localrouter.example.com key presharedkey
 

 
関連コマンド

コマンド
説明

authentication (IKE policy)

IKE ポリシー内の認証方式を指定します。

crypto keyring

IKE 認証時の暗号キーリングを定義します。

local-address (keyring)

ISAKMP キーリング設定の範囲を、ローカル ターミネーション アドレスに限定します。

pre-shared-key

IKE 認証の事前共有キーを定義します。

crypto isakmp keepalive

インターネット鍵交換(IKE)セキュリティ アソシエーション(SA)機能を使用して 2 つの IP セキュリティ(IPSec)ピア間の接続切断を検出するメカニズムを提供するには、グローバル コンフィギュレーション モードで crypto isakmp keepalive コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp keepalive seconds retry-seconds

no crypto isakmp keepalive

 
シンタックスの説明

seconds

キープアライブ メッセージの間隔を指定する秒数。範囲は 10 ~ 3600 です。

retry-seconds

キープアライブが失敗した場合の再試行の間隔を指定する秒数。範囲は 2 ~ 60 です。

 
デフォルト

このコマンドで指定されない限り、IKE はキープアライブ メッセージを送信しません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

4 回試行してもピアからキープアライブ応答メッセージを受け取らなかった場合、IKE はピアとの接続が切断されたと判断します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

キープアライブ メッセージの間隔を 20 秒に設定し、キープアライブが失敗した場合の再試行の間隔を 20 秒に設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp keepalive 20
 

 
関連コマンド

コマンド
説明

crypto isakmp identity

IKE プロトコルへの参加時にルータが使用する識別情報を指定します。

crypto isakmp peer

インターネット鍵交換(IKE)用に IP セキュリティ(IPSec)ピアをイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp peer コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp peer { address ip-address | hostname hostname } [ description line | vrf fvrf-name ]

no crypto isakmp peer { address ip-address | hostname hostname } [ description line | vrf fvrf-name ]

 
シンタックスの説明

address ip-address

ピア ルータの IP アドレスを指定します。

hostname hostname

ピアのホスト名を指定します。

description line

(任意)IKE ピアの説明を指定します。ピアの説明に使用できる文字の最大数は 80 文字です。

vrf fvrf-name

(任意)ピアから到達可能な VPN ルーティングおよび転送(VRF)ルーティング テーブルを指定します。 fvrf-name 引数は、VPN ルーティングおよび転送(VRF)設定時に定義された FVRF 名と一致する必要があります。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ISAKMP ピア コンフィギュレーション モードを開始するには、 crypto isakmp peer コマンドを使用します。

IP アドレスで識別されるピアに、意味のある名前または説明を付与することができます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、ピアのアドレスが 40.40.40.2 で名前が citeA である場合の例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp peer address 40.40.40.2
RP/0/RSP0/CPU0:router(config-isakmp-peer)# description citeA
RP/0/RSP0/CPU0:router(config-isakmp-peer)# commit
 
RP/0/RSP0/CPU0:router# show crypto isakmp peers
 
Peer: 60.60.60.2 Port: 500 Local: 70.70.70.2 vrf: default
UDP encapsulate: False
SA information:
Connection ID: 2
State: QM_IDLE
Phase 1 ID: IPV4_ADDR 60.60.60.2
 
Peer: 40.40.40.2 Port: 500 Local: 50.50.50.2 vrf: default
Description: peerA
UDP encapsulate: False
SA information:
Connection ID: 1
State: QM_IDLE
Phase 1 ID: IPV4_ADDR 40.40.40.2
 

 
関連コマンド

コマンド
説明

description (ISAKMP peer)

インターネット鍵交換(IKE)ピアの説明を追加します。

show crypto isakmp peers

ピアの構造を表示します。

crypto isakmp policy

インターネット鍵交換(IKE)ポリシーを定義するには、グローバル コンフィギュレーション モードで crypto isakmp policy コマンドを使用します。IKE ポリシーを削除するには、このコマンドの no 形式を使用します。

crypto isakmp policy priority

no crypto isakmp policy priority

 
シンタックスの説明

priority

IKE ポリシーを一意に識別し、保護ポリシーにプライオリティを割り当てる値。1 ~ 10000 の整数を使用します(1 が最高で 10000 が最低のプライオリティ)。

 
デフォルト

デフォルト ポリシーがあり、常に最低のプライオリティが設定されています。デフォルト ポリシーには、暗号化、ハッシュ、認証、Diffie-Hellman グループ、およびライフタイム パラメータのデフォルト値が含まれています (パラメータのデフォルトについては、「使用上のガイドライン」を参照してください)。IKE ポリシーを作成する際に、値を指定しない場合は特定のパラメータのデフォルトが使用されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE ネゴシエーション時に使用するパラメータを指定するには、 crypto isakmp policy コマンドを使用します (これらのパラメータによって IKE セキュリティ アソシエーション [SA] が作成されます)。

crypto isakmp policy コマンドにより、ISAKMP ポリシー コンフィギュレーション モードが開始されます。このモードでは、ポリシーのパラメータを指定するために次のコマンドを使用できます。

authentication (IKE policy) コマンド:デフォルト値が Rivest, Shamir, and Adelman(RSA)シグニチャになるように指定します。

description (IKE policy) コマンド:IKE ポリシーの説明を作成します。

encryption (IKE policy) コマンド:次の規格のいずれかに従って保護スイートの暗号化アルゴリズムを設定します。

group (IKE policy) コマンド:デフォルト値が 768 ビット Diffie-Hellman になるように指定します。

hash (IKE policy) コマンド:デフォルト値が SHA-1 になるように指定します。

lifetime (IKE policy) コマンド:デフォルト値が 86,400 秒(1 日)になるように指定します。

ポリシーに対してこれらのコマンドのいずれかを指定しない場合、そのパラメータのデフォルト値が使用されます。

ISAKMP ポリシー コンフィギュレーション モードを終了するには、 exit コマンドを使用します。

IP セキュリティ(IPSec)に参加する各ピアに複数の IKE ポリシーを設定できます。IKE ネゴシエーションが開始されると、リモート ピアに指定された最高プライオリティのポリシーから順に、両方のピアに設定された共通のポリシーの検索が試行されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、ピアに 2 つのポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# hash md5
RP/0/RSP0/CPU0:router(config-isakmp)# authentication rsa-sig
RP/0/RSP0/CPU0:router(config-isakmp)# group 2
RP/0/RSP0/CPU0:router(config-isakmp)# lifetime 5000
RP/0/RSP0/CPU0:router(config-isakmp)# exit
 
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 20
RP/0/RSP0/CPU0:router(config-isakmp)# authentication pre-share
RP/0/RSP0/CPU0:router(config-isakmp)# lifetime 10000
RP/0/RSP0/CPU0:router(config-isakmp)# exit
 

結果として次のようなポリシーが設定されます。

Protection suite priority 15
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adelman Signature
Diffie-Hellman Group: #2 (1024 bit)
lifetime: 5000 seconds, no volume limit
Protection suite priority 20
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman Group: #1 (768 bit)
lifetime: 10000 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman Group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
 

IKE ポリシー 15 が最高のプライオリティで、デフォルト ポリシーが最低のプライオリティです。

 
関連コマンド

コマンド
説明

authentication (IKE policy)

IKE ポリシー内の認証方式を指定します。

description (IKE policy)

ISAKMP ポリシーの説明を指定します。

encryption (IKE policy)

IKE ポリシー内の暗号化アルゴリズムを指定します。

group (IKE policy)

IKE ポリシー内の Diffie-Hellman グループ ID を指定します。

hash (IKE policy)

IKE ポリシー内のハッシュ アルゴリズムを指定します。

lifetime (IKE policy)

IKE SA のライフタイムを指定します。

show crypto isakmp policy

各 IKE ポリシーのパラメータを表示します。

crypto isakmp policy-set

ISAKMP 保護スイート用のポリシー セットを定義するには、グローバル コンフィギュレーション モードで crypto isakmp policy-set コマンドを使用します。以前に設定されたポリシー セットをキャンセルするには、このコマンドの no 形式を使用します。

crypto isakmp policy-set policy-name

no crypto isakmp policy-set policy-name

 
シンタックスの説明

policy-name

ポリシー セットに付与する名前です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

このコマンドを使用すると、ISAKMP ポリシー セット コンフィギュレーション モードが開始されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、リモート アクセスのユーザが特定の ISAKMP ポリシーにアクセスできないように制限するために、ローカル アドレスに基づいて ISAKMP ポリシー セットを定義する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy-set mypolicy
RP/0/RSP0/CPU0:router(config-isakmp-pol-set)#

 
関連コマンド

コマンド
説明

description (ISAKMP policy-set)

ISAKMP ポリシーセットの説明です。

match identity (ISAKMP policy-set)

SVI トンネル ソースを作成します。この手順で識別された IP にユーザが接続すると、定義済みの暗号化アルゴリズムが動作するようになります。

policy (ISAKMP policy-set)

事前設定されたポリシーを使用するためのプライオリティを指定します。

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査するには、グローバル コンフィギュレーション モードで crypto isakmp profile コマンドを使用します。名前付き暗号化 ISAKMP プロファイルを削除するには、このコマンドの no 形式を使用します。

crypto isakmp profile local profile-name

no crypto isakmp profile local profile-name

 
シンタックスの説明

local

(必須)ローカルが送信元または終端であるトラフィックに使用されるプロファイルを指定します。

キーワードが使用されます。このトラフィックはルート プロセッサ(RP)によって復号化または暗号化されます。

profile-name

(必須)ユーザ プロファイル名。ユーザ プロファイルを RADIUS サーバに関連付けるには、ユーザ プロファイル名が識別されている必要があります。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ISAKMP プロファイルに定義された識別情報と突き合わせて(インターネット鍵交換 [IKE] の識別子 [ID] ペイロードに指定されたとおりに)識別情報が一致した場合に、ピアは ISAKMP プロファイルにマッピングされます。1 つの ISAKMP プロファイルに一意にマッピングするには、2 つの ISAKMP プロファイルが同じ識別情報と一致しないようにする必要があります。ピアの識別情報が 2 つの ISAKMP プロファイルと一致する場合、その設定は無効です。プロファイルが完全であるためには、ISAKMP プロファイルに少なくとも 1 つの match identity コマンドが定義されていることも必要です。

ISAKMP プロファイルを設定する前に、プロファイルに使用されるキーリングを設定する必要があります。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、ISAKMP プロファイルを定義し、ピアの識別情報を照合する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp profile local profile1
RP/0/RSP0/CPU0:router(config-isa-prof)# match identity address 10.1.1.0/24
RP/0/RSP0/CPU0:router(config-isa-prof-match)# set interface tunnel-ipsec 1

 
関連コマンド

コマンド
説明

keepalive (ISAKMP profile)

インターネット鍵交換(IKE)対話の許可に使用される許可リストを指定します。

keepalive (ISAKMP profile)

ゲートウェイが Dead Peer Detection(DPD)メッセージをピアに送信できるようにします。

self-identity

ローカル IKE がリモート ピアに自身を識別させるために使用する識別情報を定義します。

set interface tunnel-ipsec

インターフェイス インスタンスを事前定義します。

set ipsec-profile

IPSec プロファイルを事前定義します。

show crypto isakmp profile

ルータに定義されている ISAKMP プロファイルをすべて表示します。

crypto keyring

IKE 認証時の暗号キーリングを定義するには、グローバル コンフィギュレーション モードで crypto keyring コマンドを使用します。キーリングを削除するには、このコマンドの no 形式を使用します。

crypto keyring keyring-name [ vrf fvrf-name ]

no crypto keyring keyring-name [ vrf fvrf-name ]

 
シンタックスの説明

keyring-name

暗号キーリングの名前。キーリング名の最大長は 32 文字です。

vrf fvrf-name

(任意)キーリングの参照先となる前面扉仮想ルーティングおよび転送(FVRF)名を指定します。 fvrf-name 引数は、仮想ルーティングおよび転送(VRF)設定時に定義された FVRF 名と一致する必要があります。

 
デフォルト

vrf キーワードが定義されない場合、キーリングの参照先はグローバル VRF になります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

キーリングは、事前共有キーおよび RSA 公開鍵のリポジトリです。キーリングはグローバル コンフィギュレーション モードで使用されます。このプロファイルに対応付けられるキーリングにピアの鍵が定義されている場合、ISAKMP プロファイルはピアの認証を正常に完了します。

キーリング コンフィギュレーション モードを開始するには、 crypto keyring コマンドを使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、 crypto keyring コマンドを使用する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkey
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 10.72.23.11 key vpnsecret

 
関連コマンド

コマンド
説明

crypto isakmp identity

インターネット鍵交換(IKE)プロトコルへの参加時にルータが使用する識別情報を指定します。

description (keyring)

キーリングの説明を作成します。

local-address (keyring)

ISAKMP キーリング設定の範囲を、ローカル ターミネーション アドレスまたはインターフェイスに限定します。

pre-shared-key

IKE 認証の事前共有キーを定義します。

rsa-pubkey

アドレスまたはホスト名によって Rivest, Shamir, and Adelman(RSA)公開鍵を定義します。

crypto logging

暗号化トンネルのアップまたはダウン メッセージの表示をイネーブルにするには、グローバル コンフィギュレーション モードで crypto logging コマンドを使用します。このオプションをディセーブルにするには、このコマンドの no 形式を使用します。

crypto logging { tunnel-status }

no crypto logging { tunnel-status }

 
シンタックスの説明

tunnel-status

トンネルステータスのロギングをイネーブルにします。

 
デフォルト

デフォルトはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、 crypto logging コマンドを使用する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto logging tunnel-status
 

description (IKE policy)

インターネット鍵交換(IKE)ポリシーの説明を作成するには、ISAKMP ポリシー コンフィギュレーション モードで description コマンドを使用します。IKE ポリシーの説明を削除するには、このコマンドの no 形式を使用します。

description string

no description

 
シンタックスの説明

ストリング

IKE ポリシーを説明する文字ストリング。

 
デフォルト

デフォルトの説明は空白です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE ポリシーの説明を作成するには、ISAKMP ポリシー コンフィギュレーション サブモード内で description コマンドを使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IKE ポリシーの説明を作成する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# description this is a sample IKE policy

description (ISAKMP policy-set)

ISAKMP ポリシー セットの説明を作成するには、ISAKMP ポリシー コンフィギュレーション モードで description コマンドを使用します。ISAKMP ポリシーセットの説明を削除するには、このコマンドの no 形式を使用します。

description string

no description

 
シンタックスの説明

ストリング

IKE ポリシー セットを説明する文字ストリングです。

 
デフォルト

デフォルトの説明は空白です。

 
コマンド モード

ISAKMP ポリシー コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE ポリシー セットの説明を作成するには、ISAKMP ポリシーセット コンフィギュレーション サブモード内で description コマンドを使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IKE ポリシーの説明を作成する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy-set pol1
RP/0/RSP0/CPU0:router(config-isakmp-pol-set)# description this is a sample IKE policy-set

 
関連コマンド関連コマンド

コマンド
説明

crypto isakmp policy-set

ISAKMP 保護スイートのポリシー セットを定義します。

match identity (ISAKMP policy-set)

事前設定されたポリシー セットと一致する識別情報に基づいて、SVI トンネル ソースを作成します。

policy (ISAKMP policy-set)

事前設定されたポリシーのルーティング プライオリティを指定します。

description (ISAKMP peer)

インターネット鍵交換(IKE)ピアの説明を追加するには、ISAKMP ピア コンフィギュレーション モードで description コマンドを使用します。説明を削除するには、このコマンドの no 形式を使用します。

description string

no description string

 
シンタックスの説明

ストリング

IKE ピアに付与する説明。最大数は 80 文字です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

ISAKMP ピア コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

Network Address Translation(NAT; ネットワーク アドレス変換)デバイスの背後に「配置」された IKE ピアは一意に識別することができないため、同じピアの説明を共有する必要があります。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IKE ピアに「connection from site A」という説明を追加する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp peer address 10.2.2.9
RP/0/RSP0/CPU0:router(config-isakmp-peer)# description connection from site A
 

 
関連コマンド

コマンド
説明

clear crypto isakmp

ISAKMP グループおよびユーザの暗号化セッション IPSec および IKE SA を削除します。

crypto isakmp peer

インターネット鍵交換(IKE)用に IP セキュリティ(IPSec)ピアをイネーブルにします。

show crypto isakmp peers

ピアの構造を表示します。

description (keyring)

キーリングの 1 行説明を作成するには、キーリング コンフィギュレーション モードで description コマンドを使用します。キーリングの説明を削除するには、このコマンドの no 形式を使用します。

description string

no description

 
シンタックスの説明

ストリング

キーリングを説明する文字ストリング。

 
デフォルト

デフォルトの説明は空白です。

 
コマンド モード

キーリング コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

キーリングの説明を作成するには、ISAKMP ポリシー コンフィギュレーション サブモード内で description コマンドを使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、キーリングの説明を作成する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkey
RP/0/RSP0/CPU0:router(config-keyring)# description this is a sample keyring
 

 
関連コマンド

コマンド
説明

crypto keyring

IKE 認証時の暗号キーリングを定義します。

encryption (IKE policy)

インターネット鍵交換(IKE)ポリシー内の暗号化アルゴリズムを指定するには、ISAKMP ポリシー コンフィギュレーション モードで encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値にリセットするには、このコマンドの no 形式を使用します。

encryption { des | 3des | aes | aes 192 | aes 256 }

no encryption

 
シンタックスの説明

des

暗号化アルゴリズムとして 56 ビット DES-CBC を指定します。このオプションがデフォルト値です。

3des

暗号化アルゴリズムとして 168 ビット Digital Encryption Standard(DES; デジタル暗号化規格)を指定します。

aes

暗号化アルゴリズムとして 128 ビット Advanced Encryption Standard(AES; 高度暗号化規格)を指定します。

aes 192

暗号化アルゴリズムとして 192 ビット AES を指定します。

aes 256

暗号化アルゴリズムとして 256 ビット AES を指定します。

 
デフォルト

56 ビット DES-CBC 暗号化アルゴリズム( des )です。

 
コマンド モード

ISAKMP ポリシー コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。IKE ポリシーの暗号化アルゴリズムを指定するには、 encryption コマンドを使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、3DES 暗号化アルゴリズムを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# encryption 3des

 
関連コマンド

コマンド
説明

authentication (IKE policy)

IKE ポリシー内の認証方式を指定します。

crypto isakmp policy

IKE ポリシーを定義します。

group (IKE policy)

IKE ポリシー内の Diffie-Hellman グループ ID を指定します。

hash (IKE policy)

IKE ポリシー内のハッシュ アルゴリズムを指定します。

lifetime (IKE policy)

IKE SA のライフタイムを指定します。

show crypto isakmp policy

各 IKE ポリシーのパラメータを表示します。

group (IKE policy)

インターネット鍵交換(IKE)ポリシー内の Diffie-Hellman ID を指定するには、ISAKMP ポリシー コンフィギュレーション モードで group コマンドを使用します。Diffie-Hellman グループ ID をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

group { 1 | 2 | 5 }

no group

 
シンタックスの説明

1

768 ビット Diffie-Hellman グループを指定します。このオプションがデフォルトです。

2

1024 ビット Diffie-Hellman グループを指定します。

5

1536 ビット Diffie-Hellman グループを指定します。

 
デフォルト

768 ビット Diffie-Hellman(グループ 1)

 
コマンド モード

ISAKMP ポリシー コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。IKE ポリシーの Diffie-Hellman グループを指定するには、このコマンドを使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、1024 ビット Diffie-Hellman グループを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# group 2

 
関連コマンド

コマンド
説明

authentication (IKE policy)

IKE ポリシー内の認証方式を指定します。

crypto isakmp policy

IKE ポリシーを定義します。

encryption (IKE policy)

IKE ポリシー内の暗号化アルゴリズムを指定します。

hash (IKE policy)

IKE ポリシー内のハッシュ アルゴリズムを指定します。

lifetime (IKE policy)

IKE SA のライフタイムを指定します。

show crypto isakmp policy

各 IKE ポリシーのパラメータを表示します。

hash (IKE policy)

インターネット鍵交換(IKE)ポリシー内のハッシュ アルゴリズムを指定するには、ISAKMP ポリシー コンフィギュレーション モードで hash コマンドを使用します。ハッシュ アルゴリズムをデフォルトの SHA-1 ハッシュ アルゴリズムにリセットするには、このコマンドの no 形式を使用します。

hash { sha | md5 }

no hash

 
シンタックスの説明

sha

ハッシュ アルゴリズムとして SHA-1(Hashed Message Authentication Code [HMAC])を指定します。このオプションがデフォルトです。

md5

ハッシュ アルゴリズムとして Message Digest 5(MD5)(HMAC バリアント)を指定します。

 
デフォルト

SHA-1 ハッシュ アルゴリズム

 
コマンド モード

ISAKMP ポリシー コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IKE ポリシーのハッシュ アルゴリズムを指定するには、 hash コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、MD5 ハッシュ アルゴリズムを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# hash md5

 
関連コマンド

コマンド
説明

authentication (IKE policy)

IKE ポリシー内の認証方式を指定します。

crypto isakmp policy

IKE ポリシーを定義します。

encryption (IKE policy)

IKE ポリシー内の暗号化アルゴリズムを指定します。

group (IKE policy)

IKE ポリシー内の Diffie-Hellman グループ ID を指定します。

lifetime (IKE policy)

IKE SA のライフタイムを指定します。

show crypto isakmp policy

各 IKE ポリシーのパラメータを表示します。

keepalive (ISAKMP profile)

ゲートウェイが Dead Peer Detection(DPD)メッセージを Cisco IOS XR ピアに送信できるようにするには、ISAKMP プロファイル コンフィギュレーション モードで keepalive コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

keepalive disable

no keepalive

 
シンタックスの説明

disable

キープアライブのグローバル宣言をディセーブルにします。

 
デフォルト

キープアライブはイネーブルです。

 
コマンド モード

ISAKMP プロファイル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、 keepalive コマンドを使用する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile
RP/0/RSP0/CPU0:router(config-isa-prof)# keepalive disable

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

keyring

ISAKMP プロファイルとともにキーリングを設定するには、ISAKMP プロファイル コンフィギュレーション モードで keyring コマンドを使用します。ISAKMP プロファイルからキーリングを削除するには、このコマンドの no 形式を使用します。

keyring kr-name1 [ kr-name2 [ kr-name3 [ kr-name4 [ kr-name5 [ kr-name6 ]]]]]

no keyring kr-name1 [ kr-name2 [ kr-name3 [ kr-name4 [ kr-name5 [ kr-name6 ]]]]]

 
シンタックスの説明

kr-name1

キーリング 1 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。

kr-name2

キーリング 2 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。

kr-name3

キーリング 3 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。

kr-name4

キーリング 4 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。

kr-name5

キーリング 5 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。

kr-name6

キーリング 6 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

ISAKMP プロファイル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

このプロファイルに対応付けられるキーリングにピアの鍵が定義されている場合、ISAKMP プロファイルはピアの認証を正常に完了します。少なくとも 1 つのキーリングを定義する必要があります。

ISAKMP プロファイルでは 1 つまたは複数のキーリングを定義できます。たとえば、IKE ピア エンドポイントがパブリック アドレス スペースにほとんどないのに対して、他のものは IKE ローカル エンドポイントとして前面扉仮想ルーティングおよび転送(FVRF)スペースにある場合は、複数のキーリングを使用できます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、vpnkeyring をキーリング名に設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile
RP/0/RSP0/CPU0:router(config-isa-prof)# keyring vpnkeyring

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

crypto keyring

IKE 認証時の暗号キーリングを定義します。

show crypto isakmp profile

ルータに定義されている ISAKMP プロファイルをすべて表示します。

key-string (IKE)

リモート ピアの Rivest, Shamir, and Adelman(RSA)公開鍵を手動で指定するには、公開鍵コンフィギュレーション モードで key-string コマンドを使用します。

key-string key-string

 
シンタックスの説明

key-string

リモート ピアの公開鍵。鍵は 16 進数表記で入力します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

公開鍵コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IP セキュリティ(IPSec)ピアの RSA 公開鍵を手動で指定するには、 key-string コマンドを使用します。このコマンドを使用する前に、リモート ピアを識別する必要があります。

間違いを防ぐために、(データをタイプ入力するのではなく)キー データをカット アンド ペーストしてください。

RSA 鍵の指定が終了したら、新しい行に quit と入力してグローバル コンフィギュレーション モードに戻る必要があります。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IPSec ピアの RSA 公開鍵を手動で指定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring
RP/0/RSP0/CPU0:router(config-keyring)# rsa-pubkey address 10.5.5.1
RP/0/RSP0/CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105
00034B00 30480241 00C5E23B 55D6AB22
04AEF1BA A54028A6 9ACC01C5 129D99E4
64CAB820 847EDAD9 DF0B4E4C 73A05DD2
BD62A8A9 FA603DD2 E2A8A6F8 98F76E28
D58AD221 B583D7A4 71020301 0001
quit
 

 
関連コマンド

コマンド
説明

rsa-pubkey

アドレスまたはホスト名によって Rivest, Shamir, and Adelman(RSA)公開鍵を定義します。

show crypto key pubkey-chain rsa

ルータに保存されているピアの RSA 公開鍵を表示します。

lifetime (IKE policy)

インターネット鍵交換(IKE)セキュリティ アソシエーション(SA)のライフタイムを指定するには、ISAKMP ポリシー コンフィギュレーション モードで lifetime コマンドを使用します。SA のライフタイムをデフォルト値にリセットするには、このコマンドの no 形式を使用します。

lifetime seconds

no lifetime

 
シンタックスの説明

seconds

期限切れになるまでに各 SA が存在する時間(秒単位)。60 ~ 86400 秒の整数を使用します。

 
デフォルト

seconds:86400 秒(1 日)

 
コマンド モード

ISAKMP ポリシー コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

期限切れになるまでに IKE SA が存在する時間を指定するには、 lifetime コマンドを使用します。

IKE はネゴシエーションの開始時に、最初に自身のセッション用のセキュリティ パラメータに同意します。その後、同意済みのパラメータが各ピアで SA によって参照されます。SA は、SA のライフタイムが期限切れになるまで各ピアによって保持されます。SA が期限切れになるまで、SA は次の IKE ネゴシエーションで再利用することができるので、新しい IP セキュリティ(IPSec)SA が設定される際の時間を節約できます。

IPSec の設定時間を節約するには、IKE SA のライフタイムを長めに設定します。ただし、ライフタイムが短いほど、この SA の攻撃者への露出は制限されます。SA が長く使用されるほど、攻撃者はより多くの暗号化トラフィックを収集できるようになり、それが攻撃に使用される可能性が高くなります。


) ローカル ピアがリモート ピアとの IKE ネゴシエーションを開始する際に、ライフタイムが等しくない場合は、ライフタイムが短いほうの IKE ポリシーが選択されます。


タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、SA ライフタイムを 600 秒に指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15
RP/0/RSP0/CPU0:router(config-isakmp)# lifetime 600

 
関連コマンド

コマンド
説明

authentication (IKE policy)

IKE ポリシー内の認証方式を指定します。

crypto isakmp policy

IKE ポリシーを定義します。

encryption (IKE policy)

IKE ポリシー内の暗号化アルゴリズムを指定します。

group (IKE policy)

IKE ポリシー内の Diffie-Hellman グループ ID を指定します。

hash (IKE policy)

IKE ポリシー内のハッシュ アルゴリズムを指定します。

show crypto isakmp policy

各 IKE ポリシーのパラメータを表示します。

local-address (keyring)

ISAKMP キーリング コンフィギュレーションの範囲をローカル ターミネーション アドレスに限定するには、キーリング コンフィギュレーション モードで l ocal-address コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

local-address ip-address

no local-address ip-address

 
シンタックスの説明

ip-address

バインド先の IP アドレスです。

 
デフォルト

local-address コマンドが設定されない場合、ISAKMP キーリングはすべてのローカル アドレスで使用可能になります。

 
コマンド モード

キーリング コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、ISAKMP キーリングの範囲を IP アドレス 130.40.1.1 だけに制限する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring
RP/0/RSP0/CPU0:router(config-keyring)# local-address 130.40.1.1
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 0.0.0.0 0.0.0.0 key mykey
 

 
関連コマンド

コマンド
説明

crypto isakmp identity

インターネット鍵交換(IKE)プロトコルへの参加時にルータが使用する識別情報を指定します。

crypto keyring

IKE 認証時の暗号キーリングを定義します。

match identity (ISAKMP profile)

ISAKMP プロファイルでピアの識別情報を照合するには、ISAKMP プロファイル コンフィギュレーション モードで match identity コマンドを使用します。識別情報を削除するには、このコマンドの no 形式を使用します。

match identity { group group-name | address address [ mask ] vrf [ fvrf ] | host hostname | host domain domain-name | user username | user domain domain-name }

no match identity { group group-name | address address [ mask ] vrf [ fvrf ] | host hostname | host domain domain-name | user username | user domain domain-name }

 
シンタックスの説明

group group-name

識別子(ID)タイプ ID_KEY_ID と一致する Unity グループを指定します。RSA シグニチャを使用する場合、 group-name 引数は Distinguished Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)フィールドと一致します。

address address

address 引数を ID タイプ ID_IPV4_ADDR と照合します。

mask

mask 引数はアドレスの範囲を指定するのに使用されます。

vrf

ピアの前面扉 VPN ルーティングおよび転送(FVRF)を指定します。

fvrf

fvrf 引数は、前面扉 VPN ルーティングおよび転送(FVRF)バーチャル プライベート ネットワーク(VPN)スペースのアドレスと一致します。

host hostname

Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)がドメイン名で終わるタイプ ID_FQDN と一致する識別情報を指定します。

host domain domain-name

タイプ ID_FQDN と一致する識別情報を指定します。ドメイン名は domain-name 引数と同じです。

user username

FQDN と一致する識別情報を指定します。

user domain domain-name

タイプ ID_USER_FQDN と一致する識別情報を指定します。 user domain キーワードが存在する場合、タイプ ID_USER_FQDN の識別情報を持ち、 domain-name で終わるすべてのユーザが照合されます。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

ISAKMP プロファイル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ISAKMP プロファイル コンフィギュレーションには、少なくとも 1 つの match identity コマンドが必要です。ISAKMP プロファイルに定義された識別情報と突き合わせて(IKE 交換の ID ペイロードに指定されたとおりに)識別情報が一致した場合に、ピアは ISAKMP プロファイルにマッピングされます。1 つの ISAKMP プロファイルに一意にマッピングするには、2 つの ISAKMP プロファイルが同じ識別情報と一致しないようにする必要があります。ピアの識別情報が 2 つの ISAKMP プロファイルと一致する場合、その設定は無効です。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、 match identity コマンド用の vpngroup としてグループを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp profile local tunnel_ipsec
RP/0/RSP0/CPU0:router(config-isa-prof)# match identity address 10.1.1.6/32 vrf default
RP/0/RSP0/CPU0:router(config-isa-prof-match)# set interface tunnel-ipsec 3001
 

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

self-identity

ローカル IKE がリモート ピアに自身を識別させるために使用する識別情報を定義します。

set interface tunnel-ipsec

インターフェイス インスタンスを事前定義します。

set ipsec-profile

IPSec プロファイル インスタンスを事前定義します。

match identity (ISAKMP policy-set)

SVI トンネル ソースを作成するには、ISAKMP ポリシーセット コンフィギュレーション モードで match identity コマンドを使用します。識別情報を削除するには、このコマンドの no 形式を使用します。

match identity { local - addre ss IP - address }

no match identity { local - addre ss IP - address}

 
シンタックスの説明

local-address

これにより、リモート ピア用の SVI トンネル ソースが作成されます。

IP-address

SVI トンネル ソースの IP プレフィクスです。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

ISAKMP ポリシーセット コンフィギュレーション モード

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ISAKMP プロファイル コンフィギュレーションには、少なくとも 1 つの match identity コマンドが必要です。ISAKMP プロファイルに定義された識別情報と突き合わせて(IKE 交換の ID ペイロードに指定されたとおりに)識別情報が一致した場合に、ピアは ISAKMP プロファイルにマッピングされます。1 つの ISAKMP プロファイルに一意にマッピングするには、2 つの ISAKMP プロファイルが同じ識別情報と一致しないようにする必要があります。ピアの識別情報が 2 つの ISAKMP プロファイルと一致する場合、その設定は無効です。

このコマンドで識別される IP アドレスには、特定の暗号化アルゴリズムが事前設定されている必要があり、それが 1 つだけ動作していることが必要です。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、 match identity (ISAKMP policy-set) コマンドを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy-set p1
RP/0/RSP0/CPU0:router(config-isakmp-pol-set)# policy pol2
 

 
関連コマンド

コマンド
説明

crypto isakmp policy-set

ISAKMP 保護スイートのポリシー セットを定義します。

description (ISAKMP policy-set)

ISAKMP ポリシー セットの説明を作成します。

match identity (ISAKMP policy-set)

事前設定されたポリシーのルーティング プライオリティを指定します。

policy (ISAKMP policy-set)

事前設定されたポリシーのルーティング プライオリティを指定するには、ISAKMP ポリシーセット サブモード内で policy コマンドを使用します。プライオリティをキャンセルするには、このコマンドの no 形式を使用します。

policy policy-number

no policy

 
シンタックスの説明

policy-number

1 ~ 10000 で、範囲の最低値が最も高いプライオリティを表します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

ISAKMP ポリシーセット コンフィギュレーション モード

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、ルーティング ポリシーのプライオリティを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp policy-set p1
RP/0/RSP0/CPU0:router(config-isakmp-pol-set)# policy pol2
 

 
関連コマンド

コマンド
説明

description (ISAKMP policy-set)

ISAKMP ポリシー セットを定義します。

crypto isakmp policy-set

ISAKMP 保護スイートのポリシー セットを定義します。

match identity (ISAKMP policy-set)

SVI トンネル ソースを作成します。

pre-shared-key

IKE 認証用の事前共有キーを定義するには、キーリング コンフィギュレーション モードで pre-shared-key コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

pre-shared-key { address address [ mask ] | hostname hostname } key key

no pre-shared-key { address address [ mask ] | hostname hostname } key key

 
シンタックスの説明

address address

リモート ピアの IP アドレスまたはサブネットとマスクを指定します。

mask

(任意) mask 引数はアドレスの範囲と一致します。デフォルト値は 255.255.255.255 です。

hostname hostname

ピアの完全修飾ドメイン名(FQDN)を指定します。

key key

事前共有キーを指定します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

キーリング コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IP アドレスとホスト名を使用して事前共有キーを設定する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 10.72.23.11 key vpnkey
RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key hostname www.vpn.com key vpnkey

 
関連コマンド

コマンド
説明

crypto isakmp identity

インターネット鍵交換(IKE)プロトコルへの参加時にルータが使用する識別情報を指定します。

crypto keyring

IKE 認証時の暗号キーリングを定義します。

rsa-pubkey

IKE 認証時の暗号化またはシグニチャに使用される Rivest, Shamir, and Adelman(RSA)手動鍵を定義するには、キーリング コンフィギュレーション モードで rsa-pubkey コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

rsa-pubkey { address address | name fqdn } [ encryption | signature ]

no rsa-pubkey { address address | name fqdn } [ encryption | signature ]

 
シンタックスの説明

address address

リモート ピアの RSA 公開鍵の IP アドレスを指定します。 address 引数は、手動で設定するリモート ピアのリモート RSA 公開鍵の IP アドレスです。

name fqdn

ピアの完全修飾ドメイン名(FQDN)を指定します。

encryption

(任意)手動鍵が暗号化に使用されるように指定します。

signature

(任意)手動鍵がシグニチャに使用されるように指定します。 signature キーワードがデフォルトです。

 
デフォルト

鍵はシグニチャに使用されます。

 
コマンド モード

キーリング コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

公開鍵コンフィギュレーション モードを開始するには、 rsa-pubkey コマンドを使用します。他の IP Security(IPSec)ピアの RSA 公開鍵を手動で指定する必要がある場合は、このコマンドを使用します。ピア ルータで IKE ポリシーの認証方式として RSA 暗号化ナンスを設定するときは、他のピアの鍵を指定する必要があります。

RSA 鍵の指定が終了したら、新しい行に quit と入力してグローバル コンフィギュレーション モードに戻る必要があります。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IPSec ピアの RSA 手動鍵が指定されている例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring
RP/0/RSP0/CPU0:router(config-keyring)# rsa-pubkey name host.vpn.com
RP/0/RSP0/CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105
005C300D 06092A86 4886F70D 01010105
00034B00 30480241 00C5E23B 55D6AB22
04AEF1BA A54028A6 9ACC01C5 129D99E4
64CAB820 847EDAD9 DF0B4E4C 73A05DD2
BD62A8A9 FA603DD2 E2A8A6F8 98F76E28
D58AD221 B583D7A4 71020301 0001
quit

 
関連コマンド

コマンド
説明

address

手動で設定するリモート ピアの Rivest, Shamir, and Adelman(RSA)公開鍵の IP アドレスを指定します。

crypto keyring

IKE 認証時の暗号キーリングを定義します。

key-string (IKE)

リモート ピアの Rivest, Shamir, and Adelman(RSA)公開鍵を手動で指定します。

self-identity

ローカル IKE がリモート ピアに自身を識別させるために使用する識別情報を定義するには、ISAKMP プロファイル コンフィギュレーション モードで self-identity コマンドを使用します。IKE 用に定義された ISAKMP 識別情報を削除するには、このコマンドの no 形式を使用します。

self-identity { address | fqdn | user-fqdn user-fqdn }

no self-identity { address | fqdn | user-fqdn user-fqdn }

 
シンタックスの説明

address

ローカル エンドポイントの IP アドレスを指定します。

fqdn

ホストの完全修飾ドメイン名(FQDN)を指定します。

user-fqdn user-fqdn

リモート エンドポイントに送信されるユーザ FQDN を指定します。

 
デフォルト

ISAKMP 識別情報が ISAKMP プロファイル コンフィギュレーションに定義されていない場合、グローバル コンフィギュレーションがデフォルトになります。

 
コマンド モード

ISAKMP プロファイル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

self-identity コマンドが定義されていない場合、IKE はグローバルに設定された値を使用します。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IKE 識別情報がユーザ FQDN「user@vpn.com」である例を示します。

RP/0/RSP0/CPU0:router# configure
RR/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile
RP/0/RSP0/CPU0:router(config-isa-prof)# self-identity user-fqdn user@vpn.com
 

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

set interface tunnel-ipsec

ローカルが送信元または終端であるトラフィック用のトンネル モード IPSec サービス アソシエーション(SA)について IKE がネゴシエートする際に、インターフェイス インスタンスを事前定義するには、プロファイル照合コンフィギュレーション モードで set interface tunnel-ipsec コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

set interface tunnel-ipsec intf-index

no set interface tunnel-ipsec intf-index

 
シンタックスの説明

intf-index

範囲は 0 ~ 4294967295 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

ISAKMP プロファイル照合コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

インターフェイスは set interface コマンドを使用して事前定義する必要があります。そうしないと、IKE SA を確立できません。

ローカル エンドポイントが IKE の応答側である場合、定義済みのインターフェイスは、ピアの識別情報に応じて検索されます。ローカル エンドポイントが IKE の発信側である場合、定義済みのインターフェイスは、使用する適切な ISAKMP プロファイルを検索するために使用されます。したがって、複数の ISAKMP プロファイルには仮想インターフェイスを事前定義できません。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、インターフェイス インスタンスを事前定義する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp profile local vpnprofile
RP/0/RSP0/CPU0:router(config-isa-prof)# match identity group vpngroup
RP/0/RSP0/CPU0:router(config-isa-prof-match)# set interface tunnel-ipsec 50
 

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

set ipsec-profile

IPSec プロファイル インスタンスを事前定義します。

set ipsec-profile

ローカルが送信元または終端であるトラフィック用のトランスポート モード IPSec サービス アソシエーション(SA)について IKE がネゴシエートする際に、プロファイル インスタンスを事前定義するには、プロファイル照合コンフィギュレーション モードで set ipsec-profile コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

set ipsec-profile profile-name

no set ipsec-profile profile-name

 
シンタックスの説明

profile-name

IPsec プロファイルの名前です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

ISAKMP プロファイル照合コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

IPSec プロファイルは、トランスポート モード IPSec SA のネゴシエーション時に set ipsec-profile または set interface tunnel-ipsec コマンドを使用して事前定義する必要があります。そうしないと、IKE SA を確立できません。

ローカル エンドポイントが IKE の応答側である場合、定義済みのインターフェイスは、ピアの識別情報に応じて検索されます。ローカル エンドポイントが IKE の発信側である場合、定義済みのインターフェイスは、使用する適切な ISAKMP プロファイルを検索するために使用されます。したがって、複数の ISAKMP プロファイルには仮想インターフェイスを事前定義できません。

識別情報のプロファイルは、選択された仮想インターフェイス(tunnel-ipsec だけが可能)に基づいて決定されます。

ローカル エンドポイントが IKE の発信側である場合、定義されたプロファイルまたはインターフェイスは、正しい ISAKMP プロファイルを選択するために使用されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次に、IPSec プロファイル インスタンスを事前定義する例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# crypto isakmp profile local vpnprofile
RP/0/RSP0/CPU0:router(config-isa-prof)# match identity group vpngroup
RP/0/RSP0/CPU0:router(config-isa-prof-match)# set ipsec-profile myprofile
 

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

set interface tunnel-ipsec

インターフェイス インスタンスを事前定義します。

show crypto isakmp call admission statistics

IKE プロトコルのコール アドミッション制御(CAC)統計情報を監査するには、EXEC モードで show cyrpto isakmp call admission statistics コマンドを使用します。

show cyrpto isakmp call admission statistics

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り

次に、 show crypto isakmp call admission statistics コマンドの設定を表示する例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp call admission statistics
 
---------------------------------------------------------------------
Crypto Call Admission Control Statistics
---------------------------------------------------------------------
IKE Active SA Limit: 1, IKE In-Negotiation SA limit: 2
Total CPU usage limit: 100, IKE CPU usage limit: 100
Total IKE SA Count: 0, active: 0, negotiating: 0
Incoming IKE Calls: 24 , accepted 24 , rejected 0
Outgoing IKE Calls: 16 , accepted 6 , rejected 10
Total Calls: 40
Rejected IKE Calls: 10, resources low 0, limit exceeded 10
 

表 10 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 10 show crypto isakmp call admission statistics フィールドの説明

フィールド
説明

IKE Active SA Limit

デフォルト値の 0 には、制限がありません。

In-Negotiation SA limit

デフォルト値は 1000 です。

Total IKE SA Count

IKE SA の数。

active

アクティブな SA の数。

negotiating

ネゴシエートされる SA 要求の数。

Incoming IKE Calls

着信 IKE SA 要求の数。着信 IKE コールの数は、受け入れられた要求と拒否された要求の合計と同じです。

accepted

受け入れられた着信または発信 IKE SA 要求の数。

rejected

拒否された着信または発信 IKE SA 要求の数。

Outgoing IKE Calls

発信 IKE SA 要求の数。発信 IKE コールの数は、受け入れられた要求と拒否された要求の合計と同じです。

Total Calls

合計コール数は、着信 IKE コール数と発信 IKE コール数の合計と同じです。

Rejected IKE Calls

拒否された IKE 要求の数。拒否された IKE コール数は、リソース低下と制限超過の合計数と同じです。

resources low

システム リソースの低下、または事前設定されたシステム リソース制限の超過を理由に拒否された IKE 要求の数。

limit exceeded

SA 制限に達したために拒否された IKE SA 要求の数。

 
関連コマンド

コマンド
説明

clear crypto isakmp call admission statistics

ISAKMP コール アドミッション統計情報をクリアします。

show crypto isakmp errors

トンネルの確立時に発生した Internet Security Association and Key Management Protocol(ISAKMP)エラーを表示するには、EXEC モードで show crypto isakmp errors コマンドを使用します。

show crypto isakmp errors

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り

次に、 show crypto isakmp errors コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp errors
 
Control Plane Errors
---------------------
ERR NO MEMORY.....................................0
INVALID CERT......................................0
CRYPTO FAILURE....................................0
SA NOT AUTH.......................................0
AUTHENTICATION FAILED.............................0
GROUP AUTHOR FAILED...............................0
USER AUTHEN REJECTED..............................0
LOCAL ADDRESS FAILURE.............................0
FAILED TO CREATE SKEYID...........................0
RSA PUBLIC KEY NOT FOUND..........................0
RETRANSMITION LIMIT...............................0
MALFORMED MESSAGE.................................0
QUICK MODE TIMER EXPIRED..........................0
KEY NOT FOUND IN PROFILE..........................0
PROFILE NOT FOUND.................................0
PRESHARED KEY NOT FOUND...........................0
PHASE2 PROPOSAL NOT CHOSEN........................0
POLICY MISMATCH...................................0
NO POLICY FOUND...................................0
PACKET PROCESS FAILURE............................0
 
Warnings
---------
CERT DOESNT MATCH ID..............................0
CERT ISNT TRUSTED ROOT............................0
PACKET NOT ENCRYPTED..............................0
UNRELIABLE INFO MSG...............................0
NO SA.............................................0
BAD DOI SA........................................0
UNKNOWN EXCHANGE TYPE.............................0
OUTGOING PKT TOO BIG..............................0
INCOMING PKT TOO BIG..............................0
 
Informational
--------------
CAC DROPS.........................................0
DEFAULT POLICY ACCEPTED...........................0
 

表 11 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 11 show crypto isakmp errors フィールドの説明

フィールド
説明

ERR NO MEMORY

メモリ割り当ての失敗が発生し、そのプロセスを自動的に回復できませんでした。

正しく動作させるためには、プロセスを再開する必要があります。メモリが何度も枯渇する場合は、より大きなメモリ構成にアップグレードできます。

INVALID CERT

リモート ピアから付与された証明書が失効または期限切れになったか(証明書が無効)、証明書のシグニチャ チェックに失敗しました(不良なシグニチャ)。

リモート ピアの CA に連絡し、考えられる不良な CA 証明書を報告することを推奨します。

CRYPTO FAILURE

IKE は、暗号化または復号化サービスから返された失敗を検出しました。

リモート ピアの管理者に連絡することを推奨します。

SA NOT AUTH

リモート ピアとの IKE セキュリティ アソシエーションが認証されませんでしたが、ピアはクイック モード交換の開始を試みました。交換は、認証されたセキュリティ アソシエーションでだけ実行する必要があります。

ピアの管理者に連絡することを推奨します。

AUTHENTICATION FAILED

IKE プロセスはリモート ピアとのセキュリティ アソシエーションを認証できませんでした。

ピアの管理者に連絡することを推奨します。

GROUP AUTHOR FAILED

グループの許可が失敗しました。

AAA の接続を確認することを推奨します。

USER AUTHEN REJECTED

ピアとのフェーズ 1.5(Xauth)の処理が失敗しました。

配信されたパスワードがクライアントのものと一致していることを確認する必要があります。それでも解決しない場合は、受け取った正確なログ メッセージを用意して Cisco Technical Support にお問い合わせください。

LOCAL ADDRESS FAILURE

クライアントへの IP アドレスの割り当てに失敗しました。

IP ローカル プールが定義され、少なくとも 1 つのフリー アドレスが含まれていることを確認する必要があります。さらに、 show crypto isakmp profile コマンドから特定のプールが適切な ISAKMP プロファイルに割り当てられていることを確認します。それでも解決しない場合は、受け取った正確なログ メッセージを用意して Cisco Technical Support にお問い合わせください。

FAILED TO CREATE SKEYID

SKEYID の生成に失敗しました。

Cisco Technical Support に連絡することを推奨します。

RSA PUBLIC KEY NOT FOUND

RSA 鍵の照会に失敗しました。

証明書の件名を確認できます。

RETRANSMITION LIMIT

再送の制限を超えました。

管理者に連絡することを推奨します。

MALFORMED MESSAGE

受信したすべての ISAKMP メッセージには、すべてのコンポーネントのペイロード タイプが有効であり、個々の長さの合計が受信メッセージの合計長と等しいことを確認するために、簡単な健全性チェックが実行されます。このメッセージは健全性チェックに失敗しました。

連続した不良メッセージは Denial of Service(DoS; サービス拒絶)攻撃を示す可能性があります。

ピアの管理者に連絡することを推奨します。

QUICK MODE TIMER EXPIRED

必ずしもクイック モードを開始してフェーズ 2 を開始するまで待機できるとは限りません。

ほとんどの場合、フェーズ 2 の開始に失敗する理由はプロセスがフェーズ I を完了できなかったからです。その場合は、このメッセージの直前に表示される別のメッセージがログに記録されている必要があります。

KEY NOT FOUND IN PROFILE

メイン モードでは、ID ペイロードは MM5 と MM6 でだけ交換されます。キーリング情報はネゴシエーションのより早い段階で必要となるので、ピアのアドレスに基づいて検索されます。選択されたキーリングがそのピア用に ISAKMP プロファイルに定義されたキーリングと一致しない場合に、このエラーが表示されます。

鍵が存在するキーリングが ISAKMP プロファイルに対応付けられていることを確認する必要があります。

PROFILE NOT FOUND

次の説明が表示されます。

ピアの識別情報と一致する ISAKMP プロファイルが見つかりません。これは RESPONDER モードにだけ該当します。

インターフェイス名と一致する ISAKMP プロファイルが見つかりません。これは INITIATOR モードにだけ該当します。

ピアの識別情報がインターフェイスに関連付けられた ISAKMP プロファイルと一致しません。これは INITIATOR モードにだけ該当します。

次の推奨事項が表示されます。

ピアの ID と一致する ISAKMP プロファイルが存在することを確認する必要があります。

ISAKMP プロファイルが適切なインターフェイスに対応付けられていることを確認する必要があります。

インターフェイスに対応付けられている ISAKMP プロファイルが、ピアの識別情報と一致することを確認する必要があります。

PRESHARED KEY NOT FOUND

事前共有キーの検出に失敗しました。

管理者に連絡することを推奨します。

PHASE2 PROPOSAL NOT CHOSEN

ピアとのフェーズ 2 パラメータのネゴシエーションが失敗しました。

ピアの管理者に連絡することを推奨します。

POLICY MISMATCH

ピアとのフェーズ 1 ポリシー パラメータのネゴシエーションが失敗しました。

ピアの管理者に連絡することを推奨します。

NO POLICY FOUND

次のどの方法でもピアの鍵を取得できませんでした。

事前共有キー

RSA 鍵

証明書

管理者に連絡することを推奨します。

PACKET PROCESS FAILURE

このエラー メッセージは重大なエラー状態を示します。これは内部エラーに起因する可能性があります。

Cisco Technical Support に連絡することを推奨します。

CERT DOESNT MATCH ID

識別情報が証明書から収集できる情報と一致しないことが示されました。

セッションが開始されない場合は、リモート ピアまたは管理者に連絡することができます。

CERT ISNT TRUSTED ROOT

IKE フェーズ I シグニチャの検証時に、発信側は CA 証明書のリストを送信します。この警告は、リストにある CA がいずれも信頼できるルートではない場合に、応答側によって出力されます。

(注) 複数の cert-req ペイロードが存在する可能性があるので、これは必ずしもエラーとは限りません。

セッションが開始されない場合は、リモート ピアまたは管理者に連絡することができます。

PACKET NOT ENCRYPTED

受信パケットはピアによって暗号化されている必要がありますが、暗号化されませんでした。

リモート ピアの管理者に連絡することを推奨します。

UNRELIABLE INFO MSG

ピアが認証される前に INFO メッセージを受信したことが、信頼できないと判断される理由です。

リモート ピアの管理者に連絡することを推奨します。

NO SA

このパケット用のセキュリティ アソシエーションが存在しません。これは SA を確立するピアからの初期オファーではありません。これらのエラーはサービス拒絶攻撃を示す可能性があります。

リモート ピアまたは管理者に連絡することを推奨します。

BAD DOI SA

SA オファーにはメッセージ解析のために DOI フィールドが必要です。DOI が不明の SA オファーは解析できません。

この状況が続く場合は、リモート ピアの管理者に連絡できます。

UNKNOWN EXCHANGE TYPE

IKE は、定義された交換に基づいてメッセージに関するアクションを実行します。不明な交換でメッセージが受信されています。

問題が一時的なものではないと思われる場合は、ピアの管理者に連絡できます。

OUTGOING PKT TOO BIG

最大許容 UDP パケット サイズを上回るISAKMP パケットを送信しようとしています。これは極めて多数の IKE ポリシーが発信側から提示されていた場合に発生する可能性があります。

設定された ISAKMP ポリシーの数を減らすことを試みることができます。

INCOMING PKT TOO BIG

パケット サイズは 3,000 に制限されています。ピアが大きな情報を送信しすると、強制的に大きなバッファの割り当てが必要となります(サービス拒絶(DoS)など)。

リモート ピアまたは管理者に連絡することを推奨します。

CAC DROPS

コール アドミッション制御(CAC)ポリシーがデバイスに設定されています。その結果、エラー メッセージに記載された理由で IKE SA 要求が拒否されました。

要求が拒否された理由に応じて、システムへの負荷を減らして新しい IKE SA 要求を処理できるようにするか、さらに必要な場合は最大許容 IKE セッションを増やすことができます。

DEFAULT POLICY ACCEPTED

ローカルに設定されたポリシーがピアの ポリシーと一致しなかったため、デフォルト ポリシーが使用されています。

これが実際に使用すべき ISAKMP ポリシーであるかどうかを確認できます。デフォルト ポリシーを使用しないようにするには、ピアの ポリシーと一致するようにローカル ポリシーを再設定することができます。

 
関連コマンド

コマンド
説明

clear crypto isakmp errors

ISAKMP エラーの統計情報をクリアします。

show crypto isakmp key

ルータの Internet Security Association and Key Management Protocol(ISAKMP)事前共有キーを表示するには、EXEC モードで show crypto isakmp key コマンドを使用します。

show crypto isakmp key

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り

次に、IP ホスト名およびアドレスと事前共有キーを表示する例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp key
 
Keyring Hostname/Address Preshared Key
K1 3.3.3.1 rd26
K2 5.5.5.5 ex22
K2 tzvi.cisco.com ppp
 

表 12 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 12 show crypto isakmp key フィールドの説明

フィールド
説明

Hostname/Address

ルータの IP ホスト名またはアドレス

Preshared Key

ルータの ISAKMP 事前共有キー

show crypto isakmp peers

ピアの構造を表示するには、EXEC モードで show crypto isakmp peers コマンドを使用します。

show crypto isakmp peers [ ip-address | vrf vrf-name ]

 
シンタックスの説明

ip-address

(任意)ピアの IP アドレス。

vrf vrf-name

(任意)ピアの前面扉 VRF を指定します。 vrf-name 引数は、VRF に割り当てられた名前です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り

次に、 show crypto isakmp peers コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp peers
 
Peer: 10.0.83.1 Port: 4500 Local: 30.0.0.4 vrf: default
UDP encapsulate: True
SA information:
Connection ID: 1
State: QM_IDLE
Phase 1 ID: DER_ASN1_DN srbu
 

表 13 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 13 show crypto isakmp peers フィールドの説明

フィールド
説明

Connection ID

インターネット鍵交換(IKE)ID。

State

さまざまな状態の出力表示。各状態の詳細については、表 17 を参照してください。

Phase1 ID

インターネット鍵交換(IKE)ID。

 
関連コマンド

コマンド
説明

crypto isakmp peer

インターネット鍵交換(IKE)用に IP セキュリティ(IPSec)ピアをイネーブルにします。

description (ISAKMP peer)

インターネット鍵交換(IKE)ピアの説明を追加します。

show crypto isakmp policy

各インターネット鍵交換(IKE)ポリシーのパラメータを表示するには、EXEC モードで show crypto isakmp policy コマンドを使用します。

show crypto isakmp policy

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り

次に、2 つの IKE ポリシー(プライオリティはそれぞれ 15 および 20)を設定したあとの show crypto isakmp policy コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp policy
 
Protection suite priority 15
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman Group: #2 (1024 bit)
lifetime: 5000 seconds, no volume limit
Protection suite priority 20
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: preshared Key
Diffie-Hellman Group: #1 (768 bit)
lifetime: 10000 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman Group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
 

) 出力ではライフタイムに「no volume limit」と表示されていますが、現在設定できるのは、時限ライフタイム(86,400 秒など)だけです。ボリューム制限によるライフタイムは設定できません。


表 14 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 14 show crypto isakmp policy フィールドの説明

フィールド
説明

encryption algorithm

IKE ポリシー内の暗号化アルゴリズム

hash algorithm

IKE ポリシー内のハッシュ アルゴリズム

authentication method

IKE ポリシーで使用される認証方式

Diffie-Hellman group

IKE ポリシーの Diffie-Hellman グループ ID

lifetime

期限切れになるまでにセキュリティ アソシエーション(SA)が存在する時間(秒単位)

 
関連コマンド

コマンド
説明

authentication (IKE policy)

IKE ポリシー内の認証方式を指定します。

crypto isakmp policy

IKE ポリシーを定義します。

encryption (IKE policy)

IKE ポリシー内の暗号化アルゴリズムを指定します。

group (IKE policy)

IKE ポリシー内の Diffie-Hellman グループ ID を指定します。

hash (IKE policy)

IKE ポリシー内のハッシュ アルゴリズムを指定します。

lifetime (IKE policy)

IKE SA のライフタイムを指定します。

show crypto isakmp profile

ルータに定義されているすべての ISAKMP プロファイルを表示するには、EXEC モードで show crypto isakmp profile コマンドを使用します。

show crypto isakmp profile [ interface intf-name | ipsec-profile ipsec-prof-name | tag isakmp-prof-name ]

 
シンタックスの説明

interface intf-name

(任意)IPSec 照合 ID のインターフェイスごとに ISAKMP プロファイルを表示します。

ipsec-profile ipsec-prof-name

(任意)IPSec 照合 ID の IPSec プロファイルごとに ISAKMP プロファイルを表示します。

tag isakmp-prof-name

(任意)名前ごとに ISAKMP プロファイルを表示します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

タスク ID

タスク ID
操作

crypto

読み取り

次に、 show crypto isakmp profile コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp profile
 
ISAKMP Profile: isakmp-prof2
Keyring(s): kr2
Identities matched are:
Address: 10.0.2.1 255.255.255.255 fvrf: green
Interface: service-ipsec2
 
ISAKMP Profile: isakmp-prof1
Keyring(s): kr1
Identities matched are:
Group: srbu
Interface: service-gre1
 

表 15 で、 show crypto isakmp profile コマンドのフィールドについて説明します。

 

表 15 show crypto isakmp profile フィールドの説明

フィールド
説明

ISAKMP Profile

ISAKMP プロファイルの名前。

Keyring(s)

キーリングの名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。

Identities matched are

ISAKMP プロファイルで照合できるすべての識別情報です。

 
関連コマンド

コマンド
説明

crypto isakmp profile

ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。

keyring

ISAKMP プロファイルとともにキーリングを定義します。

show crypto isakmp sa

ピアにおける現在のすべてのインターネット鍵交換(IKE)セキュリティ アソシエーション(SA)を表示するには、EXEC モードで show crypto isakmp sa コマンドを使用します。

show crypto isakmp sa [ connection ID ]

 
シンタックスの説明

connection ID

(任意)IKE SA ID です。範囲は 1 ~ 65535 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ID のリストを表示するには、 connection ID 引数を使用します。

タスク ID

タスク ID
操作

crypto

読み取り

次に、IKE ネゴシエーションが 2 つのピア間で正常に完了したあとの show crypto isakmp sa コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp sa
 
vrf dst src state conn-id nodeid
---------- ------------ ------------ --------- ------- ------
default 30.0.0.4 10.0.83.1 QM_IDLE 1 0
 
 

表 16 に、表示されるフィールドについて説明します。 表 17 に、 show crypto isakmp sa コマンドの出力に表示される可能性のあるさまざまな状態を示します。Internet Security Association and Key Management Protocol(ISAKMP)SA が存在するときは、ほとんどの場合、休止状態(QM_IDLE)です。長い交換の間に、いくつかの MM_xxx 状態が観察される可能性があります。

 

表 16 show crypto isakmp sa フィールドの説明

フィールド
説明

vrf

VRF ごとの ISAKMP SA 詳細を表示するための Virtual Route Forwarding(VRF; 仮想ルート転送)。

dst

宛先 IP アドレス。

src

送信元 IP アドレス。

state

表 17 に、 show crypto isakmp sa コマンドの出力に表示される可能性のあるさまざまな状態を示します。Internet Security Association and Key Management Protocol(ISAKMP)SA が存在するときは、ほとんどの場合、休止状態(QM_IDLE)です。長い交換の間に、いくつかの MM_xxx 状態が観察される可能性があります。

conn-id

接続 ID。

nodeid

ノード ID。

 

表 17 モードの状態

状態:メイン モード交換
説明

MM_NO_STATE

ISAKMP SA は作成済みですが、他にはまだ何も発生していません。この段階では「仮性」で、状態はありません。

MM_SA_SETUP

ピアは ISAKMP SA のパラメータに同意しました。

MM_KEY_EXCH

ピアは Diffie-Hellman 公開鍵を交換して共有秘密を生成しました。ISAKMP SA は認証されていないままです。

MM_KEY_AUTH

ISAKMP SA は認証済みです。ルータがこの交換を開始した場合、この状態はすぐに QM_IDLE に移行し、クイック モード交換が開始されます。

状態:アグレッシブ モード交換
説明

AG_NO_STATE

ISAKMP SA は作成済みですが、他にはまだ何も発生していません。この段階では「仮性」で、状態はありません。

AG_INIT_EXCH

ピアはアグレッシブ モードで最初の交換を実行しましたが、SA は認証されていません。

AG_AUTH

ISAKMP SA は認証済みです。ルータがこの交換を開始した場合、この状態はすぐに QM_IDLE に移行し、クイック モード交換が開始されます。

状態:クイック モード交換
説明

QM_IDLE

ISAKMP SA はアイドル状態です。Iピアとは認証されたままですが、後続のクイック モード交換用に使用される可能性があります。休止状態です。

 
関連コマンド

コマンド
説明

crypto isakmp policy

IKE ポリシーを定義します。

lifetime (IKE policy)

IKE SA のライフタイムを指定します。

show crypto isakmp stats

ISAKMP セキュリティ アソシエーション(SA)の数を表示します。

show crypto isakmp stats

ISAKMP セキュリティ アソシエーション(SA) の詳細を表示します。

show crypto isakmp stats

ISAKMP のグローバル統計情報を表示するには、EXEC モードで show crypto isakmp stats コマンドを使用します。

show cryto isakmp stats [ vrf vrf-name ]

 
シンタックスの説明

vrf vrf-name

(任意)VPN ルーティングおよび転送(VRF)インスタンスごとの ISAKMP 統計情報を指定します。 vrf-name 引数は、VRF に割り当てられた名前です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

VRF インスタンスごとの ISAKMP 統計情報を表示するには、 show crypto isakmp stats コマンドを使用します。VRF インスタンスが指定されない場合は、VRF インスタンスの統計情報デフォルトが表示されます。

show crypto isakmp stats コマンドにより、次のグローバル統計情報が出力されます。

アクティブな ISAKMP SA

現在ネゴシエーション中の ISAKMP

同時 ISAKMP SA の最大数

同時に確立される SA の最大数

期限切れになった SA

タスク ID

タスク ID
操作

crypto

読み取り

次に、 show crypto isakmp stats コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto isakmp stats
 
VRF ISAKMP statistics:
 
Active Tunnels: 0
Previous Tunnels: 0
 
In Octets: 0
In Packets: 0
In Drop Packets: 0
In Notifys Messages: 0
In Phase2 Exchanges: 0
In Phase2 Exchange Invalids: 0
In Phase2 Exchange Rejects: 0
In Phase2 SA Delete Requests: 0
 
Out Octets: 0
Out Packets: 0
Out Drop Packets: 0
Out Notifys Messages: 0
Out Phase2 Exchanges: 0
Out Phase2 Exchange Invalids: 0
Out Phase2 Exchange Rejects: 0
Out Phase2 SA Delete Requests: 0
Initiator Tunnels: 0
Initiator Tunnel Setup Fails: 0
Responder Tunnel Setup Fails: 0
Sys Cap Fails: 0
Auth Failures: 0
Decryption Fails: 0
Hash Valid Fails: 0
No SA Fails: 0
 

表 18 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 18 show crypto isakmp stats フィールドの説明

フィールド
説明

Active Tunnels

現在アクティブな IPSec フェーズ 1 IKE トンネルの数

Previous Tunnels

以前にアクティブだった IPSec フェーズ 1 IKE トンネルの合計数

In Octets

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信した合計オクテット数

In Packets

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信した合計パケット数

In Drop Packets

現在アクティブおよび以前にアクティブだったすべての IPsec フェーズ 1 IKE トンネルが受信処理中にドロップしたパケットの合計数

In Notifys Messages

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信した通知の合計数

In Phase2 Exchanges

現在アクティブおよび以前にアクティブだったすべての IPsec フェーズ 1 IKE トンネルが受信した IPSec フェーズ 2 交換の合計数

In Phase2 Exchange Invalids

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信し、無効であることを検出した IPSec フェーズ 2 交換の合計数

In Phase2 Exchange Rejects

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信し、拒否した IPSec フェーズ 2 交換の合計数

In Phase2 SA Delete Requests

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信した、IPSec フェーズ 2 セキュリティ アソシエーション の削除要求の合計数

Out Octets

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した合計オクテット数

Out Packets

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 トンネルが送信した合計パケット数

Out Drop Packets

現在アクティブおよび以前にアクティブだったすべての IPsec フェーズ 1 IKE トンネルが送信処理中にドロップしたパケットの合計数

Out Notifys Messages

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した通知の合計数

Out Phase2 Exchanges

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した IPSec フェーズ 2 交換の合計数

Out Phase2 Exchange Invalids

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 トンネルが送信し、無効であることを検出した IPSec フェーズ 2 交換の合計数

Out Phase2 Exchange Rejects

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信し、拒否した IPSec フェーズ 2 交換の合計数

Out Phase2 SA Delete Requests

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した、IPSec フェーズ 2 SA の削除要求の合計数

Initiator Tunnels

ローカルで開始された IPSec フェーズ 1 IKE トンネルの合計数

Initiator Tunnel Setup Fails

ローカルで開始され、アクティブにされなかった IPSec フェーズ 1 IKE トンネルの合計数

Responder Tunnel Setup Fails

リモートで開始され、アクティブにされなかった IPSec フェーズ 1 IKE トンネルの合計数

Sys Cap Fails

現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルの処理中に発生した、システム キャパシティ障害の合計数

Auth Failures

現在および以前のすべての IPSec フェーズ 1 IKE トンネルが失敗した認証の合計数

Decryption Fails

現在および以前のすべての IPSec フェーズ 1 IKE トンネルが失敗した復号化の合計数

Hash Valid Fails

現在および以前のすべての IPSec フェーズ 1 IKE トンネルが失敗したハッシュ検証の合計数

No SA Fails

現在および以前のすべての IPSec フェーズ 1 IKE トンネルの処理中に発生した、存在しないセキュリティ アソシエーションの障害の合計数

show crypto key pubkey-chain rsa

ルータに保存されているピアの Rivest, Shamir, and Adelman(RSA)公開鍵を表示するには、EXEC モードで show crypto key pubkey-chain rsa コマンドを使用します。

show crypto key pubkey-chain rsa [ name key-name | address key-address ]

 
シンタックスの説明

name key-name

(任意)特定の公開鍵の名前を表示します。

address key-address

(任意)特定の公開鍵のアドレスを表示します。

 
デフォルト

ルータに保存されているすべての RSA 公開鍵が表示されます。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ルータに保存されている RSA 公開鍵を表示するには、このコマンドを使用します。表示には、ルータで手動で設定されたピアの RSA 公開鍵、および他の手段によって(認証局サポートが設定されている場合は、証明書によってなど)ルータで受信された鍵が含まれます。

ルータを再起動した場合、証明書によって取得された公開鍵は失われます。ルータが再度証明書を要求し、その際に公開鍵が再度取得されるためです。

ルータに保存されている特定の RSA 公開鍵の詳細を表示するには、 name または address キーワードを使用します。

キーワードを指定しない場合、このコマンドではルータに保存されているすべての RSA 公開鍵のリストが表示されます。

タスク ID

タスク ID
操作

crypto

読み取り

次に、 show crypto key pubkey-chain rsa コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto key pubkey-chain rsa
 
Codes: M - Manually Configured, C - Extracted from certificate
 
Code Usage IP-Address VRF Keyring Name
M Encrypt K1 example.cisco.com
M Signing 5.5.5.5 green K2
 

次に、手動で設定された、somerouter という名前のピアの専用 RSA 公開鍵の例を示します。この例には、ピア証明書から取得した 3 つの鍵(peer routerA 用の 2 つの専用鍵と peer routerB 用の 1 つの汎用鍵)も示されています。

例では証明書サポートが使用されています。証明書サポートが使用されていない場合、どのピアの鍵も Code 列に「C」と表示されず、すべて手動で設定されることが必要になります。

表 19 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 19 show crypto key pubkey-chain rsa フィールドの説明

フィールド
説明

Code

ルータ上で手動で設定された RSA 公開鍵(M)と、証明書などの他の手段によってルータで受信された鍵(C)。

Usage

生成された RSA 鍵のタイプ。

IP-address

RSA 鍵が設定されているローカルまたはリモート ピアの IP アドレス。

VRF

キーリングの仮想ルート転送(VRF)。

Keyring

暗号キーリングの名前。グローバル鍵はデフォルトのキーリングに表示されます。

Name

ローカルまたはリモート ピアの名前。

次に、 name キーワードで公開鍵に somerouter.example.com という名前を付けている、 show crypto key pubkey-chain rsa コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto key pubkey-chain rsa name somerouter.example.com
 
Key name: somerouter.example.com
Key address: 10.0.0.1
Usage: Signature Key
Source: Manual
Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22
04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2
BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001
 
Key name: somerouter.example.com
Key address: 10.0.0.1
Usage: Encryption Key
Source: Manual
Data:
00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5
18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB
07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21
 

) 例の Source フィールドに表示されている「Manual」は、鍵がピアからの証明書で受信したものではなく、ルータ上で手動で設定されたものであることを意味します。


次に、アドレス 192.168.10.3 の show crypto key pubkey-chain rsa コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto key pubkey-chain rsa address 192.168.10.3
 
Key name: routerB.example.com
Key address: 192.168.10.3
Usage: General Purpose Key
Source: Certificate
Data:
0738BC7A 2BC3E9F0 679B00FE 53987BCC 01030201 42DD06AF E228D24C 458AD228
58BB5DDD F4836401 2A2D7163 219F882E 64CE69D4 B583748A 241BED0F 6E7F2F16
0DE0986E DF02031F 4B0B0912 F68200C4 C625C389 0BFF3321 A2598935 C1B1
 

例の Source フィールドに表示されている「Certificate」は、鍵は他方のルータからの証明書を介してルータで受信したものであることを意味します。

show crypto session

アクティブな暗号化セッションのステータス情報を表示するには、EXEC モードで show crypto session コマンドを使用します。

show crypto session [ detail | fvrf fvrf-name [ detail ] | group group-name | groups | interface interface-name | ivrf ivrf-name | local IP-address [ fvrf fvrf-name | detail ] | profile profile-name [ detail ] | remote IP-address [ detail | port remote-port | fvrf fvrf-name ] | user username [ detail ] | users ]

 
シンタックスの説明

detail

(任意)セッションに関するより詳細な情報を表示します。たとえば、インターネット鍵交換(IKE)セキュリティ アソシエーション(SA)の機能、接続 ID、IKE SA の残りのライフタイム、IP セキュリティ(IPSec)フローの着信または発信の暗号化または復号化パケット数、ドロップされたパケットの数、IPSec SA のライフタイム(キロバイト/秒単位)などが含まれます。

fvrf vrf-name

(任意)前面扉仮想ルーティングおよび転送(FVRF)セッションのステータス情報を表示します。 fvrf-name 引数は、FVRF に割り当てられた名前です。

group group-name

(任意)バーチャル プライベート ネットワーク(VPN)デバイスで現在アクティブなグループ識別名の使用状況を表示します。 group name 引数は、グループの識別名です。

groups

(任意)バーチャル プライベート ネットワーク(VPN)デバイスで現在アクティブなすべての接続グループの使用状況を表示します。

interface interface-name

Cisco ASR 9000 シリーズ サービス ルータでは動作しません。デフォルトのインターフェイスは tunnel-ipsec (IPSec トンネル インターフェイス)です。

ivrf ivrf-name

(任意)内部 VRF(IVRF)セッションのステータス情報を表示します。 ivrf-name 引数は、内部 VRF の名前です。

local IP-address

(任意)ローカル暗号化エンドポイントの暗号化セッションに関するステータス情報を表示します。 IP-address 引数は、ローカル暗号化エンドポイントの IP アドレスです。

profile profile-name

(任意)ルータに定義されている Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを表示します。 profile name 引数は、ISAKMP プロファイルの名前です。

remote IP-address

(任意)リモート セッションの暗号化セッションに関するステータス情報を表示します。 IP address 引数は、リモート暗号化エンドポイントの IP アドレスです。

port remote-port

(任意)リモート暗号化エンドポイントの暗号化セッションに関するステータス情報を表示します。 remote-port 引数は 1 ~ 65535 です。デフォルト値は 500 です。

user username

(任意)接続ユーザの使用状況を表示します。 user name 引数は、ユーザの名前です。

users

(任意)すべての接続ユーザの使用状況を表示します。

 
デフォルト

キーワードを指定しないで show crypto session コマンドを入力した場合は、既存のすべてのセッションがクリアされます。ポートのデフォルト値は 500 です。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

show crypto session コマンドを使用して、すべてのアクティブな ISAKMP セッションと、各セッションの IKE および IPSec SA のリストを取得できます。次のリストが含まれます。

インターフェイス

IPSec SA が作成されるピアに関連付けられた IKE SA

セッションのフローのサービスを提供する IPSec SA

(同じセッションの)同じピアには、複数の IKE または IPSec SA が確立されます。その場合、IKE ピアの説明は、ピアと関連付けられている IKE SA と、セッションのフローのサービスを提供している IPSec SA 用に、異なる値で繰り返されます。

タスク ID

タスク ID
操作

crypto

読み取り

次に、 show crypto session コマンドのフィールド リストの例を示します。

RP/0/RSP0/CPU0:router# show crypto session
 
Interface: tunnel-ipsec3001
Profile: TUNNEL_IPSEC
ISAKMP policy: 10
Fvrf: default
Ivrf: default
Peer: 10.1.1.5/500
Ike SAs: 1
IPsec Flows: 1
IKE SA : conn-id 1 local 10.1.1.6/500 remote 10.1.1.5/500 QM_IDLE
IPSEC FLOW 1: permit ipv4 10.7.208.2/255.255.255.255 10.7.208.2/255.255.255.255
Active SAs 2
 

次に、セッションの詳細情報の例を示します。

RP/0/RSP0/CPU0:router# show crypto session detail
 
Interface: tunnel-ipsec3001
Profile: TUNNEL_IPSEC
ISAKMP policy: 10
Fvrf: default
Ivrf: default
Peer: 10.1.1.6/500
Ike SAs: 1
IPsec Flows: 1
IKE SA : conn-id 2 local 10.1.1.5/500 remote 10.1.1.6/500 QM_IDLE
IPSEC FLOW 2: permit ipv4 10.7.208.2/255.255.255.255 10.7.208.2/255.255.255.255
Active SAs 2
Inbound: #pkts dec'ed 5 drop 0 life (KB/Sec) 100000000/3249
Outbound: #pkts enc'ed 5 drop 0 life (KB/Sec) 100000000/3249
 
 

表 20 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 20 show crypto session フィールドの説明

フィールド
説明

Interface

暗号化セッションが関連付けられるインターフェイス。

IKE SA

IKE SA についての情報が提供されます。たとえば、ローカルおよびリモート アドレスおよびポート、SA のステータス、SA の機能、暗号化エンジンの接続 ID、IKE SA の残りのライフタイムなどが含まれます。

IPSEC FLOW

IPSec で保護されたトラフィック フローに関する情報のスナップショット。たとえば、フローの内容、存在する IPSec SA の数、SA の送信元、暗号化または復号化パケットまたはドロップ パケットの数、IPSec SA の残りのライフタイム(キロバイト/秒単位)などが含まれます。

 
関連コマンド

コマンド
説明

clear crypto session

暗号化セッション(IP セキュリティ [IPSec] およびインターネット鍵交換 [IKE] セキュリティ アソシエーション [SA])を削除します。

description (ISAKMP peer)

インターネット鍵交換(IKE)ピアの説明を追加します。

show crypto isakmp peers

ピアの構造を表示します。