Cisco 7600 シリーズ ルータ SIP、SSC、および SPA ソフトウェア コンフィギュレーション ガイド
IPSec VPN SPA のモニタリングおよびアカ ウンティングの設定
IPSec VPN SPA のモニタリングおよびアカウンティングの設定
発行日;2012/02/03 | 英語版ドキュメント(2012/01/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

IPSec VPN SPA のモニタリングおよびアカウンティングの設定

IPSec VPN SPA のモニタリングおよびアカウンティングの概要

IPSec VPN セッションのモニタリングおよび管理

IKE ピアの記述の追加

ピアの記述の確認

暗号化セッション ステータスのサマリー リストの表示

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知

暗号化セッションのクリア

IPSec VPN アカウンティングの設定

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポートの設定

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポート機能でサポートされる MIB

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポートの設定

設定例

IPSec VPN アカウンティングの設定例

IPSec VPN モニタリングの設定例

IPSec VPN SPA のモニタリングおよびアカウンティングの設定

この章では、Cisco 7600 シリーズ ルータ上の IPSec VPN SPA を使用してモニタリングおよびアカウンティングを設定する方法について説明します。具体的な内容は次のとおりです。

「IPSec VPN SPA のモニタリングおよびアカウンティングの概要」

「IPSec VPN セッションのモニタリングおよび管理」

「IPSec VPN アカウンティングの設定」

「Cisco VRF 対応 IPSec の IPSec および IKE MIB サポートの設定」

「設定例」


) Cisco IOS の IP セキュリティ(IPSec)暗号化処理およびポリシーについての詳細は、『Cisco IOS Security Configuration Guide』および『Cisco IOS Security Command Reference』を参照してください。


システム イメージおよびコンフィギュレーション ファイルの管理については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』および『 Cisco IOS Configuration Fundamentals Command Reference 』を参照してください。

この章で使用するコマンドの詳細については、『 Cisco IOS Software Releases 12.2SR Command References 』および『 Cisco IOS Software Releases 12.2SX Command References 』を参照してください。また、関連する CiscoIOS Release12.2 ソフトウェア コマンド リファレンスおよびマスター インデックスも参照してください。詳細については、「関連資料」を参照してください。


ヒント IPSec VPN SPA を使用して VPN を正しく設定するために、設定の概要および注意事項にすべて目を通してから設定作業を始めてください。


IPSec VPN SPA のモニタリングおよびアカウンティングの概要

この章では、IPSec VPN をモニタおよび管理するために使用できる IPSec 機能の一部について説明します。次のような機能があります。

IPSec VPN モニタリング機能:VPN のトラブルシューティングおよびエンドユーザ インターフェイスの監視に使用できる VPN セッションのモニタリング拡張機能が提供されます。

IPSec VPN アカウンティング機能:セッションが開始および停止された時間を示すセッション アカウンティング レコードが生成されます。

Cisco VRF 対応 IPSec の IPSec および Internet Key Exchange(IKE; インターネット キー エクスチェンジ)Management Information Base(MIB; 管理情報ベース)サポート機能:MIB を使用して VPN Routing and Forwarding(VRF; VPN ルーティングおよび転送)対応 IPSec を管理できるようにします。

IPSec VPN セッションのモニタリングおよび管理

IPSec VPN モニタリング機能により、VPN のトラブルシューティングおよびエンドユーザ インターフェイスの監視に使用できる VPN セッションのモニタリング拡張機能が提供されます。暗号セッションは、2 つの暗号化エンドポイント間の IPSec 接続(フロー)の集合です。2 つの暗号化エンドポイントがキーイング プロトコルとして IKE を使用している場合、これらのエンドポイントは相互に IKE ピアとして機能します。暗号セッションは通常、1 つの IKE SA(セキュリティ アソシエーション)(制御トラフィック用)および最低 2 つの IPSec SA(データ トラフィック用、各方向に 1 つずつ)で構成されます。キーの再生成中、または両端から同時にセットアップ要求が発行された場合、IKE SA および IPSec SA の重複や、同じセッションの IKE SA または IPSec SA の重複が発生することがあります。

セッションのモニタリング拡張機能は次のとおりです。

コンフィギュレーション ファイルの IKE ピアに関する記述を指定する機能

暗号化セッション ステータスのサマリー リスト

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知

共通のコマンドライン インターフェイス(CLI)を使用して IKE SA と IPSec SA の両方を削除する機能

IKE ピアの記述の追加

IPSec VPN セッションに IKE ピアの記述を追加するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# crypto isakmp peer { ip-address ip-address }

IPSec ピアによるアグレッシブ モードのトンネル アトリビュートに関する Authentication, Authorization, Accounting(AAA; 認証、認可、アカウンティング)の IKE クエリーをイネーブルにし、ISAKMP ピア コンフィギュレーション モードを開始します。

ip-address :ピアの IP アドレス。

ステップ 2

Router(config-isakmp-peer)# description description

IKE ピアに関する記述を追加します。

description :ピアを特定する記述。

ピアの記述の確認

ピアの記述を確認するには、 show crypto isakmp peer コマンドを入力します。

Router# show crypto isakmp peer
 
Peer: 10.2.2.9 Port: 500
Description: connection from site A
flags: PEER_POLICY
 

アドレス 10.2.2.9 のピアが接続し、セッションがアップ状態になると、Syslog ステータスが次のように表示されます。

%CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP. Peer 10.2.2.9:500 Description: connection from site A Id: ezvpn
 

暗号化セッション ステータスのサマリー リストの表示

すべてのアクティブな VPN セッションの一覧を表示するには、 show crypto session コマンドを入力します。次の内容が表示されます。

インターフェイス

IKE ピアの記述(ある場合)

IPSec SA を作成したピアに対応付けられている IKE SA

セッションのフローを処理している IPSec SA

同じピアに対して、複数の IKE または IPSec SA が確立される場合があります。その場合、ピアに対応付けられた IKE SA や、セッションのフローを処理している IPSec SA ごとに異なる値を使用して、IKE ピアの記述が繰り返されます。

このコマンドのバリエーションである show crypto session detail を使用して、セッションに関して、より詳しい情報を取得することもできます。

次に、 detail キーワードを使用しない show crypto session コマンドの出力例を示します。

Router# show crypto session
 
Crypto session current status
 
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 172.0.0.2/500
IKE SA: local 172.0.0.1/500 remote 172.0.0.2/500 Active
IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 10.30.30.0/255.255.255.0
Active SAs: 2, origin: crypto map
 

次に、 detail キーワードを使用した show crypto session コマンドの出力例を示します。

Router# show crypto session detail
 
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.1.1.3 port 500 fvrf: (none) ivrf: (none)
Desc: this is my peer at 10.1.1.3:500 Green
Phase1_id: 10.1.1.3
IKE SA: local 10.1.1.4/500 remote 10.1.1.3/500 Active
Capabilities:(none) connid:3 lifetime:22:03:24
IPSEC FLOW: permit 47 host 10.1.1.4 host 10.1.1.3
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
IPSEC FLOW: permit ip host 10.1.1.4 host 10.1.1.3
Active SAs: 4, origin: crypto map
Inbound: #pkts dec'ed 4 drop 0 life (KB/Sec) 4605665/2949
Outbound: #pkts enc'ed 4 drop 1 life (KB/Sec) 4605665/2949
 

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知機能により、暗号化セッションがアップまたはダウンになるたびに、Syslog に対する通知が行われます。セッション ステータスの Syslog ロギングをイネーブルにするには、コンフィギュレーション モードで crypto logging session コマンドおよび crypto logging ezvpn コマンドを入力します。

次に、暗号化セッションがアップ状態になったときの Syslog 通知の例を示します。

%CRYPTO-5-SESSION_STATUS: Crypto session is UP. Peer 10.6.6.1:500 fvrf=name10 ivrf=name20 Description: SJC24-2-VPN-Gateway Id: 10.5.5.2
 

次に、暗号化セッションがダウン状態になったときの Syslog 通知の例を示します。

%CRYPTO-5-SESSION_STATUS: Crypto session is DOWN. Peer 10.6.6.1:500 fvrf=name10 ivrf=name20 Description: SJC24-2-VPN-Gateway Id: 10.5.5.2
 

暗号化セッションのクリア

Cisco IOS の以前のソフトウェア リリースでは、IKE SA および IPSec SA の両方を 1 つのコマンドでクリアすることはできませんでした。その代わりに、 clear crypto isakmp コマンドを入力して IKE を、 clear crypto ipsec コマンドを使用して IPSec をクリアする必要がありました。 clear crypto session コマンドを使用すると、1 つのコマンドで IKE と IPSec の両方をクリアできます。特定の暗号化セッションまたはすべてのセッションのサブセット(特定のリモート サイトへの 1 つのトンネルなど)をクリアするには、セッション固有のパラメータ(ローカルまたはリモートの IP アドレス、ローカルまたはリモートのポート、Front door VRF(FVRF)名、Inside VRF(IVRF)名など)を指定する必要があります。通常、削除すべきトンネル 1 つを指定するには、リモート IP アドレスを使用します。

clear crypto session コマンドを入力するとき、パラメータとしてローカル IP アドレスを指定すると、その IP アドレスをローカルの暗号化エンドポイント(IKE ローカル アドレス)として共有するすべてのセッション(および各セッションの IKE SA と IPSec SA)がクリアされます。 clear crypto session コマンドを入力するときパラメータを指定しないと、ルータ上のすべての IPSec SA および IKE SA がクリアされます。

暗号化セッションをクリアするには、特権 EXEC モードで、ルータのコマンドラインから clear crypto session コマンドを入力します。このコマンドを使用する場合、コンフィギュレーション ファイル内のコンフィギュレーション ステートメントは必要ありません。

Router# clear crypto session
 

IPSec VPN モニタリングに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_ipsvm.html

IPSec VPN モニタリングの設定例は、「IPSec VPN モニタリングの設定例」を参照してください。

IPSec VPN アカウンティングの設定

IPSec VPN アカウンティング機能により、セッションが開始および停止された時間を示すセッション アカウンティング レコードが生成されます。

VPN セッションは、IKE SA およびその IKE SA によって作成された 1 つまたは複数の SA ペアとして定義されます。セッションは最初の IPSec ペアが作成された時点で開始し、すべての IPSec SA が削除された時点で停止します。IPSec アカウンティングを設定した場合、IKE フェーズの完了後にセッションのアカウンティング開始レコードが生成されます。キーの再生成を行っても、新しいアカウンティング レコードは生成されません。

セッション識別情報およびセッション使用情報が、標準的な Remote Authentication Dial-In User Service(RADIUS)アトリビュートおよびベンダー固有のアトリビュート(VSA)を使用して、RADIUS サーバに渡されます。

IPSec VPN アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# aaa new-model

アカウンティング サーバへの暫定アカウンティング レコードの定期的な送信をイネーブルにします。

ステップ 2

Router(config)# aaa authentication login list-name group radius

ログイン時の RADIUS サーバによる AAA 認証を設定します。

list-name :ユーザがログインした時点でアクティブにされる認証方式のリスト名として使用するストリング。

group radius :すべての RADIUS サーバのリストを認証に使用します。

ステップ 3

Router(config)# aaa authorization network list-name group radius

Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、PPP(ポイントツーポイント プロトコル)、PPP Network Control Program(NCP; ネットワーク コントロール プログラム)、AppleTalk Remote Access(ARA)など、すべてのネットワーク関連サービス要求について許可を実行します。

list-name :ユーザがログインした時点でアクティブにされる許可方式のリスト名として使用するストリング。

group radius :すべての RADIUS サーバのリストを認証に使用します。

ステップ 4

Router(config)# aaa accounting network list-name start-stop [ broadcast ] group radius

RADIUS を使用している場合、課金またはセキュリティの目的で、要求されたネットワーク関連サービスの AAA アカウンティングをイネーブルにします。

list-name :アカウンティング方式のリスト名として使用するストリング。

start-stop :プロセスの始まりにアカウンティング「開始」通知を、プロセスの終わりにアカウンティング「停止」通知を送信します。アカウンティング「開始」レコードがバックグラウンドで送信されます。アカウンティング サーバがアカウンティング「開始」通知を受信したかどうかにかかわらず、要求されたユーザ プロセスが開始されます。

broadcast :(任意)複数の AAA サーバへのアカウンティング レコードの送信をイネーブルにします。同時に、各グループの最初のサーバにアカウンティング レコードを送信します。最初のサーバが使用不可能な場合、そのグループで定義されているバックアップ サーバへのフェールオーバーが行われます。

group radius :aaa group server radius コマンドで定義されたすべての RADIUS サーバのリストを認証に使用します。

ステップ 5

Router(config)# aaa accounting update periodic minutes

(任意)セッションがアップ状態で、アカウンティング サーバにアップデートを送信します。

minutes :アカウンティング サーバにアカウンティング レコードを送信する間隔(分)を指定します。

ステップ 6

Router(config)# aaa session-id common

コール内の各 AAA アカウンティング サービス タイプに同じセッション ID を使用するか、それともアカウンティング サービス タイプごとに異なるセッション ID を割り当てるかを指定します。

common :対象となるコールに関して送信されるすべてのセッション ID 情報が同じになるようにします。デフォルトの動作は common です。

ステップ 7

Router(config)# crypto isakmp profile profile-name

IPSec ユーザ セッションを監査し、ISAKMP プロファイル コンフィギュレーション モードを開始します。

profile-name :ユーザ プロファイルの名前。ユーザ プロファイルに RADIUS サーバを対応付けるには、ユーザ プロファイル名を指定する必要があります。

ステップ 8

Router(conf-isa-prof)# vrf ivrf

VRF インスタンス名にオンデマンドのアドレス プールを対応付けます。

ivrf :IPSec トンネルをマッピングする VRF。

ステップ 9

Router(conf-isa-prof)# match identity group group-name

ピアからのアイデンティティを ISAKMP プロファイルと照合します。

group-name :識別子(ID)タイプ ID_KEY_ID と一致する Unity グループ。Unity およびメイン モードの Rivest, Shamir, and Adelman(RSA)シグニチャを使用する場合、 group-name 引数は DN(認定者名)の Organizational Unit(OU)フィールドと一致します。

ステップ 10

Router(conf-isa-prof)# client authentication list list-name

ISAKMP プロファイルに IKE 拡張認証(XAUTH)を設定します。

list-name :ユーザがログインした時点でアクティブにされる認証方式のリスト名として使用するストリング。このリスト名は、AAA の設定時に定義したリスト名と同じである必要があります。

ステップ 11

Router(conf-isa-prof)# isakmp authorization list list-name

ISAKMP プロファイル内の AAA サーバを使用し、IKE 共有秘密パラメータおよびその他のパラメータを設定します。共有秘密などのパラメータは一般に、モード コンフィギュレーション(MODECFG)によってリモート ピアにプッシュされます。

list-name :コンフィギュレーション モード アトリビュートまたはアグレッシブ モードの事前共有キーとして使用される AAA 許可リスト

ステップ 12

Router(conf-isa-prof)# client configuration address [ initiate | respond ]

ISAKMP プロファイルで IKE モード コンフィギュレーション(MODECFG)を設定します。

initiate :(任意)ルータは各ピアの IP アドレスの設定を試みます。

respond :(任意)ルータは任意の要求元ピアからの IP アドレスの要求を受け付けます。

ステップ 13

Router(conf-isa-prof)# accounting list-name

この Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを使用して、接続するすべてのピアについて AAA アカウンティング サービスをイネーブルにします。

list-name :クライアント アカウンティング リストの名前。

ステップ 14

Router(conf-isa-prof)# exit

ISAKMP プロファイル コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 15

Router(config)# crypto dynamic-map dynamic-map-name dynamic-seq-num

ダイナミック暗号マップ テンプレートを作成し、暗号マップ コンフィギュレーション コマンド モードを開始します。

dynamic-map-name :ポリシー テンプレートとして使用するダイナミック暗号マップ セットの名前。

dynamic-seq-num :ダイナミック暗号マップ エントリに割り当てるシーケンス番号。

ステップ 16

Router(config-crypto-map)# set transform-set transform-set-name

暗号マップ テンプレートとともに使用できるトランスフォーム セットを指定します。トランスフォーム セットは、IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。トランスフォーム セットおよび使用できる値については、『 Cisco IOS Security Command Reference 』に記載されています。

transform-set-name :トランスフォーム セットの名前。

ステップ 17

Router(config-crypto-map)# set isakmp-profile profile-name

ISAKMP プロファイル名を設定します。

profile-name :ISAKMP プロファイルの名前。

ステップ 18

Router(config-crypto-map)# reverse-route [ remote-peer ]

VPN リモート トンネルのエンドポイントの後ろに、宛先へのルート(IP アドレス)を挿入できるようにします。トンネル エンドポイント自体へのルートも含めることができます(暗号マップの remote-peer キーワードを使用)。

remote-peer :(任意)パブリック IP アドレスおよび IPSec トンネルの宛先アドレスのルートが、ルーティング テーブルに挿入されます。

ステップ 19

Router(config-crypto-map)# exit

暗号マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 20

Router(config)# crypto map map-name ipsec-isakmp dynamic dynamic-map-name

ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-nam e:暗号マップ セットの識別名。

dynamic-map-name :ポリシー テンプレートとして使用するダイナミック暗号マップ セットの名前。

ステップ 21

Router(config)# radius-server host ip-address [ auth-port auth-port-number ] [ acct-port acct - port-number ]

RADIUS サーバ ホストを指定します。

ip-address :RADIUS サーバ ホストの IP アドレス。

auth-port-number :(任意)認証要求の UDP 宛先ポート番号。0 に設定する場合、ホストは認証に使用されません。指定しない場合、デフォルトでポート番号 1645 が使用されます。

acct-port-number :(任意)アカウンティング要求の UDP 宛先ポート番号。0 に設定する場合、ホストはアカウンティングに使用されません。指定しない場合、デフォルトでポート番号 1646 が使用されます。

ステップ 22

Router(config)# radius-server key string

ルータと RADIUS デーモンの間のすべての RADIUS 通信に使用される認証および暗号キーを設定します。

string :暗号化されない(平文の)共有キー。

ステップ 23

Router(config)# interface type slot /[subslot]/ port

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

slot /[ subslot ]/ port :設定するスロット、サブスロット(省略可能)、およびポートの番号。

ステップ 24

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-nam e:暗号マップ セットの識別名。

IPSec VPN アカウンティングに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ft_evpna.html

IPSec VPN アカウンティングの設定例は、「IPSec VPN アカウンティングの設定例」を参照してください。

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポートの設定

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポート機能を使用すると、MIB を使用して VRF 対応 IPSec を管理できます。この機能の利点は、VRF 対応 IPSec MIB によって、VRF ごとに詳細な IPSec 統計情報およびパフォーマンス メトリックが提供されることです。


) Cisco VRF 対応 IPSec 機能に対する IPSec および IKE MIB のサポートは、Cisco IOS Release 12.2(33)SRA 以降のリリースでのみサポートされています。


Cisco VRF 対応 IPSec の IPSec および IKE MIB サポート機能でサポートされる MIB

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポート機能では、次の MIB がサポートされます。

CISCO-IPSEC-FLOW-MONITOR-MIB

ISCO-IPSEC-MIB

CISCO-IPSEC-POLICY-MAP-MIB:引き続きサポートされます。ただし、この MIB は特定の VPN VRF インスタンスでなくルータ全体に適用されるため、VRF 対応ではありません。したがって、この MIB に属する Object Identifier(OID; オブジェクト識別子)のポーリングは、グローバル VRF コンテキストに関して実現されます。

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポートの設定

この機能には、特別な設定は必要ありません。SNMP(簡易ネットワーク管理プロトコル)フレームワークを使用して、MIB による VRF 対応 IPSec を管理できます。

Cisco VRF 対応 IPSec の IPSec および IKE MIB サポートの詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t4/ht_iimib.html

設定例

ここでは、次の設定例を示します。

「IPSec VPN アカウンティングの設定例」

「IPSec VPN モニタリングの設定例」


) 次に、Cisco IOS Release 12.2(33)SRA のレベルでコマンドを使用する例を示します。

Cisco IOS Release 12.2(33)SRA では、それまでのリリースで使用されていた crypto engine subslot コマンドは、crypto engine slot コマンド(形式は crypto engine slot slot {inside | outside})に置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


IPSec VPN アカウンティングの設定例

以下に、IPSec VPN アカウンティング機能をイネーブルにする例を示します。

aaa new-model
!
!
aaa group server radius r1
server-private 10.30.1.52 auth-port 1812 acct-port 1813 key allegro
!
aaa authentication login test_list group r1
aaa authorization network test_list group r1
aaa accounting update periodic 10 jitter maximum 0
aaa accounting network test_list start-stop group r1!
!
ip vrf ivrf1
rd 1:2
!
crypto engine mode vrf
!
crypto isakmp policy 5
encr 3des
authentication pre-share
group 2
lifetime 14400
!
crypto isakmp client configuration group test
key world
pool pool1
!
crypto isakmp profile test_pro
vrf ivrf1
match identity group test
client authentication list test_list
isakmp authorization list test_list
client configuration address respond
accounting test_list
!
crypto ipsec transform-set t3 esp-3des esp-sha-hmac
!
!
crypto dynamic-map dyn-ra 10
set transform-set t3
set isakmp-profile test_pro
reverse-route
!
!
crypto map map-ra local-address GigabitEthernet3/15
crypto map map-ra 1 ipsec-isakmp dynamic dyn-ra
!
!
interface GigabitEthernet1/0/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,1002-1005
switchport mode trunk
mtu 9216
mls qos trust ip-precedence
flowcontrol receive on
flowcontrol send off
spanning-tree portfast edge trunk
!
interface GigabitEthernet1/0/2
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
mls qos trust ip-precedence
flowcontrol receive on
flowcontrol send off
spanning-tree portfast edge trunk
!
!
 
interface GigabitEthernet3/15
mtu 9216
ip address 120.0.0.254 255.255.255.0
crypto engine outside
!
!
!
interface Vlan100
ip vrf forwarding ivrf1
ip address 120.0.0.100 255.255.255.0
ip flow ingress
crypto map map-ra
crypto engine slot 1/0 inside
!
!
!
ip local pool pool1 100.0.1.1 100.0.5.250
 

IPSec VPN モニタリングの設定例

以下に、IKE ピアで IPSec VPN モニタリングを設定する例を示します。

!
upgrade fpd auto
version 12.2
service timestamps debug datetime
service timestamps log datetime
no service password-encryption
service counters max age 5
!
hostname Ez-DCM-CC
!
boot-start-marker
boot system disk1:s72033-adventerprisek9_wan-mz.122-33.SXH
boot-end-marker
!
logging buffered 1000000 debugging
enable secret 5 $1$i5FZ$47ybx5dEaUKc3eRaDIZ/z.
!
username cisco password 0 cisco
username t1 password 0 t1
username t2 password 0 t2
username t3 password 0 t3
username t4 password 0 t4
username t5 password 0 t5
username t6 password 0 t6
username t7 password 0 t7
username t8 password 0 t8
username user1 password 0 letmein
aaa new-model
aaa authentication login myuserlist local
aaa authorization network myuserlist local
!
aaa session-id common
clock timezone PST -7
call-home
alert-group configuration
alert-group diagnostic
alert-group environment
alert-group inventory
alert-group syslog
profile "CiscoTAC-1"
no active
no destination transport-method http
destination transport-method email
destination address email callhome@cisco.com
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
subscribe-to-alert-group diagnostic severity minor
subscribe-to-alert-group environment severity minor
subscribe-to-alert-group syslog severity major pattern ".*"
subscribe-to-alert-group configuration periodic monthly 10 15:08
subscribe-to-alert-group inventory periodic monthly 10 14:53
ip subnet-zero
!
no ip domain-lookup
ip domain-name cisco.com
ipv6 mfib hardware-switching replication-mode ingress
vtp mode transparent
no mls acl tcam share-global
mls netflow interface
no mls flow ip
no mls flow ipv6
mls cef error action freeze
!
redundancy
keepalive-enable
mode sso
linecard-group 0 feature-card
class load-sharing
subslot 4/0
main-cpu
auto-sync running-config
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
diagnostic monitor syslog
diagnostic cns publish cisco.cns.device.diag_results
diagnostic cns subscribe cisco.cns.device.diag_commands
!
power redundancy-mode combined
port-channel per-module load-balance
!
vlan internal allocation policy descending
vlan access-log ratelimit 2000
!
vlan 2-3,16-17
!
crypto logging session
crypto logging ezvpn
!
crypto logging ezvpn group mygroup
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
lifetime 43200
crypto isakmp key WorldCup2006 address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group mygroup
key mykey
pool mypool
!
crypto isakmp peer address 16.0.0.3
description first-ezvpn-client
!
crypto isakmp peer address 16.0.0.4
description second-ezvpn-client
!
crypto ipsec security-association lifetime seconds 21600
!
crypto ipsec transform-set MyTranSet esp-aes esp-sha-hmac
no crypto ipsec nat-transparency udp-encaps
!
crypto call admission limit ike in-negotiation-sa 10
!
crypto dynamic-map DynMap1 10
set transform-set MyTranSet
reverse-route
!
crypto map MyMap1 client authentication list myuserlist
crypto map MyMap1 isakmp authorization list myuserlist
crypto map MyMap1 client configuration address respond
crypto map MyMap1 500 ipsec-isakmp dynamic DynMap1
!
interface GigabitEthernet1/25
no ip address
crypto connect vlan 16
!
interface GigabitEthernet1/27
no ip address
crypto connect vlan 17
!
interface GigabitEthernet1/29
ip address 26.0.0.2 255.255.255.0
!
interface GigabitEthernet4/0/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 16,17,1002-1005
switchport mode trunk
mtu 9216
mls qos vlan-based
mls qos trust cos
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1002-1005
switchport mode trunk
mtu 9216
mls qos trust cos
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet5/2
ip address 44.0.111.114 255.0.0.0
media-type rj45
!
interface Vlan1
no ip address
ip flow ingress
ip igmp snooping querier
shutdown
!
interface Vlan16
ip address 16.0.0.2 255.255.224.0
no mop enabled
crypto map MyMap1
crypto engine slot 4/0
!
interface Vlan17
ip address 16.0.32.2 255.255.224.0
no mop enabled
crypto map MyMap1
crypto engine slot 4/0
!
ip local pool mypool 36.0.0.1 36.0.15.254
ip local pool mypool 36.0.16.1 36.0.31.254
ip local pool mypool 36.0.32.1 36.0.47.254
ip local pool mypool 36.0.48.1 36.0.63.254
ip default-gateway 44.0.100.1
ip classless
ip route 43.0.0.0 255.0.0.0 44.0.100.1
ip route 45.0.0.0 255.0.0.0 44.0.100.1
ip route 223.255.254.53 255.255.255.255 44.0.100.1
ip route 223.255.254.54 255.255.255.255 44.0.100.1
!
no ip http server
no ip http secure-server
!
radius-server source-ports 1645-1646
!
control-plane
!
dial-peer cor custom
!
line con 0
exec-timeout 0 0
line vty 0 4
password cisco
transport input lat pad mop udptn telnet rlogin ssh nasi acercon
line vty 5 15
transport input lat pad mop udptn telnet rlogin ssh nasi acercon
!
monitor event-trace platform cmfi lc agg-label
monitor event-trace platform cmfi lc error
ntp clock-period 17280219
ntp update-calendar
ntp server 223.255.254.254
ntp server 223.255.254.53
mac-address-table aging-time 0
!
end