Cisco 7600 シリーズ ルータ SIP/SSC/SPA ソフトウェア コンフィギュレーション ガイド
IPSec VPN SPA の概要
IPSec VPN SPA の概要
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

IPSec VPN SPA の概要

リリース履歴

IPSec VPN SPA の概要

IPsec の機能テーブル

すべての VPN モードに共通の IPSec 機能

暗号接続モードでの IPsec 機能

VRF モードでの IPsec 機能

最近の変更

相互運用性

制約事項

サポートされる MIB

ハードウェアベースの暗号化モードのイネーブル化

ハードウェア ベースの暗号化モードの設定時の注意事項

SPA ハードウェア タイプの表示

show module コマンドの例

show crypto eli コマンドの例

IPSec VPN SPA の概要

この章では、IPSec VPN SPA のリリース履歴、機能、および MIB(管理情報ベース)サポートの概要を示します。

この章の内容は次のとおりです。

「リリース履歴」

「IPSec VPN SPA の概要」

「IPsec の機能テーブル」

「相互運用性」

「制約事項」

「サポートされる MIB」

「ハードウェアベースの暗号化モードのイネーブル化」

「SPA ハードウェア タイプの表示」

リリース履歴

 

リリース
変更点

Cisco IOS Release 12.2(18)SXF6

SX リリース トレインの IPSec アンチリプレイ ウィンドウ サイズ機能のサポートが追加されました。

Cisco IOS Release 12.2(33)SRA

サポートが追加された機能は、前面扉 VPN Routing/Forwarding instance(VRF; VPN ルーティング/転送インスタンス)、IP Security(IPSec)Virtual Tunnel Interface(VTI)、VRF なしでの VRF モードでの VTI または GRE/IP の設定(グローバル コンテキストでのトンネルの終端)、ISAKMP プロファイル マッピングに対する証明書、コール アドミッション制御、定期的なメッセージ オプション(現在は Dead Peer Detection [DPD] でサポート)、Reverse Route Injection(RRI; 逆ルート注入)、IPSec アンチリプレイ ウィンドウサイズ、IPSec 優先ピア、ローカル証明書ストレージ場所、オプションの Online Certificate Status Protocol(OCSP)ナンス、永続的な自己署名証明書、証明書チェーン検証、Easy VPN リモート RSA シグニチャ ストレージ、および Cisco VRF 対応 IPSec のための IPSec および IKE MIB サポートです。

前のリリースから次の点が変更されていますので注意してください。

トンネル キャパシティが 16,000 トンネルに増加されました。

次のコマンドにサポートが追加されました。

clear crypto engine accelerator counter コマンド -- プラットフォームおよびネットワーク インターフェイスのコントローラの統計情報をクリアします。

show crypto engine accelerator counter コマンド -- プラットフォームおよびネットワーク インターフェイスのコントローラの統計情報を表示します。

show crypto eli コマンド -- アクティブな IKE SA および IPSec セッション数および各 IPSec VPN SPA に使用されている D-H キー数を表示します。

Cisco IOS Release 12.2(33)SRA は Supervisor Engine 32 および Supervisor Engine 720 でのみサポートされます。

以前のリリースとは異なり、HSRP および SSP を使用する IPSec ステートフル フェールオーバーのサポートは含まれません。

crypto engine subslot コマンドは、crypto engine slot コマンドに置き換えられました。

1 つの長いコンフィギュレーションの章が 7 つの小さい章に再編成され、リリース依存機能を説明する表が追加されました。

リリースごとのスーパーバイザおよびラインカードのサポートを差別化する表を含むように「相互運用性」の項が拡張されました。

Cisco IOS Release 12.2(18)SXF2

Supervisor Engine 2、Supervisor Engine 32、および IP multicast over a GRE トンネルのコンフィギュレーションのサポートが追加されました。

Cisco IOS Release 12.2(18)SXE5

次の 2 つの GRE テイクオーバー コマンドにサポートが追加されました。

crypto engine gre supervisor コマンド -- ルータがスーパーバイザ エンジン ハードウェアまたはルート プロセッサ(RP)を使用して GRE を処理するように設定します。

crypto engine gre vpnblade コマンド -- ルータが IPSec VPN SPA を使用して GRE を処理するように設定します。

Cisco IOS Release 12.2(18)SXE2

Cisco 7600 シリーズ ルータの Cisco 7600 SSC-400 に IPSec VPN SPA のサポートが追加されました。

IPSec VPN SPA の概要

IPSec VPN SPA は、Cisco 7600 シリーズ ルータに搭載し、IPSec 暗号化および復号化、GRE、および Internet Key Exchange(IKE)鍵生成のためのハードウェア アクセラレーションを提供するギガビット イーサネット IPSec 暗号化 SPA です。


) Cisco IOS Release 12.2(33)SRA では、Cisco IOS ソフトウェア ベースの暗号化モードをサポートしなくなりました。ここで説明されているソフトウェア ベースの暗号化機能は、Release 12.2SXF 以前のリリースでサポートされています。


Cisco IOS における IPSec の既存の実装では、Authentication Header(AH)、Encapsulating Security Payload(ESP)、および IKE を含めて、あらゆるセキュリティ プロトコルがサポートされています。これらのアクティビティは大量のリソースを消費するので、セキュアな VPN 上でライン レートの伝送速度を達成するのは困難です。この問題を解決するため、広い VPN 帯域幅が必要な特定のプラットフォームでは、ハードウェアのフォワーディング エンジンと連携する Bump-in-the-Wire(BITW)IPSec ハードウェア カードを実装しています。これらのプラットフォームでは、ポリシー実施のほかにバルク暗号化および転送の動作が Route Processor(RP; ルート プロセッサ)からオフロードされるので、ルータを通過する各パケットを処理する必要がありません。その結果、セッションの確立、キーの管理といった他の機能のためにリソースが解放されます。IPSec VPN SPA には、Cisco 7600 シリーズ ルータに対応する VLAN(仮想 LAN)を使用した BITW IPSec が実装されています。


) BITW は、IP スタックがパケットの処理を終了したあとで出力パケットの処理を開始し、IP スタックがパケットを受信する前に、入力パケットの処理を終了する IPSec 実装です。


IPSec VPN SPA は他の Cisco 7600 シリーズ ルータ モジュールで複数のファスト イーサネット ポートまたはギガビット イーサネット ポートを使用して、WAN ルータを介してインターネットに接続できます。物理ポートは、ポート VLAN(pvlan)という VLAN を介して IPSec VPN SPA に接続できます。WAN ルータから受信したパケットは、IPSec 処理のために IPSec VPN SPA を通過します。パケットは、インターフェイスまたは内部 VLAN(または ivlan)という専用 VLAN に出力されます。コンフィギュレーション モード(VRF モードまたは暗号接続モード)に応じて、ivlan または pvlan を明示的に設定したり、システムによって暗黙的に割り当てることができます。

LAN 側では、LAN ポート間のトラフィックは複数のファスト イーサネットまたはギガビット イーサネット ポートでルーティングまたはブリッジングできます。LAN トラフィックは暗号化または復号化の対象にならないので、IPSec VPN SPA を通過しません。

IPSec VPN SPA は、ルーティング情報の維持、ルーティング、またはパケットの MAC(メディア アクセス制御)ヘッダーの変更は(1 つの VLAN から別の VLAN への VLAN ID は例外)実行しません。

IPsec の機能テーブル

次の表に、各 VPN モードでサポートされる、およびサポートされない IPsec VPN モジュールの IPSec 機能をソフトウェア リリースごとに示します。

「すべての VPN モードに共通の IPSec 機能」

「暗号接続モードでの IPsec 機能」

「VRF モードでの IPsec 機能」

「最近の変更」


) ここでは、サポートされているテスト済の IPSec VPN SPA の機能とアプリケーションについて記載します。この表および後続の章に明示的に記載されていない機能およびアプリケーションは、サポート対象外とお考えください。ここに記載されていない設定を実装する場合は、事前にシスコ アカウント チームにご連絡ください。


すべての VPN モードに共通の IPSec 機能

表23-1 に、すべての VPN モードに共通のサポートされる IPSec 機能およびサポートされない IPSec 機能を示します。

 

表23-1 すべての VPN モードでサポートされる IPSec 機能およびサポートされない IPSec 機能

機能名
ソフトウェア リリース 12.2
SXE
SXF
SRA
SRB、SRC
SXH 1

ソフトウェア暗号を使用する IPSec トンネル

非サポート

非サポート

非サポート

非サポート

非サポート

拡張された GRE テイクオーバー(スーパーバイザ エンジンが処理できない場合)

サポート

サポート

サポート

サポート

サポート

GRE を介したマルチキャスト

非サポート

サポート

サポート

サポート

サポート

mGRE / DMVPN を介したマルチキャスト

非サポート

非サポート

非サポート

非サポート

非サポート

マルチキャスト スケーラビリティ拡張機能(シングル SPA モード)

非サポート

サポート

サポート

サポート

サポート

SPA-IPSEC-2G のみを装備した Advanced Encryption Standard(AES; 高度暗号化規格)

サポート

サポート

サポート

サポート

サポート

ISAKMP キーリング

サポート

サポート

サポート

サポート

サポート

SafeNet Client サポート

サポート

サポート

サポート

サポート

サポート

ピア フィルタリング(SafeNet Client サポート)

非サポート

非サポート

非サポート

非サポート

非サポート

証明書/ISAKMP プロファイル マッピング

サポート

サポート

サポート

サポート

サポート

暗号化事前共有キー

サポート

サポート

サポート

サポート

サポート

IKE アグレッシブ モードの開始

非サポート

非サポート

非サポート

非サポート

非サポート

IKE の CAC

非サポート

非サポート

サポート

サポート

サポート

DPD オンデマンド

サポート

サポート

サポート

サポート

サポート

DPD 定期的なメッセージ オプション

非サポート

非サポート

サポート

サポート

サポート

IPSec Network Address Translation(NAT; ネットワーク アドレス変換)の透過機能(NAT-T)

サポート

サポート

サポート

サポート

サポート

IPSec のある Look-Ahead Fragmentation(LAF)

サポート

サポート

サポート

サポート

サポート

Reverse Route Injection(RRI)

サポート

サポート

サポート

サポート

サポート

IPSec アンチリプレイ ウィンドウ サイズ

非サポート

サポート

サポート

サポート

サポート

IPSec 優先ピア

サポート

サポート

サポート

サポート

サポート

暗号マップ単位の(およびグローバルな)IPSec SA(セキュリティ アソシエーション)アイドル タイマー

サポート

サポート

サポート

サポート

サポート

Distinguished Name(DN; 識別名)ベースの暗号マップ

サポート

サポート

サポート

サポート

サポート

Access Control List(ACL; アクセス コントロール リスト)のシーケンス

サポート

サポート

サポート

サポート

サポート

拒否ポリシー設定の拡張機能

サポート

サポート

サポート

サポート

サポート

IPSec VPN SPA QoS キューイング

サポート

サポート

サポート

サポート

サポート

複数の RSA キー ペアのサポート

非サポート

非サポート

サポート

サポート

サポート

保護された秘密鍵ストレージ

非サポート

非サポート

サポート

サポート

サポート

トラストポイント CLI

非サポート

非サポート

サポート

サポート

サポート

トラストポイントごとのクエリー モード

非サポート

非サポート

非サポート

非サポート

非サポート

ローカル証明書ストレージ場所

非サポート

非サポート

サポート

サポート

サポート

CA サーバへの HTTP による直接登録

サポート

サポート

サポート

サポート

サポート

手動での証明書登録(Trivial File Transfer Protocol [TFTP; 簡易ファイル転送プロトコル]およびカットアンドペースト)

非サポート

非サポート

サポート

サポート

サポート

証明書の自動登録

非サポート

非サポート

サポート

サポート

サポート

キーのロールオーバーによる CA の更新

非サポート

非サポート

非サポート

非サポート

非サポート

Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)クエリーの複数のサーバ

非サポート

非サポート

非サポート

非サポート

非サポート

OCSP

非サポート

非サポート

非サポート

非サポート

非サポート

オプションの OCSP ナンス

非サポート

非サポート

非サポート

非サポート

非サポート

証明書のセキュリティ アトリビュートに基づくアクセス制御

非サポート

非サポート

非サポート

非サポート

非サポート

件名全体を使用する PKI AAA 許可

非サポート

非サポート

非サポート

非サポート

非サポート

件名を使用した PKI ローカル認証

非サポート

非サポート

サポート

サポート

サポート

CA への発信トラフィックの送信元インターフェイス選択

非サポート

非サポート

非サポート

非サポート

非サポート

IOS CA サーバとしての永続的自己署名証明書

非サポート

非サポート

非サポート

非サポート

非サポート

証明書チェーン検証

非サポート

非サポート

非サポート

非サポート

非サポート

マルチティア証明書のサポート

サポート

サポート

サポート

サポート

サポート

Dynamic Multipoint VPN Phase 2(DMVPN)(mGRE; TP & NHRP)

サポート

サポート

サポート

サポート

サポート

Easy VPN サーバの拡張機能

非サポート

非サポート

非サポート

非サポート

非サポート

Easy VPN サーバの基本的な機能

サポート

サポート

サポート

サポート

サポート

事前共有キーを使用する Easy VPN Remote のある INTEROP

サポート

サポート

サポート

サポート

サポート

RSA シグニチャを使用する Easy VPN Remote のある INTEROP

非サポート

非サポート

サポート

サポート

サポート

HSRP を使用したステートレス フェールオーバー

サポート

サポート

サポート

サポート

サポート

HSRP および SSP を使用するシャーシ間のステートフル フェールオーバー、および事前共有キー(暗号マップあり)を使用するサイト間 IPSec

サポート

サポート

非サポート

非サポート

非サポート

DMVPN、GRE/TP、VTI, Easy VPN、または PKI を使用するシャーシ間フェールオーバー(IPSec ステートフル フェールオーバー)

非サポート

非サポート

非サポート

非サポート

非サポート

ブレード間でのステートフル フェールオーバー

サポート

サポート

サポート

サポート

サポート

IPSec VPN モニタリング(IPSec フロー MIB)

サポート

サポート

サポート

サポート

サポート

IPSec VPN アカウンティング(開始/停止/暫定)

サポート

サポート

サポート

サポート

サポート

Crypto Conditional Debug のサポート

非サポート

サポート

サポート

サポート

サポート

show crypto engine accelerator statistic コマンド

非サポート

非サポート

サポート

サポート

サポート

clear crypto engine accelerator counter コマンド

非サポート

非サポート

サポート

サポート

サポート

LAN インターフェイス上の Policy Based Routing(PBR; ポリシーベース ルーティング)

サポート

サポート

サポート

サポート

サポート

インターフェイス VLAN 上の PBR

非サポート

非サポート

非サポート

非サポート

非サポート

インターフェイス VLAN 上の ACL/PVR/QoS/NAT(暗号マップあり)

非サポート

非サポート

非サポート

非サポート

非サポート

16K トンネル(16K IKE & IPSec トンネル)

非サポート

非サポート

サポート

サポート

サポート

VRF モードと暗号接続モードの切り替えによりリブートが必要

サポート

サポート

サポート

サポート

サポート

トンネル保護(TP)トンネル上の GRE キープアライブ(注意事項 CSCeb38231 を参照)

非サポート

非サポート

非サポート

非サポート

非サポート

mGRE/DMVPN トンネル上の GRE キープアライブ

非サポート

非サポート

非サポート

非サポート

非サポート

NAT ゲートウェイの後ろの DMVPN ハブ ルータ

サポート

サポート

サポート

サポート

サポート

DMVPN トンネル上のマルチキャスト トランジット トラフィック

非サポート

非サポート

非サポート

非サポート

非サポート

TP トンネル上の非 IP バージョン 4(IPv4)トラフィック

非サポート

非サポート

非サポート

非サポート

非サポート

PCE(パケット分類拡張機能)(注意事項 CSCeh34388 を参照)

非サポート

非サポート

非サポート

非サポート

非サポート

DMVPN 階層ハブ(DMVPN フェーズ 3 機能)

非サポート

非サポート

非サポート

非サポート

非サポート

Supervisor Engine 2 のサポート

サポート

サポート

非サポート

非サポート

非サポート

VPNSM のサポート

サポート

サポート

非サポート

非サポート

非サポート

暗号接続モードのシリアル インターフェイスすべてには「ip unnumber null 0」が含まれている必要がある

非サポート

非サポート

非サポート

サポート

サポート

手動キー

非サポート

サポート

非サポート

非サポート

非サポート

トンネル エンドポイント ディスカバリ

サポート

サポート

非サポート

非サポート

非サポート

転送隣接トランスフォーム セット(AH と ESP ともに)

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec パケットの転送

非サポート

サポート

サポート

サポート

サポート

VSS を搭載した VPN SPA

非サポート

非サポート

非サポート

非サポート

非サポート

WAN ラインカード冗長性(HSRP)

非サポート

非サポート

非サポート

非サポート

非サポート

圧縮

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec トンネル経由の IP ヘッダー オプション

非サポート

非サポート

非サポート

非サポート

非サポート

1.SXH は、Catalyst 6500 シリーズ スイッチ用のソフトウェア リリースです。このリリースは、Cisco 7600 シリーズ ルータには適用されません。

暗号接続モードでの IPsec 機能

表23-2 に、暗号接続モードでサポートされる IPSec 機能およびサポートされない IPSec 機能を示します。

 

表23-2 暗号接続 VPN モードでサポートされる IPSec 機能およびサポートされない IPSec 機能

機能名
ソフトウェア リリース 12.2
SXE
SXF
SRA
SRB、SRC
SXH 2

point-to-point(p2p; ポイントツーポイント)GRE、トンネル保護、および VTI

非サポート

非サポート

非サポート

非サポート

非サポート

DMVPN

サポート

サポート

サポート

サポート

サポート

mGRE 上での IPSec VPN SPA mls qos trust

非サポート

非サポート

非サポート

非サポート

非サポート

Path MTU Discovery(PMTUD)

非サポート

非サポート

サポート

サポート

サポート

PMTUD(NAT-T)

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec Static Virtual Tunnel Interface(sVTI)

非サポート

非サポート

非サポート

非サポート

非サポート

暗号機能と組み合わせた VRF の使用

非サポート

非サポート

非サポート

非サポート

非サポート

2.SXH は、Catalyst 6500 シリーズ スイッチ用のソフトウェア リリースです。このリリースは、Cisco 7600 シリーズ ルータには適用されません。

VRF モードでの IPsec 機能

表23-3 に、VRF モードでサポートされる IPSec 機能およびサポートされない IPSec 機能を示します。

 

表23-3 VRF モードでサポートされる IPSec 機能およびサポートされない IPSec 機能

機能名
ソフトウェア リリース 12.2
SXE
SXF
SRA
SRB、SRC
SXH 3

グローバル VRF

サポート

サポート

サポート

サポート

サポート

前面扉 VRF

非サポート

非サポート

サポート

サポート

サポート

VRF 内の IP アドレス スペースのオーバーラップ

サポート

サポート

サポート

サポート

サポート

インターフェイスでのセカンダリ IP アドレス

非サポート

非サポート

非サポート

非サポート

非サポート

Reverse Route リモート ピア オプション

非サポート

非サポート

非サポート

非サポート

非サポート

MPLS over GRE/IPSec(トンネル インターフェイス上でのタグ スイッチング)

非サポート

非サポート

非サポート

非サポート

非サポート

MPLS 上での PE 間での暗号化(IPSec のみ)

非サポート

非サポート

非サポート

非サポート

非サポート

MPLS 上での PE 間での暗号化(トンネル保護)(注意事項 CSCef44310 を参照)

非サポート

非サポート

非サポート

非サポート

非サポート

スタティック暗号マップを使用する CE-PE 暗号化

非サポート

非サポート

非サポート

非サポート

非サポート

ソフトウェアスイッチング TP トンネル(注意事項 CSCef63742)

非サポート

非サポート

非サポート

非サポート

非サポート

すべてのトンネル インターフェイス上の IPSec VPN SPA mls QoS:IPSec、GRE、mGRE

非サポート

非サポート

非サポート

非サポート

非サポート

RADIUS のある VRF 単位の AAA

非サポート

非サポート

非サポート

サポート

サポート

TACACS のある VRF 単位の AAA

非サポート

非サポート

非サポート

サポート

非サポート

VTI を介したマルチキャスト

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec Static Virtual Tunnel Interface(sVTI)

非サポート

非サポート

サポート

サポート

サポート

VTI での ip tcp adjust-mss コマンド

非サポート

非サポート

非サポート

非サポート

非サポート

外部インターフェイス上の入力機能(ACL、PBR、インバウンド サービス ポリシー)

非サポート

非サポート

非サポート

非サポート

非サポート

グローバル コンテキストでの TP サポート

非サポート

非サポート

サポート

サポート

サポート

外部インターフェイス上のアウトバウンド サービス ポリシー

サポート

サポート

サポート

サポート

サポート

トランスポート モードで作成された暗号マップを使用した IPSec SA

非サポート

非サポート

非サポート

非サポート

非サポート

Path MTU Discovery(PMTUD)

非サポート

非サポート

非サポート

非サポート

非サポート

TP トンネル上の非 IPv4 トラフィック

非サポート

非サポート

非サポート

非サポート

非サポート

3.SXH は、Catalyst 6500 シリーズ スイッチ用のソフトウェア リリースです。このリリースは、Cisco 7600 シリーズ ルータには適用されません。

最近の変更

重要な最近の機能変更は次のとおりです。

Cisco IOS Release 12.2(33)SRA では、ソフトウェア ベースの暗号化モードをサポートしなくなりました。

Cisco IOS Release 12.2(33)SRA でトンネル キャパシティが 16,000 トンネルに増加されました。


) IKE キープアライブで Dead Peer Detection(DPD)を使用すると、通常はキャパシティが増えます。


設定、管理、レポート

clear crypto engine accelerator counter コマンドが Cisco IOS Release 12.2(33)SRA に追加されました。

show crypto engine accelerator statistic コマンドが Cisco IOS Release 12.2(33)SRA に追加されました。


) Cisco IOS Release 12.2(18)SXF2 では、それまでのリリースで使用されていた crypto engine subslot コマンドは、crypto engine slot コマンド(形式は crypto engine slot slot/subslot {inside | outside})に置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


相互運用性

スーパーバイザ エンジンのサポートは、リリースによって異なります。

表23-4 に、各リリースのサポート対象スーパーバイザ エンジンを示します。

 

表23-4 リリースごとの IPSec VPN SPA に対するスーパーバイザ エンジン サポート

リリース
サポート対象のスーパーバイザ

Cisco IOS Release 12.2(33)SRC

Supervisor Engine RSP720
Supervisor Engine 720
Supervisor Engine 32

Cisco IOS Release 12.2(33)SRA

Supervisor Engine 720
Supervisor Engine 32

Cisco IOS Release 12.2(18)SXF2

Supervisor Engine 720
Supervisor Engine 32
Supervisor Engine 2

Cisco IOS Release 12.2(18)SXE5

Supervisor Engine 720

Cisco IOS Release 12.2(18)SXE2

Supervisor Engine 720

ラインカード モジュールのサポートは、リリースによって異なります。

表23-5 に、各リリースのサポート対象であることが判明しているラインカード モジュールを示します。この表を使用する場合は、次の注意事項に従ってください。

承認カラムの「○」は、モジュールがテスト済みであることを示します。サポート対象カラムの「○」は、モジュールがサポート対象であることを示します。

モジュールのサポート対象カラムの「○」に脚注がついている場合、モジュールがサポート対象でも一部の制約事項が適用されます。制約事項の詳細は、表の下の脚注を参照してください。

モジュールのサポート対象カラムに「○」があり、承認カラムにはない場合、モジュールは厳密な意味でテスト済みではありませんが、サポート対象です。

表に明記されていない他のラインカードは、TAC/BU でサポートされません。

 

表23-5 リリースごとの IPSec VPN SPA に対するラインカード モジュール サポート

ラインカード モジュール
Cisco IOS Release 12.2(18)SX
Cisco IOS Release 12.2(33)SR
承認
サポート対象
承認
サポート対象

7600-SIP-200

次の SPA 付き:
SPA-2XOC3-ATM=
SPA-2XOC3-POS=
SPA-2XT3/E3

7600-SIP-400

次の SPA 付き:
SPA-1XOC12-ATM=
SPA-2X0C3-ATM=
SPA-2X1GE

4

5

7600-SIP-600

次の SPA 付き:
SPA-1X10GE
SPA-10X1GE

6

7600-SSC-400

OSM-2OC48/1DPT-SI

OSM-2OC48/1DPT-SL

OSM-2OC48/1DPT-SS

OSM-8OC3-POS-MM

OSM-8OC3-POS-SI

OSM-8OC3-POS-SI+

OSM-8OC3-POS-SL

OSM-16OC3-POS-MM+

OSM-16OC3-POS-SI

OSM-16OC3-POS-SI+

OSM-16OC3-POS-SL

OSM-2+4GE-WAN+

WS-6182-2PA

WS-6582-2PA

WS-6802-2PA
次の PA 付き:

PA-A3-OC3MM
PA-A3-T3
PA-MC-T3

WS-SVC-FWM-1

WS-SVC-IDSM2

WS-SVC-IDSUPG

WS-SVC-NAM2

WS-SVC-WEBVPN-K9

WS-X6148-GE-TX

WS-X6408A-GBIC

WS-X6416-GBIC

WS-X6416-GE-MT

WS-X6502-10GE

WS-X6516-GBIC

WS-X6516-GE-TX

WS-X6516A-GBIC

WS-X6548-GE-TX

WS-X6548V-GE-TX

WS-X6548-RJ-21

WS-X6548-RJ-45

WS-X6704-10GE

WS-X6748-GE-TX

WS-X6748-SFP

4.Cisco IOS Release 12.2(18)SXF2:Cisco 7600 SIP-400 がシャーシ内にあるとき、スイッチ ポート コンフィギュレーションはサポートされません。

5.Cisco IOS Release 12.2(33)SRA:Cisco 7600 SIP-400 がシャーシ内にあるとき、スイッチ ポート コンフィギュレーションはサポートされません。

6.Cisco IOS Release 12.2(33)SRA:Cisco 7600 SIP-600 が搭載されていて、VRF をイネーブルにするときは、MPLS トンネル再循環がイネーブルになっている必要があります。つまり、Cisco 7600 SIP-600 がシャーシにある場合、crypto engine mode vrf コマンドを入力する前に、mls mpls tunnel-recir コマンドを追加する必要があります。

制約事項

次の制約事項は IPSec VPN SPA を対象としています。

IPSec VPN SPA は、Cisco 7600 SSC-400 でのみサポートされます。

Cisco 7600 SSC-400 は、RPR+ またはステートフル スイッチオーバー(SSO)対応ではありません。その結果、RPR+ または SSO の設定時に Cisco 7600 SSC-400 がリセットされます。

Cisco IOS Release 12.2(33)SRA では、IPSec VPN SPA は、最小 512 MB メモリの Supervisor Engine 720(MSFC3 および PFC3)または Supervisor Engine 32 を使用する Cisco 7600 シリーズ ルータでのみサポートされます。各リリースでサポートされているスーパーバイザ エンジンのリストについては、表23-4 を参照してください。


) IPSec VPN SPA MSFC DRAM の要件は次のとおりです。

最大 8,000 トンネルの 512 MB DRAM
最大 16,000 トンネルの 1 GB DRAM

これらの数値は、ルーティング プロトコルおよびその他のアプリケーションが使用できるように、一部のメモリを残して選択されます。ただし、MSFC の使用状況によっては、上記よりも多くのメモリが必要になる場合があります。極端なケースでは、トンネルを 1 つしか使用しなくても、MSFC 上で動作する他のプロトコルおよびアプリケーション用に 512 MB の DRAM が必要になる場合も考えられます。


次の Cisco 7600 シリーズ ルータのみがサポートされます。

7603 ルータ(CISCO7603)

7606 ルータ(CISCO7606)

7609 ルータ(CISCO7609)

7609 ルータ(OSR-7609)

7613 ルータ(CISCO7613)

暗号接続モードでは、シャーシごとに IPSec VPN SPA が 10 個までサポートされます。VRF モードでは、シャーシごとに IPSec VPN SPA が 6 個までサポートされます。

Cisco IOS Release 12.2(33)SRA では、PKI が IPSec VPN SPA とともに設定されているとき、最大 2000 の IPSec トンネルがサポートされます。

Cisco IOS Release 12.2(33)SRB では、VTI トンネルで TCP ADJUST-MSS はサポートされません。

サポートされる MIB

Cisco 7600 シリーズ ルータに Cisco 7600 SSC-400 および IPSec VPN SPA が搭載されている場合、Cisco IOS Release 12.2(18)SXE2 では次の MIB がサポートされます。

CISCO-ENTITY-ASSET-MIB

CISCO-ENTITY-EXT-MIB

CISCO-ENTITY-FRU-CONTROL-MIB

ENTITY-MIB

OLD-CISCO-CHASSIS-MIB

Cisco 7600 シリーズ ルータの MIB サポートの詳細については、次の URL にある『 Cisco 7600 Series Internet Router MIB Specifications Guide』を参照してください。

http://www.cisco.com/en/US/docs/routers/7600/technical_references/7600_mib_guides/MIB_Guide_ver_6/7600mib2.html

選択されたプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに対応する MIB を検索し、ダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://tools.cisco.com/ITDIT/MIBS/servlet/index

必要な MIB 情報が Cisco MIB Locator でサポートされていない場合は、次の URL にある Cisco MIB ページからサポート対象 MIB のリストを入手して、MIB をダウンロードすることもできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Cisco MIB Locator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れたか、紛失した場合は、cco-locksmith@cisco.com に空の E メールを送信してください。送信された E メール アドレスが Cisco.com に登録されているかどうか確認されます。チェックが成功すると、アカウントの詳細と新規のランダム パスワードが E メールで通知されます。承認されたユーザは次の URL の指示に従って、Cisco.com のアカウントを確立できます。

http://www.cisco.com/register

ハードウェアベースの暗号化モードのイネーブル化


) Cisco IOS Release 12.2(33)SRA では、ソフトウェア ベースの暗号化モードをサポートしなくなりました。ここで説明されているソフトウェア ベースの暗号化機能は、Release 12.2SXF 以前のリリースでサポートされています。


IPSec VPN SPA を取り付けた状態でシャーシの電源をオンにするか、またはシャーシに IPSec VPN SPA を取り付けた時点で、シャーシはハードウェア ベースの暗号化モードになります。このモードでは、IPSec VPN SPA によって暗号化および復号化が行われます。ソフトウェア ベースの暗号化をサポートする旧リリースでは、MSFC はソフトウェアによる暗号化および復号化を停止します。このモードでは、ソフトウェア ベースの暗号化モードは使用できません。ハードウェア ベースの暗号化モードでは、IPSec VPN SPA 固有の設定を行う必要があります。

シャーシ内の IPSec VPN SPA がアクティブなのは、SPA への電源がイネーブルに設定されている場合に限られます。IPSec VPN SPA への電源をイネーブルまたはディセーブルにするには、グローバル コンフィギュレーション モードで hw-module subslot shutdown コマンドを使用します。 powered オプションを使用すると、指定した SPA サブスロットへの電源がリセットされます。 unpowered オプションを使用すると、指定した SPA サブスロットへの電源がディセーブルになります。Cisco 7600 SSC-400 への電源をイネーブルまたはディセーブルにするには、[ no ] power enable module コマンドを使用します。

シャーシがハードウェア ベースの暗号化モードの場合、IPSec VPN SPA を取り外すか、または IPSec VPN SPA への電源をオフにしても、シャーシはハードウェア ベースの暗号化モードのままです。このような場合、IPSec VPN SPA を通過するはずのパケットはすべてドロップされます。ハードウェア ベースの暗号化モードをディセーブルにするには、シャーシをシャットダウンして IPSec VPN SPA を物理的に取り外す必要があります。

ハードウェア ベースの暗号化モードの設定時の注意事項

ハードウェア ベースの暗号化モードを設定するときは、次の注意事項に従ってください。

show crypto engine configuration コマンド

暗号接続が確立されていない場合、シャーシにアダプタが取り付けられていても、 show crypto engine configuration コマンドで IPSec VPN SPA のサブスロット番号は表示されません。

IPSec VPN SPA の取り外し

暗号接続で使用中のポートを備えた IPSec VPN SPA を取り外しても、その暗号接続は保持されます。同じスロットに同じタイプの IPSec VPN SPA を取り付けると、すべての暗号接続で再びトラフィックが流れ始めます。IPSec VPN SPA を別のスロットに移動する場合、IPSec VPN SPA を取り外す前に、まず暗号接続を手動で削除する必要があります。対応する物理ポートを取り外した場合には、任意のインターフェイスから no crypto connect vlan コマンドを入力します。

暗号接続で使用している IPSec VPN SPA の再起動

暗号接続で使用している IPSec VPN SPA を再起動しても、既存の暗号接続は保持されます。IPSec VPN SPA を再起動した時点で、再びトラフィックが流れ始めます。暗号接続が確立されていても、IPSec VPN SPA の内部ポートに対応するインターフェイス VLAN がない場合には、IPSec VPN SPA を再起動した時点でその暗号接続は削除されます。

no interface vlan コマンドを使用してポート VLAN またはインターフェイス VLAN を削除すると、対応付けられた暗号接続も削除されます。

SPA ハードウェア タイプの表示

Cisco 7600 シリーズ ルータのその他のコマンドを使用して、IPSec VPN SPA ハードウェア情報を表示することもできます。

ルータに搭載された SPA ハードウェアのタイプを確認するには、 show module コマンドを使用します。

IPSec VPN SPA のハードウェア情報を表示するには、 show crypto eli コマンドを使用します。

表23-6 に、Cisco 7600 シリーズ ルータ上の IPSec VPN SPA に関する show module コマンド出力に表示されるハードウェアの記述を示します。

 

表23-6 show module コマンドで表示される SPA ハードウェアの記述

SPA
show module コマンドの記述

SPA-IPSEC-2G

SPA-IPSEC-2G (0x3D7)

show module コマンドの例

次に、Cisco 7600 シリーズ ルータのスロット 4 に搭載された Cisco 7600 SSC-400 のサブスロット 0 にある IPSec VPN SPA について、 show module コマンドの出力例を示します。

Router#show module 4
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
4 0 2-subslot Services SPA Carrier-400 7600-SSC-400 JAB1104013N
 
Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
4 001a.a1aa.95f0 to 001a.a1aa.962f 2.0 12.2(33)SXH 12.2(33)SXH Ok
 
Mod Sub-Module Model Serial Hw Status
---- --------------------------- ------------------ ----------- ------- -------
4/0 2 Gbps IPSec SPA SPA-IPSEC-2G JAB1048075L 1.0 Ok
 
Mod Online Diag Status
---- -------------------
4 Pass
4/0 Pass
 
Router#
 

show crypto eli コマンドの例

以下に、Cisco 7600 シリーズ ルータ のスロット 3 に搭載された Cisco 7600 SSC-400 のサブスロット 0 および 1 にある IPSec VPN SPA について、 show crypto eli コマンドの出力例を示します。出力では、アクティブな IKE SA および IPSec セッション数および各 IPSec VPN SPA に使用されている Diffie-Hellman(D-H; ディッフィーヘルマン)キー数を表示します。


show crypto eli コマンドは、Cisco IOS Release 12.2(33)SRA の IPSec VPN SPA でのみサポートされます。


Router# show crypto eli
 
Hardware Encryption : ACTIVE
Number of hardware crypto engines = 2
 
CryptoEngine SPA-IPSEC-2G[3/0] details: state = Active
Capability :
IPSEC: DES, 3DES, AES, RSA
 
IKE-Session : 0 active, 16383 max, 0 failed
DH : 0 active, 9999 max, 0 failed
IPSec-Session : 0 active, 65534 max, 0 failed
 
CryptoEngine SPA-IPSEC-2G[3/1] details: state = Active
Capability :
IPSEC: DES, 3DES, AES, RSA
 
IKE-Session : 1 active, 16383 max, 0 failed
DH : 0 active, 9999 max, 0 failed
IPSec-Session : 2 active, 65534 max, 0 failed
 
Router#