Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ システム セキュリティ コマンド リファレンス リリース 4.3.x
IPSec コマンド
IPSec コマンド
発行日;2013/04/26   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

IPSec コマンド

このモジュールでは、IPSec のコマンドについて説明します。


(注)  


次に示す IPSec のコマンドを使用できるのは、<platform>-k9sec.pie がインストールされている場合のみです。


clear crypto ipsec sa

特定のセキュリティ アソシエーション(SA)、または IP Security(IPSec)セキュリティ アソシエーション データベース(SADB)内のすべての SA を削除するには、EXEC モードで clear crypto ipsec sa コマンドを使用します。

clear crypto ipsec sa { sa-id | all }

構文の説明

sa-id

SA の識別子。 IPSec では、1 ~ 64,500 セッションがサポートされます。

all

IPsec SADB のすべての IPSec SA を削除します。

コマンド デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

SA は IPsec 内のデータ フローのセキュリティを確保するために確立されます。 clear crypto ipsec sa コマンドは、アクティブな IPSec セッションを削除するときや、強制的に新しい IPSec SA を再確立するときに使用します。 通常、ピア間の SA の確立は、IPsec に代わってインターネット キー交換(IKE)を通してネゴシエートされます。

タスク ID

タスク ID

操作

crypto

execute

次の例では、ID 100 の SA を SADB から削除する方法を示します。

RP/0/RSP0/CPU0:router# clear crypto ipsec sa 100 

関連コマンド

コマンド

説明

show crypto ipsec sa

現在の SA によって使用されている設定を表示します。

description(IPsec プロファイル)

IPSec プロファイルの説明を作成するには、description コマンドをプロファイル コンフィギュレーション モードで使用します。 プロファイルの説明を削除するには、このコマンドの no 形式を使用します。

description string

no description

構文の説明

string

IPSec プロファイルを説明する文字列。

コマンド デフォルト

なし

コマンド モード

Crypto IPSec プロファイル

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

IPSec プロファイルの説明を作成するには、プロファイル コンフィギュレーション サブモード内で description コマンドを使用します。

タスク ID

タスク ID

操作

profile configuration

read, write

次の例では、プロファイルの説明を作成する方法を示します。

RP/0/RSP0/CPU0:router# configure 
RP/0/RSP0/CPU0:router(config)# crypto ipsec profile newprofile 
RP/0/RSP0/CPU0:router(config-newprofile)# description this is a sample profile

interface tunnel-ip(GRE)

総称ルーティング カプセル化(GRE)のトンネル インターフェイスを設定するには、グローバル コンフィギュレーション モードで interface tunnel-ip コマンドを使用します。 IP トンネル インターフェイスを削除するには、このコマンドの no 形式を使用します。

interface tunnel-ip number

no interface tunnel-ip number

構文の説明

number

インターフェイスのインスタンス番号。 範囲は 0 ~ 65535 です。

コマンド デフォルト

なし

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

リリース 3.9.0

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

タスク ID

タスク ID

操作

interface

read, write

次の例では、interface tunnel-ip コマンドの使用方法を示します。

RP/0/RSP0/CPU0:router# configure 
RP/0/RSP0/CPU0:router(config)# interface tunnel-ip 50000
RP/0/RSP0/CPU0:router(config-if)#

show crypto ipsec sa

ラック/スロット/モジュールの場所に基づいてセキュリティ アソシエーション(SA)の情報を表示するには、EXEC モードで show crypto ipsec sa コマンドを使用します。

show crypto ipsec sa [ sa-id | peer ip-address | profile profile-name | detail | fvrf fvrf-name | ivrf ivrf-name | location node-id ]

構文の説明

sa-id

(任意)SA の識別子。 範囲は 1 ~ 64500 です。

peer ip-address

(任意)リモート(PC)側で使用される IP アドレス。 無効な IP アドレスを入力することはできません。

profile profile-name

(任意)セキュリティ プロファイルの名前を英数字で指定します。 文字範囲は 1 ~ 64 です。 プロファイル名が重複していてはなりません。

detail

(任意)追加の動的 SA 情報を表示します。

fvrf fvrf-name

(任意)前面扉仮想ルーティングおよび転送(FVRF)のすべての既存の SA が fvrf-name と同じであることを指定します。

ivrf ivrf-name

(任意)内部仮想ルーティングおよび転送(IVRF)のすべての既存の SA が ivrf-name と同じであることを指定します。

location node-id

(任意)SA が指定の場所で設定されることを指定します。

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

任意指定の引数やキーワードを使用しない場合は、フロー内のすべての SA が表示されます。 フロー内の SA は、プロトコル(カプセル化セキュリティ ペイロード(ESP)または認証ヘッダー(AH))および方向(インバウンドまたはアウトバウンド)ごとに表示されます。

detail キーワードを指定すると、ソフトウェア暗号化エンジン内で設定された SA のみの追加情報が表示されます。 SA は、tunnel-ipsec と transport を使用して設定されます。

タスク ID

タスク ID

操作

crypto

read

次に、show crypto ipsec sa コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto ipsec sa

SSA id:          510
Node id:        0/1/0
SA Type:        MANUAL
interface:      service-ipsec22
profile  :      p7
local  ident (addr/mask/prot/port) : (0.0.0.0/0.0.0.255/512/0)
remote ident (addr/mask/prot/port) : (0.0.0.0/0.0.0.0/512/0)
local crypto endpt: 0.0.0.0, remote crypto endpt: 0.0.0.0, vrf default
 
 #pkts tx         :0                      #pkts rx         :0
 #bytes tx        :0                      #bytes rx        :0
 #pkts encrypt    :0                      #pkts decrypt    :0
 #pkts digest     :0                      #pkts verify     :0
 #pkts encrpt fail:0                      #pkts decrpt fail:0
 #pkts digest fail:0                      #pkts verify fail:0
 #pkts replay fail:0
 #pkts tx errors  :0                      #pkts rx errors  :0
 
outbound esp sas:
        spi: 0x322(802)
        transform: esp-3des-md5
        in use settings = Tunnel
        sa agreed lifetime: 3600s, 4194303kb
        sa timing: remaining key lifetime: 3142303931sec/0kb
        sa DPD: disable, mode none, timeout 0s
        sa idle timeout: disable, 0s
        sa anti-replay (HW accel): enable, window 64
inbound esp sas:
        spi: 0x322(802)
        transform: esp-3des-md5
        in use settings = Tunnel
        sa agreed lifetime: 3600s, 4194303kb
        sa timing: remaining key lifetime: 3142303931sec/0kb
        sa DPD: disable, mode none, timeout 0s
        sa idle timeout: disable, 0s
        sa anti-replay (HW accel): enable, window 64

次の表で、この出力に表示される重要なフィールドを説明します。

表 1 show crypto ipsec sa のフィールドの説明

フィールド

説明

SA id

SA の識別子。

interface

インターフェイスの識別子。

profile

セキュリティ プロファイルの名前を指定する英数字の文字列。

local ident

ローカル ピアの IP アドレス、マスク、プロトコル、およびポート。

remote ident

リモート ピアの IP アドレス、マスク、プロトコル、およびポート。

outbound esp sas

アウトバウンド ESP の SA。

inbound esp sas

インバウンド ESP の SA。

transform

SA で使用されるトランスフォーム。

sa lifetime

SA で使用されるライフタイム値。

次の出力例は、show crypto ipsec sa コマンドの profile キーワードで pn1 というプロファイルを指定した場合のものです。

RP/0/RSP0/CPU0:router# show crypto ipsec sa profile pn1

SA id: 2 
interface: tunnel0 
profile: pn1 
local ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0) 
remote ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0) 
local crypto endpt: 172.19.70.92, remote crypto endpt: 172.19.72.120 
outbound esp sas: 
spi: 0x8b0e950f (2332988687) 
transform: esp-3des-sha 
in use settings = Tunnel 
sa lifetime: 3600s, 4194303kb 

SA id: 2 
interface: tunnel0 
profile: pn1 
local ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0) 
remote ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0) 
local crypto endpt: 172.19.72.120, remote crypto endpt: 172.19.70.92 
inbound esp sas: 
spi: 0x2777997c (662149500) 
transform: esp-3des-sha 
in use settings = Tunnel 
sa lifetime: 3600s, 4194303kb

次の出力例は、show crypto ipsec sa コマンドで peer キーワードを指定した場合のものです。

RP/0/RSP0/CPU0:router# show crypto ipsec sa peer 172.19.72.120

SA id: 2 
interface: tunnel0 
profile: pn1 
local ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0) 
remote ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0) 
local crypto endpt: 172.19.70.92, remote crypto endpt: 172.19.72.120 
outbound esp sas: 
spi: 0x8b0e950f (2332988687) 
transform: esp-3des-sha 
in use settings = Tunnel 
sa lifetime: 3600s, 4194303kb 

SA id: 2 
interface: tunnel0 
profile: pn1 
local ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0) 
remote ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0) 
local crypto endpt: 172.19.72.120, remote crypto endpt: 172.19.70.92 
inbound esp sas: 
spi: 0x2777997c (662149500) 
transform: esp-3des-sha 
in use settings = Tunnel 
sa lifetime: 3600s, 4194303kb

show crypto ipsec summary

IP セキュリティ(IPSec)のサマリー情報を表示するには、show crypto ipsec summary コマンドを EXEC モードで使用します。

show crypto ipsec summary

構文の説明

このコマンドには、キーワードと引数はありません。

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

タスク ID

タスク ID

操作

crypto

read

次に、show crypto ipsec summary コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto ipsec summary

# * Attached to a transform indicates a bundle
 
# Active IPSec Sessions: 1
 
SA  Interface        Local Peer/Port   Remote Peer/Port  FVRF    Profile  Transform Lifetime
------------------------------------------------------------------------------------------
502 tunnel-ipsec100 70.70.70.2/500    60.60.60.2/500    default ipsec1   esp-3des  esp 3600/100000000

次の表で、この出力に表示される重要なフィールドを説明します。

表 2 show crypto ipsec summary のフィールドの説明

フィールド

説明

SA

セキュリティ アソシエーションの識別子。

Node

ノードの識別子。

Local Peer

ローカル ピアの IP アドレス。

Remote Peer

リモート ピアの IP アドレス

FVRF

SA の前面扉仮想ルーティングおよび転送(FVRF)。 FVRF がグローバルの場合は、出力の f_vrf が空のフィールドとして表示されます

Mode

プロファイル モードのタイプ。

Profile

使用中の暗号化プロファイル。

Transform

使用中のトランスフォーム。

Lifetime

ライフタイム値(秒単位)の後に KB 数が続きます。

show crypto ipsec transform-set

設定済みのトランスフォーム セットを表示するには、EXEC モードで show crypto ipsec transform-set コマンドを使用します。

show crypto ipsec transform-set [transform-set-name]

構文の説明

transform-set-name

(任意)transform-set-name 引数で指定された値を持つ IPSec トランスフォーム セットが表示されます。

コマンド デフォルト

デフォルト値はありません。 デフォルトでは、すべての使用可能なトランスフォーム セットが出力されます。

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

トランスフォームを指定しない場合は、すべてのトランスフォームが表示されます。

タスク ID

タスク ID

操作

crypto

read

次に、show crypto ipsec transform-set コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show crypto ipsec transform-set

Transform set combined-des-sha: {esp-des esp-sha-hmac}
Transform set tsfm2: {esp-md5-hmac esp-3des }
        Mode: Transport
Transform set tsfm1: {esp-md5-hmac esp-3des }
        Mode: Tunnel
Transform set ts1: {esp-des  }
        Mode: Tunnel