セキュリティ コンフィギュレーション ガイド: セキュア接続、Cisco IOS Release 15.1S
IPSEC 優先ピア
IPSEC 優先ピア
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IPSEC 優先ピア

この章の構成

IPsec 優先ピアの前提条件

IPsec 優先ピアの制約事項

IPsec 優先ピアに関する情報

IPsec

デッド ピア検出

デフォルト ピア設定

アイドル タイマー

デフォルト ピアでの IPsec アイドル タイマーの使用

クリプト マップ上のピア

IPsec 優先ピアの設定方法

デフォルト ピアの設定

アイドル タイマーの設定

IPsec 優先ピアの設定例

デフォルト ピアの設定:例

IPsec アイドル タイマーの設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

IPsec 優先ピアの機能情報

用語集

IPSEC 優先ピア

IP Security(IPsec; IP セキュリティ)優先ピア機能を使用すれば、フェールオーバー シナリオでクリプト マップ上の複数のピアが試行される環境を制御できます。

この機能には、次の機能が含まれます。

デフォルト ピア設定

デフォルト ピアでの IPsec アイドル タイマーの使用

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。 この章に記載されている特定の機能に関する説明へのリンク、および各機能がサポートされているリリースのリストについては、「IPsec 優先ピアの機能情報」を参照してください。

プラットフォーム、Cisco IOS ソフトウェア イメージ、および Catalyst OS ソフトウェア イメージの各サポート情報を検索するには

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

IPsec 優先ピアの前提条件

クリプト マップを正しく定義し、完成させておく必要があります。

IPsec 優先ピアの制約事項

デフォルト ピア:

この機能は Dead Peer Detection(DPD; デッド ピア検出)と組み合せて使用する必要があります。定期モードで DPD が実行されている、リモート サイト上で使用するのが最も有効です。DPD によって、デバイスの障害が素早く検出され、デフォルト ピアが次に試行される接続用に試行されるようにピア リストがリセットされます。

クリプト マップ内のデフォルト ピアとして指定できるピアは 1 つだけです。

デフォルト ピアはピア リスト内の最初のピアである必要があります。

デフォルト ピアでの IPsec アイドル タイマーの使用:

この機能は、それが設定されているクリプト マップ上でだけ動作します。すべてのクリプト マップ用に機能をグローバルに設定はできません。

グローバル アイドル タイマーが存在する場合、クリプト マップ アイドル タイマー値とグローバル値は異なっている必要があります。同じである場合、アイドル タイマーがクリプト マップに追加されません。

IPsec 優先ピアに関する情報

IPsec 優先ピアを設定するには、次の概念を理解しておく必要があります。

「IPsec」

「デッド ピア検出」

「デフォルト ピア設定」

「アイドル タイマー」

「デフォルト ピアでの IPsec アイドル タイマーの使用」

「クリプト マップ上のピア」

IPsec

IPsec は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって開発されたオープン規格のフレームワークです。IPsec により、インターネットなどの保護されていないネットワーク上で機密性の高い情報を送信する際にセキュリティを確保します。IPsec はネットワーク レイヤで機能し、Cisco ルータなどの参加している IPsec 装置(ピア)間の Internet Protocol(IP; インターネット プロトコル)パケットを保護および認証します。

IPsec は、次のネットワーク セキュリティ サービスを提供します これらのサービスはオプションです。一般に、ローカル セキュリティ ポリシーにより、これらのサービスを 1 つ以上使用するよう指示されます。

データ機密性:ネットワークにパケットを伝送する前に IPSec 送信側がパケットを暗号化できます。

データ整合性:IPsec 受信者は、IPsec 送信者から送信されたパケットを認証し、伝送中にデータが変更されていないかを確認できます。

データ送信元認証:IPsec 受信者は、送信された IPsec パケットの送信元を認証できます。

アンチ リプレイ:IPsec 受信者は、再送されたパケットを検出し、拒否できます。

IPsec を使用すれば、データを、観測、変更、またはスプーフィングされることを心配することなく、パブリック ネットワークを介して転送できます。これにより、インターネット、エクストラネット、およびリモート ユーザ アクセスを含む、Virtual Private Networks(VPN; バーチャル プライベート ネットワーク)などのアプリケーションが可能となります。

IPsec は、2 つのピア(2 台のルータなど)間にセキュア トンネルを確立します。機密性が高く、セキュア トンネルを介して送信する必要があるパケットを定義し、セキュア トンネルの特性を指定することによって、機密性の高いパケットを保護するために使用するパラメータを定義します。IPsec ピアによってこのように機密性の高いパケットが検出されたら、そのピアによって、適切な、セキュアなトンネルが設定され、そのパケットがトンネルからリモート ピアに送信されます。

デッド ピア検出

VPN クライアントでは、DPD と呼ばれるキープアライブ メカニズムが使用され、IPsec トンネルの反対側の VPN デバイスが利用できるかどうかがチェックされます。ネットワークが極端にビジーだったり、信頼性が低下していたりした場合、ピアがこれからアクティブになることがないかどうか判断するまで VPN クライアントが待機する時間の秒数を増加できます。

トラフィックが受信されると、キープアライブ パケットは送信されません。これにより、DPD に関連したオーバーヘッドが低下します。高い負荷がかかっているネットワーク上では、トラフィックがトンネル上で受信されるために、送信されるキープアライブ パケットがきわめて少なくなるからです。さらに、DPD によってキープアライブ パケットが送信されるのは、送信されるユーザ トラフィックがある(そして受信されるユーザ トラフィックがない)場合だけです。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)を、発信ユーザ データが存在しているかどうかにかかわらず DPD によってキープアライブ パケットが送信されるように設定できます。つまり、受信ユーザ データがないかぎり、キープアライブパケットは設定されたキープアライブ インターバルで送信されます。

デフォルト ピア設定

接続タイムアウトが発生した場合、現在のピアへの接続は終了します。 set peer コマンドを使用すれば、最初のピアをデフォルト ピアとして設定できます。デフォルト ピアが存在している状態で次回の接続が開始された場合、その接続は、ピア リスト内の次のピアではなく、デフォルト ピアに直接接続されます。デフォルト ピアの応答がない場合、ピア リスト内の次のピアが現在のピアとなり、クリプト マップを介した次からの接続では、そのピアが試行されます。

この機能は、物理リンク上のトラフィックがリモート ピアの障害により停止した場合に便利です。DPD によって、リモート ピアが使用できないことが示されますが、そのピアは現在のピアのままです。

デフォルト ピアによって、過去に使用不可になったがサービスに復帰した優先ピアへのフェールオーバーが容易になります。ユーザは、特定のピアに対してフェールオーバーのイベントにおけるプリファレンスを与えることが可能です。これは、元の障害の原因がリモート ピアの障害ではなく、ネットワーク接続の問題であった場合に便利です。

アイドル タイマー

Cisco IOS ソフトウェアを実行しているルータによってピアの IPsec Security Association(SA; セキュリティ アソシエーション)が作成される場合、その SA を維持するためにリソースを割り当てる必要があります。SA には、メモリと、複数の管理されたタイマーが必要です。ピアがアイドル状態だと、それらのリソースが無駄になってしまいます。あまりに多くのリソースがアイドル状態のピアによって浪費されてしまうと、ルータによる他のピアとの新しい SA の作成ができなくなる可能性があります。

IPsec SA アイドル タイマーを使用すると、アイドル状態のピアに関連した SA を削除することによってリソースの可用性を高めることが可能です。IPsec SA アイドル タイマーによってアイドル状態のピアによるリソースの浪費が防止されるので、必要に応じて新しい SA を作成するためにより多くのリソースを利用できるようになります。

IPsec SA アイドル タイマーが設定されていない場合、IPsec SA のグローバル ライフタイムだけが適用されます。SA は、ピアのアクティビティと関わりなく、グローバル タイマーが有効期限切れになるまで維持されます。

デフォルト ピアでの IPsec アイドル タイマーの使用

現在のピアへのすべての接続がタイムアウトした場合、次に接続が開始された時には、 set peer コマンドで設定されたデフォルト ピアに直接接続されます。デフォルト ピアが設定されていない状態で接続タイムアウトが発生した場合、現在のピアはタイムアウトしたピアのままになります。

この機能拡張により、過去に使用不可になったが現在では稼動中の優先ピアに対するフェールオーバーが容易になります。

クリプト マップ上のピア

クリプト マップ セットには複数のエントリを含めることができ、それぞれが異なるアクセス リストに対応します。ルータでは、クリプト マップ エントリが順番に検索され、そのエントリ内で指定されたアクセス リストとパケットの照合が試行されます。

パケットが特定のアクセス リスト内の permit エントリと一致し、対応するクリプト マップ エントリが Cisco としてタグが付けられていた場合、クリプト マップ内のピア設定ステートメントで指定されたリモート ピアとの接続が確立されます。

IPsec 優先ピアの設定方法

ここでは、次の各手順について説明します。

「デフォルト ピアの設定」(必須)

「アイドル タイマーの設定」(任意)

デフォルト ピアの設定

デフォルト ピアを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

4. set peer { host-name [ dynamic ] [ default ] | ip-address [ default ] }

5. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

 

Router(config)# crypto map mymap 10 ipsec-isakmp

クリプト マップ コンフィギュレーション モードを開始します。クリプト マップ エントリを作成または変更するか、動的に作成されるクリプト マップ設定のテンプレートを提供する暗号プロファイルを作成するか、またはクライアント アカウンティング リストを設定します。

ステップ 4

set peer { host-name [ dynamic ] [ default ] | ip-address [ default ] }

 

Router(config-crypto-map)# set peer 10.0.0.2 default

クリプト マップ内の IPsec ピアを指定します。指定した最初のピアがデフォルト ピアとして定義されていることを確認します。

ステップ 5

exit

 

Router(config-crypto-map)# exit

クリプト マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

アイドル タイマーの設定

アイドル タイマーを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

4. set security-association idletime seconds [ default ]

5. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

 

Router(config)# crypto map mymap 10 ipsec-isakmp

クリプト マップ コンフィギュレーション モードを開始します。クリプト マップ エントリを作成または変更するか、動的に作成されるクリプト マップ設定のテンプレートを提供する暗号プロファイルを作成するか、またはクライアント アカウンティング リストを設定します。

ステップ 4

set security-association idletime seconds [ default ]

 

Router(config-crypto-map)# set security-association idletime 120 default

デフォルト ピアが使用される前に、現在のピアをアイドル状態にしておける最大期間を指定します。

ステップ 5

exit

 

Router(config-crypto-map)# exit

クリプト マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

IPsec 優先ピアの設定例

「デフォルト ピアの設定:例」

「IPsec アイドル タイマーの設定:例」

デフォルト ピアの設定:例

次に、IP アドレスが 10.1.1.1 である最初のピアがデフォルト ピアである例を示します。

crypto map tohub 1 ipsec-isakmp
set peer 10.1.1.1 default
set peer 10.2.2.2

IPsec アイドル タイマーの設定:例

次に、現在のピアが 120 秒間アイドル状態になった場合の例を示します。デフォルト ピア 10.1.1.1( set peer コマンドで指定)が、次に試行される接続で使用されます。

crypto map tohub 1 ipsec-isakmp
set peer 10.1.1.1 default
set peer 10.2.2.2
set security-association idletime 120 default

その他の参考資料

ここでは、IPsec 優先ピアに関する関連資料について説明します。

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。

set peer(IPsec)

set security-association idle-time

これらのコマンドの詳細については、『Cisco IOS Security Command Reference』(http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html)を参照してください。

Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool(http://tools.cisco.com/Support/CLILookup)にアクセスするか、または『Master Command List』を参照してください。

IPsec 優先ピアの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 IPsec 優先ピアの機能情報

機能名
リリース
機能情報

IPSEC 優先ピア

12.3(14)T
12.2(33)SRA
12.2(33)SXH

IPsec 優先ピア機能を使用すれば、フェールオーバー シナリオでクリプト マップ上の複数のピアが試行される環境を制御できます。

12.3(14)T では、この機能が導入されました。

12.2(33)SRA では、この機能、 set peer (IPsec)コマンド、および set security-association idle-time コマンドがこのリリースに統合されました。

用語集

SA :Security Association(SA; セキュリティ アソシエーション)。データ フローに適用されるセキュリティ ポリシーおよびキー関連情報のインスタンスです。SA は、IKE と IPsec の双方で使用されますが、各 SA は互いに独立しています。IPsec SA は単方向通信であり、セキュリティ プロトコルごとに一意です。IKE SA は、IPsec SA とは異なって双方向通信であり、使用されるのは IKE に限られます。SA のネゴシエーションおよび確立は、IPsec ではなく IKE によって行われます。また、IPsec SA はユーザが手動で確立できます。保護されたデータ パイプに対しては、各プロトコルおよび各通信方向ごとに 1 組の SA が必要です。たとえば、ピア間で Encapsulating Security Payload(ESP; カプセル化セキュリティ ペイロード)をサポートするパイプに対しては、それぞれの通信方向ごとに 1 つの ESP SA が必要です。SA は、宛先(IPsec エンドポイント)のアドレス、セキュリティ プロトコル(AH または ESP)、および Security Parameter Index(SPI; セキュリティ パラメータ インデックス)によって一意に識別されます。

キープアライブ メッセージ :1 つのネットワーク デバイスからもう 1 つのネットワークデバイスに対して、2 つのネットワーク デバイス間の仮想回線がまだアクティブであることを通知するために送信されるメッセージ。

クリプト アクセス リスト :暗号によって保護する IP トラフィック、および暗号によって保護しないトラフィックが定義されたリスト。

クリプト マップ :IPsec によって保護する必要があるトラフィック、送信する必要がある IPsec 保護対象トラフィック、およびこのトラフィックに適用する必要がある IPsec トランスフォーム セットが指定されたマップ。

デッドピア検出 :応答しないピアを検出することをルータに可能にさせる機能。

トランスフォーム セット :IPsec 保護されたトラフィックに適用されるセキュリティ プロトコル、アルゴリズムおよびその他の設定の適切な組み合せです。IPsec SA のネゴシエーション中に、ピアは、特定のトランスフォーム セットを使用して特定のデータ フローを保護することに合意します。

ピア :IPsec および IKE に参加するルータまたはその他のデバイス。IPsec においては、ピアは、キーの交換またはデジタル証明書の交換のどちらかを通じてセキュアに通信するデバイスまたはエンティティです。