IP : Cisco IOS と NX-OS ソフトウェア

IPv6 セキュリティへの IPsec の実装

IPv6 セキュリティへの IPsec の実装
発行日;2012/01/21 | 英語版ドキュメント(2011/09/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

IPv6 セキュリティへの IPsec の実装

機能情報の検索

マニュアルの内容

IPv6 セキュリティへの IPsec の実装の前提条件

IPv6 セキュリティへの IPsec の実装に関する情報

IPv6 の IPsec

仮想トンネル インターフェイスを使用する IPv6 IPsec サイト間保護

IPv6 セキュリティへの IPsec の実装方法

サイト間 IPv6 IPsec 保護のための VTI の設定

IPv6 での IKE ポリシーおよび事前共有キーの定義

ISAKMP アグレッシブ モードの定義

IPsec トランスフォーム セットおよび IPsec プロファイルの定義

IPv6 での ISAKMP プロファイルの定義

IPv6 IPsec VTI の設定

IPsec トンネル モード設定の確認

IPv6 での IPsec の設定および動作のトラブルシューティング

IPv6 セキュリティへの IPsec の設定例

サイト間 IPv6 IPsec 保護のための VTI の設定:例

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

IPv6 セキュリティへの IPsec の実装の機能情報

IPv6 セキュリティへの IPsec の実装

 

 

シスコ ネットワーキング デバイスの Cisco IOS IPv6 セキュリティ機能を使用すると、機能低下または障害に対して、さらに意図的な攻撃や善意のネットワーク ユーザによる意図的ではないが損害を与えるミスによるデータ損失または侵害に対して、ネットワークを保護できます。

Cisco IOS IPsec 機能では、IP パケット レベルのネットワーク データ暗号化を利用して、標準規格に準拠した堅牢なセキュリティが提供されています。また、IPsec では、データ機密保持サービスだけでなく、データ認証およびリプレイ攻撃防止サービスも提供されています。

IPsec は、IPv6 仕様の必須コンポーネントです。IPv6 ユニキャストおよびマルチキャスト トラフィックを保護するために、IPv6 IPsec トンネル モードおよびカプセル化が使用されます。このマニュアルでは、IPv6 セキュリティへの IPsec の実装について説明します。

機能情報の検索

最新の機能情報および警告については、ご使用のプラットフォームおよびソフトウェア リリースのリリースノートを参照してください。このモジュールに記載されている機能に関する情報を検索したり、各機能がサポートされているリリースに関するリストを参照したりするには、「IPv6 セキュリティへの IPsec の実装の機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。

IPv6 セキュリティへの IPsec の実装の前提条件

IPv4 の知識が必要です。IPv4 の設定およびコマンド リファレンスについては、「関連資料」に記載されている資料を参照してください。

IPv6 アドレス指定および基本設定の知識が必要です。詳細については、「 Implementing IPv6 Addressing and Basic Connectivity 」を参照してください。

IPv6 セキュリティへの IPsec の実装に関する情報

IPv6 のセキュリティ機能を実装するには、次の概念について理解する必要があります。

「IPv6 の IPsec」

IPv6 の IPsec

IP セキュリティ(IPsec)は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって開発されたオープン規格のフレームワークです。これにより、第三者に知られたくない情報をインターネットなどの保護されていないネットワークで送信する際に、セキュリティを提供できます。IPsec はネットワーク層で機能し、シスコ ルータなど、参加する IPsec デバイス(ピア)間の IP パケットを保護および認証します。IPsec は、次のネットワーク セキュリティ サービスをオプションで提供します。通常は、ローカル セキュリティ ポリシーによって、これらのサービスの 1 つまたは複数の使用が指定されます。

データ機密保持:IPsec 送信者は、ネットワークで送信する前にパケットを暗号化できます。

データ整合性:IPsec 受信者は、IPsec 送信者によって送信されたパケットを認証して、送信中にデータが変更されていないことを確認できます。

データ発信元認証:IPsec 受信者は、IPsec パケットの送信元を認証できます。このサービスはデータ整合性サービスに依存します。

リプレイ攻撃防止:IPsec 受信者は、再送信されたパケットを検出して拒否できます。

IPsec を使用すると、監視、変更、またはスプーフィングを防ぐと同時に、データをパブリック ネットワークで送信できます。IPsec 機能は IPv6 と IPv4 で同様ですが、サイト間のトンネル モードは IPv6 だけでサポートされています。

IPv6 では、IPsec は AH 認証ヘッダーおよび ESP 拡張ヘッダーを使用して実装されます。認証ヘッダーでは、送信元の整合性および認証が提供されます。また、再送信されたパケットに対する保護もオプションで提供されます。認証ヘッダーによって、IP ヘッダー フィールドのほとんどの整合性が保護され、シグニチャベースのアルゴリズムを使用して送信元が認証されます。ESP ヘッダーでは、機密保持、送信元の認証、内部パケットのコネクションレス型整合性、リプレイ攻撃防止、および制限されたトラフィック フロー コンフィデンシャリティが提供されます。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)プロトコルは、IPsec と組み合せて使用されるキー管理プロトコル標準です。IKE を使用しなくても IPsec を設定できますが、IKE を使用すると IPsec 標準に機能が追加され、柔軟性が高まり、設定が容易になって、IPsec が拡張されます。

IKE は、Internet Security Association Key Management Protocol(ISAKMP)フレームワーク内に Oakley 鍵交換および Skeme 鍵交換を実装するハイブリッド プロトコルです(ISAKMP、Oakley、および Skeme は、IKE によって実装されるセキュリティ プロトコルです)(図 1 を参照)。この機能は、IPv4 IPsec 保護を使用するセキュリティ ゲートウェイ モデルに似ています。

仮想トンネル インターフェイスを使用する IPv6 IPsec サイト間保護

IPsec Virtual Tunnel Interface(VTI; 仮想トンネル インターフェイス)によって、IPv6 トラフィックのサイト間 IPv6 暗号保護が提供されます。すべてのタイプの IPv6 ユニキャストおよびマルチキャスト トラフィックを保護するために、ネイティブ IPv6 IPsec カプセル化が使用されます。

IPsec VTI では、IPv6 ルータはセキュリティ ゲートウェイとして機能し、他のセキュリティ ゲートウェイ ルータとの間で IPsec トンネルを確立し、内部ネットワークからのトラフィックがパブリック IPv6 インターネットで送信されるときに暗号 IPsec 保護を提供できます(図 1 を参照)。この機能は、IPv4 IPsec 保護を使用するセキュリティ ゲートウェイ モデルに似ています。

図 1 IPv6 の IPsec トンネル インターフェイス

 

IPsec トンネルを設定すると、トンネル インターフェイスの回線プロトコルがアップ状態に変更される前に、IKE および IPsec Security Association(SA; セキュリティ アソシエーション)のネゴシエーションが行われ、設定されます。リモート IKE ピアは、トンネル宛先アドレスと同じです。ローカル IKE ピアは、トンネル宛先アドレスと同じ IPv6 アドレス スコープを持つトンネル送信元インターフェイスから取得されたアドレスになります。

図 2 に IPsec パケットのフォーマットを示します。

図 2 IPv6 IPsec パケットのフォーマット

 

IPsec VTI の詳細については、『 Cisco IOS Security Configuration Guide 』の『 IPsec Virtual Tunnel Interface 』モジュールを参照してください。

IPv6 セキュリティへの IPsec の実装方法

次の項の手順では、IPv6 での IPsec の設定方法について説明します。

「サイト間 IPv6 IPsec 保護のための VTI の設定」(必須)

「IPsec トンネル モード設定の確認」(オプション)

「IPv6 での IPsec の設定および動作のトラブルシューティング」(オプション)

サイト間 IPv6 IPsec 保護のための VTI の設定

次の手順では、IPv6 ユニキャストおよびマルチキャスト トラフィックのサイト間 IPsec 保護のための IPsec VTI の設定方法について説明します。この機能では、IPv6 IPsec カプセル化を使用して IPv6 トラフィックを保護できます。

「IPv6 での IKE ポリシーおよび事前共有キーの定義」(必須)

「ISAKMP アグレッシブ モードの定義」(オプション)

「IPsec トランスフォーム セットおよび IPsec プロファイルの定義」(必須)

「IPv6 での ISAKMP プロファイルの定義」(オプション)

「IPv6 IPsec VTI の設定」(必須)

IPv6 での IKE ポリシーおよび事前共有キーの定義

IKE ネゴシエーションを保護する必要があるため、各 IKE ネゴシエーションは、共通(共有)IKE ポリシーについての両方のピアの合意から開始されます。このポリシーでは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータが指定され、ピアの認証方法が規定されます。

2 つのピアがポリシーに合意した後、ポリシーのセキュリティ パラメータは各ピアで確立された SA によって識別されます。これらの SA は、後続のすべての IKE トラフィックにネゴシエーション時に適用されます。

各ピアでは、プライオリティを付けた複数のポリシーを設定できます。各ポリシーでは、パラメータ値のさまざまな組み合せが保持されます。ただし、これらのポリシーの少なくとも 1 つには、リモート ピアのポリシーのいずれかと同じ暗号化、ハッシュ、認証、およびデフィーヘルマン パラメータ値が含まれている必要があります。作成するポリシーごとに、一意のプライオリティを割り当てます(1 ~ 10,000 の範囲で、1 が最高のプライオリティ)。


) パラメータの値のうちの 1 つだけをサポートするデバイスと相互運用する場合、選択は、そのデバイスによってサポートされる値に制限されます。この制限以外に、セキュリティとパフォーマンスはトレードオフの関係にある場合があり、これらのパラメータ値の多くはそのようなトレードオフを表しています。ネットワークのセキュリティ リスクのレベルと、これらのリスクに対する許容度を評価する必要があります。


一致する IKE ポリシーでの IKE ピアの合意

IKE ネゴシエーションの開始時に、IKE は両方のピアで同一の IKE ポリシーを検索します。ネゴシエーションを開始したピアはすべてのポリシーをリモート ピアに送信し、リモート ピアは一致を見つけようとします。リモート ピアは、他方のピアから受信したポリシーに対して、最高のプライオリティのポリシーを比較して一致を検索します。リモート ピアは、一致が見つかるまで、プライオリティの(高いものから)順に各ポリシーをチェックします。

一致となるのは、2 つのピアのポリシーの両方に同じ暗号化、ハッシュ、認証、およびデフィーヘルマン パラメータ値が含まれており、リモート ピアのポリシーによって、比較対象のポリシーのライフタイム以下のライフタイムが指定されている場合です (ライフタイムが同一ではない場合は、短いライフタイム(リモート ピアのポリシーで指定)が使用されます)。

一致が見つかると、IKE はネゴシエーションを完了し、IPsec セキュリティ アソシエーションが作成されます。一致が見つからない場合、IKE はネゴシエーションを拒否し、IPsec は確立されません。


) ポリシーで指定されている認証方式によっては、その他の設定が必要となる場合があります。ピアのポリシーに必要な他の設定がない場合、ピアは、リモート ピアの一致するポリシーを検索しようとするときにポリシーを送信しません。


事前共有キーの ISAKMP ID

IKE ポリシーで事前共有キーを使用する各ピアに対して、ISAKMP ID を設定する必要があります。

2 つのピアが IKE を使用して IPsec SA を確立するときに、各ピアはその ID をリモート ピアに送信します。各ピアは、ルータの ISAKMP ID の設定方法に応じて、ホスト名か IPv6 アドレスを送信します。

デフォルトでは、ピアの ISAKMP ID はそのピアの IPv6 アドレスです。必要に応じて、ID をピアのホスト名に変更できます。基本的には、すべてのピアの ID を同じ方法で設定します。つまり、すべてのピアが IPv6 アドレスを使用するか、またはすべてのピアがホスト名を使用するようにします。ホスト名を使用するピアと IPv6 アドレスを使用するピアがあり、相互に識別する場合、リモート ピアの ID が認識されず DNS lookup で ID を解決できないと、IKE ネゴシエーションは失敗します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp policy priority

4. authentication { rsa-sig | rsa-encr | pre-share }

5. hash { sha | md5 }

6. group { 1 | 2 | 5 }

7. encryption { des | 3des | aes | aes 192 | aes 256 }

8. lifetime seconds

9. exit

10. crypto isakmp key password-type keystring { address peer-address [ mask ] | ipv6 { ipv6-address / ipv6-prefix } | hostname hostname } [ no-xauth ]

11. crypto keyring keyring-name [ vrf fvrf-name ]

12. pre-shared-key { address address [ mask ] | hostname hostname | ipv6 { ipv6-address | ipv6-prefix }} key key

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp policy priority

 

Router(config)# crypto isakmp policy 15

IKE ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

ポリシー番号 1 は、最高のプライオリティのポリシーを示します。 priority 引数値が小さいほど、プライオリティは高くなります。

ステップ 4

authentication { rsa-sig | rsa-encr | pre-share }

 

Router(config-isakmp-policy)# authentication pre-share

IKE ポリシーでの認証方式を指定します。

rsa-sig および rsa-encr キーワードは IPv6 ではサポートされていません。

ステップ 5

hash { sha | md5 }

 

Router(config-isakmp-policy)# hash md5

IKE ポリシーでのハッシュ アルゴリズムを指定します。

ステップ 6

group { 1 | 2 | 5 }

 

Router(config-isakmp-policy)# group 2

IKE ポリシーでのデフィーヘルマン グループ ID を指定します。

ステップ 7

encryption { des | 3des | aes | aes 192 | aes 256 }

 

Router(config-isakmp-policy)# encryption 3des

IKE ポリシーでの暗号化アルゴリズムを指定します。

ステップ 8

lifetime seconds

 

Router(config-isakmp-policy)# lifetime 43200

IKE SA のライフタイムを指定します。

IKE ライフタイム値の設定はオプションです。

ステップ 9

exit

 

Router(config-isakmp-policy)# exit

ISAKMP ポリシー コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

ステップ 10

crypto isakmp key password-type keystring keystring { address peer-address | ipv6 { ipv6-address / ipv6-prefix } | hostname hostname} [ no-xauth ]

 

Router(config)# crypto isakmp key 0 my-preshare-key-0 address ipv6 3ffe:1001::2/128

事前共有認証キーを設定します。

ステップ 11

crypto keyring keyring-name [ vrf fvrf-name ]

 

Router(config)# crypto keyring keyring1

IKE 認証で使用される暗号キーリングを定義し、config-keyring モードを開始します。

ステップ 12

pre-shared-key { address address [ mask ] | hostname hostname | ipv6 { ipv6-address | ipv6-prefix }} key key

 
Router (config-keyring)# pre-shared-key ipv6 3FFE:2002::A8BB:CCFF:FE01:2C02/128

IKE 認証で使用される事前共有キーを定義します。

ISAKMP アグレッシブ モードの定義

このオプションの手順では、ISAKMP アグレッシブ モードの定義方法について説明します。


) 一般的には、サイト間シナリオではアグレッシブ モードを定義する必要はありません。通常はデフォルト モードが使用されます。


手順の概要

1. enable

2. configure terminal

3. crypto isakmp peer { address { ipv4-address | ipv6 ipv6-address ipv6-prefix-length } | hostname fqdn-hostname }

4. set aggressive-mode client-endpoint { client-endpoint | ipv6 ipv6-address }

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp peer { address { ipv4-address | ipv6 ipv6-address ipv6-prefix-length } | hostname fqdn-hostname }

 
Router(config)# crypto isakmp peer address ipv6 3FFE:2002::A8BB:CCFF:FE01:2C02/128

IPsec ピアによるトンネル アトリビュートに関する IKE クエリーをイネーブルにし、ISAKMP ピア コンフィギュレーション モードを開始します。

ステップ 4

set aggressive-mode client-endpoint { client-endpoint | ipv6 ipv6-address }

 

Router(config-isakmp-peer)# set aggressive mode client-endpoint ipv6 3FFE:2002::A8BB:CCFF:FE01:2C02/128

リモート ピアの IPv6 アドレスを定義します。これは、アグレッシブ モード ネゴシエーションによって使用されます。

リモート ピアのアドレスは、通常はクライアント側のエンドポイント アドレスです。

IPsec トランスフォーム セットおよび IPsec プロファイルの定義

この手順では、IPsec トランスフォーム セットの定義方法について説明します。トランスフォーム セットは、IPsec ルータで受け入れ可能なセキュリティ プロトコルとアルゴリズムの組み合せです。

手順の概要

1. enable

2. configure terminal

3. crypto ipsec transform-set transform-set-name transform1 [ transform2 ] [ transform3 ] [ transform4 ]

4. crypto ipsec profile name

5. set transform-set transform-set-name [ transform-set-name2...transform-set-name6 ]

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ipsec transform-set transform-set-name transform1 [ transform2 ] [ transform3 ] [ transform4 ]

 

Router(config)# crypto ipsec transform-set myset0 ah-sha-hmac esp-3des

トランスフォーム セットを定義し、ルータを暗号トランスフォーム コンフィギュレーション モードにします。

ステップ 4

crypto ipsec profile name

 

Router(config)# crypto ipsec profile profile0

2 つの IPsec ルータ間の暗号化に使用される IPsec パラメータを定義します。

ステップ 5

set transform-set transform-set-name [ transform-set-name2...transform-set-name6 ]

 

Router (config-crypto-transform)# set-transform-set myset0

暗号マップ エントリで使用できるトランスフォーム セットを指定します。

IPv6 での ISAKMP プロファイルの定義

このオプションの手順では、IPv6 での ISAKMP プロファイルの定義方法について説明します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp profile profile- name [ accounting aaalist ]

4. self-identity {[ address | address ipv6 ] | fqdn | user-fqdn user-fqdn }

5. match identity { group group-name | address { address [ mask ] [ fvrf ] | ipv6 ipv6-address } | host host-name | host domain domain-name | user user-fqdn | user domain domain-name }

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp profile profile- name [ accounting aaalist ]

 

Router(config)# crypto ipsec profile profile1

ISAKMP プロファイルを定義し、IPsec ユーザ セッションを監査し、ISAKMP プロファイル コンフィギュレーション モードを開始します。

ステップ 4

self-identity {[ address | address ipv6 ] | fqdn | user-fqdn user-fqdn }

 

Router(config-isakmp-profile)# self-identity address ipv6

ローカル IKE がリモート ピアに対する識別のために使用する ID を定義します。

ステップ 5

match identity { group group-name | address { address [ mask ] [ fvrf ] | ipv6 ipv6-address } | host host-name | host domain domain-name | user user-fqdn | user domain domain-name }

 

Router(config-isakmp-profile)# match identity address ipv6 3FFE:2002::A8BB:CCFF:FE01:2C02/128

ISAKMP プロファイルでリモート ピアの ID を照合します。

IPv6 IPsec VTI の設定

この手順では、IPv6 の IPv6 IPsec 仮想トンネル モードを設定してイネーブルにする方法について説明します。

前提条件

ipv6 unicast-routing コマンドを使用して IPv6 ユニキャスト ルーティングをイネーブルにします。

手順の概要

1. enable

2. configure terminal

3. ipv6 unicast-routing

4. interface tunnel tunnel-number

5. ipv6 address ipv6-address/prefix

6. ipv6 enable

7. tunnel source { ip-address | ipv6-address | interface-type interface-number }

8. tunnel destination { host-name | ip-address | ipv6-address }

9. tunnel mode { aurp | cayman | dvmrp | eon | gre | gre multipoint | gre ipv6 | ipip [ decapsulate-any ] | ipsec ipv4 | iptalk | ipv6 | ipsec ipv6 | mpls | nos | rbscp }

10. tunnel protection ipsec profile name [ shared ]

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ipv6 unicast-routing

 

Router(config)# ipv6 unicast-routing

IPv6 ユニキャスト ルーティングをイネーブルにします。

設定するインターフェイス トンネルの数に関係なく、IPv6 ユニキャスト ルーティングは 1 回だけイネーブルにする必要があります。

ステップ 4

interface tunnel tunnel-number

 

Router(config)# interface tunnel 0

トンネル インターフェイスおよび番号を指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

ipv6 address ipv6-address/prefix

 

Router(config-if)# ipv6 address 3FFE:C000:0:7::/64 eui-64

IPv6 トラフィックがこのトンネルにルーティングされるように、このトンネル インターフェイスに対する IPv6 アドレスを指定します。

ステップ 6

ipv6 enablep

 

Router(config-if)# ipv6 enable

このトンネル インターフェイスで IPv6 をイネーブルにします。

ステップ 7

tunnel source { ip-address | ipv6-address | interface-type interface-number }

 

Router (config-if) # tunnel source ethernet 0

トンネル インターフェイスの送信元アドレスを設定します。

ステップ 8

tunnel destination { host-name | ip-address | ipv6-address }

 

Router(config -if) # tunnel destination 2001:0DB8:1111:2222::1

トンネル インターフェイスの宛先を指定します。

ステップ 9

tunnel mode { aurp | cayman | dvmrp | eon | gre | gre multipoint | gre ipv6 | ipip [ decapsulate-any ] | ipsec ipv4 | iptalk | i pv6 | ipsec ipv6 | mpls | nos | r bscp }

 

Router(config-if)# tunnel mode ipsec ipv6

トンネル インターフェイスのカプセル化モードを設定します。

IPsec では、 ipsec ipv6 キーワードだけがサポートされます。

ステップ 10

tunnel protection ipsec profile name [ shared ]

 

Router(config-if)# tunnel protection ipsec profile profile1

トンネル インターフェイスを IPsec プロファイルに関連付けます。

IPv6 では、 shared キーワードはサポートされません。

IPsec トンネル モード設定の確認

このオプションの手順では、IPsec トンネル モード設定を確認するための情報の表示方法について説明します。必要に応じて、次のコマンドを使用して設定および動作を確認します。

手順の概要

1. show adjacency [ summary [ interface-type interface-number ]] | [ prefix ] [ interface interface-number ] [ connectionid id ] [ link { ipv4 | ipv6 | mpls }] [ detail ]

2. show crypto engine { accelerator | brief | configuration | connections [ active | dh | dropped-packet | show ] | qos }

3. show crypto ipsec sa [ ipv6 ] [ interface-type interface-number ] [ detailed ]

4. show crypto isakmp peer [ config | detail ]

5. show crypto isakmp policy

6. show crypto isakmp profile [ tag profilename | vrf vrfname ]

7. show crypto map [ interface interface | tag map-name ]

8. show crypto session [detail] | [ local ip-address [ port local-port ] | [ remote ip-address [ port remote-port ]] | detail ] | fvfr vrf-name | [ ivrf vrf-name ]

9. show crypto socket

10. show ipv6 access-list [ access-list-name ]

11. show ipv6 cef [ vrf ] [ ipv6-prefix / prefix-length ] | [ interface-type interface-number ] [ longer-prefixes | similar-prefixes | detail | internal | platform | epoch | source ]]

12. show interface type number stats

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

show adjacency [summary [ interface-type interface-number ]] | [ prefix ] [ interface interface-number ] [ connectionid id ] [ link { ipv4 | ipv6 | mpls }] [detail]

 
Router# show adjacency detail

シスコ エクスプレス フォワーディング隣接関係テーブルまたはハードウェア レイヤ 3 スイッチング隣接関係テーブルに関する情報を表示します。

ステップ 2

show crypto engine { accelerator | brief | configuration | connections [ active | dh | dropped-packet | show ] | qos }

 

Router# show crypto engine connections active

暗号エンジンの設定情報の概要を表示します。

ステップ 3

show crypto ipsec sa [ ipv6 ] [ interface-type interface-number ] [ detailed ]

 

Router# show crypto ipsec sa ipv6

IPv6 で現在の SA によって使用されている設定を表示します。

ステップ 4

show crypto isakmp peer [ config | detail ]

 

Router# show crypto isakmp peer detail

ピアの説明を表示します。

ステップ 5

show crypto isakmp policy

 

Router# show crypto isakmp policy

各 IKE ポリシーのパラメータを表示します。

ステップ 6

show crypto isakmp profile [ tag profilename | vrf vrfname ]

 

Router# show crypto isakmp profile

ルータで定義されているすべての ISAKMP プロファイルを表示します。

ステップ 7

show crypto map [ interface interface | tag map-name ]

 

Router# show crypto map

暗号マップ設定を表示します。

このコマンド出力に表示される暗号マップは、動的に生成されます。ユーザが暗号マップを設定する必要はありません。

ステップ 8

show crypto session [ detail ] | [ local ip-address [ port local-port ] | [ remote ip-address [ port remote-port ]] | detail ] | fvfr vrf-name | [ ivrf vrf-name]

 

Router# show crypto session

アクティブな暗号セッションのステータス情報を表示します。

IPv6 では、 fvfr ivrf キーワード、または vrf-name 引数はサポートされません。

ステップ 9

show crypto socket

 

Router# show crypto socket

暗号ソケットを表示します。

ステップ 10

show ipv6 access-list [ access-list-name ]

 
Router# show ipv6 access-list

現在のすべての IPv6 アクセス リストの内容を表示します。

ステップ 11

show ipv6 cef [ ipv6-prefix / prefix-length ] | [ interface-type interface-number ] [ longer-prefixes | similar-prefixes | detail | internal | platform | epoch | source ]]

 
Router# show ipv6 cef

IPv6 Forwarding Information Base(FIB; 転送情報ベース)内のエントリを表示します。

ステップ 12

show interface type number stats

 

Router# show interface fddi 3/0/0 stats

プロセス スイッチド、ファスト スイッチド、および分散スイッチドされたパケット数を表示します。

IPv6 での IPsec の設定および動作のトラブルシューティング

このオプションの手順では、IPv6 IPsec の設定および動作をトラブルシューティングするための情報の表示方法について説明します。必要な場合にだけ、次のコマンドを使用して設定および動作を確認します。

手順の概要

1. enable

2. debug crypto ipsec [ error ]

3. debug crypto engine packet [ detail ] [ error ]

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router# enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug crypto ipsec [error]

 

Router# debug crypto ipsec

IPsec ネットワーク イベントを表示します。

ステップ 3

debug crypto engine packet [ detail ] [error]

 

Router# debug crypto engine packet

IPv6 パケットの内容を表示します。


注意 複数のパケットが暗号化されている場合にこのコマンドを使用すると、システムがフラッディングして CPU 使用率が増加する場合があります。

ここでは、次の出力例について説明します。

「show crypto ipsec sa コマンドの出力例」

「show crypto isakmp peer コマンドの出力例」

「show crypto isakmp profile コマンドの出力例」

「show crypto isakmp sa コマンドの出力例」

「show crypto map コマンドの出力例」

「show crypto session コマンドの出力例」

show crypto ipsec sa コマンドの出力例

次に、 show crypto ipsec sa コマンドの出力例を示します。

Router# show crypto ipsec sa
 
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 3FFE:2002::A8BB:CCFF:FE01:9002
 
protected vrf: (none)
local ident (addr/mask/prot/port): (::/0/0/0)
remote ident (addr/mask/prot/port): (::/0/0/0)
current_peer 3FFE:2002::A8BB:CCFF:FE01:2C02 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 133, #pkts encrypt: 133, #pkts digest: 133
#pkts decaps: 133, #pkts decrypt: 133, #pkts verify: 133
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 60, #recv errors 0
 
local crypto endpt.: 3FFE:2002::A8BB:CCFF:FE01:9002,
remote crypto endpt.: 3FFE:2002::A8BB:CCFF:FE01:2C02
path mtu 1514, ip mtu 1514
current outbound spi: 0x28551D9A(676666778)
 
inbound esp sas:
spi: 0x2104850C(553944332)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 93, flow_id: SW:93, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4397507/148)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
 
inbound ah sas:
spi: 0x967698CB(2524354763)
transform: ah-sha-hmac ,
in use settings ={Tunnel, }
conn id: 93, flow_id: SW:93, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4397507/147)
replay detection support: Y
Status: ACTIVE
 
inbound pcp sas:
 
outbound esp sas:
spi: 0x28551D9A(676666778)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 94, flow_id: SW:94, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4397508/147)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
 
outbound ah sas:
spi: 0xA83E05B5(2822636981)
transform: ah-sha-hmac ,
in use settings ={Tunnel, }
conn id: 94, flow_id: SW:94, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4397508/147)
replay detection support: Y
Status: ACTIVE
 
outbound pcp sas:

show crypto isakmp peer コマンドの出力例

次の出力例は、IPv6 ルータのピアの説明を示しています。

Router# show crypto isakmp peer detail
 
Peer: 2001:0DB8:0:1::1 Port: 500 Local: 2001:0DB8:0:2::1
Phase1 id: 2001:0DB8:0:1::1
flags:
NAS Port: 0 (Normal)
IKE SAs: 1 IPsec SA bundles: 1
last_locker: 0x141A188, last_last_locker: 0x0
last_unlocker: 0x0, last_last_unlocker: 0x0

show crypto isakmp profile コマンドの出力例

次の出力例は、IPv6 ルータで定義されている ISAKMP プロファイルを示しています。

Router# show crypto isakmp profile
 
ISAKMP PROFILE tom
Identities matched are:
ipv6-address 2001:0DB8:0:1::1/32
Certificate maps matched are:
Identity presented is: ipv6-address fqdn
keyring(s): <none>
trustpoint(s): <all>

show crypto isakmp sa コマンドの出力例

次の出力例は、アクティブな IPv6 デバイスの SA を示しています。IPv4 デバイスは非アクティブです。

Router# show crypto isakmp sa detail

 

Codes: C - IKE configuration mode, D - Dead Peer Detection

K - Keepalives, N - NAT-traversal

X - IKE Extended Authentication

psk - Preshared key, rsig - RSA signature

renc - RSA encryption

IPv4 Crypto ISAKMP SA

 

C-id Local Remote I-VRF Status Encr Hash Auth DH

Lifetime Cap.

 

IPv6 Crypto ISAKMP SA

 

dst: 3FFE:2002::A8BB:CCFF:FE01:2C02

src: 3FFE:2002::A8BB:CCFF:FE01:9002

conn-id: 1001 I-VRF: Status: ACTIVE Encr: des Hash: sha Auth:

psk

DH: 1 Lifetime: 23:45:00 Cap: D Engine-id:Conn-id = SW:1

 

dst: 3FFE:2002::A8BB:CCFF:FE01:2C02

src: 3FFE:2002::A8BB:CCFF:FE01:9002

conn-id: 1002 I-VRF: Status: ACTIVE Encr: des Hash: sha Auth: psk

DH: 1 Lifetime: 23:45:01 Cap: D Engine-id:Conn-id = SW:2

show crypto map コマンドの出力例

次の出力例は、アクティブな IPv6 デバイスの動的に生成される暗号マップを示しています。

Router# show crypto map
 
Crypto Map "Tunnel1-head-0" 65536 ipsec-isakmp
Profile name: profile0
Security association lifetime: 4608000 kilobytes/300 seconds
PFS (Y/N): N
Transform sets={
ts,
}
 
Crypto Map "Tunnel1-head-0" 65537
Map is a PROFILE INSTANCE.
Peer = 2001:1::2
 
IPv6 access list Tunnel1-head-0-ACL (crypto)
permit ipv6 any any (61445999 matches) sequence 1
Current peer: 2001:1::2
Security association lifetime: 4608000 kilobytes/300 seconds
PFS (Y/N): N
Transform sets={
ts,
}
Interfaces using crypto map Tunnel1-head-0:
Tunnel1

show crypto session コマンドの出力例

次の show crypto session コマンドの出力は、現在アクティブな暗号セッションの詳細を示しています。

Router# show crypto session detail
 
Crypto session current status
 
Code: C - IKE Configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication
 
Interface: Tunnel1
Session status: UP-ACTIVE
Peer: 2001:1::1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 2001:1::1
Desc: (none)
IKE SA: local 2001:1::2/500
remote 2001:1::1/500 Active
Capabilities:(none) connid:14001 lifetime:00:04:32
IPSEC FLOW: permit ipv6 ::/0 ::/0
Active SAs: 4, origin: crypto map
Inbound: #pkts dec'ed 42641 drop 0 life (KB/Sec) 4534375/72
Outbound: #pkts enc'ed 6734980 drop 0 life (KB/Sec) 2392402/72

IPv6 セキュリティへの IPsec の設定例

ここでは、次の設定例について説明します。

「サイト間 IPv6 IPsec 保護のための VTI の設定:例」

サイト間 IPv6 IPsec 保護のための VTI の設定:例

次の例は、1 つの IPv6 IPsec トンネルの設定を示しています。

crypto isakmp policy 1
authentication pre-share
!
crypto isakmp key myPreshareKey0 address ipv6 3FFE:2002::A8BB:CCFF:FE01:2C02/128
crypto isakmp keepalive 30 30
!
crypto ipsec transform-set 3des ah-sha-hmac esp-3des
!
crypto ipsec profile profile0
set transform-set 3des
!
ipv6 cef
!
interface Tunnel0
ipv6 address 3FFE:1001::/64 eui-64
ipv6 enable
ipv6 cef
tunnel source Ethernet 2/0
tunnel destination 3FFE:2002::A8BB:CCFF:FE01:2C02
tunnel mode ipsec ipv6
tunnel protection ipsec profile profile0

参考資料

ここでは、IPv6 セキュリティ機能への IPsec の実装に関する参考資料について説明します。

関連資料

 

関連項目
参照先

「OSPF for IPv6 authentication support with IPsec」

Implementing OSPF for IPv6

「IPsec VTI information」

IPsec Virtual Tunnel Interface

「IPv6 supported feature list」

Start Here: Cisco IOS Software Release Specifics for IPv6 Features

「IPv6 commands: complete command syntax, command mode, defaults, usage guidelines, and examples」

Cisco IOS IPv6 Command Reference

「IPv4 security configuration tasks」

Cisco IOS Security Configuration Guide

「IPv4 security commands: complete command syntax, command mode, defaults, usage guidelines, and examples」

Cisco IOS Security Command Reference

規格

 

規格
タイトル

この機能による新規または変更された規格のサポートはありません。また、この機能による既存の規格サポートに変更はありません。

MIB

 

MIB
MIB リンク

新しい MIB または変更された MIB はサポートされていません。また、既存の MIB に対するサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

 

RFC
タイトル

RFC 2401

Security Architecture for the Internet Protocol

RFC 2402

IP Authentication Header

RFC 2404

The Use of Hash Message Authentication Code Federal Information Processing Standard 180-1 within Encapsulating Security Payload and Authentication Header

RFC 2406

IP Encapsulating Security Payload (ESP)

RFC 2407

The Internet Security Domain of Interpretation for ISAKMP

RFC 2408

Internet Security Association and Key Management Protocol (ISAKMP)

RFC 2409

Internet Key Exchange (IKE)

RFC 2460

Internet Protocol, Version 6 (IPv6) Specification

RFC 2474

Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers

RFC 3576

Change of Authorization

RFC 4109

Algorithms for Internet Key Exchange version 1 (IKEv1)

RFC 4302

IP Authentication Header

RFC 4306

Internet Key Exchange (IKEv2) Protocol

RFC 4308

Cryptographic Suites for IPsec

シスコのテクニカル サポート

 

説明
リンク

Cisco Support Web サイトでは、資料やツールなどのオンライン リソースを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト
( http://www.cisco.com/techsupport )の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

IPv6 セキュリティへの IPsec の実装の機能情報

表 1 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

このテクノロジーのここに記載されていない機能については、『 Start Here: Cisco IOS Software Release Specifics for IPv6 Features 』のロードマップを参照してください。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 IPv6 セキュリティへの IPsec の実装の機能情報

機能名
リリース
機能情報

IPv6 IPsec VPN

Cisco IOS XE Release 2.4

次の項では、この機能に関する情報について説明します。

「IPv6 セキュリティへの IPsec の実装に関する情報」

「IPv6 セキュリティへの IPsec の実装方法」

次のコマンドが追加または変更されています。

authentication(IKE ポリシー)、crypto ipsec profile、crypto isakmp identity、crypto isakmp key、crypto isakmp peer、crypto isakmp policy、crypto isakmp profile、crypto keyring、debug crypto ipv6 ipsec、debug crypto ipv6 packet、deny(IPv6)、encryption(IKE ポリシー)、group(IKE ポリシー)、hash(IKE ポリシー)、lifetime(IKE ポリシー)、match identity、permit(IPv6)、pre-shared-key、self-identity、set aggressive-mode client-endpoint、set transform-set、show crypto engine、show crypto ipsec policy、show crypto ipsec sa、show crypto isakmp key、show crypto isakmp peers、show crypto isakmp policy、show crypto isakmp profile、show crypto map(IPsec)、show crypto session、show crypto socket

IPSec 仮想トンネル インターフェイス

Cisco IOS XE Release 2.4

次の項では、この機能に関する情報について説明します。

「仮想トンネル インターフェイスを使用する IPv6 IPsec サイト間保護」