Cisco 7600 シリーズ ルータ SIP、SSC、および SPA ソフトウェア コンフィギュレーション ガイド
暗号接続モードでの VPN の設定
暗号接続モードでの VPN の設定
発行日;2012/02/03 | 英語版ドキュメント(2012/01/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

暗号接続モードでの VPN の設定

暗号接続モードでのポートの設定

暗号接続モードでのポート タイプの概要

外部ポートと内部ポート

外部ポートと内部ポート

ポート VLAN とインターフェイス VLAN

アクセス ポート、トランク ポート、およびルーテッド ポート

暗号接続モードの設定時の注意事項および制約事項

暗号接続モードでサポートされる機能およびサポートされない機能

の内部ポートおよび外部ポートの設定

の内部ポートおよび外部ポートの設定時の注意事項および制約事項

アクセス ポートの設定

アクセス ポートの設定の確認

ルーテッド ポートの設定

ルーテッド ポート設定時の注意事項

ルーテッド ポートの設定の確認

トランク ポートの設定

トランク ポート設定時の注意事項

トランク ポート設定の確認

WAN インターフェイスへの 接続の設定

WAN インターフェイスへの 接続設定時の注意事項および制約事項

VPN の動作状態の表示

暗号接続モードでの GRE トンネリングの設定

暗号接続モードでの GRE トンネリングの概要

GRE トンネリング設定の注意事項および制約事項

GRE トンネリング設定の確認

GRE テイクオーバー基準の設定

GRE テイクオーバー コンフィギュレーションの注意事項および制約事項

GRE テイクオーバー基準のグローバルな設定

個別トンネルでの GRE テイクオーバー基準の設定

GRE トンネルを介した IP マルチキャストの設定

GRE トンネルを介した IP マルチキャスト設定時の注意事項および制約事項

IP マルチキャスト トラフィック用のシングル SPA モードの設定

IP マルチキャストのグローバル設定

トンネル インターフェイスでの PIM の設定

GRE トンネルを介した IP マルチキャストの設定の確認

設定例

アクセス ポート(暗号接続モード)の設定例

ルーテッド ポート(暗号接続モード)の設定例

トランク ポート(暗号接続モード)の設定例

WAN インターフェイスへの 接続の設定例

ATM ポート アダプタへの 接続の設定例

POS ポート アダプタへの 接続の設定例

シリアル ポート アダプタへの 接続の設定例

暗号接続モードでの GRE トンネリングの設定例

GRE テイクオーバー基準の設定例

GRE テイクオーバー基準のグローバル設定例

GRE テイクオーバー基準トンネルの設定例

GRE テイクオーバーの確認例

GRE トンネルを介した IP マルチキャストの設定例

暗号接続モードでの VPN の設定

この章では、暗号接続モードで IP セキュリティ(IPSec)VPN を設定する方法について説明します。暗号接続モードは、IPSec VPN SPA によってサポートされる 2 つの VPN 設定モードの 1 つです。もう一方の VPN モードである Virtual Routing and Forwarding(VRF)モードについては、「仮想ルーティングおよび転送(VRF)モードでのバーチャル プライベート ネットワーク(VPN)の設定」を参照してください。

この章の内容は次のとおりです。

「暗号接続モードでのポートの設定」

「暗号接続モードでの GRE トンネリングの設定」

「設定例」

IPSec VPN SPA の IPSec VPN の全般的な情報については、「IPSec および IKE 設定の基本概念の概要」を参照してください。


) この章に記載された手順は、読者がセキュリティ設定の概念(VLAN、Internet Security Association and Key Management Protocol(ISAKMP)ポリシー、事前共有キー、トランスフォーム セット、Access Control List(ACL; アクセス コントロール リスト)、暗号マップなど)についての知識があることを前提としています。これらの機能の設定に関する詳細は、次の Cisco IOS マニュアルを参照してください。

次の URL の『Cisco IOS Security Configuration Guide』Release 12.2
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/fsecur_c.html


次の URL の『Cisco IOS Security Command Reference』 Release 12.2
http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html


この章で使用するコマンドの詳細については、『 Cisco IOS Software Releases 12.2SR Command References 』および『 Cisco IOS Software Releases 12.2SX Command References 』を参照してください。また、関連する CiscoIOS Release12.2 ソフトウェア コマンド リファレンスおよびマスター インデックスも参照してください。これらのマニュアルの入手方法については、「関連資料」を参照してください。


ヒント IPSec VPN SPA を使用して VPN を正しく設定するために、設定の概要および注意事項にすべて目を通してから設定作業を始めてください。


暗号接続モードでのポートの設定

暗号接続モードでポート設定を開始する前に、次の内容を参照する必要があります。

「暗号接続モードでのポート タイプの概要」

「暗号接続モードの設定時の注意事項および制約事項」

その後、次の手順を実行します。

「IPSec VPN SPA の内部ポートおよび外部ポートの設定」

「アクセス ポートの設定」

「ルーテッド ポートの設定」

「トランク ポートの設定」

「WAN インターフェイスへの IPSec VPN SPA 接続の設定」

「VPN の動作状態の表示」


) ここに記載された設定手順は、GRE トンネリングをサポートしません。暗号接続モードで GRE トンネリング サポートを設定する方法については、「暗号接続モードでの GRE トンネリングの設定」を参照してください。



) このセクションの手順では、Cisco IOS の IKE ポリシー、事前共有キー エントリ、Cisco IOS ACL、暗号マップなどの機能の詳しい設定情報は記載されていません。これらの機能の設定に関する詳細は、次の Cisco IOS マニュアルを参照してください。

次の URL の『Cisco IOS Security Configuration Guide
』Release 12.2

http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/fsecur_c.html

次の URL の
Cisco IOS Security Command Reference』 Release 12.2

http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html


暗号接続モードでのポート タイプの概要

暗号接続モードで IPSec VPN を設定するには、次の概念を理解する必要があります。

「ルータ外部ポートと内部ポート」

「IPSec VPN SPA 外部ポートと内部ポート」

「ポート VLAN とインターフェイス VLAN」

「アクセス ポート、トランク ポート、およびルーテッド ポート」

ルータ外部ポートと内部ポート

WAN ルータに接続する Cisco 7600 シリーズ ルータ上のファスト イーサネット ポートまたはギガビット イーサネット ポートのことを、ルータ外部ポートといいます。これらのポートは、LAN をインターネットまたはリモート サイトに接続します。暗号化ポリシーが適用されるのは、ルータ外部ポートです。

LAN に接続する Cisco 7600 シリーズ ルータ上のファスト イーサネット ポートまたはギガビット イーサネット ポートのことを、ルータ内部ポートといいます。

IPSec VPN SPA はルータ外部ポートに暗号化したパケットを送信し、Policy Feature Card(PFC; ポリシー フィーチャ カード)には復号化したパケットを送信して、ルータ内部ポートへのレイヤ 3 転送を実行させます。

IPSec VPN SPA 外部ポートと内部ポート

IPSec VPN SPA は、CLI では 2 つのギガビット イーサネット ポートのある SPA として認識されます。IPSec VPN SPA には、外部コネクタはありません。ギガビット イーサネット ポートが、IPSec VPN SPA をルータ バックプレーンおよび SFM(スイッチ ファブリック モジュール)(搭載されている場合)に接続します。

1 つのギガビット イーサネット ポートが、ルータ外部ポートとの間で送受信されるすべてのトラフィックを処理します。このポートのことを、 IPSec VPN SPA 外部ポート といいます。もう 1 つのギガビット イーサネット ポートは、LAN またはルータ内部ポートとの間で送受信されるすべてのトラフィックを処理します。このポートのことを、 IPSec VPN SPA 内部ポート といいます。

ポート VLAN とインターフェイス VLAN

VPN の設定では、1 つまたは複数のルータ外部ポートを使用できます。複数のルータ外部ポートからのパケットを処理するには、IPSec VPN SPA の外部ポートのある VLAN 内にルータ外部ポートを配置することによって、複数のルータ外部ポートからのパケットを IPSec VPN SPA 外部ポートに方向付ける必要があります。この VLAN のことを、ポート VLAN といいます。ポート VLAN は、レイヤ 2 専用の VLAN です。この VLAN には、レイヤ 3 のアドレスまたは機能は設定しません。ポート VLAN 内のパケットは、PFC によってブリッジングされます。

ルータが適正なルーティング テーブル エントリを使用してパケットを転送するには、そのパケットを受信したインターフェイスをルータに認識させる必要があります。各ポート VLAN につき、もう 1 つの VLAN を作成して、各ルータ外部ポートからのパケットが、対応する VLAN ID を持つルータに送られるようにします。この VLAN は IPSec VPN SPA 内部ポートだけを含み、インターフェイス VLAN と呼ばれます。インターフェイス VLAN は、レイヤ 3 専用の VLAN です。インターフェイス VLAN には、レイヤ 3 アドレスおよびレイヤ 3 機能(ACL、暗号マップなど)を設定します。

crypto engine slot コマンドを使用してインターフェイス VLAN 上でポート VLAN とインターフェイス VLAN を結び付けた後、 crypto connect vlan コマンドを使用してポート VLAN 上でこれらの VLAN を結び付けます。図 24-1 に、ポート VLAN とインターフェイス VLAN の構成例を示します。

図 24-1 ポート VLAN とインターフェイス VLAN の構成例

 

ポート VLAN 502 およびポート VLAN 503 は、2 つのルータ外部ポートに対応付けられたポート VLAN です。

インターフェイス VLAN 2 およびインターフェイス VLAN 3 は、それぞれポート VLAN 502 およびポート VLAN 503 に対応するインターフェイス VLAN です。

インターフェイス VLAN 2 のルータ外部ポートに適用する IP アドレス、ACL、および暗号マップを設定します。インターフェイス VLAN 3 のルータ外部ポートに適用する機能を設定します。

WAN から VLAN 502 に属するルータ外部ポート経由で着信するパケットは、PFC によって IPSec VPN SPA 外部ポートに方向付けられます。IPSec VPN SPA はパケットを復号化し、VLAN をインターフェイス VLAN 2 に変更したあと、IPSec VPN SPA 内部ポート経由でルータにそのパケットを提供します。そのあと PFC が、パケットを正しい宛先にルーティングします。

LAN から外部ポートに発信されるパケットは、まず PFC によってルーティングされます。ルートに基づいて、PFC はいずれかのインターフェイス VLAN にパケットをルーティングし、IPSec VPN SPA 内部ポートにパケットを方向付けます。IPSec VPN SPA は、対応するインターフェイス VLAN に設定されている暗号化ポリシーを適用してパケットを暗号化し、VLAN ID を対応するポート VLAN に変更し、IPSec VPN SPA 外部ポート経由でパケットをルータ外部ポートに送信します。

アクセス ポート、トランク ポート、およびルーテッド ポート

暗号接続モードを使用して IPSec VPN SPA 上で VPN を設定する場合、暗号マップをインターフェイス VLAN に適用します。次に、crypto connect vlan コマンドを使用して、インターフェイス VLAN を 1 つ以上の物理ポートまたは直接 1 つの物理ポートに対応付けられているレイヤ 2 ポート VLAN に接続します。ATM、POS、シリアル、またはイーサネット ポートを物理ポートとして使用できます。

スイッチポート モードで設定された 1 つ以上のイーサネット ポートに接続されているポート VLAN にインターフェイス VLAN を暗号接続する場合、イーサネット ポートをアクセス ポートまたはトランク ポートのいずれかに設定できます。

アクセス ポート:アクセス ポートは、外部 VLAN または VLAN Trunk Protocol(VTP)VLAN が対応付けられたスイッチ ポートです。1 つの定義済み VLAN に複数のポートを対応付けることができます。

トランク ポート:トランク ポートは多くの外部 VLAN または VTP VLAN を伝送するスイッチ ポートです。これらの VLAN では、すべてのパケットが 802.1Q ヘッダーを使用してカプセル化されます。

ポート VLAN を定義せずにインターフェイス VLAN を物理イーサネット ポートに暗号接続すると、非表示ポート VLAN が自動的に作成されポートに対応付けられます。この構成では、イーサネット ポートはルーテッド ポートです。

ルーテッド ポート:デフォルトでは、スイッチ ポートとして設定されるまで、すべてのイーサネット ポートはルーテッド ポートです。ルーテッド ポートには IP アドレスを割り当てても割り当てなくてもかまいませんが、コンフィギュレーションに switchport コマンドは含まれません。

暗号接続モードの設定時の注意事項および制約事項

暗号接続モードで VPN ポートを設定する場合は、次の注意事項および制約事項に従って、IPSec VPN SPA の設定ミスを回避してください。

シャーシ内にある Cisco 7600 SIP-400 に搭載されたイーサネット ポートをスイッチ ポートとして設定することはできません。

暗号 ACL から行を削除すると、その ACL を使用するすべての暗号マップが削除され、IPSec VPN SPA に再適用されます。この処理により、その ACL を参照する暗号化マップから取得されたすべての SA に間欠的な接続の問題が発生します。

ループバック インターフェイスに暗号マップ セットを適用しないでください。ただし、 crypto map local-address コマンドを入力することにより、IPSec VPN SPA の物理的な入力インターフェイスおよび出力インターフェイスとは無関係に、IPSec SA データベースを維持できます。

各セキュア インターフェイスに同じ暗号マップ セットを適用し、そのインターフェイスをループバック インターフェイスとして指定して crypto map local-address コマンドを入力すると、一連のセキュア インターフェイスで 1 つの SA データベースを共用できます。 crypto map local-address コマンドを入力しない場合、IKE SA の数は接続されているインターフェイスの数と等しくなります。

インターフェイスがすべて同じ暗号エンジンにバインドされている場合にだけ、同じ暗号マップを複数のインターフェイスに接続できます。

空白の ACL(定義しただけで行を入力していない ACL)を使用して暗号マップを作成し、その暗号マップをインターフェイスに適用すると、すべてのトラフィックが平文の(暗号化されていない)状態でそのインターフェイスから発信されます。

既存の暗号接続ポートの属性を変更しないでください。暗号接続アクセス ポートまたはルーテッド ポートの属性が変更されると(スイッチ ポートからルーテッド ポートへ、またはその逆)、対応付けられた暗号接続が削除されます。

VLAN データベースからインターフェイス VLAN またはポート VLAN を削除しないでください。すべてのインターフェイス VLAN およびポート VLAN は、VLAN データベースに登録されている必要があります。VLAN データベースからこれらの VLAN を削除すると、トラフィックの伝送が停止します。

crypto connect vlan コマンドを入力し、インターフェイス VLAN またはポート VLAN が VLAN データベースに存在しない場合、次の警告メッセージが表示されます。

VLAN id 2 not found in current VLAN database. It may not function correctly unless
VLAN 2 is added to VLAN database.
 

インターフェイスの暗号マップを置き換えるときは、必ず no crypto map コマンドを入力してから、そのインターフェイスに暗号マップを再適用してください。

スーパーバイザ エンジンがスイッチオーバーすると、搭載されている SPA が再起動し、オンラインに戻ります。この期間中、IPSec VPN SPA の確立済みの SA が一時的に失われ、SPA がオンラインに戻ったあとで再作成されます。この再作成は IKE を通じて行われます(瞬間的には作成されません)。

暗号 ACL は、EQ 演算子だけをサポートします。GT、LT、および NEQ などの他の演算子はサポートされません。

次の例のように、暗号 ACL で隣接しないサブネットはサポートされません。

deny ip 10.0.5.0 0.255.0.255 10.0.175.0 0.255.0.255
deny ip 10.0.5.0 0.255.0.255 10.0.176.0 0.255.0.255
 

暗号 ACL では、ACL カウンタはサポートされません。

出力 ACL は、ルート プロセッサによって生成されるパケットには適用されません。入力 ACL は、ルート プロセッサを宛先とするパケットには適用されません。

暗号接続モードでサポートされる機能およびサポートされない機能

暗号接続モードでサポートされる機能およびサポートされない機能については、「IPsec 機能のサポート」を参照してください。

IPSec VPN SPA の内部ポートおよび外部ポートの設定

ほとんどの場合、IPSec VPN SPA の内部ポートおよび外部ポートは、ユーザが明示的に設定するわけではありません。これらのポートは、Cisco IOS ソフトウェアによって自動的に設定されます。

IPSec VPN SPA の内部ポートおよび外部ポートの設定時の注意事項および制約事項

IPSec VPN SPA の内部ポートおよび外部ポートの設定については、次の注意事項に従ってください。

信頼状態を設定する必要がない限り、IPSec VPN SPA の内部または外部ポートのポート特性を変更しないでください。ポートは、Cisco IOS ソフトウェアによって自動的に設定されます。


) 内部ポートのデフォルトの信頼状態が信頼できるに設定されていても、特定のグローバル設定により状態が変化することがあります。双方向で VPN トラフィックの ToS バイトを維持するには、内部および外部ポート両方で mls qos trust コマンドを設定し、インターフェイスを信頼状態に設定します。mls qos trust コマンドの詳細については、「QoS の設定」を参照してください。


内部ポートの特性を意図せず変更してしまった場合には、次のコマンドを入力し、ポート属性をデフォルトに戻してください。

Router(config-if)# switchport
Router(config-if)# no switchport access vlan
Router(config-if)# switchport trunk allowed vlan 1,1002-1005
Router(config-if)# switchport trunk encapsulation dot1q
Router(config-if)# switchport mode trunk
Router(config-if)# mtu 9216
Router(config-if)# flow control receive on
Router(config-if)# flow control send off
Router(config-if)# span portfast trunk
 

内部トランク ポート上で許可 VLAN を設定しないでください。内部ポートの VLAN リストは、Cisco IOS ソフトウェアによって crypto engine slot コマンドに基づいて自動的に設定されます。これらの VLAN は、 show run コマンドを使用してポート コンフィギュレーションに表示できます。

外部トランク ポート上で許可 VLAN を設定しないでください。これらの VLAN は、Cisco IOS ソフトウェアによって非表示 VLAN として自動的に設定されます。これらの VLAN は、 show run コマンドを使用してポート コンフィギュレーションに表示できません。

IPSec VPN SPA の内部ポートから VLAN を削除しないでください。インターフェイス VLAN への暗号接続が確立されているにもかかわらず、IPSec VPN SPA の内部ポートからインターフェイス VLAN を削除すると、トラフィックが停止します。暗号接続は削除されず、 show running-config コマンドの表示には引き続き crypto connect vlan コマンドが表示されます。この実行コンフィギュレーションの write memory コマンドを入力すると、スタートアップ コンフィギュレーション ファイルの設定ミスが発生します。


) インターフェイス VLAN への暗号接続が確立されている場合に、IPSec VPN SPA の内部ポートからインターフェイス VLAN を削除することはできません。最初に暗号接続を削除する必要があります。


IPSec VPN SPA の外部ポートから VLAN を削除しないでください。インターフェイス VLAN への暗号接続が確立されているにもかかわらず、IPSec VPN SPA の外部ポートからポート VLAN を削除すると、トラフィックが停止します。暗号接続は削除されず、 show running-config コマンドの表示には引き続き crypto connect vlan コマンドが表示されます。 crypto connect vlan コマンドが入力された時点で、IPSec VPN SPA の外部ポートにポート VLAN が自動的に追加されるため、IPSec VPN SPA の外部ポートから VLAN を削除しても、スタートアップ コンフィギュレーション ファイルに影響はありません。

アクセス ポートの設定

ここでは、IPSec VPN SPA と WAN ルータとの、アクセス ポート接続の設定方法について説明します(図 24-2 を参照)。

図 24-2 アクセス ポートの設定例


) シャーシ内にある Cisco 7600 SIP-400 に搭載されたイーサネット ポートをスイッチ ポートとして設定することはできません。


WAN ルータへのアクセス ポート接続を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

コマンド
説明

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp) # exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto isakmp key keystring address peer-address

事前共有認証キーを設定します。

keystring :事前共有キー。

peer-address :リモート ピアの IP アドレス。

事前共有キーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 3

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

Router(config-crypto-tran)# exit

トランスフォーム セット(セキュリティ プロトコルとアルゴリズムの可能な組み合わせ)を定義し、暗号トランスフォーム コンフィギュレーション モードを開始します。

transform-set-name :トランスフォーム セットの名前。

transform1 [ transform2 [ transform3 ]]:IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。

許容される transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 4

Router(config)# access list access-list-number { deny | permit } ip source source-wildcard destination destination-wildcard

拡張 IP アクセス リストを定義します。

access-list-number :アクセス リストの番号。100 ~ 199 または 2,000 ~ 2,699 の範囲の 10 進数です。

{ deny | permit }:条件が満たされた場合にアクセスを拒否または許可します。

source :パケットの送信元ホストのアドレス。

source-wildcard :送信元アドレスに適用されるワイルドカード ビット。

destination :パケットの宛先ホストのアドレス。

destination-wildcard :宛先アドレスに適用されるワイルドカード ビット。

アクセス リストの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 5

Router(config)# crypto map map-name seq-number ipsec-isakmp

...

Router(config-crypto-map)# exit

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 6

Router(config)# vlan inside-vlan-id

VLAN データベースに VLAN ID を追加します。

inside-vlan-id VLAN の識別子。

ステップ 7

Router(config)# vlan outside-vlan-id

VLAN データベースに VLAN ID を追加します。

outside-vlan-id VLAN の識別子。

ステップ 8

Router(config)# interface vlan inside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

inside-vlan-id VLAN の識別子。

ステップ 9

Router(config-if)# description inside_interface_vlan_for_crypto_map

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 10

Router(config-if)# ip address address mask

インターフェイスの IP アドレスおよびサブネット マスクを指定します。

address IP アドレス。

mask サブネット マスク。

ステップ 11

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-name :暗号マップ セットの識別名。ステップ 5 で作成した map-name 値を入力します。

ステップ 12

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の内部インターフェイス VLAN としてイネーブルにします。

ステップ 13

Router(config-if)# crypto engine slot slot/subslot

暗号インターフェイス VLAN に暗号エンジンを割り当てます。

slot/subslot :IPSec VPN SPA が搭載されたスロットおよびサブスロットを指定します。

ステップ 14

Router(config)# interface vlan outside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

outside-vlan-id VLAN の識別子。

ステップ 15

Router(config-if)# description outside_access_vlan

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 16

Router(config-if)# no shutdown

インターフェイスを外部アクセス ポート VLAN としてイネーブルにします。

ステップ 17

Router(config-if)# crypto connect vlan inside-vlan-id

外部アクセス ポート VLAN を内部インターフェイス VLAN に接続し、暗号接続モードにします。

inside-vlan-id VLAN の識別子。

ステップ 18

Router(config-if)# interface gigabitethernet slot / subslot / port

セキュア ポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 19

Router(config-if)# description outside_secure_port

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 20

Router(config-if)# switchport

インターフェイスにレイヤ 2 スイッチングの設定を行います。

ステップ 21

Router(config-if)# switchport access vlan outside-vlan-id

インターフェイスのデフォルト VLAN を指定します。

outside-vlan-id VLAN の識別子。

ステップ 22

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

アクセス ポートの設定例は、「アクセス ポート(暗号接続モード)の設定例」を参照してください。

アクセス ポートの設定の確認

アクセス ポートの設定を確認するには、 show crypto vlan コマンドを入力します。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to VLAN 502 with crypto map set MyMap
 

ルーテッド ポートの設定

ここでは、IPSec VPN SPA に、WAN ルータへのルーテッド ポート接続設定を行う方法について説明します(図 24-3 を参照)。


) IP アドレスが指定されていないルーテッド ポートがインターフェイス VLAN に暗号接続されると、非表示ポート VLAN が自動的に作成されます。このポート VLAN はユーザによって明示的に設定されておらず、実行コンフィギュレーションには表示されません。


図 24-3 ルーテッド ポートの設定例

ルーテッド ポート設定時の注意事項

IPSec VPN SPA を使用してルーテッド ポートの設定を行う場合は、次の注意事項に従ってください。

ルーテッド ポートで暗号接続が確立されている場合、そのルーテッド ポートに IP ACL を適用することはできません。代わりに、接続されているインターフェイス VLAN に IP ACL を適用できます。

アクセス ポートやトランク ポートとは異なり、ルーテッド ポートは設定で switchport コマンドを使用しません。

WAN ルータへのルーテッド ポート接続を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp) # exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto isakmp key keystring address peer-address

事前共有認証キーを設定します。

keystring :事前共有キー。

peer-address :リモート ピアの IP アドレス。

事前共有キーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 3

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

Router(config-crypto-tran)# exit

トランスフォーム セット(セキュリティ プロトコルとアルゴリズムの可能な組み合わせ)を定義し、暗号トランスフォーム コンフィギュレーション モードを開始します。

transform-set-name :トランスフォーム セットの名前。

transform1 [ transform2 [ transform3 ]]:IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。

許容される transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 4

Router(config)# access list access-list-number { deny | permit } ip source source-wildcard destination destination-wildcard

拡張 IP アクセス リストを定義します。

access-list-number :アクセス リストの番号。100 ~ 199 または 2,000 ~ 2,699 の範囲の 10 進数です。

{ deny | permit }:条件が満たされた場合にアクセスを拒否または許可します。

source :パケットの送信元ホストのアドレス。

source-wildcard :送信元アドレスに適用されるワイルドカード ビット。

destination :パケットの宛先ホストのアドレス。

destination-wildcard :宛先アドレスに適用されるワイルドカード ビット。

アクセス リストの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 5

Router(config)# crypto map map-name seq-number ipsec-isakmp

...

Router(config-crypto-map)# exit

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 6

Router(config)# vlan inside-vlan-id

VLAN データベースに VLAN ID を追加します。

inside-vlan-id VLAN の識別子。

ステップ 7

Router(config)# interface vlan inside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

inside-vlan-id VLAN の識別子。

ステップ 8

Router(config-if)# description inside_interface_vlan_for_crypto_map

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 9

Router(config-if)# ip address address mask

インターフェイスの IP アドレスおよびサブネット マスクを指定します。

address IP アドレス。

mask サブネット マスク。

ステップ 10

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-name :暗号マップ セットの識別名。ステップ 5 で作成した map-name 値を入力します。

ステップ 11

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の暗号インターフェイス VLAN としてイネーブルにします。

ステップ 12

Router(config-if)# crypto engine slot slot/subslot

暗号インターフェイス VLAN に暗号エンジンを割り当てます。

slot/subslot :IPSec VPN SPA が搭載されたスロットおよびサブスロットを指定します。

ステップ 13

Router(config-if)# interface gigabitethernet slot / subslot / port

セキュア ポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 14

Router(config-if)# description outside_secure_port

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 15

Router(config-if)# crypto connect vlan inside-vlan-id

ルーテッド ポートを暗号インターフェイス VLAN に接続し、暗号接続モードにします。

inside-vlan-id VLAN の識別子。

ステップ 16

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

ルーテッド ポートの設定例は、「ルーテッド ポート(暗号接続モード)の設定例」を参照してください。

ルーテッド ポートの設定の確認

ルーテッド ポートの設定を確認するには、 show crypto vlan コマンドを入力します。次の例では、ポート Gi 1/2 が暗号接続ポートです。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to Gi1/2 with crypto map set MyMap
 

トランク ポートの設定


注意 イーサネット ポートをトランク ポートとして設定すると、デフォルトではすべての VLAN がトランク ポート上で許可されます。このデフォルト設定では IPSec VPN SPA はうまく動作せず、ネットワーク ループが発生します。これを回避するには、必要な VLAN だけを明示的に指定する必要があります。

ここでは、IPSec VPN SPA に、WAN ルータへのトランク ポート接続設定を行う方法について説明します(図 24-4 を参照)。

図 24-4 トランク ポートの設定例


) シャーシ内にある Cisco 7600 SIP-400 に搭載されたイーサネット ポートをスイッチ ポートとして設定することはできません。


トランク ポート設定時の注意事項

IPSec VPN SPA を使用してトランク ポートの設定を行う場合は、次の注意事項に従ってください。

暗号接続のトランク ポートを設定する場合、デフォルト設定の「すべての VLAN を許可」は使用しないでください。 switchport trunk allowed vlan コマンド を使用して、許可する VLAN はすべて明示的に指定する必要があります。

不正なスタートアップ コンフィギュレーションまたはトランク ポートのデフォルト設定が原因で、トランク ポートにインターフェイス VLAN が対応付けられる場合があります。このインターフェイス VLAN を VLAN リストから削除しようとすると、次のようなエラー メッセージが表示されます。

Command rejected:VLAN 2 is crypto connected to V502.
 

VLAN リストからインターフェイス VLAN を削除するには、次のようにコマンドを入力します。

Router# configure terminal
Router(config)# interface g1gabitethernet1/2
Router(config-if)# no switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 1
Router(config-if)# switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 1,502,1002-1005

) VLAN リスト内の VLAN に、インターフェイス VLAN が含まれないようにします。


対応するインターフェイス VLAN がないようにするために、イーサネット ポートをトランク モードにする際、以下のコマンドを記載されている順序で入力します。

Router# configure terminal
Router(config)# interface g1gabitethernet1/2
Router(config)# no shut
Router(config-if)# switchport
Router(config-if)# switchport trunk allowed vlan 1
Router(config-if)# switchport trunk encapsulation dot1q
Router(config-if)# switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 1,502,1002-1005

) VLAN リスト内の VLAN に、インターフェイス VLAN が含まれないようにします。


トランク ポートの設定時に起こりがちなミスとして、 add オプションを次の例のように使うことがあります。

Router(config-if)# switchport trunk allowed vlan add 502
 

switchport trunk allowed vlan コマンドを未実行の状態では、 add オプションを適用しても、VLAN 502 はトランク ポート上で許可される唯一の VLAN には なりません 。デフォルトですべての VLAN が許可されているため、このコマンドの入力後も引き続き、すべての VLAN が許可されます。 switchport trunk allowed vlan コマンドを使用して VLAN を追加すると、 switchport trunk allowed vlan ad d コマンドを使用して、さらに VLAN を追加できるようになります。

トランク ポートから不要な VLAN を削除するには、 switchport trunk allowed vlan remove コマンドを使用します。


注意 保護されたトランク ポートで、switchport trunk allowed vlan all コマンドを実行しないでください。また、IPSec VPN SPA の内部ポートおよび外部ポートで「すべての VLAN を許可」設定を行わないでください。

WAN ルータへのトランク ポート接続を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp) # exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto isakmp key keystring address peer-address

事前共有認証キーを設定します。

keystring :事前共有キー。

peer-address :リモート ピアの IP アドレス。

事前共有キーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 3

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

Router(config-crypto-tran)# exit

トランスフォーム セット(セキュリティ プロトコルとアルゴリズムの可能な組み合わせ)を定義し、暗号トランスフォーム コンフィギュレーション モードを開始します。

transform-set-name :トランスフォーム セットの名前。

transform1 [ transform2 [ transform3 ]]:IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。

許容される transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 4

Router(config)# access list access-list-number { deny | permit } ip source source-wildcard destination destination-wildcard

拡張 IP アクセス リストを定義します。

access-list-number :アクセス リストの番号。100 ~ 199 または 2,000 ~ 2,699 の範囲の 10 進数です。

{ deny | permit }:条件が満たされた場合にアクセスを拒否または許可します。

source :パケットの送信元ホストのアドレス。

source-wildcard :送信元アドレスに適用されるワイルドカード ビット。

destination :パケットの宛先ホストのアドレス。

destination-wildcard :宛先アドレスに適用されるワイルドカード ビット。

アクセス リストの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 5

Router(config)# crypto map map-name seq-number ipsec-isakmp

...

Router(config-crypto-map)# exit

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 6

Router(config)# vlan inside-vlan-id

VLAN データベースに VLAN ID を追加します。

inside-vlan-id VLAN の識別子。

ステップ 7

Router(config)# vlan outside-vlan-id

VLAN データベースに VLAN ID を追加します。

outside-vlan-id VLAN の識別子。

ステップ 8

Router(config)# interface vlan inside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

inside-vlan-id VLAN の識別子。

ステップ 9

Router(config-if)# description inside_interface_vlan_for_crypto_map

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 10

Router(config-if)# ip address address mask

インターフェイスの IP アドレスおよびサブネット マスクを指定します。

address IP アドレス。

mask サブネット マスク。

ステップ 11

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-name :暗号マップ セットの識別名。ステップ 5 で作成した map-name 値を入力します。

ステップ 12

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の暗号インターフェイス VLAN としてイネーブルにします。

ステップ 13

Router(config-if)# crypto engine slot slot/subslot

暗号インターフェイス VLAN に暗号エンジンを割り当てます。

slot/subslot :IPSec VPN SPA が搭載されたスロットおよびサブスロットを指定します。

ステップ 14

Router(config)# interface vlan outside-vlan-id

特定の VLAN インターフェイスを外部トランク ポート VLAN として追加し、この VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

outside-vlan-id VLAN の識別子。

ステップ 15

Router(config-if)# description outside_trunk_port_vlan

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 16

Router(config-if)# crypto connect vlan inside-vlan-id

外部トランク ポート VLAN を内部(暗号)インターフェイス VLAN に接続し、暗号接続モードにします。

inside-vlan-id VLAN の識別子。

ステップ 17

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の暗号インターフェイス VLAN としてイネーブルにします。

ステップ 18

Router(config-if)# interface gigabitethernet slot / subslot / port

セキュア ポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 19

Router(config-if)# description outside_secure_port

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 20

Router(config-if)# switchport

インターフェイスにレイヤ 2 スイッチングの設定を行います。

ステップ 21

Router(config-if)# no switchport access vlan

アクセス VLAN をデバイスの適切なデフォルト VLAN にリセットします。

ステップ 22

Router(config-if)# switchport trunk encapsulation dot1q

トランクのカプセル化を 802.1Q に設定します。

ステップ 23

Router(config-if)# switchport mode trunk

トランク VLAN のレイヤ 2 インターフェイスを指定します。

ステップ 24

Router(config-if)# switchport trunk allowed vlan remove vlan-list

現在このインターフェイスから送信するように設定されている VLAN から、指定した VLAN リストを削除します。

vlan-list :トランキング モードのとき、インターフェイスをタグ付きフォーマットで送信する VLAN のリスト。有効値は 1 ~ 4094 です。

ステップ 25

Router(config-if)# switchport trunk allowed vlan add outside-vlan-id

現在このインターフェイスから送信するように設定されている VLAN リストに、特定の VLAN を追加します。

outside-vlan-idステップ 14 VLAN の識別子。

ステップ 26

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

トランク ポートの設定例は、「トランク ポート(暗号接続モード)の設定例」を参照してください。

トランク ポート設定の確認

トランク ポートで許可される VLAN を確認するには、 show interfaces trunk コマンドを入力します。次の例では、すべての VLAN が許可されています。

Router# show interfaces GigabitEthernet 1/2 trunk
 
Port Mode Encapsulation Status Native vlan
Gi1/2 on 802.1q trunking 1
 
Port Vlans allowed on trunk
Gi1/2 1-4094
 
Port Vlans allowed and active in management domain
Gi1/2 1-4,7-8,513,1002-1005
 
Port Vlans in spanning tree forwarding state and not pruned
Gi1/2 1-4,7-8,513,1002-1005

WAN インターフェイスへの IPSec VPN SPA 接続の設定

WAN インターフェイスへの IPSec VPN SPA 接続の設定は、イーサネット ルーテッド インターフェイスの設定と類似しています。

WAN インターフェイスへの IPSec VPN SPA 接続設定時の注意事項および制約事項

IPSec VPN SPA を使用して WAN インターフェイスへの接続設定を行う場合は、次の注意事項および制約事項に従ってください。

WAN インターフェイスへの IPSec VPN SPA 接続を設定するには、WAN サブインターフェイスからインターフェイス VLAN への暗号接続を以下の条件に設定します。

Router(config)# interface Vlan101
Router(config-if)# ip address 192.168.101.1 255.255.255.0
Router(config-if)# no mop enabled
Router(config-if)# crypto map cwan
Router(config-if)# crypto engine slot 4/0
 
Router(config)# interface ATM6/0/0.101 point-to-point
Router(config-subif)# pvc 0/101
Router(config-subif)# crypto connect vlan 101
 

サブインターフェイス上の暗号接続は、ATM(非同期転送モード)およびフレーム リレーに対応するように設定する必要があります。

ATM の場合、SVC のサポート、RFC -1483 ブリッジング、および point-to-multipoint(p2mp; ポイントツーマルチポイント)のサポートはありません。

フレーム リレーの場合、SVC のサポート、RFC-1490 ブリッジング、および p2mp のサポートはありません。

PPP(ポイントツーポイント プロトコル)および Multilink PPP(MLPPP)の場合、次の例のように、物理インターフェイスをルーティング プロトコルに対してパッシブにする必要があります。

Router(config)# router ospf 10
Router(config-router)# passive-interface multilink1
 

PPP および MLPPP で、インターフェイス上に crypto connect vlan コマンドが設定されている場合、IPCP ネゴシエーションをサポートするため、 ip unnumbered Null0 コマンドが自動的にポート設定に追加されます。スタートアップ コンフィギュレーションで WAN ポートに no ip address コマンドを設定する場合、自動設定と競合しないように、実行コンフィギュレーションの no ip address コマンドが自動的に削除されます。

PPP および MLPPP の場合、Bridging Control Protocol(BCP)のサポートはありません。

OSPF を内部 VLAN でイネーブルにする場合、point-to-point(p2p; ポイントツーポイント)インターフェイス(T1、POS、シリアル、または ATM など)が内部 VLAN に暗号接続されていても、OSPF はデフォルトのブロードキャスト ネットワーク モードで設定されます。さらに、OSPF がピア ルータ(例、暗号カードを装備していない中継ルータ)で p2p ネットワーク モードに設定されている場合、OSPF は完全な隣接関係を確立しません。この場合、内部 VLAN で OSPF ネットワーク p2p モードを手動で設定できます。

Router(config)# interface vlan inside-vlan
Router(config-if)# ip ospf network point-to-point
 

WAN インターフェイスへの IPSec VPN SPA 接続の設定例は、「WAN インターフェイスへの IPSec VPN SPA 接続の設定例」を参照してください。

VPN の動作状態の表示

VPN の動作状態を表示するには、 show crypto vlan コマンドを使用します。ここでは、さまざまな IPSec VPN SPA 構成での show crypto vlan コマンドの出力例を示します。

次の例では、インターフェイス VLAN は IPSec VPN SPA の内部ポートに属しています。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to Fa8/3
 

次の例では、VLAN 2 がインターフェイス VLAN で、VLAN 2022 が非表示 VLAN です。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to VLAN 2022 with crypto map set coral2
 

次の例では、インターフェイス VLAN が IPSec VPN SPA の内部ポートに存在しないか、シャーシから IPSec VPN SPA が取り外されているか、または IPSec VPN SPA が別のサブスロットに移動されています。

Router# show crypto vlan
 
Interface VLAN 2 connected to VLAN 502 (no IPSec Service Module attached)
 

暗号接続モードでの GRE トンネリングの設定

ここでは、次の GRE 設定の例を示します。

「暗号接続モードでの GRE トンネリングの概要」

「GRE テイクオーバー基準の設定」

「GRE トンネルを介した IP マルチキャストの設定」

暗号接続モードでの GRE トンネリングの概要

GRE は、IP トンネルの内部にさまざまなプロトコル パケット タイプをカプセル化することが可能なトンネリング プロトコルで、IP ネットワーク上のリモート ポイントでルータへの仮想 p2p リンクを作成できます。


) IPSec VPN SPA は、シャーシごとに最大 2,048 の GRE トンネルでパケット処理を高速化できます。IPSec VPN SPA にテイクオーバーされないトンネル、または、2048 を超える超過分のトンネルは、プラットフォーム ハードウェアで、またはルート プロセッサによって、処理されます。ルータでは何個の GRE トンネルでもサポートされますが、IPSec VPN SPA を増やしても、IPSec VPN SPA によって処理される、シャーシごとに 2,048 トンネルという上限値は変わりません。シャーシに 2,048 を超えるトンネルを設定すると、RP が過負荷になる可能性があります。シャーシごとにトンネルを 2,048 より多く設定するときは、RP の CPU 利用率のモニタリングが必要です。



) Cisco IOS Release 12.2(18)SXF から、VPN モジュールの GRE フラグメンテーション動作はルート プロセッサのフラグメンテーション動作と整合性がとれるように変更されています。VPN モジュールによって GRE カプセル化が実行される場合、アウトバウンド パケットのプリフラグメンテーションはトンネル インターフェイスの IP MTU に基づいて行われます。VPN モジュールによって GRE カプセル化が実行された後、IPSec プリフラグメンテーション設定によっては、さらにフラグメンテーションが行われることがあります。IPSec フラグメンテーション動作はこのリリースでは変更されておらず、出力インターフェイスの IPSec MTU 設定に基づいて行われます。


GRE トンネリング設定の注意事項および制約事項

IPSec VPN SPA を使用して暗号接続モードで p2p GRE トンネリングを設定する場合、次の注意事項に従ってください。

Cisco 7600 シリーズ ルータでは従来、GRE カプセル化およびカプセル開放は、RP またはスーパーバイザ エンジン ハードウェアによって実行されてきました。ルーティングの結果 GRE トンネル用にカプセル化されたパケットが、IPSec VPN SPA の内部ポートに接続されたインターフェイス VLAN を通じて出力される場合、IPSec VPN SPA は、スーパーバイザ エンジンが GRE トンネル インターフェイスをハードウェアで処理できない場合に限り、GRE トンネル インターフェイスをテイクオーバーしようとします。スーパーバイザ エンジンが GRE トンネル インターフェイスをハードウェアで処理できない場合、IPSec VPN SPA は自身がそのインターフェイスをテイクオーバーできるかどうかを判断します。トンネルを占有することで、GRE カプセル化およびカプセル開放の処理は RP から IPSec VPN SPA に移ります。この機能は、特別な設定変更なしで使用できます。通常どおりに GRE を設定してください。ルーティングによって GRE カプセル化パケットがインターフェイス VLAN 経由で送信される限り、IPSec VPN SPA が GRE トンネルを占有します。

複数の GRE トンネルで同じ送信元アドレスが使用されている場合、スーパーバイザ エンジン ハードウェアではチャネルはテイクオーバーされません。上記の項目で説明した基準が満たされると、IPSec VPN SPA がトンネルをテイクオーバーします。

暗号接続モードでは、トンネル保護を使用する p2p GRE はサポートされていませんが、DMVPN はサポートされています。

ルーティング情報が変化し、GRE カプセル化パケットがインターフェイス VLAN から出力されなくなった場合、IPSec VPN SPA は GRE トンネルを放棄します。IPSec VPN SPA がトンネルを放棄したあとは、RP がカプセル化およびカプセル開放を再開します。これにより、RP の CPU 利用率が上がります。


注意 GRE トンネルの設定によって RP が過負荷にならないように注意してください。

ルーティング情報が変更されてから IPSec VPN SPA が GRE トンネルを占有するまでの間に、遅延(最大 10 秒)が発生します。

暗号マップはトンネル インターフェイスではなく、インターフェイス VLAN にだけ適用する必要があります。

トンネル インターフェイスでは、ACL、スーパーバイザ ポリシー、TTL、ToS のオプションがサポートされます。

トンネル インターフェイスでは、チェックサムのイネーブル化、シーケンス チェックのイネーブル化、トンネル キー、IP セキュリティ オプション、Policy-Based Routing(PBR; ポリシー ベース ルーティング)、トラフィック シェーピング(トンネル インターフェイス設定内の暗号エンジン設定に適用が可能)、QoS 事前分類、NAT などです。

暗号接続モードでは、暗号化後のフラグメンテーションを避けるため、トンネル IP MTU を、入力インターフェイス MTU から GRE と IPSec の負荷を差し引いた値と同等以下に設定します。

GRE トンネル インターフェイスに適用する際、 ip tcp adjust-mss コマンドは無視されます。代わりに、コマンドを出力 LAN インターフェイスに適用します。

GRE トンネルを設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface tunnel number

トンネル インターフェイス(存在しない場合)を作成し、インターフェイス コンフィギュレーション モードを開始します。

number :設定するトンネル インターフェイスの番号。

ステップ 2

Router(config-if)# ip address address

トンネル インターフェイスの IP アドレスを設定します。

address IP アドレス。

ステップ 3

Router(config-if)# tunnel source { ip-address | type number }

トンネル送信元を設定します。送信元は、カスタマー ネットワークからトラフィックを受信するルータです。

ip-address :トンネル内のパケットの送信元アドレスとして使用する IP アドレス。

type number :インターフェイスのタイプおよび番号(VLAN1 など)。

ステップ 4

Router(config-if)# tunnel destination { hostname | ip-address }

トンネル インターフェイスの宛先 IP アドレスを設定します。宛先アドレスは、受信側カスタマー ネットワークにパケットを転送するルータです。

hostname :宛先ホストの名前。

ip-address :宛先ホストの IP アドレス(ドット区切りの 4 つの部分からなる 10 進表記)。

ステップ 5

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

GRE トンネリング設定の確認

IPSec VPN SPA が GRE トンネルを占有しているかどうかを確認するには、 show crypto vlan コマンドを入力します。

Router# show crypto vlan
 
Interface VLAN 101 on IPSec Service Module port 7/1/1 connected to AT4/0/0.101
Tunnel101 is accelerated via IPSec SM in subslot 7/1
Router#
 

GRE トンネリングに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/12s_tos.html

GRE トンネリングの設定例は、「暗号接続モードでの GRE トンネリングの設定例」を参照してください。

GRE テイクオーバー基準の設定

crypto engine gre supervisor コマンドまたは crypto engine gre vpnblade コマンドを使用して、GRE 処理のテイクオーバー基準を設定できます。これら 2 つのコマンドにより、GRE 処理をスーパーバイザ エンジン ハードウェア、ルート プロセッサ、または IPSec VPN SPA が行うかどうかを指定できます。


) GRE テイクオーバー基準コマンドは、Cisco IOS Release 12.2(18)SXE5 以降でサポートされています。Cisco IOS Release 12.2 SXE1 以前のリリースでは、暗号関連の GRE トンネルは常に VPN SPA によってテイクオーバーされます。Cisco IOS Release 12.2 SXE1 では、スーパーバイザ エンジン ハードウェアが処理を実行できない場合だけ、GRE トンネルは VPN SPA によってテイクオーバーされます。


ルータがスーパーバイザ エンジン ハードウェアまたは RP を使用して GRE を処理するように設定するには、 crypto engine gre supervisor コマンドを使用します。このコマンドが指定されると、スーパーバイザ エンジン ハードウェアによる GRE 処理が RP による処理に優先します(トンネルが重複送信元からのものでない場合)。RP が GRE 処理をテイクオーバーするのは、スーパーバイザ エンジン ハードウェアが処理できない場合だけです。このコマンドが設定されている場合、重複送信元 GRE は RP によって処理されます。

ルータが IPSec VPN SPAを使用して GRE を処理するように設定するには、 crypto engine gre vpnblade コマンドを使用します。IPSec VPN SPA が GRE 処理をテイクオーバーできない場合、GRE 処理はスーパーバイザ エンジン ハードウェア(こちらが優先)または RP のいずれかが処理します。

これら両方のコマンドは、グローバルに、または個別トンネルで設定可能です。

個々のトンネル コンフィギュレーションは、グローバル コンフィギュレーションより優先されます。たとえば、 crypto engine gre supervisor コマンドがグローバル コンフィギュレーション レベルで設定されている場合、このコマンドは crypto engine gre supervisor コマンドまたは crypto engine gre vpnblade コマンドを使用して個別に設定されたものを除き、すべてのトンネルに適用されます。

この 2 つのコマンド( crypto engine gre supervisor または crypto engine gre vpnblade )のうち 1 つは、いつでもグローバルまたは個別にトンネルで設定できます。いずれかのコマンドがすでに設定されている場合、2 番めのコマンドは最初のコマンドを上書きし、2 番めのコマンドによって適用されたコンフィギュレーションだけが使用されます。

GRE テイクオーバー コンフィギュレーションの注意事項および制約事項

IPSec VPN SPA での GRE テイクオーバーを設定するときは、次の注意事項および制約事項に従ってください。

GRE トンネルが IPSec VPN SPA によりテイクオーバーされるには、まず次の基準を満たす必要があります。

GRE トンネル インターフェイスがアップ状態であること。

トンネル宛先へのルートが IPSec VPN SPA を通過していること。

ネクストホップの ARP エントリが存在している必要がある。

トンネル モードは GRE でなければならない。

サポート対象のオプションは、 tunnel ttl tunnel tos だけです。以下のコマンド オプションのいずれかが設定されている場合、トンネルはテイクオーバーされません。

tunnel key

tunnel sequence-datagrams

tunnel checksum

設定されているその他のオプションはすべて無視されます。

GRE トンネルが同じ送信元および宛先アドレスを持つ場合、IPSec VPN SPA は最も多い場合でもその 1 つだけをテイクオーバーし、どの特定トンネルがテイクオーバーされるかという判断は、ランダムに行われます。

次の機能がトンネル インターフェイスで設定されている場合、IPSec VPN SPA による GRE 処理は行われません。

DMVPN

NAT

暗号接続モードでは、インターフェイス VLAN に適用された暗号マップがない場合、IPSec VPN SPA は GRE 処理をテイクオーバーしません。暗号マップはトンネル インターフェイスではなく、インターフェイス VLAN に適用する必要があります。

IPSec VPN SPA が GRE 処理をテイクオーバーできない場合、GRE 処理はスーパーバイザ エンジン ハードウェア(こちらが優先)または RP のいずれかが処理します。

crypto engine gre supervisor コマンドまたは crypto engine gre vpnblade コマンドのいずれもトンネルに対してグローバルまたは個別に指定されていない場合は、次の条件が該当する場合だけ、IPSec VPN SPA は GRE 処理のテイクオーバーを試行します。

スーパーバイザ エンジン ハードウェアが GRE 処理をテイクオーバーしない。

PIM がトンネル上で設定されている。

複数のトンネルが同じトンネル ソース インターフェイスで共有され、複数のトンネルがアップ状態である (1 つのトンネルだけがアップ状態である場合、スーパーバイザ エンジン ハードウェアが引き続き GRE 処理を実行できます)。

新しいコンフィギュレーション ファイルが実行中のコンフィギュレーションにコピーされたとき、新しいコンフィギュレーションは crypto engine gre vpnblade コマンドおよび crypto engine gre supervisor コマンドの古いコンフィギュレーションを上書きします。新しいコンフィギュレーションが GRE テイクオーバー基準をグローバルに、または個別トンネルに対して指定しない場合、既存の古いコンフィギュレーションが使用されます。

GRE テイクオーバー基準のグローバルな設定

GRE テイクオーバー基準をグローバルに設定するには( crypto engine gre supervisor コマンドまたは crypto engine gre vpnblade コマンドのいずれかを使用して個別に設定されたトンネルを除いたすべてのトンネルに影響を与えるために)、次の手順をグローバル コンフィギュレーション モードで実行します。

 

コマンド
説明

ステップ 1

Router(config)# crypto engine gre supervisor

または

Router(config)# crypto engine gre vpnblade

ルータがスーパーバイザ エンジン ハードウェアまたは RP を使用して GRE を処理するように設定します。

ルータが IPSec VPN SPA を使用して GRE を処理するように設定します。

個別トンネルでの GRE テイクオーバー基準の設定

個別トンネルで GRE テイクオーバー基準を設定するには(特定のトンネルにだけ影響を与えるには)、グローバル コンフィギュレーション モードで次の手順を実行します。

 

コマンド
説明

ステップ 1

Router(config)# interface tunnel number

トンネル インターフェイス(存在しない場合)を作成し、インターフェイス コンフィギュレーション モードを開始します。

number :設定するトンネル インターフェイスの番号。

ステップ 2

Router(config-if)# crypto engine gre supervisor

または

Router(config-if)# crypto engine gre vpnblade

ルータがスーパーバイザ エンジン ハードウェアまたは RP を使用して GRE を処理するように設定します。

または

ルータが IPSec VPN SPA を使用して GRE を処理するように設定します。

GRE テイクオーバー基準の設定例は、「GRE テイクオーバー基準の設定例」を参照してください。

GRE トンネルを介した IP マルチキャストの設定

IP マルチキャストは、情報の単一ストリームを同時に複数の受信側に配信してトラフィックを削減する、帯域幅節約テクノロジーです。GRE は、シスコが開発したトンネリング プロトコルです。通常は IPSec と併用して、IP トンネルの内部にさまざまなプロトコル パケット タイプをカプセル化し、IP ネットワーク上のリモート ポイントでシスコ製ルータへの仮想 p2p リンクを作成します。

ネットワーク構成によっては、GRE トンネルを使用してルータ間で Protocol Independent Multicast(PIM)およびマルチキャスト トラフィックを送信するように、ネットワークを設定できます。一般に、この状況が発生するのは、マルチキャスト送信元および受信側が、IP マルチキャスト ルーティングが設定されていない IP クラウドによって分離されている場合です。このようなネットワーク構成では、PIM をイネーブルにした状態で IP クラウドにトンネルを設定すると、受信側方向にマルチキャスト パケットが転送されます。IPSec VPN SPA を使用して GRE トンネルを介した IP マルチキャストを設定する主要手順は、次の 3 つからなります。

マルチキャスト トラフィック用のシングル SPA モード(サポートされる場合)を設定します。

マルチキャストをグローバルに設定します。

トンネル インターフェイスに PIM を設定します。

GRE トンネルを介した IP マルチキャスト設定時の注意事項および制約事項

GRE トンネルを介した IP マルチキャストを設定する場合は、次の注意事項に従ってください。

hw-module slot subslot only コマンドを実行すると、Cisco 7600 SSC-400 カードが自動的にリセットされ、コンソールに次のプロンプトが表示されます。

Module n will be reset? Confirm [n]:
 

プロンプトのデフォルトは「N」(no)です。リセット アクションをイネーブルにするには「 Y 」(yes)を入力する必要があります。

シングル SPA モードで、2 番めの SPA を手動でプラグインするか、または( no hw-module subslot shutdown コマンドを入力するなどして)SPA をリセットしようとすると、カスタマー マニュアルを参照するように促すメッセージがルータ コンソールに表示されます。

PIM が設定されていて、GRE トンネル インターフェイスが残りのトンネルのテイクオーバー基準を満たしている場合は、マルチキャスト パケットの GRE 処理が IPSec VPN SPA にテイクオーバーされます。

GRE トンネル インターフェイスが次のトンネルのテイクオーバー基準を満たす場合は、IP マルチキャスト パケットの GRE 処理が IPSec VPN SPA にテイクオーバーされます。

トンネルが起動している。

同じ送信元/宛先ペアを持つトンネルが他にない。

トンネルが mGRE トンネルではない。

トンネルに PIM が設定されている。

tunnel key、tunnel sequence-datagrams、tunnel checksum、tunnel udlr address-resolution、tunnel udlr receive-only、tunnel udlr send-only、ip proxy-mobile tunnel reverse、NAT のいずれの機能もトンネル上で設定されていない。これらのオプションが 1 つでも指定されていると、IPSec VPN SPA は GRE トンネルを占有しません。

トンネルがマルチキャスト トラフィック用に設定されている場合は、 crypto engine gre supervisor コマンドをトンネルに適用しないでください。

IP マルチキャスト トラフィック用のシングル SPA モードの設定

IPSec VPN SPA に IP マルチキャストを設定する前に、Cisco 7600 SSC-400 カードのモードを変更し、 hw-module slot subslot only コマンドを使用して指定されたサブスロットに全バッファを割り当てる必要があります。このコマンドを使用しないと、使用可能バッファの合計サイズが、Cisco 7600 SSC-400 カードの 2 つのサブスロットに分割されます。

全バッファを指定されたサブスロットに割り当てるには、次のように、 hw-module slot subslot only コマンドを使用します。

Router(config)# hw-module slot slot subslot subslot only
 

slot には Cisco 7600 SSC-400 カードが搭載されたスロットを指定します。

subslot には IPSec VPN SPA が搭載されたサブスロットを指定します。

hw-module slot subslot only コマンドを使用しないと、使用可能バッファの合計サイズが、Cisco 7600 SSC-400 カードの 2 つのサブスロットに分割されます。

IP マルチキャストのグローバル設定

ルータ インターフェイスで PIM をイネーブルにするには、まず IP マルチキャスト ルーティングをグローバルにイネーブルにする必要があります。

IP マルチキャスト ルーティングをグローバルにイネーブルにするには、 ip multicast-routing コマンドを使用します。

トンネル インターフェイスでの PIM の設定

IP マルチキャストを機能させるには、まず関与するすべてのルータ インターフェイスで PIM をイネーブルにする必要があります。

PIM をイネーブルにするには、次のように ip pim コマンドを使用します。

Router(config-if)# ip pim {dense-mode | sparse-mode | sparse-dense-mode}
 

dense-mode は dense(密)モード動作をイネーブルにします。

sparse-mode は sparse(疎)モード動作をイネーブルにします。

sparse-dense-mode は、マルチキャスト グループの動作モードに応じて、インターフェイスを sparse(疎)モード動作または dense(密)モード動作でイネーブルにします。

GRE トンネルを介した IP マルチキャストの設定例は、「GRE トンネルを介した IP マルチキャストの設定例」を参照してください。

GRE トンネルを介した IP マルチキャストの設定の確認

GRE トンネルを介した IP マルチキャストの設定を確認するには、 show crypto vlan コマンドおよび show ip mroute コマンドを入力します。

トンネルが IPSec VPN SPA にテイクオーバーされたことを確認するには、 show crypto vlan コマンドを入力します。

Router(config)# show crypto vlan

Interface VLAN 100 on IPSec Service Module port Gi7/0/1 connected to Po1 with crypto map set map_t3
Tunnel15 is accelerated via IPSec SM in subslot 7/0
 

IP マルチキャスト トラフィックがハードウェアでスイッチングされることを確認するには、 show ip mroute コマンドを入力して、H フラグを検索します。

Router# show ip mroute 230.1.1.5

IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
L - Local, P - Pruned, R - RP-bit set, F - Register flag,
T - SPT-bit set, J - Join SPT, M - MSDP created entry,
X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
U - URD, I - Received Source Specific Host Report, Z - Multicast Tunnel
Y - Joined MDT-data group, y - Sending to MDT-data group
Outgoing interface flags: H - Hardware switched, A - Assert winner
Timers: Uptime/Expires
Interface state: Interface, Next-Hop or VCD, State/Mode
(*, 230.1.1.5), 01:23:45/00:03:16, RP 15.15.1.1, flags: SJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
Tunnel15, Forward/Sparse-Dense, 00:25:47/00:03:16

(120.1.0.3, 230.1.1.5), 01:23:46/00:03:25, flags: T
Incoming interface: GigabitEthernet8/1, RPF nbr 0.0.0.0, RPF-MFD
Outgoing interface list:
Tunnel15, Forward/Sparse-Dense, 00:25:47/00:03:16, H

GRE トンネルを介した IP マルチキャストの設定例は、「GRE トンネルを介した IP マルチキャストの設定例」を参照してください。

設定例

ここでは、次の設定例を示します。

「アクセス ポート(暗号接続モード)の設定例」

「ルーテッド ポート(暗号接続モード)の設定例」

「トランク ポート(暗号接続モード)の設定例」

「WAN インターフェイスへの IPSec VPN SPA 接続の設定例」

「暗号接続モードでの GRE トンネリングの設定例」

「GRE テイクオーバー基準の設定例」

「GRE トンネルを介した IP マルチキャストの設定例」


) 次に、Cisco IOS Release 12.2(33)SRA のレベルでコマンドを使用する例を示します。

Cisco IOS Release 12.2(33)SRA では、それまでのリリースで使用されていた crypto engine subslot コマンドは、crypto engine slot コマンド(形式は crypto engine slot slot/subslot {inside | outside})に置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


アクセス ポート(暗号接続モード)の設定例

ここでは、ルータ 1 でのアクセス ポートの設定例を示します(図 24-2 を参照)。

ルータ 1(アクセス ポート)

!
hostname router-1
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
 
interface Vlan2
!interface vlan
ip address 11.0.0.2 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 12.0.0.0 255.0.0.0 11.0.0.1
!
access-list 101 permit ip host 13.0.0.2 host 12.0.0.2
!
end
 

ルータ 2(アクセス ポート)

!
hostname router-2
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.1 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 13.0.0.0 255.0.0.0 11.0.0.2
!
access-list 101 permit ip host 12.0.0.2 host 13.0.0.2
!
end
 

ルーテッド ポート(暗号接続モード)の設定例

ここでは、ルータ 1 でのルーテッド ポートの設定例を示します(図 24-3 を参照)。

ルータ 1(ルーテッド ポート)

!
hostname router-1
!
vlan 2
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
no ip address
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.1 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.0 255.0.0.0 11.0.0.2
!
access-list 101 permit ip host 12.0.0.2 host 13.0.0.2
!
end
 

ルータ 2(ルーテッド ポート)

!
hostname router-2
!
vlan 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
no ip address
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.2 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
ip classless
ip route 12.0.0.0 255.0.0.0 11.0.0.1
!
access-list 101 permit ip host 13.0.0.2 host 12.0.0.2
!
end
 

トランク ポート(暗号接続モード)の設定例

ここでは、ルータ 1 でのトランク ポートの設定例を示します(図 24-4 を参照)。

ルータ 1(トランク ポート)

!
hostname router-1
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 502
switchport mode trunk
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.1 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan 502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 13.0.0.0 255.0.0.0 11.0.0.2
!
access-list 101 permit ip host 12.0.0.2 host 13.0.0.2
!
end
 

ルータ 2(トランク ポート)

!
hostname router-2
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 502
switchport mode trunk
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
 
interface Vlan2
!interface vlan
ip address 11.0.0.2 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 12.0.0.0 255.0.0.0 11.0.0.1
!
access-list 101 permit ip host 13.0.0.2 host 12.0.0.2
!
end
 

WAN インターフェイスへの IPSec VPN SPA 接続の設定例

ここでは、WAN インターフェイスへの IPSec VPN SPA 接続の設定例を示します。

「ATM ポート アダプタへの IPSec VPN SPA 接続の設定例」

「POS ポート アダプタへの IPSec VPN SPA 接続の設定例」

「シリアル ポート アダプタへの IPSec VPN SPA 接続の設定例」

ATM ポート アダプタへの IPSec VPN SPA 接続の設定例

ATM ポート アダプタへの IPSec VPN SPA 接続の設定例を次に示します。

!
hostname router-1
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des esp-sha-hmac
!
crypto map testtag_1 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal
match address acl_1
!
interface GigabitEthernet1/1
ip address 12.0.0.2 255.255.255.0
!
interface ATM2/0/0
no ip address
atm clock INTERNAL
no atm enable-ilmi-trap
no atm ilmi-keepalive
!
interface ATM2/0/0.1 point-to-point
atm pvc 20 0 20 aal5snap
no atm enable-ilmi-trap
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
crypto map testtag_1
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.1 255.255.255.255 11.0.0.2
!
ip access-list extended acl_1
permit ip host 12.0.0.1 host 13.0.0.1
!
 

POS ポート アダプタへの IPSec VPN SPA 接続の設定例

POS ポート アダプタへの IPSec VPN SPA 接続の設定例を次に示します。

!
 
hostname router-1
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des esp-sha-hmac
!
crypto map testtag_1 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal
match address acl_1
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.2 255.255.255.0
!
interface POS2/0/0
no ip address
encapsulation frame-relay
clock source internal
!
interface POS2/0/0.1 point-to-point
frame-relay interface-dlci 16
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
crypto map testtag_1
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.1 255.255.255.255 11.0.0.2
!
ip access-list extended acl_1
permit ip host 12.0.0.1 host 13.0.0.1
 

シリアル ポート アダプタへの IPSec VPN SPA 接続の設定例

シリアル ポート アダプタへの IPSec VPN SPA 接続の設定例を次に示します。

!
hostname router-1
!
controller T3 2/1/0
t1 1 channel-group 0 timeslots 1
t1 2 channel-group 0 timeslots 1
t1 3 channel-group 0 timeslots 1
t1 4 channel-group 0 timeslots 1
t1 5 channel-group 0 timeslots 1
t1 6 channel-group 0 timeslots 1
t1 7 channel-group 0 timeslots 1
t1 8 channel-group 0 timeslots 1
t1 9 channel-group 0 timeslots 1
t1 10 channel-group 0 timeslots 1
t1 11 channel-group 0 timeslots 1
t1 12 channel-group 0 timeslots 1
t1 13 channel-group 0 timeslots 1
t1 14 channel-group 0 timeslots 1
t1 15 channel-group 0 timeslots 1
t1 16 channel-group 0 timeslots 1
t1 17 channel-group 0 timeslots 1
t1 18 channel-group 0 timeslots 1
t1 19 channel-group 0 timeslots 1
t1 20 channel-group 0 timeslots 1
t1 21 channel-group 0 timeslots 1
t1 22 channel-group 0 timeslots 1
t1 23 channel-group 0 timeslots 1
t1 24 channel-group 0 timeslots 1
t1 25 channel-group 0 timeslots 1
t1 26 channel-group 0 timeslots 1
t1 27 channel-group 0 timeslots 1
t1 28 channel-group 0 timeslots 1
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des esp-sha-hmac
!
crypto map testtag_1 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal
match address acl_1
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.2 255.255.255.0
!
interface Serial2/1/0/1:0
ip unnumbered Null0
encapsulation ppp
no fair-queue
no cdp enable
crypto connect vlan 2
!
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
crypto map testtag_1
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.1 255.255.255.255 11.0.0.2
!
ip access-list extended acl_1
permit ip host 12.0.0.1 host 13.0.0.1
 

暗号接続モードでの GRE トンネリングの設定例

ここでは、GRE トンネリングの設定例を示します。

ルータ 1(GRE トンネリング)

以下に、ルータ 1 の GRE トンネリングの設定例を示します。

!
hostname router-1
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 ah-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
!
!
interface Tunnel1
ip address 1.0.0.1 255.255.255.0
tunnel source Vlan2
tunnel destination 11.0.0.2
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
no ip address
crypto connect vlan 2
!
!
ip classless
ip route 13.0.0.0 255.0.0.0 Tunnel1
!
!
access-list 101 permit gre host 11.0.0.1 host 11.0.0.2
!

ルータ 2(GRE トンネリング)

!
hostname router-2
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 ah-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
!
!
interface Tunnel1
ip address 1.0.0.2 255.255.255.0
tunnel source Vlan2
tunnel destination 11.0.0.1
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.2 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
no ip address
crypto connect vlan 2
!
ip classless
ip route 12.0.0.0 255.0.0.0 Tunnel1
!
access-list 101 permit gre host 11.0.0.2 host 11.0.0.1
!

GRE テイクオーバー基準の設定例

次に、GRE テイクオーバー基準の設定例を示します。

「GRE テイクオーバー基準のグローバル設定例」

「GRE テイクオーバー基準トンネルの設定例」

「GRE テイクオーバーの確認例」

GRE テイクオーバー基準のグローバル設定例

次に、GRE テイクオーバー基準がグローバルに設定され、スーパーバイザ エンジン ハードウェアまたは RP が常に GRE 処理を行う例を示します。

Router(config)# crypto engine gre supervisor

GRE テイクオーバー基準トンネルの設定例

次に、GRE テイクオーバー基準がトンネル インターフェイス 3 に対して個別に設定され、IPSec VPN SPA が常にこのトンネルの GRE 処理を行う例を示します。

Router(config)# interface tunnel 3
Router(config-if)# crypto engine gre vpnblade

GRE テイクオーバーの確認例

次の例は、トンネルが IPSec VPN SPA にテイクオーバーされたことを確認する方法を示しています。

Router(config)# show crypto vlan 100
 
Interface VLAN 100 on IPSec Service Module port GigabitEthernet4/0/1 connected to POS8/0/0 with crypto map set MAP_TO_R2
Tunnel1 is accelerated via IPSec SM in subslot 4/0
 

次に、トンネルが IPSec VPN SPA にテイクオーバーされていないことを確認する例を示します。

Router(config)# show crypto vlan 100
 
Interface VLAN 100 on IPSec Service Module port GigabitEthernet4/0/1 connected to POS8/0/0 with crypto map set MAP_TO_R2

GRE トンネルを介した IP マルチキャストの設定例

次の例は、GRE トンネルを介して IP マルチキャストを設定する方法を示しています。

 
hostname router-1
!
vlan 2-1001
ip multicast-routing
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des
!
!
crypto map cm_spoke1_1 10 ipsec-isakmp
set peer 11.1.1.1
set transform-set proposal
match address spoke1_acl_1
!
!
interface Tunnel1
ip address 20.1.1.1 255.255.255.0
ip mtu 9216
ip pim sparse-mode
ip hold-time eigrp 1 3600
tunnel source 1.0.1.1
tunnel destination 11.1.1.1
crypto engine slot 4/0
!
interface GigabitEthernet1/1
!switch inside port
mtu 9216
ip address 50.1.1.1 255.0.0.0
ip pim sparse-mode
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,252,1002-1005
switchport mode trunk
mtu 9216
!
interface GigabitEthernet4/0/1
!IPSec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPSec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,252,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
mtu 9216
ip address 1.0.1.1 255.255.255.0
crypto map cm_spoke1_1
crypto engine slot 4/0
!
interface Vlan252
mtu 9216
no ip address
crypto connect vlan 2
!
router eigrp 1
network 20.1.1.0 0.0.0.255
network 50.1.1.0 0.0.0.255
no auto-summary
no eigrp log-neighbor-changes
!
ip classless
ip route 11.1.1.0 255.255.255.0 1.0.1.2
!
ip pim bidir-enable
ip pim rp-address 50.1.1.1
!
ip access-list extended spoke1_acl_1
permit gre host 1.0.1.1 host 11.1.1.1
!