Cisco 7600 シリーズ ルータ SIP、SSC、および SPA ソフトウェア コンフィギュレーション ガイド
IPSec VPN SPA を使用した拡張 IPSec 機能 の設定
IPSec VPN SPA を使用した拡張 IPSec 機能の設定
発行日;2012/02/03 | 英語版ドキュメント(2012/01/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

IPSec VPN SPA を使用した拡張 IPSec 機能の設定

拡張 IPSec 機能の概要

トランスフォーム セットでの AES の設定

AES トランスフォーム セットの確認

RRI の設定

RRI 設定時の注意事項および制約事項

スタティック暗号マップを使用した RRI の設定

ダイナミック暗号マップを使用した RRI の設定

IPSec アンチリプレイ ウィンドウ サイズの設定

IPSec アンチリプレイ ウィンドウ サイズのグローバルな拡張

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウの拡張

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウ サイズ コンフィギュレーションの確認

IPSec アンチリプレイ チェックのディセーブル化

IPSec 優先ピアの設定

IPSec 優先ピアの設定時の注意事項および制約事項

デフォルト ピアの設定

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定

IPSec SA アイドル タイマーの設定

IPSec SA アイドル タイマー設定時の注意事項

IPSec SA アイドル タイマーのグローバルな設定

IPSec SA アイドル タイマーの暗号マップ単位での設定

Distinguished Name(DN; 識別名)ベースの暗号マップの設定

DN ベース暗号マップ設定時の注意事項および制約事項

QoS の設定

QoS 設定時の注意事項および制約事項

シーケンス番号付き暗号 ACL

暗号 ACL の拒否ポリシー拡張機能の設定

暗号 ACL の拒否ポリシー拡張機能設定時の注意事項および制約事項

設定例

AES の設定例

RRI の設定例

スタティック暗号マップを使用した RRI の設定例

ダイナミック暗号マップを使用した RRI の設定例

既存の ACL が存在する場合の RRI の設定例

2 つのルートがある場合の RRI の設定例

ユーザ定義ホップを使用した RRI の設定例

IPSec アンチリプレイ ウィンドウ サイズの設定例

IPSec アンチリプレイ ウィンドウのグローバルな設定例

IPSec アンチリプレイ ウィンドウの暗号マップ単位の設定例

IPSec 優先ピアの設定例

デフォルト ピアの設定例

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例

IPSec SA アイドル タイマーの設定例

IPSec SA アイドル タイマーのグローバルな設定例

IPSec SA アイドル タイマーの暗号マップ単位での設定例

Distinguished Name(DN; 識別名)ベースの暗号マップの設定例

QoS の設定例

ACL の拒否ポリシー拡張機能の設定例

IPSec VPN SPA を使用した拡張 IPSec 機能の設定

この章では、Cisco 7600 シリーズ ルータ上の IPSec VPN SPA を使用して拡張 IP セキュリティ(IPSec)機能を設定する方法について説明します。具体的な内容は次のとおりです。

「拡張 IPSec 機能の概要」

「トランスフォーム セットでの AES の設定」

「RRI の設定」

「IPSec アンチリプレイ ウィンドウ サイズの設定」

「IPSec 優先ピアの設定」

「IPSec SA アイドル タイマーの設定」

「Distinguished Name(DN; 識別名)ベースの暗号マップの設定」

「QoS の設定」

「シーケンス番号付き暗号 ACL」

「暗号 ACL の拒否ポリシー拡張機能の設定」

「設定例」


) Cisco IOS の IP セキュリティ(IPSec)暗号化処理およびポリシーについての詳細は、『Cisco IOS Security Configuration Guide, Release 12.2』および『Cisco IOS Security Command Reference, Release 12.2』を参照してください。


システム イメージおよびコンフィギュレーション ファイルの管理については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』および『 Cisco IOS Configuration Fundamentals Command Reference 』を参照してください。

この章で使用するコマンドの詳細については、『 Cisco IOS Software Releases 12.2SR Command References 』および『 Cisco IOS Software Releases 12.2SX Command References 』を参照してください。また、関連する CiscoIOS Release12.2 ソフトウェア コマンド リファレンスおよびマスター インデックスも参照してください。詳細については、「関連資料」を参照してください。


ヒント IPSec VPN SPA を使用して VPN を正しく設定するために、設定の概要および注意事項にすべて目を通してから設定作業を始めてください。


拡張 IPSec 機能の概要

IPSec は Internet Engineering Task Force(IETF)で開発されたオープン規格のフレームワークです。インターネットなど保護されていないネットワークを介して重要な情報を伝達する場合は、IPSec によってセキュリティが確保されます。IPsec はネットワーク レイヤで機能して、シスコ製ルータなど、関与する IPSec デバイス(ピア)間の IP パケットを保護し、認証します。

この章では、IPSec VPN のスケーラビリティおよびパフォーマンスを高めるために使用できる高度な IPSec 機能について説明します。

トランスフォーム セットでの AES の設定

Advanced Encryption Standard(AES; 高度暗号化規格)は、Data Encryption Standard(DES; データ暗号規格)の後継として開発された IPSec および IKE のプライバシー トランスフォームです。AES は DES よりも安全度の高い設計となっています。AES ではキーのサイズが従来より大きく、侵入者がメッセージを解読するには、あらゆるキーを試してみるしか方法がありません。AES ではキーの長さは可変であり、128 ビット(デフォルト)、192 ビット、または 256 ビットのキーを指定できます。

トランスフォーム セット内で AES 暗号化アルゴリズムを設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

トランスフォーム セットおよび IPSec セキュリティ プロファイルおよびアルゴリズムを指定します。

transform-set-name は、トランスフォーム セット名を指定します。

transform1 [ transform2 [ transform3 ]] は、IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。AES を設定するには、次のいずれかの AES Encapsulating Security Payload(ESP)暗号化トランスフォームを選択する必要があります。

esp-aes は、128 ビット AES 暗号化アルゴリズムを使用する ESP を指定します。

esp-aes 192 は、192 ビット AES 暗号化アルゴリズムを使用する ESP を指定します。

esp-aes 256 は、256 ビット AES 暗号化アルゴリズムを使用する ESP を指定します。

許容される他の transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

AES トランスフォーム セットの確認

トランスフォーム セットの設定を確認するには、 show crypto ipsec transform-set コマンドを入力します。

Router# show crypto ipsec transform-set
 
Transform set transform-1:{esp-256-aes esp-md5-hmac}
will negotiate = {Tunnel, }
 

AES サポートに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ft_aes.html

AES の設定例は、「AES の設定例」を参照してください。

RRI の設定

Reverse Router Injection(RRI; 逆ルート注入)には、リモート トンネル エンドポイントで保護されたネットワークおよびホストのルーティング プロセスに、スタティック ルートを自動的に挿入する機能があります。保護されたこれらのホストおよびネットワークは、リモート プロキシ アイデンティティとして認識されます。


) RRI は、Cisco IOS Release 12.2(33)SRA 以降のリリースでサポートされます。


各ルートはリモート プロキシ ネットワークおよびマスクに基づいて作成され、このネットワークに対するネクスト ホップがリモート トンネル エンドポイントになります。リモート VPN ルータをネクスト ホップとして使用することにより、トラフィックは強制的に暗号プロセスを通して暗号化されます。

VPN ルータにスタティック ルートを作成すると、この情報がアップストリーム デバイスに伝搬され、IPSec 状態フローを維持するために戻りトラフィックを送信する宛先として適切な VPN ルータを判別できます。適切な VPN ルータの判別機能は、特に、サイトで複数の VPN ルータを使用してロード バランシングやフェールオーバーを実現する場合、またはデフォルト ルートを介してリモート VPN デバイスにアクセスできない場合に、便利です。ルートはグローバル ルーティング テーブルまたは適切な Virtual Routing and Forwarding(VRF)テーブルに作成されます。

RRI は、スタティック暗号マップ テンプレートとダイナミック暗号マップ テンプレートのいずれを使用するかに関係なく、暗号マップ単位で適用されます。ダイナミック マップとスタティック マップのいずれの場合も、ルートは IPSec SA を作成するときだけ作成されます。SA を削除すると、ルートも削除されます。スタティック暗号マップに適用される暗号 Access Control List(ACL; アクセス コントロール リスト)の内容に基づいてルートを作成する場合は、reverse-route コマンドに static キーワードを追加できます。

RRI 設定時の注意事項および制約事項

RRI を設定する場合は、次の注意事項および制約事項に従ってください。


) RRI がイネーブルである場合、VPN セッションがアクティブである間に暗号設定に変更を加えないでください。変更前に、clear crypto session コマンドを入力します。


ダイナミック ルーティング プロトコルを使用して RRI 生成のスタティック ルートを伝播させる場合は、IP ルーティングをイネーブルにし、スタティック ルートを再配信する必要があります。

インターフェイスまたはアドレスをリモート VPN デバイスの明示的なネクスト ホップとして指定できます。この機能により、デフォルト ルートを上書きして、暗号化された発信パケットを適切に転送できます。

RRI を使用して作成されるルートには、ルート タグ値を追加できます。このルート タグにより、ルート マップを使用するルートのグループを再配信して、グローバル ルーティング テーブルに格納するルートを選択できます。

複数のルータ インターフェイスに適用される同一の暗号マップに、RRI を設定できます。

reverse-route remote-peer [ static ] キーワードを指定すると、2 つのルートが作成されます。1 番めのルートは標準リモート プロキシ ID で、ネクストホップはリモート VPN クライアント トンネル アドレスです。2 番めのルートは、このリモート トンネル エンドポイントへの実際のルートです。再帰検索で、「ネクスト ホップ」経由でリモート エンドポイントに到達できることが必要な場合に、使用されます。VRF では、デフォルト ルートをより明示的なルートで上書きする必要があるため、実際のネクスト ホップに対応する 2 番めのルートを作成することは重要です。

作成するルート数を削減し、ルート再帰の実現が困難な一部のプラットフォームをサポートするには、 reverse-route { ip-address } [ static ] キーワードを使用して、ルートを 1 つだけ作成します。

IPSec VPN SPA を使用するデバイスの場合、リバース ルートはインターフェイス、サブインターフェイス、または VLAN(仮想 LAN)となるネクスト ホップを指定し、暗号マップを適用します。

スタティック暗号マップを使用した RRI の設定

スタティック暗号マップを使用して RRI を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

コマンド
説明

ステップ 1

Router(config)# crypto map map-name seq-name ipsec-isakmp

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

ステップ 2

Router(config-crypto-map)# reverse-route [[ static ] | tag tag-id [ static ] | remote-peer [ static ] | remote-peer ip-address [ static ]]

暗号マップ エントリに対応する送信元プロキシ情報を作成します。

static :(任意)スタティック ACL に基づいて、パーマネント ルートを作成します。

tag tag-id :(任意)ルート マップによる再配信を制御するための照合値として使用できるタグ値。

remote-peer [ static ]:(任意)2 つのルートが作成されます。1 つはリモート エンドポイント用で、もう 1 つは暗号マップの適用先となるインターフェイスを介してリモート エンドポイントに至るルート再帰用です。 static キーワードはオプションです。

remote-pee r ip-address [ static ]:(任意)ユーザ定義のネクスト ホップを経由してリモート プロキシに至るルートが 1 つ作成されます。このネクスト ホップを使用して、デフォルト ルートを上書きできます。 ip-address 引数は必須です。 static キーワードはオプションです。

ダイナミック暗号マップを使用した RRI の設定

ダイナミック暗号マップを使用して RRI を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

コマンド
説明

ステップ 1

Router(config)# crypto dynamic-map { dynamic-map-name } { dynamic-seq-name }

ダイナミック暗号マップ エントリを作成し、暗号マップ コンフィギュレーション モードを開始します。

dynamic-map-name :マップ セットの識別名。

dynamic-seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ステップ 2

Router(config-crypto-map)# reverse-route [ tag tag-id | remote-peer | remote-peer ip-address ]

暗号マップ エントリに対応する送信元プロキシ情報を作成します。

tag tag-id :(任意)ルート マップによる再配信を制御するための照合値として使用できるタグ値。

remote-peer :(任意)2 つのルートが作成されます。1 つはリモート エンドポイント用で、もう 1 つは暗号マップの適用先となるインターフェイスを介してリモート エンドポイントに至るルート再帰用です。

remote-pee r ip-address :(任意)ユーザ定義のネクスト ホップを経由してリモート プロキシに至るルートが 1 つ作成されます。このネクスト ホップを使用して、デフォルト ルートを上書きできます。 ip-address 引数は必須です。

RRI の詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_rrie.html

RRI の設定例は、「RRI の設定例」を参照してください。

IPSec アンチリプレイ ウィンドウ サイズの設定

Cisco IPSec 認証を行うと、アンチリプレイ サービスを利用できます。これにより、暗号化された各パケットに一意のシーケンス番号を割り当てて、暗号化パケットを複製する攻撃者から保護できます (SA アンチリプレイは、受信側がリプレイ攻撃から自身を保護するために、古いパケットまたは重複パケットを拒否できるセキュリティ サービスです)。復号機能によって、以前に認識したシーケンス番号が除外されます。暗号機能によって、シーケンス番号が昇順で割り当てられます。復号機能は、認識済みのシーケンス番号の中の最大値(X)を記憶します。N は複合機能のウィンドウ サイズです。X - N よりもシーケンス番号が小さいパケットはすべてドロップされます。現在、N は 64 に設定されています。


) IPSec アンチリプレイ ウィンドウ サイズは、Cisco IOS Release 12.2(18)SXF6 以降のリリースでサポートされます。


64 パケット ウィンドウ サイズでは不十分な場合があります。たとえば、Cisco Quality of Service(QoS; サービス品質)はプライオリティが高いパケットを優先しますが、これによって、プライオリティが低いパケットが、リプレイされたパケットでない場合も、ドロップされることがあります。IPSec アンチリプレイ ウィンドウ サイズ機能を使用すると、64 を超えるパケットのシーケンス番号情報を保持できるように、ウィンドウ サイズを拡張できます。


) アンチリプレイ ウィンドウ サイズでの変更は、次のキーの再作成後まで、有効にはなりません。


IPSec アンチリプレイ ウィンドウ サイズのグローバルな拡張

IPSec アンチリプレイ ウィンドウをグローバルに拡張して、作成されたすべての SA に影響するように設定するには(暗号マップ単位で上書きされたものを除いて)、グローバル コンフィギュレーション モードで次の手順を実行します。

 

コマンド
説明

Router(config)# crypto ipsec security-association replay window size [ size ]

IPSec アンチリプレイ ウィンドウを、指定された size にグローバルに拡張します。

size :(任意)ウィンドウ サイズ。有効値は 64、128、256、512、または 1024 です。この値がデフォルト値になります。

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウの拡張

暗号マップ単位で IPSec アンチリプレイ ウィンドウを拡張するには(指定された暗号マップまたはプロファイルを使用して作成された SA に影響するように設定するには)、グローバル コンフィギュレーション モードで次の手順を実行します。

 

コマンド
説明

ステップ 1

Router(config)# crypto map map-name seq-num ipsec-isakmp

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

ステップ 2

Router(config-crypto-map)# crypto ipsec security-association replay window size [ size ]

 

特定の暗号マップ、ダイナミック暗号マップ、または暗号プロファイルで指定されたポリシーを使用して作成される SA を制御します。

size :(任意)ウィンドウ サイズ。有効値は 64、128、256、512、または 1024 です。この値がデフォルト値になります。

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウ サイズ コンフィギュレーションの確認

IPSec アンチリプレイ ウィンドウ サイズが特定の暗号マップでイネーブルになっているかどうかを確認するには、その特定マップに対して show crypto map コマンドを入力します。アンチリプレイ ウィンドウ サイズがイネーブルになっている場合、イネーブルになっていることおよび設定されているウィンドウ サイズがディスプレイに示されます。アンチリプレイ ウィンドウ サイズがディセーブルになっている場合、コマンドの結果でその旨が示されます。

次に、IPSec アンチリプレイ ウィンドウ サイズをイネーブルにする例を示します。

Router# show crypto map tag TESTMAP
 
Crypto Map "TESTMAP" 10 ipsec-isakmp
WARNING: This crypto map is in an incomplete state!
(missing peer or access-list definitions)
No matching address list set.
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
}
Antireplay window size = 128
Interfaces using crypto map TESTMAP:
 

IPSec アンチリプレイ ウィンドウ サイズに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_iarwe.html

IPSec アンチ リプレイ ウィンドウ サイズの設定例は、「IPSec アンチリプレイ ウィンドウ サイズの設定例」を参照してください。


) IPSec VPN SPA によって検出されるアンチ リプレイ エラーの原因には、リオーダー、再キューイング、またはネットワーク内のフラグメンテーションなどがあります。中間者攻撃に対する防御として、IPSec VPN SPA はこのようなパケットをドロップします。これは予期されている動作です。


IPSec アンチリプレイ チェックのディセーブル化

IPSec アンチリプレイ チェックをディセーブルにするには、次のようにグローバル コンフィギュレーション モードで crypto ipsec security-association replay disable コマンドを入力します。

 

コマンド
説明

Router(config)# crypto ipsec security-association replay disable

IPSec アンチリプレイ チェックをディセーブルにします。

特定の暗号マップで IPSec アンチリプレイ チェックをディセーブルにするには、次のように暗号マップ コンフィギュレーション モードで crypto ipsec security-association replay disable コマンドを入力します。

 

コマンド
説明

ステップ 1

Router(config)# crypto map map-name seq-num ipsec-isakmp

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

ステップ 2

Router(config-crypto-map)# set security-association replay disable

特定の暗号マップ、ダイナミック暗号マップ、または暗号プロファイルによって、IPSec アンチリプレイのチェックをディセーブルにします。

IPSec 優先ピアの設定

IP セキュリティ(IPSec)優先ピア機能を使用すると、暗号マップの複数のピアをフェールオーバー構成で試行する場合の環境を制御できます。デフォルト ピアが存在する場合は、次回に接続を開始すると、ピア リスト内の次のピアでなく、デフォルト ピアに接続されます。現在のピアとのすべての接続がタイムアウトした場合、次回に接続を開始すると、デフォルト ピアに接続されます。


) IPSec 優先ピア機能は、Cisco IOS Release 12.2(33)SRA 以降でサポートされます。


この機能には、次の機能が含まれます。

デフォルト ピアの設定

接続がタイムアウトした場合、現在のピアとの接続は切断されます。set peer コマンドを使用すると、先頭のピアをデフォルト ピアとして設定できます。デフォルト ピアが存在する場合は、次回に接続を開始すると、ピア リスト内の次のピアでなく、デフォルト ピアに接続されます。デフォルト ピアが応答しない場合、ピア リスト内の次のピアが現在のピアになり、今後、暗号マップを使用して接続しようとすると、このピアとの接続が試行されます。

この機能は、リモート ピアの障害が原因で物理リンクのトラフィックが停止した場合に、便利です。Dead Peer Detection(DPD)はリモート ピアが使用不能であるにもかかわらず、このピアが引き続き現在のピアになっていることを示します。

デフォルト ピアが設定されていると、以前は使用不能だったにもかかわらず、サービス状態に戻っている優先ピアへのフェールオーバーが容易になります。ユーザはフェールオーバーが発生した場合に備えて、特定のピアを優先させることができます。これは、障害の本来の原因がリモート ピアの故障でなく、ネットワーク接続問題である場合に便利です。

デフォルト ピアを設定するには、「デフォルト ピアの設定」を参照してください。

デフォルト ピアを設定する場合の IPSec アイドル タイマー

Cisco IOS ソフトウェアが実行されているルータでピアの IPSec SA を作成する場合、SA を維持するためのリソースを割り当てる必要があります。SA には、メモリといくつかの管理タイマーが必要です。アイドル ピアがあると、リソースが浪費されます。アイドル ピアによるリソースの浪費が大きくなると、ルータは他のピア用に新しい SA を作成できなくなる可能性があります。

IPSec SA アイドル タイマーは、アイドル ピアに対応付けられた SA を削除して、リソースのアベイラビリティを向上させます。IPSec SA アイドル タイマーにより、アイドル ピアによるリソース浪費は防止されるため、新しい SA を作成するためにリソースが必要な場合に、使用できるリソースが多くなります (IPSec SA アイドル タイマーが設定されていない場合は、IPSec SA のグローバル ライフタイムだけが適用されます。ピアの活動状況に関係なく、グローバル タイマーの期限が切れるまで、SA は維持されます)。

IPSec SA アイドル タイマーとデフォルト ピアが両方とも設定されている場合に、現在のピアとの接続がすべてタイムアウトすると、次回に接続を開始したときに、set peer コマンドで設定したデフォルト ピアに接続されます。デフォルト ピアが設定されていない場合に、接続がタイムアウトすると、現在のピアはタイムアウト状態を継続します。

この拡張機能を使用すると、以前は使用不能だったにもかかわらず、現在はサービス状態になっている優先ピアへのフェールオーバーが容易になります。

IPSec アイドル タイマーの設定については、「デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定」を参照してください。

IPSec 優先ピアの設定時の注意事項および制約事項

IPSec 優先ピアを設定する場合は、次の注意事項および制約事項に従ってください。

デフォルト ピアを設定する場合は、次の注意事項および制約事項に従ってください。

暗号マップでデフォルト ピアに指定できるのは、1 つのピアだけです。

デフォルト ピアはピア リストの先頭ピアに指定する必要があります。


) デフォルト ピア機能は DPD と併用する必要があります。この機能は、DPD が実行されているリモート サイトで、定期的モードで使用するのが最も効果的です。DPD はデバイスの障害をすばやく検出し、次回の接続試行でデフォルト ピアが試行されるように、ピア リストをリセットします。


デフォルト ピアで IPSec アイドル タイマーの使用を設定する場合は、次の注意事項および制約事項に従ってください。

IPSec アイドル タイマーとデフォルト ピアの併用機能は、この機能が設定された暗号マップでのみ機能します。この機能をすべての暗号マップにグローバルに設定することはできません。

グローバル アイドル タイマーがある場合、暗号マップのアイドル タイマー値とグローバル値は異なっている必要があります。そうでない場合、アイドル タイマーは暗号マップに追加されません。

デフォルト ピアの設定

デフォルト ピアを設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :(任意)IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

dynamic dynamic-map-name :(任意)ポリシー テンプレートとして使用するダイナミック暗号マップ セットの名前を指定します。

discover :(任意)ピア検出をイネーブルにします。デフォルトでは、ピア検出はディセーブルです。

profile profile-name :(任意)作成中の暗号プロファイルの名前。

ステップ 2

Router(config-crypto-map)# set peer { host-name [ dynamic ] [ default ] | i p-address [ default ]}

 

暗号マップ エントリで IPSec ピアを指定します。指定した最初のピアがデフォルト ピアとして定義されます。

host-name :IPSec ピアをホスト名で指定します。これはドメイン名と連結されるピアのホスト名です(myhost.example.com など)。

dynamic :(任意)ルータが IPSec トンネルを確立する前に、Domain Name Server(DNS)検索を使用して IPSec ピアのホスト名を解決します。

default :(任意)複数の IPSec ピアが存在する場合、最初のピアがデフォルト ピアになるように指定します。

i p-address :IPSec ピアを IP アドレスで指定します。

ステップ 3

Router(config-crypto-map)# exit

暗号マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定

IPSec アイドル タイマーとデフォルト ピアを併用するように設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :(任意)IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

dynamic dynamic-map-name :(任意)ポリシー テンプレートとして使用するダイナミック暗号マップ セットの名前を指定します。

discover :(任意)ピア検出をイネーブルにします。デフォルトでは、ピア検出はディセーブルです。

profile profile-name :(任意)作成中の暗号プロファイルの名前。

ステップ 2

Router(config-crypto-map)# set security-association idle-time seconds [ default ]

 

デフォルト ピアを使用するまでに、現在のピアがアイドルのまま存続できる最大期間を指定します。

seconds :デフォルト ピアを使用するまでに、現在のピアがアイドルのまま存続できる秒数を指定します。有効値は、600 ~ 86400です。

default :(任意)次の接続がデフォルト ピアとの間で確立されるように指定します。

ステップ 3

Router(config-crypto-map)# exit

暗号マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

IPSec 優先ピアに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_ipspp.html

IPSec 優先ピアの設定例は、「IPSec 優先ピアの設定例」を参照してください。

IPSec SA アイドル タイマーの設定

Cisco IOS ソフトウェアが実行されているルータでピアの IPSec SA を作成する場合、SA を維持するためのリソースを割り当てる必要があります。SA には、メモリといくつかの管理タイマーが必要です。アイドル ピアがあると、リソースが浪費されます。アイドル ピアによるリソースの浪費が大きくなると、ルータは他のピア用に新しい SA を作成できなくなる可能性があります。IPSec SA アイドル タイマー機能を使用すると、SA のアクティビティを監視する設定可能なタイマーが導入され、アイドル ピアの SA を削除できるようになります。アイドル タイマーは、グローバルに設定することも、暗号マップ単位で設定することも、ISAKMP プロファイルを使用して設定することもできます。この機能の利点は次のとおりです。

リソースのアベイラビリティの向上

Cisco IOS IPSec 構成のスケーラビリティの向上

IPSec SA アイドル タイマー設定時の注意事項

暗号マップ単位でアイドル タイマーを設定する場合は、次の注意事項に従ってください。

IPSec VPN SPA は、CLI で設定された間隔を、切り上げて最も近い 10 分単位にします。たとえば、アイドル タイムアウトを 12 分に設定すると、IPSec VPN SPA は 20 分をアイドル タイムアウト値として使用します。5 分に設定すると、IPSec VPN SPA は 10 分をアイドル タイムアウト値として使用します。

IPSec VPN SPA によるアイドル タイムアウト検出方式の特徴として、アイドル タイムアウトが検出されるまでにインターバル(10 分単位)の 1 ~ 3 倍の時間がかかる場合があります。たとえば、アイドル タイムアウトを 12 分に設定した場合、アイドル タイムアウトは 20 ~ 60 分の時間内に発生する可能性があります。

アイドル タイマーをグローバルに設定すると、すべての SA にアイドル タイマーの設定が適用されます。

暗号マップにアイドル タイマーを設定すると、その暗号マップの下にあるすべての SA にアイドル タイマーの設定が適用されます。

IPSec SA アイドル タイマーのグローバルな設定

IPSec SA アイドル タイマーをグローバルに設定するには、次のようにグローバル コンフィギュレーション モードで crypto ipsec security-association idle-time コマンドを入力します。

 

コマンド
説明

Router(config)# crypto ipsec security-association idle-time seconds

seconds :アイドル タイマーで非アクティブなピアが SA を保持できる時間(秒)を指定します。範囲は 60 ~ 86400 秒です。

IPSec SA アイドル タイマーの暗号マップ単位での設定

特定の暗号マップに IPSec SA アイドル タイマーを設定するには、暗号マップを設定するときに、 set security-association idle-time コマンドを使用します。

 

コマンド
説明

ステップ 1

Router(config)# crypto map map-name seq-number ipsec-isakmp

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

ステップ 2

Router(config-crypto-map)# set security-association idle-time seconds

seconds :アイドル タイマーで非アクティブなピアが SA を保持できる時間(秒)を指定します。範囲は 60 ~ 86400 秒です。

IPSec SA アイドル タイマーの設定についての詳細は、次の Cisco IOS マニュアルを参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ftsaidle.html

IPSec SA アイドル タイマーの設定例は、「IPSec SA アイドル タイマーの設定例」を参照してください。

Distinguished Name(DN; 識別名)ベースの暗号マップの設定

Distinguished Name(DN; 認定者名)ベースの暗号マップ機能により、特定の証明書(特に、特定 DN の証明書)を持つピアの選択された暗号化インターフェイスだけに、アクセスを制限するようにルータを設定できます。

従来、ルータが暗号化ピアから証明書または共有秘密を受け入れる場合、Cisco IOS では暗号化ピアの IP アドレスによって制限する以外、ピアが暗号化インターフェイスと通信するのを防ぐ方法がありませんでした。この機能により、ピアが自身の認証に使用した DN に基づいて、ピアが使用できる暗号マップを設定し、特定の DN を持つ暗号化ピアがアクセスできる暗号化インターフェイスを制御できます。DN によって認証されたピアだけ使用可能な DN ベースの暗号マップ、またはホスト名によって認証されたピアだけ使用可能な暗号マップを設定できます。

DN ベース暗号マップ設定時の注意事項および制約事項

DN ベース暗号マップを設定する場合は、次の注意事項および制約事項に従ってください。

アクセスを制限する DN の数が多い場合、少数のアイデンティティ セクションを参照する多数の暗号マップを指定するよりも、多数のアイデンティティ セクションを参照する少数の暗号マップを指定することを推奨します。

DN によって認証されたピアだけ使用可能な DN ベース暗号マップ、またはホスト名によって認証されたピアだけ使用可能な暗号マップベース DN を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp)# exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

各ピアで ISAKMP ポリシーを作成します。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto map map-name seq-number ipsec-isakmp

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

ステップ 3

Router(config-crypto-map)# set identity name

...

Router(config-crypto-map)# exit

暗号マップにアイデンティティを適用します。

name :既定の DN のリストに対応付けられた、ルータのアイデンティティ

このコマンドを適用した場合、アイデンティティ名でリストされているコンフィギュレーションと一致するホストだけが、指定した暗号マップを使用できます。

コマンドが使用されていない場合、暗号化ピアの IP アドレス以外には、暗号接続の制限はありません。

コンフィギュレーションに対応するように、その他のポリシー値を指定します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 4

Router(config)# crypto identity name

ルータの証明書に所定の DN リストを備えたルータ アイデンティティを設定し、暗号アイデンティティ コンフィギュレーション モードを開始します。

name :ステップ 3 で指定した名前。

ステップ 5

Router(crypto-identity)# dn name =string [, name =string ]| fqdn name

ルータのアイデンティティを DN またはホスト名(FQDN)に対応付け、特定の証明書を使用してピアへのアクセスを制限します。

name =string :ルータの証明書にある DN。複数の DN を対応付けることもできます。

fqdn name :ピアが自身の認証に使用したホスト名(FQDN)またはルータの証明書にある DN。

ピアのアイデンティティは、交換された証明書の中のアイデンティティと一致している必要があります。

DN ベースの暗号マップに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t4/feature/guide/ftdnacl.html

DN ベース暗号マップの設定例は、「Distinguished Name(DN; 識別名)ベースの暗号マップの設定例」を参照してください。

QoS の設定

IPSec VPN SPA では Cisco 7600 シリーズ ルータ ソフトウェアの QoS 機能を使用して、2 レベルの完全優先 QoS を導入します。IPSec VPN SPA での QoS の設定については、次の URL を参照してください。

http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008014a29f.shtml

IPSec VPN SPA では、2 レベルの完全優先 QoS を導入します。Cisco 7600 SSC-400 および IPSec VPN SPA を併用し、インバウンドとアウトバウンドの各方向に 2 つのキューを導入します。パケットは 2 対 1 の比率でデキューされます。つまり、1 つのパケットが低優先順位キューからデキューされる前に、2 つのパケットが高優先順位遅延キュー(LLQ)からデキューされます。パケットはプライオリティ キュー設定に基づいてエンキューされます。IPSec VPN SPA の QoS 機能を活用するには、標準的な QoS コマンドを使用して、パケットの Class of Service(CoS; サービス クラス)が入力側でマークされるようにする必要があります。内部ポートおよび外部ポートに対して CoS マップを設定し、CoS マッピングを承認するように IPSec VPN SPA に対して QoS をグローバルにイネーブル化する必要があります。

QoS 設定時の注意事項および制約事項

IPSec VPN SPA に対して QoS を設定する場合には、次の注意事項および制約事項に従ってください。

VRF モードでは、サービス ポリシーは、GRE トンネル インターフェイスおよび VTI トンネル インターフェイスには適用されません。暗号接続モードでは、トンネルが IPSec VPN SPA によってテイクオーバーされる場合、サービス ポリシーは、GRE トンネル インターフェイスには適用されません。

パケットは mls qos コマンドとプライオリティ キュー設定に基づいて、次のようにエンキューされます。

mls qos コマンドが設定されていない場合、すべてのデータ パケットはプライオリティが高いキューにエンキューされます。

mls qos コマンドが設定されていて、IPSec VPN SPA イーサネット インターフェイスで明示的なプライオリティ キュー設定がない場合、CoS 値が 5 のパケットだけがプライオリティが高いキューにエンキューされ、他のすべてのパケットはプライオリティが低いキューにエンキューされます。

mls qos コマンドが設定されていて、IPSec VPN SPA イーサネット インターフェイスにプライオリティ キュー設定がある場合、トラフィックはそのプライオリティ キュー設定に基づいてエンキューされます。

プライオリティが高いキューには、最大 3 つの CoS マップ値を送信できます。CoS 値 5 は高プライオリティとして事前設定されているため、高プライオリティ キューに他の値は 2 つしか選択できません。


) 余分な値は設定されている値を上書きするため、CoS 値を 3 つより多く設定しないでください。CoS 値 5 を上書きすると、設定されている他のいずれかの値を上書きすることによって値は復元されます。上書きされた CoS マップ値を復元するには、まず新しい値を削除してから前の値を再設定する必要があります。


mls qos コマンドが設定されている場合、IPSec VPN SPA イーサネット インターフェイスで次の例のように mls qos trust コマンドを指定する必要があります。

!
Interface GigabitEthernet4/0/1
mls qos trust cos
priority-queue cos-map 1 0 1 5
!
Interface GigabitEthernet4/0/2
mls qos trust cos
priority-queue cos-map 1 0 1 5
!

この例では、CoS 値 0、1、5 が高プライオリティ キューに送信されます。

ブレード フェールオーバー グループでは、両方の IPSec VPN SPA で、プラットフォーム QoS 設定が一致する必要があります。

mls qos trust コマンドが設定されていない場合、すべてのトラフィックの QoS フィールドはデフォルト レベルにクリアされます。 mls qos trust コマンドが設定されている場合、QoS フィールドはそのままになります。

QoS の設定例は、「QoS の設定例」を参照してください。

シーケンス番号付き暗号 ACL

ACL は、一連の Access Control Entry(ACE; アクセス コントロール エントリ)で構成されます。シーケンス番号付き ACL を使用すると、ACE の前にシーケンス番号を入力でき、そのシーケンス番号によって ACE が処理されます。さらに、削除する ACE の前にあるシーケンス番号を使用して、ACE を個別に削除することもできます。シーケンス番号はコンフィギュレーションには表示されませんが、 show access-list コマンドを使用して表示できます。


) ACE を削除または修正すると、ACL が IPSec VPN SPA に再設定されます。その結果、既存のセッションが切断される場合があります。


暗号 ACL の拒否ポリシー拡張機能の設定

ACL に拒否アドレス範囲を指定することによって、「ジャンプ」動作が行われます。拒否アドレス範囲にヒットした場合、検索が暗号マップの次のシーケンスに対応付けられている ACL の先頭に「ジャンプ」し、検索が続行します。これらのアドレスに平文のトラフィックを渡すには、暗号マップ内のシーケンスごとに拒否アドレス範囲を挿入する必要があります。この作業を行うと、アドレスの許可リストごとに、ACL で指定されたすべての拒否アドレス範囲が継承されます。拒否アドレス範囲によって、ソフトウェアでは許可リストから拒否アドレス範囲が除外され、ハードウェアにプログラミングする必要のある複数の許可アドレス範囲を作成します。この動作により、繰り返されたアドレス範囲を 1 つの拒否アドレス範囲としてハードウェアにプログラミングすることが可能になるので、1 つの ACL に複数の許可アドレス範囲が作成されます。この問題を回避するには、 crypto ipsec ipv4-deny { jump | clear | drop } コマンド セットを次の要領で使用します。

jump キーワードを指定すると、標準的な「ジャンプ」動作が実行されます。

clear キーワードを使用すると、ハードウェアに拒否アドレス範囲をプログラミングできます。この拒否アドレスは暗号化および復号化の際に除外されます。VPN モードが暗号接続の場合、拒否アドレスにヒットすると、そこで検索が停止し、トラフィックは平文の(暗号化されない)状態で渡されます。VPN モードが VRF の場合、拒否アドレスと一致するトラフィックはドロップされます。

drop キーワードを指定すると、拒否アドレスにヒットした場合にトラフィックがドロップされます。

clear キーワードおよび drop キーワードを使用すると、ハードウェアにアドレス範囲が繰り返しプログラミングされるのを防止でき、結果的に TCAM スペースを効率よく利用できます。

暗号 ACL の拒否ポリシー拡張機能設定時の注意事項および制約事項

拒否ポリシー拡張機能を設定する場合は、次の注意事項および制約事項に従ってください。

crypto ipsec ipv4-deny { jump | clear | drop } コマンドは、1 つの IPSec VPN SPA に適用されるグローバル コマンドです。指定するキーワード (jump clear 、または drop )は、IPSec VPN SPA の ACE ソフトウェアに渡されます。デフォルトの動作は jump です。

clear キーワードを VRF モードで使用すると、拒否アドレスのトラフィックは平文の状態で渡されるのではなく、ドロップされます。VRF モードでは、トラフィックを平文の状態では渡しません。

IPSec VPN SPA に暗号マップがすでに設定されている場合、キーワード( jump clear 、または drop )を適用すると、既存のすべての IPSec セッションが一時的に削除および再起動され、ネットワーク トラフィックに影響が出ます。

ACL に指定できる拒否エントリの数は、指定されたキーワードによって異なります。

jump :1 つの ACL で最大 8 つの拒否エントリをサポート。


) 固定限度ではなく、ACL の 8 つの拒否ジャンプ エントリ限度を考慮してください。設定によっては、実際の限度は 8 よりも少ないことがあります。


clear :1 つの ACL で最大 1,000 の拒否エントリをサポート。

drop :1 つの ACL で最大 1,000 の拒否エントリをサポート。

拒否ポリシー拡張機能の設定例は、「ACL の拒否ポリシー拡張機能の設定例」を参照してください。

設定例

ここでは、次の設定例を示します。

「AES の設定例」

「RRI の設定例」

「IPSec アンチリプレイ ウィンドウ サイズの設定例」

「IPSec 優先ピアの設定例」

「IPSec SA アイドル タイマーの設定例」

「Distinguished Name(DN; 識別名)ベースの暗号マップの設定例」

「QoS の設定例」

「ACL の拒否ポリシー拡張機能の設定例」


) 次に、Cisco IOS Release 12.2(33)SRA のレベルでコマンドを使用する例を示します。

Cisco IOS Release 12.2(33)SRA では、それまでのリリースで使用されていた crypto engine subslot コマンドは、crypto engine slot コマンド(形式は crypto engine slot slot {inside | outside})に置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


AES の設定例

この例では、Advanced Encryption Standard(AES; 高度暗号化規格)256 ビット キーをイネーブルに設定しています。

crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
mode transport
crypto map aesmap 10 ipsec-isakmp
set peer 10.0.110.1
set transform-set aesset
 

スタティック暗号マップを使用した RRI の設定例

次に、スタティック暗号マップを使用した RRI の設定例を示します。この例では、RRI によって作成されたルートにタグ番号が付加されています。ルーティング プロセスはこのタグ番号を使用し、ルート マップを介してタグ付きルートを再配信できます。

Router(config)# crypto map mymap 1 ipsec-isakmp
Router(config-crypto-map)# reverse-route tag 5
 

ダイナミック暗号マップを使用した RRI の設定例

次に、ダイナミック暗号マップを使用した RRI の設定例を示します。

Router(config)# crypto dynamic-map mymap 1
Router(config-crypto-map)# reverse-route remote peer 10.1.1.1
 

既存の ACL が存在する場合の RRI の設定例

次に、既存の ACL が存在する場合の RRI の設定例を示します。

Router(config)# crypto map mymap 1 ipsec-isakmp
Router(config-crypto-map)# set peer 172.17.11.1
Router(config-crypto-map)# reverse-route static
Router(config-crypto-map)# set transform-set esp-3des-sha
Router(config-crypto-map)# match address 101
 
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.17.11.0 0.0.0.255
 

2 つのルートがある場合の RRI の設定例

次に、2 つのルートを設定する例を示します。1 つはリモート エンドポイント用で、もう 1 つは暗号マップの適用先となるインターフェイスを介してリモート エンドポイントに至るルート再帰用です。

Router(config-crypto-map)# reverse-route remote-peer
 

ユーザ定義ホップを使用した RRI の設定例

次に、ユーザ定義ネクスト ホップを経由してリモート プロキシに至るルートを 1 つ作成する例を示します。このネクスト ホップは、デフォルト ルートに再帰する場合を除き、再帰ルート検索を必要としません。

Router(config-crypto-map)# reverse-route remote-peer 10.4.4.4
 

IPSec アンチリプレイ ウィンドウ サイズの設定例

次に、IPSec アンチリプレイ ウィンドウ サイズの設定例を示します。

「IPSec アンチリプレイ ウィンドウのグローバルな設定例」

「IPSec アンチリプレイ ウィンドウの暗号マップ単位の設定例」

IPSec アンチリプレイ ウィンドウのグローバルな設定例

次に、アンチリプレイ ウィンドウ サイズをグローバルに 1,024 に設定する例を示します。

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN-Gateway1
!
boot-start-marker
boot-end-marker
!
clock timezone EST 0
no aaa new-model
ip subnet-zero
!
ip audit po max-events 100
no ftp-server write-enable
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123
address 192.165.201.2
!
crypto ipsec security-association replay window-size 1024
!
crypto ipsec transform-set basic esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 192.165.201.2
set transform-set basic
match address 101
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1/0
ip address 192.165.200.2 255.255.255.252
serial restart-delay 0
crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.165.200.1
no ip http server
no ip http secure-server
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!access-list 101 remark Crypto ACL
!
control-plane
!
line con 0
line aux 0
line vty 0 4
end
 

IPSec アンチリプレイ ウィンドウの暗号マップ単位の設定例

次に、172.150.150.2 との IPSec 接続に対してアンチリプレイ チェックをディセーブルにし、172.150.150.3 および 172.150.150.4 との IPSec 接続に対してイネーブル(デフォルト ウィンドウ サイズは 64)にする例を示します。

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
enable secret 5 $1$KxKv$cbqKsZtQTLJLGPN.tErFZ1
enable password ww
!
ip subnet-zero
cns event-service server
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco170
address 172.150.150.2
crypto isakmp key cisco180
address 172.150.150.3
crypto isakmp key cisco190
address 172.150.150.4
crypto ipsec transform-set 170cisco esp-des esp-md5-hmac
crypto ipsec transform-set 180cisco esp-des esp-md5-hmac
crypto ipsec transform-set 190cisco esp-des esp-md5-hmac
crypto map ETH0 17 ipsec-isakmp
set peer 172.150.150.2
set security-association replay disable
set transform-set 170cisco
match address 170
crypto map ETH0 18 ipsec-isakmp
set peer 150.150.150.3
set transform-set 180cisco
match address 180
crypto map ETH0 19 ipsec-isakmp
set peer 150.150.150.4
set transform-set 190cisco
match address 190
!
interface Ethernet0
ip address 172.150.150.1 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled
crypto map ETH0
!
interface Serial0
ip address 172.160.160.1 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no fair-queue
!
ip classless
ip route 172.170.170.0 255.255.255.0 172.150.150.2
ip route 172.180.180.0 255.255.255.0 172.150.150.3
ip route 172.190.190.0 255.255.255.0 172.150.150.4
no ip http server
!
access-list 170 permit ip 172.160.160.0 0.0.0.255 172.170.170.0 0.0.0.255
access-list 180 permit ip 172.160.160.0 0.0.0.255 172.180.180.0 0.0.0.255
access-list 190 permit ip 172.160.160.0 0.0.0.255 172.190.190.0 0.0.0.255
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
end
 

IPSec 優先ピアの設定例

次に、IPSec 優先ピアの設定例を示します。

「デフォルト ピアの設定例」

「デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例」

デフォルト ピアの設定例

次に、デフォルト ピアの設定例を示します。この例では、IP アドレス 1.1.1.1 にある最初のピアがデフォルト ピアです。

Router(config)# crypto map tohub 1 ipsec-isakmp
Router(config-crypto-map)# set peer 1.1.1.1 default
Router(config-crypto-map)# set peer 2.2.2.2
Router(config-crypto-map)# exit

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例

次に、デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例を示します。次の例では、現在のピアが 600 秒間アイドルであった場合、次の接続試行ではデフォルト ピア 1.1.1.1(set peer コマンドで指定)が使用されます。

Router (config)# crypto map tohub 1 ipsec-isakmp
Router(config-crypto-map)# set peer 1.1.1.1 default
Router(config-crypto-map)# set peer 2.2.2.2
Router(config-crypto-map)# set security-association idle-time 600 default
Router(config-crypto-map)# exit

IPSec SA アイドル タイマーの設定例

ここでは、IPSec SA アイドル タイマーを設定する例を示します。

「IPSec SA アイドル タイマーのグローバルな設定例」

「IPSec SA アイドル タイマーの暗号マップ単位での設定例」

IPSec SA アイドル タイマーのグローバルな設定例

次に、非アクティブなピアについて 600 秒後に SA をドロップするように、グローバルに IPSec SA アイドル タイマーを設定する例を示します。

Router(config)# crypto ipsec security-association idle-time 600

IPSec SA アイドル タイマーの暗号マップ単位での設定例

次に、暗号マップ「test」について、非アクティブなピアの SA を 600 秒後にドロップするように IPSec SA アイドル タイマーを設定する例を示します。

Router(config) # crypto map test 1 ipsec-isakmp
Router(config-crypto-map)# set security-association idle-time 600

Distinguished Name(DN; 識別名)ベースの暗号マップの設定例

次に、DN およびホスト名によって認証された DN ベースの暗号マップの設定例を示します。例には、さまざまなコマンドについての注釈も含まれています。

! DN based crypto maps require you to configure an IKE policy at each peer.
crypto isakmp policy 15
encryption 3des
hash md5
authentication rsa-sig
group 2
lifetime 5000
crypto isakmp policy 20
authentication pre-share
lifetime 10000
crypto isakmp key 1234567890 address 171.69.224.33
!
!The following is an IPSec crypto map (part of IPSec configuration). It can be used only
! by peers that have been authenticated by DN and if the certificate belongs to BigBiz.
crypto map map-to-bigbiz 10 ipsec-isakmp
set peer 172.21.114.196
set transform-set my-transformset
match address 124
identity to-bigbiz
!
crypto identity to-bigbiz
dn ou=BigBiz
!
!
! This crypto map can be used only by peers that have been authenticated by hostname
!and if the certificate belongs to little.com.
crypto map map-to-little-com 10 ipsec-isakmp
set peer 172.21.115.119
set transform-set my-transformset
match address 125
identity to-little-com
!
crypto identity to-little-com
fqdn little.com
!

QoS の設定例

次に、モジュール QoS へのデュアル プライオリティ キューの設定例を示します。

mls qos
!
Interface GigabitEthernet4/0/1
mls qos trust cos
priority-queue cos-map 1 0 1 5
!
Interface GigabitEthernet4/0/2
mls qos trust cos
priority-queue cos-map 1 0 1 5
 

ACL の拒否ポリシー拡張機能の設定例

次に、拒否ポリシーの clear オプションを使用した設定例を示します。この例では、拒否アドレスにヒットすると検索が停止し、トラフィックは平文の(暗号化されていない)状態で通過させることができます。

Router(config)# crypto ipsec ipv4-deny clear