Cisco MDS 9000 ファミリー コンフィギュレーション ガイド Release 2.x
IPSecネットワーク セキュリティの設 定
IPSecネットワーク セキュリティの設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

IPSecネットワーク セキュリティの設定

IPSecの概要

IKEの概要

IPSecの前提条件

IPSecの互換性

IPSecおよびIKEの用語

サポートされるIPSecトランスフォームとアルゴリズム

サポートされるIKEのトランスフォームとアルゴリズム

IKEの初期化

IKEドメインの設定

IKEトンネルの概要

IKEポリシー ネゴシエーション

オプション設定

IKEトンネルまたはドメインのクリア

SAのリフレッシュ

IPSecの設定

クリプトACL

クリプトACLに関する注意事項

ミラー イメージのクリプトACL

クリプトACLのanyキーワード

IPSecのトランスフォーム セット

暗号マップ エントリ

ピア間でのSAの確立

暗号マップ設定時の注意事項

SAライフタイムのネゴシエーション

auto-peerオプション

PFS

暗号マップ セットのインターフェイスへの適用

IPSecのメンテナンス

グローバル ライフタイム値

IKE設定の表示

IPSecの設定の表示

FCIPの構成例

iSCSIの構成例

デフォルト設定値

IPSecネットワーク セキュリティの設定

IP Security(IPSec)は、オープン規格のフレームワークで、加入ピア間にデータ機密保持、データの完全性、およびデータ認証を提供します。IPSecはInternet Engineering Task Force(IETF)によって開発されました。IPSecは、IPレイヤでのセキュリティ サービス(ホスト ペア間、セキュリティ ゲートウェイ ぺア間、またはセキュリティ ゲートウェイとホスト間の1つまたは複数のデータ フロー保護など)を提供します。全体的なIPSecの実装は、RFC 2401の最新バージョンに準拠しています。Cisco SAN-OSのIPSecは、RFC 2402からRFC 2410を実装しています。

IPSecのRFCに関する詳細については、下記のWebサイトを参照してください。 http://www.ietf.org/html.charters/ipsec-charter.html

IPSecは、プロトコルとアルゴリズムのネゴシエーションを処理するInternet Key Exchange(IKE)を使用して、IPSecが使用する暗号および認証鍵を生成します。IKEは他のプロトコルと併用することもできますが、最初に実装されたのはIPSecプロトコルです。IKEは、IPSecピア認証の提供、IPSecセキュリティ アソシエーションのネゴシエーション、およびIPSecキーの確立を行います。IKEはRFC 2408、2409、2410、2412を使用し、さらに、draft-ietf-ipsec-IKEv2-16.txtドラフトを実装しています。

IKEドラフトに関する詳細については、下記のWebサイトを参照してください。 http://www.ietf.org/html.charters/ipsec-charter.html


) IPSecという用語は、IPSecデータ サービスとIKEセキュリティ プロトコルで構成されるプロトコル全体を指す場合と、データ サービスのみを指す場合があります。


この章の具体的な内容は、次のとおりです。

「IPSecの概要」

「IKEの概要」

「IPSecの前提条件」

「IPSecの互換性」

「IPSecおよびIKEの用語」

「サポートされるIPSecトランスフォームとアルゴリズム」

「サポートされるIKEのトランスフォームとアルゴリズム」

「IKEの初期化」

「IKEドメインの設定」

「IKEトンネルの概要」

「IKEポリシー ネゴシエーション」

「IKEトンネルまたはドメインのクリア」

「SAのリフレッシュ」

「IPSecの設定」

「IPSecのメンテナンス」

「グローバル ライフタイム値」

「IKE設定の表示」

「IPSecの設定の表示」

「FCIPの構成例」

「iSCSIの構成例」

「デフォルト設定値」

IPSecの概要

IPSecは、インターネットなどの保護されていないネットワーク上で重要な情報を伝送する場合のセキュリティを提供します。IPSecはネットワーク レイヤで動作し、IPSec対象デバイス(ピア)間で通信されるIPパケットの保護と認証を行います。

IPSecは、次のネットワーク セキュリティ サービスを提供します。一般的に、IPSecデバイス間でのこれらのサービスの利用は、ローカル セキュリティ ポリシーによって決まります。

データ機密性 ― IPSec送信側で、ネットワーク上に伝送するパケットを事前に暗号化できます。

データ完全性 ― IPSec受信側で、IPSec伝送側から伝送されたパケットを認証し、伝送中にデータが改ざんされていないかを確認できます。

データ発信元認証 ― IPSec受信側は、伝送されたIPSecパケットの発信元を認証できます。このサービスは、データ完全性サービスと併用します。

リプレイ攻撃防止 ― IPSec受信側でリプレイ パケットを検出し、拒絶できます。


) データ認証という用語は、通常、データ完全性とデータ発信元認証を意味します。この章では、特に明記されていないかぎり、リプレイ攻撃防止サービスも含まれます。


IPSecを使用してパブリック ネットワークでデータを送信する場合、データを誰かに見られたり、修正されたり、またはスプーフィングされたりする心配がありません。これにより、Virtual Private Network(VPN;仮想私設網)などのアプリケーション(イントラネット、エクストラネット、およびリモート ユーザ アクセスを含む)を実現できます。

Cisco SAN-OSソフトウェアで実装されているIPSecは、Encapsulating Security Payload(ESP)プロトコルをサポートしています。このプロトコルは保護されるデータをカプセル化して、データのプライバシ サービス、オプションのデータ認証、およびオプションのリプレイ攻撃防止サービスを実現します。

図 29-1は、さまざまなIPSecの使用例です。

図 29-1 MPS-14-2モジュールを使用したFCIPおよびiSCSIの構成例

 

IKEの概要

IKEは自動的にIPSecセキュリティ アソシエーションのネゴシエーションを行い、IPSecの機能を使用するすべてのスイッチのキーを生成します。特に、IKEには次の利点があります。

IPSec SAをリフレッシュできる

IPSecでリプレイ攻撃防止サービスを実現できる

管理しやすく拡張性の高いIPSecコンフィギュレーションをサポートしている

ピアをダイナミックに認証できる

IPSecの前提条件

IPSecの機能を使用するには、次の作業を実行する必要があります。

ENTERPRISE_PKGライセンスおよび/またはSAN_EXTN_OVER_IPライセンスを入手します。エンタープライズ パッケージではiSCSI用のIPSecが使用でき、IPパッケージベースのSANエクステンションではFCIP用のIPSecが使用できます(「ライセンスの入手とインストール」を参照)。

IKEを設定します(IKEの初期化を参照)。


) IPSec機能を使用すると、既存のパケットに新しいヘッダーが追加されます(詳細については、「MTUサイズ」を参照してください)。


IPSecの互換性

IPSec機能は、Cisco MDS SAN-OS Release 2.0(1b)以降が稼働している次のCisco MDSハードウェアと互換性があります。

Cisco MDS 9200スイッチまたはCisco MDS 9500ディレクタのMPS-14/2モジュール

統合型スーパバイザ モジュールの14/2ポート マルチプロトコル機能を備えたCisco MDS 9216iスイッチ。Cisco MDS 9216iスイッチの詳細については、『 Cisco MDS 9200 Series Hardware Installation Guide 』を参照してください。

IPSec機能は管理インターフェイスではサポートされていません。

IPSec機能は次のファブリック構成と互換性があります。

接続された2台のCisco MDS 9200スイッチまたはCisco MDS 9500ディレクタ(Cisco MDS SAN-OS Release 2.0(1b)以降が稼働)

任意のIPSec互換デバイスに接続されたCisco MDS 9200スイッチまたはCisco MDS 9500ディレクタ(Cisco MDS SAN-OS Release 2.0(1b)以降が稼働)

Cisco SAN-OSに実装されたIPSec機能では、次の機能はサポートされていません。

Authentication Header(AH;認証ヘッダー)

トランスポート モード

セキュリティ アソシエーション バンドル

セキュリティ アソシエーションの手動設定

暗号マップのホスト単位のセキュリティ アソシエーション オプション

セキュリティ アソシエーションのアイドル タイムアウト

ダイナミック暗号マップ


) このマニュアルで使用する暗号マップは、スタティック暗号マップです。


IPSecおよびIKEの用語

ここでは、この章で使用する用語について説明します。

セキュリティ アソシエーション(SA) ― IPパケットの暗号化と暗号解除を行うエントリ上の2つの加入ピア間での合意。各ピアは各方向(着信と発信)で2つのSAを使用して、ピア間での双方向通信を確立します。双方向のSAレコードはSAデータベース(SAD)に格納されます。IPSecはIKEを使用してSAのネゴシエーションと起動を行います。各SAレコードには、次の情報が含まれます。

Security Parameter Index(SPI;セキュリティ パラメータ インデックス) ― 宛先IPアドレスおよびセキュリティ プロトコルとともに使用される番号で、特定のSAを一意に識別します。IKEを使用してSAを確立する場合、各SAのSPIは疑似乱数で生成されます。

ピア ― IPSecに加わるスイッチまたはその他のデバイス。たとえば、IPSecをサポートしているCisco MDSスイッチまたはその他のシスコ製ルータ。

トランスフォーム ― データ認証とデータ機密保持を実現するために実行される処理のリスト。たとえば、あるトランスフォームは、HMAC-MD5認証アルゴリズムを備えたESPプロトコルになります。

セッション キー ― セキュリティ サービスを提供するためにトランスフォームが使用するキー。

ライフタイム ― ライフタイム カウンタ(秒およびバイト)はSAが作成されたときから維持されます。ライフタイムの有効期間が経過するとSAは使用できなくなり、必要に応じて、自動的に再度ネゴシエーション(キー再生成)されます。

動作モード ― IPSecで一般的に使用できる動作モードには、トンネル モードとトランスポート モードの2つがあります。Cisco SAN-OSに実装されたIPSecでは、トンネル モードのみがサポートされています。IPSecのトンネル モードは、IPパケット(ヘッダーを含む)の暗号化と認証を行います。ゲートウェイはホストとサブネットの代わりにトラフィックを暗号化します。
Cisco SAN-OSに実装されたIPSecでは、トランスポート モードはサポートされていません。


トンネル モードという用語は、2つのピア(FCIPリンクで接続された2台のスイッチなど)間でのセキュアな通信パスを意味するトンネルとは異なります。


リプレイ攻撃防止 ― リプレイ攻撃を防ぐために受信側で古いパケットや重複パケットを拒絶できるセキュリティ サービス。IPSecは、シーケンス番号とデータ認証を組み合せて使用することによりリプレイ検出を実現します。

データ認証 ― データ認証は完全性のみを意味する場合と、完全性と認証の両方を意味する場合があります(データ発信元認証はデータの完全性に従属します)。

データの完全性 ― データが改ざんされていないことを確認します。

データ発信元認証 ― データが実際に送信元から送信されたものであることを確認します。

データの機密保持 ― 保護されたデータを第三者に読み取られないようにするセキュリティ サービス。

データ フロー ― 送信元アドレス/マスク、宛先アドレス/マスク、IP次プロトコル フィールド、および送信元/宛先ポートによって識別されるトラフィックの集まり。プロトコル フィールドおよびポート フィールドには、いずれかの値が含まれます。これらの値の特定の組み合わせと一致するトラフィックは、論理的に束ねられて1つのデータ フローとみなされます。データ フローは2つのホスト間の単一のTCP接続を表す場合や、2つのサブネット間のトラフィックを表す場合があります。IPSecの保護はデータ フローに対して適用されます。

Perfect Forward Secrecy(PFS) ― 導き出される共有秘密値に関連する暗号特性。PFSでは、後続キーは前のキーから導き出される訳ではないため、1つのキーが解読されても、前後のキーは解読されません。

セキュリティ ポリシー データベース(SPD) ― トラフィックに適用されるポリシーの順序付きリスト。ポリシーは、パケットでIPSec処理を行うかどうか、クリアテキストを許可するかどうか、またはパケットを廃棄するかどうかを規定します。

IPSecのSPDは暗号マップのユーザ設定から導出されます。

IKEのSPDはユーザによって設定されます。

サポートされるIPSecトランスフォームとアルゴリズム

IPSecとして実装されるコンポーネント技術には、次のトランスフォームがあります。

Advanced Encryption Standard(AES)は暗号アルゴリズムです。AESでは、Cipher Block Chaining(CBC;暗号ブロック連鎖)またはカウンタ モードを使用する128または256ビットが実装されています。

Data Encryption Standard(DES)はパケット データの暗号化に使用され、強制56ビットDES-CBCが実装されます。CBCが暗号化を開始するにはInitialization Vector(IV;初期化ベクタ)が必要です。IPSecパケットでIVは明示的に提供されます。

Triple DES(3DES)は168ビットの暗号鍵を持つ強化されたDESです。3DESを使用すると、信頼性の低いネットワーク上で機密情報を送信できます。


) 強力な暗号機能を備えたCisco SAN-OSイメージは、米国政府の輸出規制の対象となり、配布が制限されます。米国外でイメージをインストールする場合、輸出ライセンスが必要です。米国政府の規制により、お客様の発注が取り消されたり、遅れが生じたりする場合があります。詳しくは、販売担当者または販売代理店に連絡するか、またはexport@cisco.comにメールでお問い合わせください。


Message Digest 5(MD5)は、ハッシュ アルゴリズムでHash Message Authentication Code(HMAC;ハッシュ メッセージ認証コード)の改良型です。HMACはデータの認証に使用される鍵付きハッシュの改良型です。

Secure Hash Algorithm(SHA-1)は、ハッシュ アルゴリズムでHMACの改良型です。

AES-XCBC-MACは、AESアルゴリズムを使用するMessage Authentication Code(MAC;メッセージ認証コード)です。

サポートされるIKEのトランスフォームとアルゴリズム

IKEとして実装されるコンポーネント技術には、次のトランスフォームがあります。

Diffie-Hellman(DH)は公開鍵暗号プロトコルです。Diffie-Hellmanを使用すると、2者がセキュアでない通信チャネル上で共有シークレットを確立できます。Diffie-HellmanはIKE内でセッション鍵を確立するために使用されます。Diffie-Hellmanでは、グループ1(768ビット)、グループ2(1024ビット)、およびグループ5(1536ビット)がサポートされています。

AESは暗号アルゴリズムです。AESでは、CBCまたはカウンタ モードを使用する128ビットが実装されています。

DESはパケット データの暗号化に使用され、強制56ビットDES-CBCが実装されます。CBCが暗号化を開始するにはIVが必要です。IPSecパケットでIVは明示的に提供されます。

3DESは168ビットの暗号鍵を持つ強化されたDESです。3DESを使用すると、信頼性の低いネットワーク上で機密情報を送信できます。


) 強力な暗号機能を備えたCisco SAN-OSイメージは、米国政府の輸出規制の対象となり、配布が制限されます。米国外でイメージをインストールする場合、輸出ライセンスが必要です。米国政府の規制により、お客様の発注が取り消されたり、遅れが生じたりする場合があります。詳しくは、販売担当者または販売代理店に連絡するか、またはexport@cisco.comにメールでお問い合わせください。


MD5は、ハッシュ アルゴリズムでHMACの改良型です。HMACはデータの認証に使用される鍵付きハッシュの改良型です。

SHA-1は、ハッシュ アルゴリズムでHMACの改良型です。

このスイッチの認証アルゴリズムは、IPアドレスに基づく事前共有鍵を使用します(事前共有鍵の詳細については、 グローバルな事前共有鍵の設定を参照)。

IKEの初期化

最初に、IKE機能をイネーブルにして、IPSec機能がピアとのデータ フローを確立できるように設定する必要があります。

IPSecがイネーブルの場合、IKEをディセーブルにすることはできません。IKE機能をディセーブルにすると、IKEの設定が実行コンフィギュレーションからクリアされます。

IKEをイネーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto IKE enable

IKE機能をイネーブルにします。

switch(config)# no crypto IKE enable

IKE機能をディセーブル(デフォルト)にします。

IKEドメインの設定

トラフィックがローカル スイッチのスーパバイザ モジュールに到達できるようにするには、IPSecドメインに対してIKE設定を適用する必要があります。

IPSecドメインを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto IKE domain ipsec

switch(config-IKE-ipsec)#

IPSecドメインに対してIKE設定を有効にします。

IKEトンネルの概要

IKEトンネルは2つのエンドポイント間のセキュアなIKEセッションです。IKEはこのトンネルを使用して、IPSecのSAネゴシエーションで使用されるIKEメッセージを保護します。

IKEトンネルを表示するには、EXECモードで show crypto IKE domain ipsec sa コマンドを使用します。

Cisco SAN-OSでは、2つのバージョンのIKEが使用されます。

IKEバージョン1(IKEv1)は、RFC 2407、2408、2409、および2412を実装しています。

IKEバージョン2(IKEv2)は効率化された簡易バージョンで、IKEv1と同時には使用されません。IKEv2はdraft-ietf-ipsec-IKEv2-16.txtドラフトを実装しています。

IKEポリシー ネゴシエーション

IKEネゴシエーションを保護するために、各IKEネゴシエーションは最初に共通(共有)のIKEポリシーを使用します。IKEポリシーは、IKEネゴシエーション中に使用するセキュリティ パラメータの組み合わせを定義します。デフォルトでは、IKEポリシーは1つも設定されていません。IKEポリシーは、各ピアで設定する必要があります。このポリシーは、後続のIKEネゴシエーションの保護に使用されるセキュリティ パラメータとピアの認証方式を規定します。少なくとも1つのポリシーがリモート ピアのポリシーと一致するように、各ピアで複数のプライオリティの付いたポリシーを設定できます。

ポリシーは、暗号化アルゴリズム(DES、3DES、またはAES)、ハッシュ アルゴリズム(SHAまたはMD5)、およびDHグループ(1、2、または5)に基づいて設定できます。各ポリシーには、異なるパラメータ値の組み合わせを定義することができます。設定したポリシーは固有のプライオリティ番号で識別されます。プライオリティ番号の範囲は1(最高)~225(最低)です。スイッチには複数のポリシーを作成できます。リモート ピアを接続する場合、ローカル スイッチの少なくとも1つのポリシーに、リモート ピアの設定と同じパラメータ値が含まれている必要があります。複数のポリシーに同じパラメータ設定が存在する場合、最も小さな番号のポリシーが選択されます。

表 29-1 は、使用可能なトランスフォームの組み合わせです。

 

表 29-1 IKEトランスフォーム設定パラメータ

パラメータ
許容値
キーワード
デフォルト値

暗号アルゴリズム

56ビットDES-CBC

168ビットDES

128ビットAES

des

3des

aes

3des

ハッシュ アルゴリズム

SHA-1(HMACの改良型)

MD5(HMACの改良型)

sha

md5

sha

認証方式

事前共有鍵

未設定

事前共有鍵

DHグループID

768ビットDH

1024ビットDH

1536ビットDH

1

2

5

1


) 次の表は、IPSecおよびIKE暗号認証アルゴリズムに関して、Microsoft WindowsとLinuxプラットフォーム上でサポートされている確認済みの設定です。


プラットフォーム
IKE
IPSec

Microsoft iSCSIイニシエータ、Microsoft Windows 2000プラットフォームのMicrosoft IPSec

3DES、SHA-1、またはMD5、
DHグループ2

3DES、SHA-1

Cisco iSCSIイニシエータ、
LinuxプラットフォームのFree Swan IPSec

3DES、MD5、DHグループ1

3DES、MD5


) ハッシュ アルゴリズムを設定する場合、対応するHMACバージョンが認証アルゴリズムとして使用されます。


IKEネゴシエーションが始まると、IKEは両方のピアで同一のIKEポリシーを検索します。ネゴシエーションを開始するピアは、自身のポリシーをすべてリモート ピアに送信し、リモート ピアは一致するポリシーを検索します。リモート ピアはもう1つのピアから受信したポリシーと自身の最もプライオリティの高いポリシーを比較して一致を検索します。リモート ピアは、一致が見つかるまで、プライオリティの高いものから順番に自身のポリシーを確認します。

一致が見つかるのは、2つのピアが同じ暗号化、ハッシュ アルゴリズム、認証アルゴリズム、およびDHグループ値を有している場合です。一致が見つかると、IKEはセキュリティ ネゴシエーションを完了し、IPSecのSAが作成されます。

受け入れられる一致が見つからない場合、IKEはネゴシエーションを拒否し、データ フローは確立されません。

IKEネゴシエーション パラメータを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto IKE domain ipsec

switch(config-IKE-ipsec)#

スイッチでIPSecドメインを設定できるようにします。

ステップ 3

switch(config-IKE-ipsec)# key Sample address 10.10.100.232

指定されたピアの事前共有鍵を設定します。

switch(config-IKE-ipsec)# no key Sample address 10.10.100.232

指定されたピアの事前共有鍵を削除します。

ステップ 4

switch(config-IKE-ipsec)# policy 1

switch(config-IKE-ipsec-policy)#

設定するポリシーを識別します。

switch(config-IKE-ipsec)# no policy 1

識別されたポリシーを削除します。

ステップ 5

switch(config-IKE-ipsec-policy)# encryption des

暗号化ポリシーを設定します。

switch(config-IKE-ipsec-policy)# no encryption aes

デフォルトの3DES暗号に設定されます。

ステップ 6

switch(config-IKE-ipsec-policy)# group 5

DHグループを設定します。

switch(config-IKE-ipsec-policy)# no group 2

デフォルトのDHグループ1に設定されます。

ステップ 7

switch(config-IKE-ipsec-policy)# hash md5

ハッシュ アルゴリズムを設定します。

switch(config-IKE-ipsec-policy)# no hash md5

デフォルトのSHAに設定されます。

オプション設定

オプションでIKE機能の次のパラメータを設定できます。

各ポリシー内のライフタイム アソシエーション ― ライフタイムの範囲は600~86,400秒です。デフォルト値は86,400秒(1日)です。

各ピアのキープアライブ時間(IKEv2を使用する場合) ― キープアライブの範囲は120~86,400秒です。デフォルトは3,600秒(1時間)です。

各ピアのイニシエータ バージョン ― IKE v1またはIKE v2(デフォルト)。リモート デバイスがネゴシエーションを開始する場合、どちらのイニシエータ バージョンを選択しても相互運用性には影響しません。ピア デバイスがIKEv1をサポートしている場合にこのオプションを設定して、指定されたデバイスに対してスイッチをIKEのイニシエータに設定できます。


注意 通常の環境でスイッチがIKEイニシエータとして動作しない場合でも、このオプションの設定が必要になる場合があります。このオプションを常に使用していれば、障害発生時にトラフィック フローを迅速に回復できます。

ヒント キープアライブ時間が適用されるのはIKEv2ピアだけで、すべてのピアに適用される訳ではありません。



) ホストのIPSecがIPSecのキー再生成を要求する場合、Cisco MDSスイッチのIPSecライフタイム値がホストのライフタイム値よりも大きくなるように設定してください。


各ポリシーのライフタイム アソシエーションを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto IKE domain ipsec

switch(config-IKE-ipsec)#

スイッチでIPSecドメインを設定できるようにします。

ステップ 3

switch(config-IKE-ipsec)# policy 1

switch(config-IKE-ipsec-policy)#

設定するポリシーを指定します。

ステップ 4

switch(config-IKE-ipsec-policy) lifetime seconds 6000

ライフタイムを6,000秒に設定します。

switch(config-IKE-ipsec-policy)# no lifetime seconds 6000

設定されたライフタイム値を削除して、デフォルトの86,400秒に設定します。

各ピアのキープアライブ時間を設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto IKE domain ipsec

switch(config-IKE-ipsec)#

スイッチでIPSecドメインを設定できるようにします。

ステップ 3

switch(config-IKE-ipsec)# keepalive 60000

すべてのピアのキープアライブ時間を60,000秒に設定します。

switch(config-IKE-ipsec)# no keepalive 60000

設定されたキープアライブ時間を削除して、デフォルトの3,600秒に設定します。

イニシエータ バージョンを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto IKE domain ipsec

switch(config-IKE-ipsec)#

スイッチでIPSecドメインを設定できるようにします。

ステップ 3

switch(config-IKE-ipsec)# initiator version 1 address 10.10.10.1

IKEv1を使用するようにスイッチを設定します(デバイス10.10.10.0に対してIKEを起動する場合)。

switch(config-IKE-ipsec)# no initiator version 1 address 10.10.10.0

指定されたデバイスに対してデフォルトのIKEv2に設定します。

switch(config-IKE-ipsec)# no initiator version 1

すべてのデバイスに対してデフォルトのIKEv2に設定します。

IKEトンネルまたはドメインのクリア

IKEの設定でIKEトンネルIDが指定されていない場合、すべての既存のIKEドメイン接続をクリアするには、EXECモードで clear crypto IKE domain ipsec sa コマンドを使用します。

switch# clear crypto IKE domain ipsec sa

注意 特定のIKEv2トンネル内のSAをすべて削除すると、そのIKEトンネルは自動的に削除されます。

IKEの設定でSAが指定されている場合、指定されたIKEトンネルID接続をクリアするには、EXECモードで clear crypto IKE domain ipsec sa IKE_tunnel-ID コマンドを使用します。

switch# clear crypto IKE domain ipsec sa 51

注意 IKEv2トンネルを削除すると、そのIKEトンネルに対応するIPSecトンネルは自動的に削除されます。

SAのリフレッシュ

IKEv2の設定変更後にSAをリフレッシュするには、 crypto IKE domain ipsec rekey sa sa-index コマンドを使用します。

IPSecの設定

IPSecは加入ピア間のセキュアなデータ フローを実現します。2つのピア間で、複数のIPSecデータ フローを使用して異なるデータ フローを保護できます。各トンネルはそれぞれ個別のSAセットを使用します。

IKEの設定が完了したら、IPSecを設定します。

各加入IPSecピアでIPSecを設定する手順は、次のとおりです。


ステップ 1 セキュアなトンネルを確立すべきトラフィックに対応するピアを識別します。

ステップ 2 プロトコルとアルゴリズムを使用してトランスフォーム セットを設定します。

ステップ 3 暗号マップを作成し、必要に応じてAccess Control List(ACL;アクセス制御リスト)、トランスフォーム セット、ピア、ライフタイム値を適用します。

ステップ 4 必要に応じて、インターフェイスに暗号マップを適用します。


 

クリプトACL

IP Access Control List(IP-ACL)は、すべてのCisco MDS 9000ファミリー スイッチに基本的なネットワーク セキュリティを提供します。IP-ACLは設定されたIPフィルタに基づいてIP関連トラフィックを制限します。IP_ACLの作成と定義の詳細については、「IP-ACL」を参照してください。

暗号マップのACLは通常のACLとは異なります。通常のACLはインターフェイスで転送を許可または拒否するトラフィックを定義します。たとえば、サブネットAとサブネットY間のIPトラフィックや、ホストAとホストB間のTelnetトラフィックをすべて保護するACLを作成できます。

クリプトACLは、暗号を使って保護するIPトラフィックと、暗号を使って保護しないトラフィックを定義します。

IPSecの暗号マップ エントリに対応するクリプトACLには、主に次の4つの機能があります。

IPSecで保護する送信トラフィックを選択する(permitに一致したものが保護の対象)。

IPSec SAのネゴシエーションを開始するときに、(1つのpermitエントリで指定された)新しいSAで保護するデータ フローを指定する。

受信トラフィックを処理して、IPSecで保護されていたはずのトラフィックをフィルタリングして除外し、廃棄する。

IPSecピアからのIKEネゴシエーションを処理するときに、要求されたデータ フローのためのIPSec SAを求める要求を受け入れるかどうかを決定する。


ヒント あるトラフィックに特定のIPSec保護(たとえば、暗号化のみ)を適用し、他のトラフィックには異なるIPSec保護(たとえば、認証と暗号化の両方)を適用する場合は、2つのACLを作成します。異なるIPSecポリシーを指定するには、異なる暗号マップで両方のACLを使用します。


ACLを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip access-list List1 permit ip 10.1.1.100 0.0.0.255 11.1.1.100 0.0.0.255

指定されたネットワークに対してIPトラフィックを許可します。


show access-list コマンドでは、暗号マップ エントリは表示されません。関連するエントリを表示するには、 show crypto mapコマンドを使用します。


必要に応じて、許可(permit)ステートメントと拒否(deny)ステートメントを追加します( IP-ACLを参照)。それぞれの許可および拒否ステートメントは、保護する必要があるIPパケットを判別する条件を指定します。

クリプトACLに関する注意事項

IPSecでACLを設定する場合、次の注意事項に従ってください。

Cisco SAN-OSソフトウェアで使用できるのは、名前ベースのIP ACLだけです。

暗号マップにIP ACLを適用する場合、次の条件が適用されます。

許可(permit) ― トラフィックにIPSec機能を適用します。

拒否(deny) ― クリアテキスト(デフォルト)を許可します。


) IKEトラフィック(UDPポート500)は必ずクリアテキストで送信されます。


IPSec機能では、送信元および宛先のIPアドレスとサブネット マスクのみが考慮されます。


) IPSec機能では、ポート番号とプロトコル フィールドは無視されます。


permit オプションを使用すると、対応する暗号マップ エントリによって定義されたポリシーに基づいて、指定条件と一致するすべてのIPトラフィックが暗号で保護されます。

deny オプションを使用すると、トラフィックは暗号で保護されません。拒否(deny)ステートメントを指定すると、トラフィックはクリアテキストで送信されます。

定義するクリプトACLがインターフェイスに適用されるのは、対応する暗号マップ エントリを定義して、暗号マップ セットをインターフェイスに適用したあとです。

同じ暗号マップ セットの異なるエントリには、異なるACLを使用する必要があります。

着信トラフィックと発信トラフィックは、同じ発信IPSec ACLを使用して評価されます。そのため、スイッチから出るトラフィックに対してはACLの基準が順方向に適用され、スイッチに入るトラフィックに対しては逆方向に適用されます。

暗号マップ エントリに割り当てられた各ACLフィルタは、セキュリティ ポリシーのエントリと同等です。IPSec機能は、各MPS-14/2モジュールおよびCisco MDS 9216iスイッチに対して最大120のセキュリティ エントリをサポートしています。

図 29-2では、スイッチAのS0インターフェイスからスイッチ インターフェイスS1にデータがルーティングされる場合に、スイッチ インターフェイスS0(IPアドレス10.0.0.1)とスイッチ インターフェイスS1(IPアドレス20.0.0.2)間のトラフィックにIPSec保護が適用されます。10.0.0.1から20.0.0.2へ伝送されるトラフィックの場合、スイッチAのACLエントリは次のように評価されます。

送信元=IPアドレス10.0.0.1

宛先=IPアドレス20.0.0.2

20.0.0.2から10.0.0.1へ伝送されるトラフィックの場合、スイッチAの同じACLエントリが次のように評価されます。

送信元=IPアドレス20.0.0.2

宛先=IPアドレス10.0.0.1

図 29-2 IPSecのクリプトACLの処理

 

IPSecで使用する所定のクリプトACLに複数のステートメントを設定した場合、最初に一致した許可(permit)ステートメントがIPSec SAの範囲の決定に使用されます。その後、トラフィックがクリプトACLの別の許可(permit)ステートメントと一致した場合は、新たに一致したACLステートメントと一致するトラフィックを保護するために、別のIPSec SAが新しくネゴシエートされます。

暗号マップ エントリにIPSecのフラグが付いている場合、クリプトACLの許可(permit)エントリと一致する保護されていない着信トラフィックは、IPSecで保護されていたはずという前提で廃棄されます。

すべてのIP ACLを表示するには、 show ip access-lists コマンドを使用します。トラフィック フィルタリングに使用されるIP ACLは、暗号にも使用されます。

ミラー イメージのクリプトACL

ローカル ピアで定義された暗号マップ エントリに対応して指定されるクリプトACLに対して、リモート ピアでミラー イメージのクリプトACLを定義できます。この設定を使用すると、ローカルで適用されるIPSecトラフィックをリモート ピアで正しく処理できます。


ヒント 暗号マップ エントリ自体も共通のトランスフォームをサポートし、他のシステムをピアとして参照する必要があります。


図 29-3は、ミラー イメージのACLを使用した場合と使用しない場合の例です。

図 29-3 ミラー イメージ構成のIPSec処理

 

図 29-3に示すように、2つのピアのクリプトACLがお互いのミラー イメージの場合、IPSec SA(SA)は予想どおりに確立できます。ただし、クリプトACLがお互いのミラー イメージでない場合、IPSec SAが確立できる場合は限られます。これは、一方のピアのACLのエントリがもう一方のピアのエントリのサブセットになっている場合(図 29-3のケース3と4など)に起こります。IPSec SAの確立はIPSecにとって非常に重要です。SAが無いとIPSecは機能せず、クリプトACLの基準に一致するパケットはすべて廃棄され、IPSecセキュリティを使用して転送されることはありません。

図 29-3で、ケース4の場合にSAが確立できません。これは、パケットを発信する側でクリプトACLに応じて常にSAが要求されるためです。ケース4で、ルータNはサブネットXとサブネットY間のすべてのトラフィック保護を要求しますが、これはスイッチMのクリプトACLで許可されるすべてのフローを含むため、この要求は許可されません。ケース3が機能するのは、スイッチMの要求がルータNのクリプトACLで許可されるフローのサブセットになっているためです。

ピアIPSecデバイスでクリプトACLをミラー イメージとして設定しないと設定が複雑になるため、ミラー イメージクリプトACLの使用を強く推奨します。

クリプトACLのanyキーワード


ヒント IPSecで使用する場合にはミラー イメージのクリプトACLを設定し、anyオプションを使用しないことを推奨しています。


IPSecインターフェイスを使用してマルチキャスト トラフィックを流す場合、許可(permit)ステートメントで any オプションは使用しないでください。マルチキャスト トラフィックが破棄される場合があります。

permit any any ステートメントを使用すると、すべての発信トラフィックが保護され(さらに、すべての保護されたトラフィックが対応する暗号マップ エントリで指定されたピアに送信され)、すべての着信トラフィックの保護が必要になります。そのため、IPSecで保護されない着信パケット(ルーティング プロトコル、NTP、エコー、エコー要求などのパケットを含む)はすべて廃棄されます。

保護するパケットは必ず定義する必要があります。許可(permit)ステートメントで any オプションを使用する場合には、保護の必要ないすべての(許可ステートメントの範囲に含まれる)トラフィックをフィルタリングして除外する拒否(deny)ステートメントを許可ステートメントの前に記述する必要があります。

IPSecのトランスフォーム セット

トランスフォーム セットは、セキュリティ プロトコルとアルゴリズムの特定の組み合わせです。特定のデータ フローを保護する場合、ピアはIPSec SAのネゴシエート中に特定のトランスフォーム セットの使用に同意します。

トランスフォーム セットを複数指定して、暗号マップ エントリでそれらのトランスフォーム セットを1つまたは複数指定することもできます。暗号マップ エントリで定義したトランスフォーム セットは、その暗号マップ エントリのアクセス リストで指定されているデータ フローを保護するためのIPSec SAのネゴシエーションで使用されます。

IKEを使用したIPSec SAのネゴシエーション中に、ピアは両方のピアで同一のトランスフォーム セットを検索します。同一のトランスフォーム セットが見つかると、両方のピアのIPSec SAの一部として選択され、保護対象トラフィックに適用されます。


ヒント トランスフォーム セットの定義を変更する場合、変更はそのトランスフォーム セットを参照する暗号マップ エントリだけに適用されます。この変更は既存のSAには適用されませんが、新しいSAを確立する後続のネゴシエーションで使用されます。新しい設定値をすぐに適用する場合は、SADの一部または全部をクリアします。



) IPSecをイネーブルにすると、Cisco SAN-OSソフトウェアは、AES-128暗号およびSHA-1認証アルゴリズムを使用して、デフォルトのトランスフォーム セット(ipsec_default_tranform_set)を自動的に作成します。


表 29-2 は、IPSecで使用可能なトランスフォームの組み合わせです。

 

表 29-2 IPSecトランスフォーム設定パラメータ

パラメータ
許容値
キーワード

暗号アルゴリズム

56ビットDES-CBC

168ビットDES

128ビットAES-CBC

128ビットAES-CTR1

256ビットAES-CBC

256ビットAES-CTR 1

esp-des

esp-3des

esp-aes 128

esp-aes 128 ctr

esp- aes 256

esp-aes 256 ctr

ハッシュ/認証アルゴリズム 1 (オプション)

SHA-1(HMACの改良型)

MD5(HMACの改良型)

AES-XCBC-MAC

esp-sha1-hmac

esp-md5-hmac

esp- aes-xcbc-mac

1.AESカウンタ(CTR)モードを設定する場合、認証アルゴリズムも設定する必要があります。


) 次の表は、IPSecおよびIKE暗号認証アルゴリズムに関して、Microsoft WindowsとLinuxプラットフォーム上でサポートされている確認済みの設定です。

 

プラットフォーム
IKE
IPSec

Microsoft iSCSIイニシエータ、Microsoft Windows 2000プラットフォームのMicrosoft IPSec

3DES、SHA-1、またはMD5、
DHグループ2

3DES、SHA-1

Cisco iSCSIイニシエータ、
LinuxプラットフォームのFree Swan IPSec

3DES、MD5、DHグループ1

3DES、MD5


 

トランスフォーム セットを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto transform-set domain ipsec test esp-3des esp-md5-hmac

testというトランスフォーム セットを設定して、3DES暗号化アルゴリズムとMD5認証アルゴリズムを指定します。使用可能なトランスフォームの組み合わせについては、 表 29-2 を参照してください。

switch(config)# no crypto transform-set domain ipsec test esp-3des esp-md5-hmac

適用されているトランスフォーム セットを削除します。

switch(config)# crypto transform-set domain ipsec test esp-3des

testというトランスフォーム セットを設定して、3DES暗号化アルゴリズムを指定します、この場合は、デフォルトの認証なしが実行されます。

switch(config)# no crypto transform-set domain ipsec test esp-3des

適用されているトランスフォーム セットを削除します。

暗号マップ エントリ

クリプトACLとトランスフォーム セットの作成が完了すると、以下のように、IPSec SAのさまざまな部分を組み合わせた暗号マップ エントリを作成できます。

IPSecで保護するトラフィック(クリプトACL単位)。複数のエントリを使用できる暗号マップ セット(それぞれ異なるACLを使用)

SAセットで保護されるフローの粒度

IPSecで保護されるトラフィックの宛先(リモートIPSecピア)

IPSecトラフィックで使用するローカル アドレス(インターフェイスに適用)

トラフィックに適用するIPSecセキュリティ(1つまたは複数のトランスフォーム セットから選択)

IPSec SAを定義するその他のパラメータ

同じ暗号マップ名を持つ(マップ シーケンス番号は異なる)暗号マップ エントリは、1つの暗号マップ セットにグループ化されます。

暗号マップ セットをインターフェイスに適用すると、次のようになります。

そのインターフェイスに対するSecurity Policy Database(SPD)が作成されます。

そのインターフェイスを通過するすべてのIPトラフィックが、作成されたSPDで評価されます。

暗号マップ エントリが保護すべき発信IPトラフィックに対応する場合、暗号マップ エントリに含まれるパラメータに応じてリモート ピアとSAをネゴシエーションします。

暗号マップ エントリから導出されるポリシーは、SAのネゴシエーション中に使用されます。ローカル スイッチがネゴシエーションを開始する場合、暗号マップ エントリで指定されたポリシーを使用して、指定されたIPSecピアに送信するオファーを作成します。IPSecピアがネゴシエーションを開始する場合、ローカル スイッチは暗号マップ エントリのポリシーを確認して、ピアの要求を受け入れるか拒否するかを判断します。

IPSecピア間でIPSecを成立させるには、両ピアの暗号マップ エントリに矛盾のないコンフィギュレーション ステートメントが含まれている必要があります。

ピア間でのSAの確立

2つのピアがSAを確立する場合、それぞれのピアがお互いに矛盾しない暗号マップ エントリを少なくとも1つ所有する必要があります。

2つの暗号マップ エントリが矛盾しないようにするには、少なくとも次の基準を満たす必要があります。

暗号マップ エントリには、矛盾しないクリプトACL(ミラー イメージのACLなど)が含まれている必要があります。応答側ピアのエントリがローカル クリプトに設定されている場合、ACLはピアのクリプトACLによって許可される必要があります。

暗号マップ エントリでは、お互いのピアを識別するか、または自動的にピアを設定する必要があります。

特定のインターフェイスに複数の暗号マップ エントリを作成する場合は、各マップ エントリの seq-num を使用してマップ エントリに順序を付けて、 seq-num が小さいものから順番にプライオリティを高くします。暗号マップ セットを持つインターフェイスで、トラフィックはプライオリティの高いエントリから順番に評価されます。

暗号マップ エントリには、IKEのネゴシエーションとSAの確立を行う共通のトランスフォーム セットが少なくとも1つ含まれている必要があります。特定のデータ フローを保護する場合、ピアはIPSec SAのネゴシエーション中に特定のトランスフォーム セットの使用に同意します。

パケットが特定のACLの許可(permit)エントリと一致すると、対応する暗号マップ エントリにタグが付けられ、接続が確立されます。

暗号マップ設定時の注意事項

暗号マップ エントリを設定する際には、次の注意事項に従ってください。

各暗号マップのシーケンス番号によって、ポリシーが適用される順序が決まります。シーケンス番号が小さいほど、高いプライオリティが割り当てられます。

各暗号マップ エントリに対して許可されるACLは1つだけです(ACL自体は複数の許可エントリまたは拒否エントリを持つ場合があります)。

トンネルのエンドポイントが宛先アドレスと同じである場合、 auto-peer オプションを使用してピアをダイナミックに設定できます。

暗号マップ エントリを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto map domain ipsec SampleMap 31

ips-hac1(config-crypto-map-ip)#

エントリSampleMap(シーケンス番号31)の暗号マップ コンフィギュレーション モードを開始します。

switch(config)# no crypto map domain ipsec SampleMap 3

指定された暗号マップ エントリを削除します。

switch(config)# no crypto map domain ipsec SampleMap

暗号マップ セットSampleMap全体を削除します。

ステップ 3

switch(config-crypto-map-ip)# match address SampleAcl

現在の暗号マップ エントリにおいて、IPSecで保護するトラフィックと保護しないトラフィックを決定するACLを指定します。

switch(config-crypto-map-ip)# no match address SampleAcl

一致したアドレスを削除します。

ステップ 4

switch(config-crypto-map-ip)# set peer 10.1.1.1

特定のピアIPアドレスを設定します。

switch(config-crypto-map-ip)# no set peer 10.1.1.1

設定されたピアを削除します。

ステップ 5

switch(config-crypto-map-ip)# set transform-set SampleTransform1 SampleTransmfor2

指定された暗号マップ エントリで使用可能なトランスフォーム セットを指定します。複数のトランスフォーム セットをプライオリティの高いものから順番に記述します。

switch(config-(crypto-map-ip))# no set transform-set

すべてのトランスフォーム セットの関連付けを削除します(トランスフォーム セット名を指定しても無視されます)。

SAライフタイムのネゴシエーション

SA固有のライフタイム値を設定すると、グローバル ライフタイム値(サイズおよび時間)を上書きできます。

SAライフタイム ネゴシエーション値を指定する場合、指定された暗号マップのライフタイム値を任意に設定できます。設定した値はグローバルに設定された値よりも優先されます。暗号マップ固有のライフタイム指定しない場合、グローバル値(またはグローバルなデフォルト値)が使用されます。

グローバル ライフタイム値の詳細については、「グローバル ライフタイム値」を参照してください。

指定された暗号マップ エントリのSAライフタイムを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto map domain ipsec SampleMap 31

ips-hac1(config-crypto-map-ip)#

SampleMapというエントリ(シーケンス番号31)の暗号マップ コンフィギュレーション モードを開始します。

ステップ 3

switch(config-crypto-map-ip)# set security-association lifetime seconds 8640

グローバル ライフタイムとは異なるIPSec SAライフタイムを使用して、現在の暗号マップ エントリのSAライフタイムを指定します。

switch(config-crypto-map-ip)# no set security-association lifetime seconds 8640

エントリ固有の設定を削除し、グローバル設定に戻します。

ステップ 4

switch(config-crypto-map-ip)# set security-association lifetime kilobytes 2560

現在のSAのトラフィック量ライフタイムをキロバイト単位で設定します。ライフタイムの範囲は2560~2147483647キロバイトです。

switch(config-crypto-map-ip)# set security-association lifetime gigabytes 4000

現在のSAを使用するFCIPリンクを通過するトラフィック量(ギガバイト)が指定された量を超えるとタイムアウトするように、SAのトラフィック量ライフタイムを設定します。ライフタイムの範囲は1~4095ギガバイトです。

switch(config-crypto-map-ip)# set security-association lifetime megabytes 5000

現在のSAのトラフィック量ライフタイムをメガバイト単位で設定します。ライフタイムの範囲は3~4193280メガバイトです。

switch(config-crypto-map-ip)# no set security-association lifetime megabytes

グローバル設定に戻します。

auto-peerオプション

暗号マップでピア アドレスを auto-peer として設定すると、トラフィックの送信先のエンドポイントがSAのピア アドレスとして使用されます。同じ暗号マップを使用すると、暗号マップのACLエントリで指定されたサブネット内の各エンドポイントに対して一意のSAを設定できます。トラフィックのエンドポイントがIPSecに対応している場合、auto-peerを使用すると設定が容易になります。iSCSIの場合は特に便利です(同じサブネット内のiSCSIホストが個別の設定を必要としない場合)。

図 29-4は、auto-peerオプションによって設定を簡素化できる例です。auto-peerオプションを使用すると、スイッチとのSAを設定する場合に必要な暗号マップ エントリが、サブネットXのすべてのホストに対して1つだけで済みます。各ホストは独自のSAを設定しますが、暗号マップ エントリは共有されます。auto-peerオプションを使用しない場合、各ホストに対して暗号マップ エントリが1つずつ必要になります。

詳細については、図 29-6を参照してください。

図 29-4 auto-peerオプションによるエンドツーエンドのIPSecを使用したiSCSI

 

auto-peerオプションを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto map domain ipsec SampleMap 31

ips-hac1(config-crypto-map-ip)#

SampleMapというエントリ(シーケンス番号31)の暗号マップ コンフィギュレーション モードを開始します。

ステップ 3

switch(config-crypto-map-ip)# set peer auto-peer

(SA設定中に)宛先ピアIPアドレスをダイナミックに選択するように設定します。

switch(config-crypto-map-ip)# no set peer auto-peer

auto-peerの設定を削除します。

PFS

SAライフタイム ネゴシエーション値を指定する場合、暗号マップでPFS値を任意に設定することもできます。

PFS機能は、デフォルトでディセーブルです。PFSグループを設定する場合、DHグループ(1、2、5、または14)のいずれか1つを設定できます。DHグループを指定しない場合は、デフォルトでグループ1が使用されます。

PFS値を設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto map domain ipsec SampleMap 31

ips-hac1(config-crypto-map-ip)#

SampleMapというエントリ(シーケンス番号31)の暗号マップ コンフィギュレーション モードを開始します。

ステップ 3

switch(config-crypto-map-ip)# set pfs group 2

現在の暗号マップ エントリの新しいSAの要求時、またはピアから受信した要求に、PFSを要求するようにIPSecを設定します。

switch(config-crypto-map-ip)# no set pfs

設定済みのDHグループを削除し、出荷時の設定(PFSはディセーブル)に戻します。

暗号マップ セットのインターフェイスへの適用

IPSecのトラフィックが流れる各インターフェイスに暗号マップ セットを適用する必要があります。インターフェイスに暗号マップ セットを適用すると、スイッチはそのインターフェイスのすべてのトラフィックを指定された暗号マップ セットに照らし合わせて評価し、指定されたポリシーを接続中またはSAネゴシエーション中に使用して、トラフィックが暗号によって保護されるようにします。

各インターフェイスに適用できる暗号マップ セットは1つだけです。複数のインターフェイスに同じ暗号マップを適用できます。ただし、各インターフェイスに複数の暗号マップ セットを適用することはできません。

インターフェイスに暗号マップ セットを適用する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface gigabitethernet 4/1

switch(config-if)#

IPSecの暗号マップを適用するギガビット イーサネット インターフェイス(さらに、必要に応じてサブインターフェイス)を選択します。

ステップ 3

switch(config-if)# crypto map domain ipsec cm10

選択したインターフェイスに暗号マップ セットを適用します。

ステップ 4

switch(config-if)# no crypto map domain ipsec

インターフェイスに現在適用されている暗号マップを削除します。

IPSecのメンテナンス

設定変更は後続のSAのネゴシエーション時まで適用されません。新しい設定値をすぐに適用する場合は、既存のSAをクリアして、変更後の設定を使用してSAを再度確立します。スイッチがIPSecトラフィックをアクティブに処理している間は、SADのうち、変更の影響を受ける部分だけをクリアします(つまり、特定の暗号マップ セットで確立されたSAだけをクリアします)。SAD全体をクリアするのは、大規模な変更時やルータが処理している他のIPSecトラフィックが非常に少ない場合に限定してください。


注意 パラメータを指定せずにclear crypto saコマンドを使用すると、SAD全体がクリアされ、アクティブなセキュリティ セッションがクリアされます。SADのサブセットだけをクリアするには、peer、map、またはentryキーワードを指定します。

SADの全部または一部をクリアするには、 clear crypto sa コマンドを使用します。

switch# clear crypto sa domain ipsec interface gigabitethernet 2/1 inbound sa 1
 

ヒント show crypto sa domain interface gigabitethernet slot/port コマンドを使用すると、SAインデックスが取得できます。


グローバル ライフタイム値

暗号マップ エントリでライフタイムを設定していない場合、新規のIPSec SAをネゴシエーションする際にグローバル ライフタイム値が使用されます。

設定できるライフタイムは、時間ライフタイムとトラフィック量ライフタイムの2つです。どちらか一方のライフタイムに達すると、SAは期限切れになります。デフォルトのライフタイムは3,600秒(1時間)および450 GBです。

グローバル ライフタイムを変更すると、新しいライフタイム値は既存のSAには適用されませんが、SAを確立する後続のネゴシエーションで使用されます。新しいライフタイム値をすぐに使用する場合には、SADの全部または一部をクリアします。

特定の暗号マップ エントリでライフタイム値を設定していない場合、スイッチが新規のSAを要求する際に、ピアに対する要求でグローバル ライフタイム値が使用され、この値が新しいSAのライフタイムとして使用されます。スイッチは、ピアからネゴシエーション要求を受信すると、使用中のIKEバージョンによって指定される値を使用します。

IKEv1を使用してIPSec SAを確立する場合、SAライフタイム値は2つの提案のうち小さい方になります。トンネルの両端には同じ値が設定されます。

IKEv2を使用してIPSec SAを確立する場合、各端のSAには独自のライフタイム値が設定されるため、両側のSAの有効期限は異なります。

SA(およびそれに対応するキー)は、指定された時間(秒)または指定されたトラフィック量(バイト)のうち、どちらかを超えた時点で有効期限が切れます。

既存のSAのライフタイムしきい値に到達する前に、新しいSAがネゴシエートされます。これは、既存のSAの有効期限が切れる前に、ネゴシエーションを完了するためです。

次のいずれかのしきい値(いずれか早いもの)に到達すると、新しいSAのネゴシエーションが実行されます。

ライフタイムの有効期限が切れる30秒前、または

ライフタイムの残りのバイト数が約10%になったとき

ライフタイムの有効期限が切れるときにトラフィックがまったく存在しない場合、新しいSAのネゴシエーションは実行されません。新しいSAのネゴシエーションが実行されるのは、保護する必要のあるパケットをIPSecが検出したときになります。

グローバルSAライフタイムを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# crypto global domain ipsec security-association lifetime seconds 86400

指定した秒数が経過した時点でIPSecのSAがタイムアウトするように、グローバルな時間ライフタイムを設定します。グローバルなライフタイムの範囲は120~86400秒です。

switch(config)# no crypto global domain ipsec security-association lifetime seconds 86400

出荷時デフォルトの3,600秒に戻します。

ステップ 3

switch(config)# crypto global domain ipsec security-association lifetime gigabytes 4000

SAを使用するFCIPリンクを通過するトラフィック量(ギガバイト)が指定された量を超えるとタイムアウトするように、IPSecのSAのトラフィック量ライフタイムを設定します。グローバル ライフタイムの範囲は1~4095ギガバイトです。

switch(config)# crypto global domain ipsec security-association lifetime kilobytes 2560

グローバルなトラフィック量ライフタイムをキロバイト単位で設定します。グローバルなライフタイムの範囲は2560~2147483647キロバイトです。

switch(config)# crypto global domain ipsec security-association lifetime megabytes 5000

グローバルなトラフィック量ライフタイムをメガバイト単位で設定します。グローバルなライフタイムの範囲は3~4193280メガバイトです。

switch(config)# no crypto global domain ipsec security-association lifetime megabytes

現在の設定値に関係なく、出荷時の設定(450 GB)に戻します。

IKE設定の表示

IKE情報を確認するには、一連の show コマンドを使用します。例 29-1 29-5 を参照してください。

例29-1 各IKEポリシーに設定されたパラメータの表示

switch# show crypto IKE domain ipsec
keepalive 60000
 

例29-2 イニシエータの設定の表示

switch# show crypto IKE domain ipsec initiator
initiator version 1 address 1.1.1.1
initiator version 1 address 1.1.1.2
 

例29-3 キー設定の表示

switch# show crypto IKE domain ipsec key
key abcdefgh address 1.1.1.1
key bcdefghi address 1.1.2.1
 

例29-4 IKEで現在確立されているポリシーの表示

switch# show crypto IKE domain ipsec policy 1
Priority 1, auth pre-shared, lifetime 6000 secs, encryption 3des, hash md5, DH group 5
Priority 3, auth pre-shared, lifetime 86300 secs, encryption aes, hash sha1, DH group 1
 

例29-5 IKEで現在確立されているSAの表示

switch# show crypto IKE domain ipsec sa
Tunn Local Addr Remote Addr Encr Hash Auth Method Lifetime
----------------------------------------------------------------------------------------
1* 172.22.31.165[500] 172.22.31.166[500] 3des sha1 preshared key 86400
2 172.22.91.174[500] 172.22.91.173[500] 3des sha1 preshared key 86400
-----------------------------------------------------------------------------------------
NOTE: tunnel id ended with * indicates an IKEv1 tunnel
 

IPSecの設定の表示

IPSec情報を確認するには、一連の show コマンドを使用します。例 29-6 29-20 を参照してください。

例29-6 IP ACL情報の表示

switch# show ip access-list usage
Access List Name/Number Filters IF Status Creation Time
----------------------------- ------- ------- --------- -------------
acl10 1 0 active Mon Mar 2 05:07:20 1981
acl100 1 0 active Mon Mar 2 05:07:20 1981
acl100subnet 1 0 active Mon Mar 2 05:07:20 1981
 

例29-7 指定されたACL情報の表示

switch# show ip access-list acl10
ip access-list acl10 permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255 (0 matches)
 

例29-7で、表示される出力は基準を満たすインターフェイス(暗号マップではない)だけです。

例29-8 トランスフォーム セットの設定の表示

switch# show crypto transform-set domain ipsec
Transform set: 3des-md5 {esp-3des esp-md5-hmac}
will negotiate {tunnel}
Transform set: des-md5 {esp-des esp-md5-hmac}
will negotiate {tunnel}
Transform set: test {esp-aes-128-cbc esp-md5-hmac}
will negotiate {tunnel}
 

例29-9 すべての設定済み暗号マップの表示

switch# show crypto map domain ipsec
Crypto Map “cm10” 1 ipsec
Peer = Auto Peer
IP ACL = acl10
permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0
Transform-sets: 3des-md5, des-md5,
Security Association Lifetime: 4500 megabytes/3600 seconds
PFS (Y/N): N
Interface using crypto map set cm10:
GigabitEthernet4/1
Crypto Map “cm100” 1 ipsec
Peer = Auto Peer
IP ACL = acl100
permit ip 10.10.100.0 255.255.255.0 10.10.100.0 255.255.255.0
Transform-sets: 3des-md5, des-md5,
Security Association Lifetime: 4500 megabytes/3600 seconds
PFS (Y/N): N
Interface using crypto map set cm100:
GigabitEthernet4/2
 

例29-10 特定のインターフェイスの暗号マップ情報の表示

switch# show crypto map domain ipsec interface gigabitethernet 4/1
Crypto Map “cm10” 1 ipsec
Peer = Auto Peer
IP ACL = acl10
permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0
Transform-sets: 3des-md5, des-md5,
Security Association Lifetime: 4500 megabytes/120 seconds
PFS (Y/N): N
Interface using crypto map set cm10:
GigabitEthernet4/1
 

例29-11 指定された暗号マップ情報の表示

switch# show crypto map domain ipsec tag cm100
Crypto Map “cm100” 1 ipsec
Peer = Auto Peer
IP ACL = acl100
permit ip 10.10.100.0 255.255.255.0 10.10.100.0 255.255.255.0
Transform-sets: 3des-md5, des-md5,
Security Association Lifetime: 4500 megabytes/120 seconds
PFS (Y/N): N
Interface using crypto map set cm100:
GigabitEthernet4/2
 

例29-12 指定されたインターフェイスのSAアソシエーションの表示

switch# show crypto sad domain ipsec interface gigabitethernet 4/1
interface: GigabitEthernet4/1
Crypto map tag: cm10, local addr. 10.10.10.1
protected network:
local ident (addr/mask): (10.10.10.0/255.255.255.0)
remote ident (addr/mask): (10.10.10.4/255.255.255.255)
current_peer: 10.10.10.4
local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.10.10.4
mode: tunnel, crypto algo: esp-3des, auth algo: esp-md5-hmac
current outbound spi: 0x30e000f (51249167), index: 0
lifetimes in seconds:: 120
lifetimes in bytes:: 423624704
current inbound spi: 0x30e0000 (51249152), index: 0
lifetimes in seconds:: 120
lifetimes in bytes:: 423624704
 

例29-13 すべてのSAアソシエーションの表示

switch# show crypto sad domain ipsec
interface: GigabitEthernet4/1
Crypto map tag: cm10, local addr. 10.10.10.1
protected network:
local ident (addr/mask): (10.10.10.0/255.255.255.0)
remote ident (addr/mask): (10.10.10.4/255.255.255.255)
current_peer: 10.10.10.4
local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.10.10.4
mode: tunnel, crypto algo: esp-3des, auth algo: esp-md5-hmac
current outbound spi: 0x30e000f (51249167), index: 0
lifetimes in seconds:: 120
lifetimes in bytes:: 423624704
current inbound spi: 0x30e0000 (51249152), index: 0
lifetimes in seconds:: 120
lifetimes in bytes:: 423624704
 

例29-14 ポリシー データベースに関する情報の表示

switch# show crypto spd domain ipsec
Policy Database for interface: GigabitEthernet4/1, direction: Both
# 0: deny udp any port eq 500 any
# 1: deny udp any any port eq 500
# 2: permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0
# 63: deny ip any any
Policy Database for interface: GigabitEthernet4/2, direction: Both
# 0: deny udp any port eq 500 any <----------------------- ------UDPデフォルト エントリ
# 1: deny udp any any port eq 500 <------------------------------UDPデフォルト エントリ
# 3: permit ip 10.10.100.0 255.255.255.0 10.10.100.0 255.255.255.0
# 63: deny ip any any <---------------------------------クリアテキスト デフォルト エントリ
 

例29-15 特定のインターフェイスのSPD情報の表示

switch# show crypto spd domain ipsec interface gigabitethernet 4/2
Policy Database for interface: GigabitEthernet3/1, direction: Both
# 0: deny udp any port eq 500 any
# 1: deny udp any any port eq 500
# 2: permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0
# 127: deny ip any any
 

例29-16 特定のインターフェイスの詳細なiSCSIセッション情報の表示

switch# show iscsi session detail
Initiator iqn.1987-05.com.cisco:01.9f39f09c7468 (ips-host16.cisco.com)
Initiator ip addr (s): 10.10.10.5
Session #1 (index 24)
Discovery session, ISID 00023d000001, Status active
 
Session #2 (index 25)
Target ibm1
VSAN 1, ISID 00023d000001, TSIH 0, Status active, no reservation
Type Normal, ExpCmdSN 42, MaxCmdSN 57, Barrier 0
MaxBurstSize 0, MaxConn 1, DataPDUInOrder Yes
DataSeqInOrder Yes, InitialR2T Yes, ImmediateData No
Registered LUN 0, Mapped LUN 0
Stats:
PDU: Command: 41, Response: 41
Bytes: TX: 21388, RX: 0
Number of connection: 1
Connection #1
iSCSI session is protected by IPSec <-----------iSCSIセッション保護ステータス
Local IP address: 10.10.10.4, Peer IP address: 10.10.10.5
CID 0, State: Full-Feature
StatSN 43, ExpStatSN 0
MaxRecvDSLength 131072, our_MaxRecvDSLength 262144
CSG 3, NSG 3, min_pdu_size 48 (w/ data 48)
AuthMethod none, HeaderDigest None (len 0), DataDigest None (len 0)
Version Min: 0, Max: 0
FC target: Up, Reorder PDU: No, Marker send: No (int 0)
Received MaxRecvDSLen key: Yes
 

例29-17 特定のインターフェイスのFCIP情報の表示

switch# show interface fcip 1
fcip1 is trunking
Hardware is GigabitEthernet
Port WWN is 20:50:00:0d:ec:08:6c:c0
Peer port WWN is 20:10:00:05:30:00:a7:9e
Admin port mode is auto, trunk mode is on
Port mode is TE
Port vsan is 1
Speed is 1 Gbps
Trunk vsans (admin allowed and active) (1)
Trunk vsans (up) (1)
Trunk vsans (isolated) ()
Trunk vsans (initializing) ()
Using Profile id 1 (interface GigabitEthernet2/1)
Peer Information
Peer Internet address is 10.10.11.1 and port is 3225
FCIP tunnel is protected by IPSec <-----------FCIPトンネル保護ステータス
Write acceleration mode is off
Tape acceleration mode is off
Tape Accelerator flow control buffer size is 256 KBytes
IP Compression is disabled
Special Frame is disabled
Maximum number of TCP connections is 2
Time Stamp is disabled
QOS control code point is 0
QOS data code point is 0
B-port mode disabled
TCP Connection Information
2 Active TCP connections
Control connection: Local 10.10.11.2:3225, Remote 10.10.11.1:65520
Data connection: Local 10.10.11.2:3225, Remote 10.10.11.1:65522
2 Attempts for active connections, 0 close of connections
TCP Parameters
Path MTU 1400 bytes
Current retransmission timeout is 200 ms
Round trip time: Smoothed 2 ms, Variance: 1
Advertized window: Current: 124 KB, Maximum: 124 KB, Scale: 6
Peer receive window: Current: 123 KB, Maximum: 123 KB, Scale: 6
Congestion window: Current: 53 KB, Slow start threshold: 48 KB
Current Send Buffer Size: 124 KB, Requested Send Buffer Size: 0 KB
CWM Burst Size: 50 KB
5 minutes input rate 128138888 bits/sec, 16017361 bytes/sec, 7937 frames/sec
5 minutes output rate 179275536 bits/sec, 22409442 bytes/sec, 46481 frames/sec
10457037 frames input, 21095415496 bytes
308 Class F frames input, 32920 bytes
10456729 Class 2/3 frames input, 21095382576 bytes
9907495 Reass frames
0 Error frames timestamp error 0
63792101 frames output, 30250403864 bytes
472 Class F frames output, 46816 bytes
63791629 Class 2/3 frames output, 30250357048 bytes
0 Error frames
 

例29-18 スイッチのグローバルなIPSec統計情報の表示

switch# show crypto global domain ipsec
IPSec global statistics:
Number of crypto map sets: 3
IKE transaction stats: 0 num, 256 max
Inbound SA stats: 0 num
Outbound SA stats: 0 num
 

例29-19 特定のインターフェイスのiSCSI統計情報の表示

switch# show crypto global domain ipsec interface gigabitethernet 3/1
IPSec interface statistics:
IKE transaction stats: 0 num
Inbound SA stats: 0 num, 512 max
Outbound SA stats: 0 num, 512 max
 

例29-20 グローバルなSAライフタイム値の表示

switch# show crypto global domain ipsec security-association lifetime
Security Association Lifetime: 450 gigabytes/3600 seconds
 

FCIPの構成例

図 29-5は、1つのFCIPリンク(トンネル2)でIPSecを使用している様子を示しています。トンネル2はMDS AとMDS Cとの間で暗号化されたデータを伝送します。

図 29-5 FCIPでのIPSecの使用例

 

図 29-5の例で、FCIPにIPSecを設定する手順は、次のとおりです。


ステップ 1 スイッチMDS AでIKEとIPSecをイネーブルにします。

sw10.1.1.100# conf t
sw10.1.1.100(config)# crypto IKE enable
sw10.1.1.100(config)# crypto ipsec enable
 

ステップ 2 スイッチMDS AでIKEを設定します。

sw10.1.1.100(config)# crypto IKE domain ipsec
sw10.1.1.100(config-IKE-ipsec)# key ctct address 10.10.100.232
sw10.1.1.100(config-IKE-ipsec)# policy 1
sw10.1.1.100(config-IKE-ipsec-policy)# encryption 3des
sw10.1.1.100(config-IKE-ipsec-policy)# hash md5
sw10.1.1.100(config-IKE-ipsec-policy)# end
sw10.1.1.100#
 

ステップ 3 スイッチMDS AでACLを設定します。

sw10.1.1.100# conf t
sw10.1.1.100(config)# ip access-list acl1 permit ip 10.10.100.231 0.0.0.0 10.10.100.232 0.0.0.0
 

ステップ 4 スイッチMDS Aでトランスフォーム セットを設定します。

sw10.1.1.100(config)# crypto transform-set domain ipsec tfs-02 esp-aes 128 esp-sha1-hmac
 

ステップ 5 スイッチMDS Aで暗号マップを設定します。

sw10.1.1.100(config)# crypto map domain ipsec cmap-01 1
sw10.1.1.100(config-crypto-map-ip)# match address acl1
sw10.1.1.100(config-crypto-map-ip)# set peer 10.10.100.232
sw10.1.1.100(config-crypto-map-ip)# set transform-set tfs-02
sw10.1.1.100(config-crypto-map-ip)# set security-association lifetime seconds 120
sw10.1.1.100(config-crypto-map-ip)# set security-association lifetime gigabytes 3000
sw10.1.1.100(config-crypto-map-ip)# set pfs group5
sw10.1.1.100(config-crypto-map-ip)# end
sw10.1.1.100#
 

ステップ 6 スイッチMDS Aでインターフェイスと暗号マップ セットを関連付けます。

sw10.1.1.100# conf t
sw10.1.1.100(config)# int gigabitethernet 7/1
sw10.1.1.100(config-if)# ip addr 10.10.100.231 255.255.255.0
sw10.1.1.100(config-if)# crypto map domain ipsec cmap-01
sw10.1.1.100(config-if)# no shut
sw10.1.1.100(config-if)# exit
sw10.1.1.100(config)#
 

ステップ 7 スイッチMDS AでFCIPを設定します。

sw10.1.1.100(config)# fcip enable
sw10.1.1.100(config)# fcip profile 2
sw10.1.1.100(config-profile)# ip address 10.10.100.231
sw10.1.1.100(config-profile)# int fcip 2
sw10.1.1.100(config-if)# peer-info ipaddr 10.10.100.232
sw10.1.1.100(config-if)# use-profile 2
sw10.1.1.100(config-if)# no shut
sw10.1.1.100(config-if)# end
sw10.1.1.100#
 

ステップ 8 スイッチMDS Aの設定を確認します。

sw10.1.1.100# show crypto global domain ipsec security-association lifetime
Security Association Lifetime: 4500 megabytes/3600 seconds
 
sw10.1.1.100# show crypto map domain ipsec
Crypto Map “cmap-01” 1 ipsec
Peer = 10.10.100.232
IP ACL = acl1
permit ip 10.10.100.231 255.255.255.255 10.10.100.232 255.255.255.255
Transform-sets: tfs-02,
Security Association Lifetime: 3000 gigabytes/120 seconds
PFS (Y/N): Y
PFS Group: group5
Interface using crypto map set cmap-01:
GigabitEthernet7/1
 
sw10.1.1.100# show crypto transform-set domain ipsec
Transform set: tfs-02 {esp-aes 128 esp-sha1-hmac}
will negotiate {tunnel}
 
sw10.1.1.100# show crypto spd domain ipsec
Policy Database for interface: GigabitEthernet7/1, direction: Both
# 0: deny udp any port eq 500 any
# 1: deny udp any any port eq 500
# 2: permit ip 10.10.100.231 255.255.255.255 10.10.100.232 255.255.255.255
# 63: deny ip any any
 
sw10.1.1.100# show crypto IKE domain ipsec
keepalive 3600
 
sw10.1.1.100# show crypto IKE domain ipsec key
key ctct address 10.10.100.232
 
sw10.1.1.100# show crypto IKE domain ipsec policy
Priority 1, auth pre-shared, lifetime 86300 secs, encryption 3des, hash md5, DH group 1
 

ステップ 9 スイッチMDS CでIKEとIPSecをイネーブルにします。

sw11.1.1.100# conf t
sw11.1.1.100(config)# crypto IKE enable
sw11.1.1.100(config)# crypto ipsec enable
 

ステップ 10 スイッチMDS CでIKEを設定します。

sw11.1.1.100(config)# crypto IKE domain ipsec
sw11.1.1.100(config-IKE-ipsec)# key ctct address 10.10.100.231
sw11.1.1.100(config-IKE-ipsec)# policy 1
sw11.1.1.100(config-IKE-ipsec-policy)# encryption 3des
sw11.1.1.100(config-IKE-ipsec-policy)# hash md5
sw11.1.1.100(config-IKE-ipsec-policy)# exit
sw11.1.1.100(config-IKE-ipsec)# end
sw11.1.1.100#
 

ステップ 11 スイッチMDS CでACLを設定します。

sw11.1.1.100# conf t
sw11.1.1.100(config)# ip access-list acl1 permit ip 10.10.100.232 0.0.0.0 10.10.100.231 0.0.0.0
 

ステップ 12 スイッチMDS Cでトランスフォーム セットを設定します。

sw11.1.1.100(config)# crypto transform-set domain ipsec tfs-02 esp-aes 128 esp-sha1-hmac
 

ステップ 13 スイッチMDS Cで暗号マップを設定します。

sw11.1.1.100(config)# crypto map domain ipsec cmap-01 1
sw11.1.1.100(config-crypto-map-ip)# match address acl1
sw11.1.1.100(config-crypto-map-ip)# set peer 10.10.100.231
sw11.1.1.100(config-crypto-map-ip)# set transform-set tfs-02
sw11.1.1.100(config-crypto-map-ip)# set security-association lifetime seconds 120
sw11.1.1.100(config-crypto-map-ip)# set security-association lifetime gigabytes 3000
sw11.1.1.100(config-crypto-map-ip)# set pfs group5
sw11.1.1.100(config-crypto-map-ip)# exit
sw11.1.1.100(config)#
 

ステップ 14 スイッチMDS Cでインターフェイスと暗号マップ セットを関連付けます。

sw11.1.1.100(config)# int gigabitethernet 1/2
sw11.1.1.100(config-if)# ip addr 10.10.100.232 255.255.255.0
sw11.1.1.100(config-if)# crypto map domain ipsec cmap-01
sw11.1.1.100(config-if)# no shut
sw11.1.1.100(config-if)# exit
sw11.1.1.100(config)#
 

ステップ 15 スイッチMDS CでFCIPを設定します。

sw11.1.1.100(config)# fcip enable
sw11.1.1.100(config)# fcip profile 2
sw11.1.1.100(config-profile)# ip address 10.10.100.232
sw11.1.1.100(config-profile)# int fcip 2
sw11.1.1.100(config-if)# peer-info ipaddr 10.10.100.231
sw11.1.1.100(config-if)# use-profile 2
sw11.1.1.100(config-if)# no shut
sw11.1.1.100(config-if)# exit
sw11.1.1.100(config)# exit
 

ステップ 16 スイッチMDS Cの設定を確認します。

sw11.1.1.100# show crypto global domain ipsec security-association lifetime
Security Association Lifetime: 4500 megabytes/3600 seconds
 
sw11.1.1.100# show crypto map domain ipsec
Crypto Map “cmap-01” 1 ipsec
Peer = 10.10.100.231
IP ACL = acl1
permit ip 10.10.100.232 255.255.255.255 10.10.100.231 255.255.255.255
Transform-sets: tfs-02,
Security Association Lifetime: 3000 gigabytes/120 seconds
PFS (Y/N): Y
PFS Group: group5
Interface using crypto map set cmap-01:
GigabitEthernet1/2
 
sw11.1.1.100# show crypto spd domain ipsec
Policy Database for interface: GigabitEthernet1/2, direction: Both
# 0: deny udp any port eq 500 any
# 1: deny udp any any port eq 500
# 2: permit ip 10.10.100.232 255.255.255.255 10.10.100.231 255.255.255.255
# 63: deny ip any any
 
sw11.1.1.100# show crypto sad domain ipsec
interface: GigabitEthernet1/2
Crypto map tag: cmap-01, local addr. 10.10.100.232
protected network:
local ident (addr/mask): (10.10.100.232/255.255.255.255)
remote ident (addr/mask): (10.10.100.231/255.255.255.255)
current_peer: 10.10.100.231
local crypto endpt.: 10.10.100.232, remote crypto endpt.: 10.10.100.231
mode: tunnel, crypto algo: esp-3des, auth algo: esp-md5-hmac
current outbound spi: 0x38f96001 (955867137), index: 29
lifetimes in seconds:: 120
lifetimes in bytes:: 3221225472000
current inbound spi: 0x900b011 (151040017), index: 16
lifetimes in seconds:: 120
lifetimes in bytes:: 3221225472000
 
sw11.1.1.100# show crypto transform-set domain ipsec
Transform set: tfs-02 {esp-aes 128 esp-sha1-hmac}
will negotiate {tunnel}
 
sw11.1.1.100# show crypto IKE domain ipsec
keepalive 3600
 
sw11.1.1.100# show crypto IKE domain ipsec key
 
key ctct address 10.10.100.231
 
sw11.1.1.100# show crypto IKE domain ipsec policy
Priority 1, auth pre-shared, lifetime 86300 secs, encryption 3des, hash md5, DH
group 1
 
sw11.1.1.100# show crypto IKE domain ipsec sa
Tunn Local Addr Remote Addr Encr Hash Auth Method Lifetime
----------------------------------------------------------------------------------------
1* 10.10.100.232[500] 10.10.100.231[500] 3des md5 preshared key 86300
-----------------------------------------------------------------------------------------
NOTE: tunnel id ended with * indicates an IKEv1 tunnel
 

ステップ 17 スイッチMDS Aの設定を確認します。

sw10.1.1.100# show crypto sad domain ipsec
interface: GigabitEthernet7/1
Crypto map tag: cmap-01, local addr. 10.10.100.231
protected network:
local ident (addr/mask): (10.10.100.231/255.255.255.255)
remote ident (addr/mask): (10.10.100.232/255.255.255.255)
current_peer: 10.10.100.232
local crypto endpt.: 10.10.100.231, remote crypto endpt.: 10.10.100.232
mode: tunnel, crypto algo: esp-3des, auth algo: esp-md5-hmac
current outbound spi: 0x900b01e (151040030), index: 10
lifetimes in seconds:: 120
lifetimes in bytes:: 3221225472000
current inbound spi: 0x38fe700e (956198926), index: 13
lifetimes in seconds:: 120
lifetimes in bytes:: 3221225472000
 
sw10.1.1.100# show crypto IKE domain ipsec sa
Tunn Local Addr Remote Addr Encr Hash Auth Method Lifetime
-------------------------------------------------------------------------------
1 10.10.100.231[500] 10.10.100.232[500] 3des md5 preshared key 86300
 

これで、スイッチMDS AとMDS Cの両方でIPSecの設定が完了しました。


 

iSCSIの構成例

図 29-6は、MDS Aとサブネット12.12.1.0/24内のホストとの間のiSCSIセッションを示しています。 auto-peer オプションを使用すると、サブネット12.12.1.0/24の任意のホストがMDSのギガビット イーサネット ポート7/1に接続する際に、ホストとMDS間でSAが作成されます。auto-peerオプションを使用すると、SAを作成するのに必要な暗号マップが、同じサブネット内のすべてのホストに対して1つだけで済みます。auto-peerオプションを使用しない場合、各ホストに対して暗号マップが1つずつ必要になります。

図 29-6 エンドツーエンドでIPSecを使用したiSCSI

 

図 29-6の例で、iSCSIにIPSecを設定する手順は、次のとおりです。


ステップ 1 スイッチMDS AでACLを設定します。

sw10.1.1.100# conf t
sw10.1.1.100(config)# ip access-list acl1 permit ip 10.10.1.0 0.0.0.255 12.12.1.0 0.0.0.255
 

ステップ 2 スイッチMDS Aでトランスフォーム セットを設定します。

sw10.1.1.100(config)# crypto transform-set domain ipsec tfs-01 esp-3des esp-md5-hmac
 

ステップ 3 スイッチMDS Aで暗号マップを設定します。

sw10.1.1.100(config)# crypto map domain ipsec cmap-01 1
sw10.1.1.100(config-crypto-map-ip)# match address acl1
sw10.1.1.100(config-crypto-map-ip)# set peer auto-peer
sw10.1.1.100(config-crypto-map-ip)# set transform-set tfs-01
sw10.1.1.100(config-crypto-map-ip)# end
sw10.1.1.100#
 

ステップ 4 スイッチMDS Aでインターフェイスと暗号マップ セットを関連付けます。

sw10.1.1.100# conf t
sw10.1.1.100(config)# int gigabitethernet 7/1
sw10.1.1.100(config-if)# ip addr 10.10.1.123 255.255.255.0
sw10.1.1.100(config-if)# crypto map domain ipsec cmap-01
sw10.1.1.100(config-if)# no shut
sw10.1.1.100(config-if)# end
sw10.1.1.100#
 

これで、Cisco MDSのIPSecとiSCSIの機能を使用したMDS AのIPSecの設定が完了しました。


 

デフォルト設定値

表 29-3 は、IKEパラメータのデフォルト設定値です。

 

表 29-3 デフォルトのIKEパラメータ

パラメータ
デフォルト

IKE

ディセーブル

IKEバージョン

IKEバージョン2

IKE暗号アルゴリズム

3DES

IKEハッシュ アルゴリズム

SHA

IKE認証方式

未設定(事前共有鍵を使用)

IKEのDHグループID

グループ1

IKEライフタイム アソシエーション

86,400秒(24時間)

各ピアのIKEキープアライブ時間(v2)

3,600秒(1時間)

表 29-4 は、IPSecパラメータのデフォルト設定値です。

 

表 29-4 デフォルトIPSecパラメータ

パラメータ
デフォルト

IPSec

ディセーブル

IPSecのトラフィックへの適用

拒否(deny) ― クリアテキストを許可

IPSec PFS

ディセーブル

IPSecグローバル ライフタイム(トラフィック量)

450ギガバイト

IPSecグローバル ライフタイム(時間)

3,600秒(1時間)