Catalyst 6500 シリーズ スイッチ SIP、SSC、およ び SPA ソフトウェア コンフィギュレーション ガイド
暗号接続モードでの VPN の設定
暗号接続モードでの VPN の設定
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

暗号接続モードでの VPN の設定

暗号接続モードでのポートの設定

暗号接続モードでのポート タイプの概要

外部ポートと内部ポート

外部ポートと内部ポート

ポート VLAN とインターフェイス VLAN

アクセス ポート、トランク ポート、およびルーテッド ポート

暗号接続モードの設定時の注意事項および制約事項

暗号接続モードでサポートされる機能およびサポートされない機能

の内部ポートおよび外部ポートの設定

の内部ポートおよび外部ポートの設定時の注意事項および制約事項

アクセス ポートの設定

アクセス ポートの設定の確認

ルーテッド ポートの設定

ルーテッド ポート設定時の注意事項

ルーテッド ポートの設定の確認

トランク ポートの設定

トランク ポート設定時の注意事項

トランク ポート設定の確認

WAN インターフェイスへの 接続の設定

WAN インターフェイスへの 接続設定時の注意事項および制約事項

VPN の動作状態の表示

暗号接続モードでの GRE トンネリングの設定

暗号接続モードでの GRE トンネリングの概要

GRE トンネリング設定の注意事項および制約事項

GRE トンネリング設定の確認

GRE 引き継ぎ基準の設定

GRE 引き継ぎ コンフィギュレーションの注意事項および制約事項

GRE 引き継ぎ基準のグローバルな設定

個別トンネルでの GRE 引き継ぎ基準の設定

GRE トンネルを介した IP マルチキャストの設定

GRE トンネルを介した IP マルチキャスト設定時の注意事項および制約事項

IP マルチキャスト トラフィック用のシングル SPA モードの設定

IP マルチキャストのグローバル設定

トンネル インターフェイスでの PIM の設定

GRE トンネルを介した IP マルチキャストの設定の確認

設定例

アクセス ポート(暗号接続モード)の設定例

ルーテッド ポート(暗号接続モード)の設定例

トランク ポート(暗号接続モード)の設定例

WAN インターフェイスへの 接続の設定例

ATM ポート アダプタへの 接続の設定例

POS ポート アダプタへの 接続の設定例

シリアル ポート アダプタへの 接続の設定例

暗号接続モードでの GRE トンネリングの設定例

GRE 引き継ぎ基準の設定例

GRE 引き継ぎ基準のグローバル設定例

GRE 引き継ぎ基準トンネルの設定例

GRE 引き継ぎの確認例

GRE トンネルを介した IP マルチキャストの設定例

暗号接続モードでの VPN の設定

この章では、IPsec VPN SPA によりサポートされている 2 つの VPN コンフィギュレーション モードの 1 つである 暗号接続モードでの IPSec VPN の設定方法について説明します。もう 1 つの VPN モード、Virtual Routing and Forwarding(VRF)モードについては、「VRF モードでの VPN の設定」を参照してください。

この章の内容は次のとおりです。

「暗号接続モードでのポートの設定」

「暗号接続モードでの GRE トンネリングの設定」

「設定例」

IPsec VPN SPA を使用した IPSec VPN の設定に関する一般情報については、「IPSec および IKE 設定の基本概念の概要」を参照してください。


) この章に記載された手順は、読者がセキュリティ設定の概念(VLAN、Internet Security Association and Key Management Protocol [ISAKMP] ポリシー、事前共有キー、トランスフォーム セット、Access Control List [ACL; アクセス コントロール リスト]、暗号マップなど)についての知識があることを前提としています。これらの機能の設定に関する詳細は、次の Cisco IOS マニュアルを参照してください。

次の URL の『Cisco IOS Security Configuration Guide』Release 12.2
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/fsecur_c.html


次の URL の『Cisco IOS Security Command Reference』Release 12.2
http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html


この章で使用しているコマンドの構文および使用方法の詳細については、 Catalyst 6500 Series Cisco IOS Command Reference Release 12.2SX 、および関連する Cisco IOS Release 12.2 ソフトウェア コマンド コンフィギュレーション ガイドおよびマスター インデックス資料を参照してください。これらの資料の入手方法については、「関連資料」を参照してください。


ヒント IPsec VPN SPA を使用して VPN を正しく設定するために、設定の概要および注意事項にすべて目を通してから設定作業を始めてください。


暗号接続モードでのポートの設定

暗号接続モードでポート設定を開始する前に、次の内容を参照する必要があります。

「暗号接続モードでのポート タイプの概要」

「暗号接続モードの設定時の注意事項および制約事項」

その後、次の手順を実行します。

「IPsec VPN SPA の内部ポートおよび外部ポートの設定」

「アクセス ポートの設定」

「ルーテッド ポートの設定」

「トランク ポートの設定」

「WAN インターフェイスへの IPsec VPN SPA 接続の設定」

「VPN の動作状態の表示」


) ここに記載された設定手順は、GRE トンネリングをサポートしません。暗号接続モードで GRE トンネリング サポートを設定する方法については、「暗号接続モードでの GRE トンネリングの設定」を参照してください。



) このセクションの手順では、Cisco IOS の IKE ポリシー、事前共有キー エントリ、Cisco IOS ACL、暗号マップなどの機能の詳しい設定情報は記載されていません。これらの機能の設定に関する詳細は、次の Cisco IOS マニュアルを参照してください。

次の URL の『Cisco IOS Security Configuration Guide』Release 12.2
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/fsecur_c.html

次の URL の『Cisco IOS Security Command Reference』 Release 12.2
http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html


暗号接続モードでのポート タイプの概要

暗号接続モードで IPSec VPN を設定するには、次の概念を理解する必要があります。

「スイッチ外部ポートと内部ポート」

「IPsec VPN SPA 外部ポートと内部ポート」

「ポート VLAN とインターフェイス VLAN」

「アクセス ポート、トランク ポート、およびルーテッド ポート」

スイッチ外部ポートと内部ポート

WAN ルータに接続する Catalyst 6500 シリーズ スイッチ上のファスト イーサネット ポートまたはギガビット イーサネット ポートのことを、スイッチ外部ポートといいます。これらのポートは、LAN をインターネットまたはリモート サイトに接続します。暗号化ポリシーが適用されるのは、スイッチ外部ポートです。

LAN に接続する Catalyst 6500 シリーズ スイッチ上のファスト イーサネット ポートまたはギガビット イーサネット ポートのことをスイッチ内部ポートといいます。

IPsec VPN SPA はスイッチ外部ポートに暗号化したパケットを送信し、Policy Feature Card(PFC; ポリシー フィーチャ カード)には復号化したパケットを送信して、スイッチ内部ポートへのレイヤ 3 転送を実行させます。

IPsec VPN SPA 外部ポートと内部ポート

IPsec VPN SPA は、CLI(コマンドライン インターフェイス)では 2 つのギガビット イーサネット ポートのある SPA として認識されます。IPsec VPN SPA には、外部コネクタはありません。ギガビット イーサネット ポートが、IPsec VPN SPA をスイッチ バックプレーンおよび Switch Fabric Module(SFM; スイッチ ファブリック モジュール)(搭載されている場合)に接続します。

1 つのギガビット イーサネット ポートが、スイッチ外部ポートとの間で送受信されるすべてのトラフィックを処理します。このポートのことを、IPsec VPN SPA 外部ポートといいます。もう 1 つのギガビット イーサネット ポートは、LAN またはスイッチ内部ポートとの間で送受信されるすべてのトラフィックを処理します。このポートのことを、IPsec VPN SPA 内部ポートといいます。

ポート VLAN とインターフェイス VLAN

VPN の設定では、1 つ以上のスイッチ外部ポートを使用できます。複数のスイッチ外部ポートからのパケットを処理するには、スイッチ の外部ポートのある VLAN 内にIPsec VPN SPA外部ポートを配置することによって、複数のスイッチ外部ポートからのパケットを IPsec VPN SPA 外部ポートに方向付ける必要があります。この VLAN のことを、ポート VLAN といいます。ポート VLAN は、レイヤ 2 専用の VLAN です。この VLAN には、レイヤ 3 のアドレスまたは機能は設定しません。ポート VLAN 内のパケットは、PFC によってブリッジングされます。

スイッチが適正なルーティング テーブル エントリを使用してパケットを転送するには、そのパケットを受信したインターフェイスをスイッチに認識させる必要があります。各ポート VLAN につき、もう 1 つの VLAN を作成して、各スイッチ外部ポートからのパケットが、対応する VLAN ID を持つスイッチに送られるようにする必要があります。この VLAN は IPsec VPN SPA 内部ポートだけを含み、インターフェイス VLAN と呼ばれます。インターフェイス VLAN は、レイヤ 3 専用の VLAN です。インターフェイス VLAN には、レイヤ 3 アドレスおよびレイヤ 3 機能(ACL、暗号マップなど)を設定します。

crypto engine slot コマンドを使用してインターフェイス VLAN 上でポート VLAN とインターフェイス VLAN を関連付けた後、 crypto connect vlan コマンドを使用してポート VLAN 上でこれらの VLAN を結び付けます。図 21-1 に、ポート VLAN とインターフェイス VLAN の構成例を示します。

図 21-1 ポート VLAN とインターフェイス VLAN の構成例

 

ポート VLAN 502 およびポート VLAN 503 は、2 つのスイッチ外部ポートに対応付けられたポート VLAN です。

インターフェイス VLAN 2 およびインターフェイス VLAN 3 は、それぞれポート VLAN 502 およびポート VLAN 503 に対応するインターフェイス VLAN です。

インターフェイス VLAN 2 のスイッチ外部ポートに適用する IP アドレス、ACL、および暗号マップを設定します。インターフェイス VLAN 3 のスイッチ外部ポートに適用する機能を設定します。

WAN から VLAN 502 に属するスイッチ外部ポート経由で着信するパケットは、PFC によって IPsec VPN SPA 外部ポートに方向付けられます。IPsec VPN SPA はパケットを復号化し、VLAN をインターフェイス VLAN 2 に変更したあと、IPsec VPN SPA 内部ポート経由でスイッチにそのパケットを提供します。そのあと PFC が、パケットを正しい宛先にルーティングします。

LAN から外部ポートに発信されるパケットは、まず PFC によってルーティングされます。ルートに基づいて、PFC はいずれかのインターフェイス VLAN にパケットをルーティングし、IPsec VPN SPA 内部ポートにパケットを方向付けます。IPsec VPN SPA は、対応するインターフェイス VLAN に設定されている暗号化ポリシーを適用してパケットを暗号化し、VLAN ID を対応するポート VLAN に変更し、IPsec VPN SPA 外部ポート経由でパケットをスイッチ外部ポートに送信します。

アクセス ポート、トランク ポート、およびルーテッド ポート

暗号接続モードを使用して IPsec VPN SPA 上で VPN を設定する場合、暗号マップをインターフェイス VLAN に適用します。次に、crypto connect vlan コマンドを使用して、インターフェイス VLAN を 1 つ以上の物理ポートまたは直接 1 つの物理ポートに対応付けられているレイヤ 2 ポート VLAN に接続します。ATM、POS、シリアル、またはイーサネット ポートを物理ポートとして使用できます。

スイッチポート モードで設定された 1 つ以上のイーサネット ポートに接続されているポート VLAN にインターフェイス VLAN を暗号接続する場合、イーサネット ポートをアクセス ポートまたはトランク ポートのいずれかに設定できます。

アクセス ポート:アクセス ポートは、外部 VLAN または Virtual Trunk Protocol(VTP)VLAN が対応付けられたスイッチ ポートです。1 つの定義済み VLAN に複数のポートを対応付けることができます。

トランク ポート:トランク ポートは多くの外部 VLAN または VTP VLAN を伝送するスイッチ ポートです。これらの VLAN では、すべてのパケットが 802.1Q ヘッダーを使用してカプセル化されます。

ポート VLAN を定義せずにインターフェイス VLAN を物理イーサネット ポートに暗号接続すると、非表示ポート VLAN が自動的に作成されポートに対応付けられます。この構成では、イーサネット ポートはルーテッド ポートです。

ルーテッド ポート:デフォルトでは、スイッチ ポートとして設定されるまで、すべてのイーサネット ポートはルーテッド ポートです。ルーテッド ポートには IP アドレスを割り当てても割り当てなくてもかまいませんが、コンフィギュレーションに switchport コマンドは含まれません。

暗号接続モードの設定時の注意事項および制約事項

暗号接続モードで VPN ポートを設定する場合は、次の注意事項および制約事項に従って、IPsec VPN SPA の設定ミスを回避してください。

シャーシ内にある Cisco 7600 SIP-400に搭載されたイーサネット ポートをスイッチ ポートとして設定できません。

暗号 ACL から行を削除すると、その ACL を使用するすべての暗号マップが削除され、IPsec VPN SPA に再適用されます。この処理により、その ACL を参照する暗号化マップから取得されたすべての Security Association(SA; セキュリティ アソシエーション)に間欠的な接続の問題が発生します。

ループバック インターフェイスは、トンネル送信元アドレスとして使用できます。

ループバック インターフェイスに暗号マップ セットを適用しないでください。ただし、 crypto map local-address コマンドを入力することにより、IPsec VPN SPA の物理的な入力インターフェイスおよび出力インターフェイスとは無関係に、IPSec SA データベースを維持できます。

各セキュア インターフェイスに同じ暗号マップ セットを適用し、そのインターフェイスをループバック インターフェイスとして指定して crypto map local-address コマンドを入力すれば、一連のセキュア インターフェイスで 1 つの SA データベースを共用できます。 crypto map local-address コマンドを入力しないと、IKE SA の数は接続されているインターフェイスの数と等しくなります。

暗号マップは GRE/IPSec トンネルに関連付けられているインターフェイス VLAN に適用できますが、DMVPN トンネルに関連付けられているインターフェイス VLAN には適用しないでください。

暗号マップのローカル アドレス(たとえば、暗号マップがインターフェイス VLAN に適用されている場合は、インターフェイス VLAN のアドレス)は、GRE/IPSec トンネルのソース アドレスと同じアドレスを共有できますが、DMVPN トンネルのソース アドレスと同じアドレスは共有できません。

同じ暗号マップを複数のインターフェイスに適用できるのは、これらのインターフェイスがすべて、同じ暗号エンジンにバインドされている場合だけです。

空白の ACL(定義しただけで行を入力していない ACL)を使用して暗号マップを作成し、その暗号マップをインターフェイスに適用すると、すべてのトラフィックが平文の(暗号化されていない)状態でそのインターフェイスから発信されます。

既存の暗号接続ポートの属性を変更しないでください。暗号接続アクセス ポートまたはルーテッド ポートの属性が変更されると(スイッチ ポートからルーテッド ポートへ、またはその逆)、対応付けられた暗号接続が削除されます。

VLAN データベースからインターフェイス VLAN またはポート VLAN を削除しないでください。すべてのインターフェイス VLAN およびポート VLAN は、VLAN データベースに登録されている必要があります。VLAN データベースからこれらの VLAN を削除すると、トラフィックの伝送が停止します。

crypto connect vlan コマンドを入力し、インターフェイス VLAN またはポート VLAN が VLAN データベースに存在しない場合、次の警告メッセージが表示されます。

VLAN id 2 not found in current VLAN database. It may not function correctly unless
VLAN 2 is added to VLAN database.
 

インターフェイスの暗号マップを置き換えるときは、必ず no crypto map コマンドを入力してから、そのインターフェイスに暗号マップを再適用してください。

スーパーバイザ エンジンがスイッチオーバーすると、搭載されている SPA が再起動し、オンラインに戻ります。この期間中、IPsec VPN SPA の確立済みのセキュリティ アソシエーション(SA)が一時的に失われ、SPA がオンラインに戻った後で再作成されます。この再作成は IKE を通じて行われます(瞬間的には作成されません)。

暗号 ACL でサポートされているのは EQ 演算子だけです。その他の演算子(GT、LT、NEQ など)はサポートされていません。


) EQ 演算子を使用して、複数のポートに対し許可ポリシーを構成する場合、次の例のように複数の行を使用する必要があります。

permit ip any any port eq 300
permit ip any any port eq 400
permit ip any any port eq 600

Cisco IOS Release 12.2(33)SXH1 以降のリリースでは、EQ 演算子を使用して複数のポートに拒否ポリシーを設定する場合、次の例のようにカンマを使用してポートを宣言できます。

deny ip any any port eq 300,400,600


 

次の例にあるような、暗号 ACL の非連続サブネットはサポートされていません。

deny ip 10.0.5.0 0.255.0.255 10.0.175.0 0.255.0.255
deny ip 10.0.5.0 0.255.0.255 10.0.176.0 0.255.0.255
 

暗号 ACL では、ACL カウンタはサポートされていません。

出力 ACL は、ルート プロセッサにより生成されたパケットには適用されません。入力 ACL は、ルート プロセッサ宛てのパケットには適用されません。

暗号接続インターフェイス、またはポート VLAN には IP ACL を適用しないでください。代わりに、次の例のように、IP ACL をインターフェイス VLAN に適用することができます。

interface GigabitEthernet1/2
! switch outside port
switchport
switchport access vlan 502
switchport mode access
ip access-group TEST_INBOUND in <--- do not apply IP ACL here
!
interface Vlan2
! interface VLAN
ip address 11.0.0.2 255.255.255.0
crypto map testtag
crypto engine slot 4/0
ip access-group TEST_INBOUND in <--- apply IP ACL here
!
interface Vlan502
! port VLAN
no ip address
crypto connect vlan 2
ip access-group TEST_INBOUND in <--- do not apply IP ACL here
!

) インターフェイス VLAN の IP ACL は、インバウンド暗号トラフィックが VSPA に到達することを阻止しませんが、暗号後のトラフィックがさらにルーティングされることは阻止します。


暗号接続モードでサポートされる機能およびサポートされない機能

暗号接続モードでサポートされる機能およびサポートされない機能については、「IPSec 機能のサポート」を参照してください。

IPsec VPN SPA の内部ポートおよび外部ポートの設定

ほとんどの場合、IPsec VPN SPA の内部ポートおよび外部ポートは、ユーザが明示的に設定するわけではありません。これらのポートは、Cisco IOS ソフトウェアによって自動的に設定されます。

IPsec VPN SPA の内部ポートおよび外部ポートの設定時の注意事項および制約事項

IPsec VPN SPA の内部ポートおよび外部ポートの設定については、次の注意事項に従ってください。

信頼状態を設定する必要がない限り、IPsec VPN SPAの内部または外部ポートのポート特性を変更しないでください。ポートは、Cisco IOS ソフトウェアによって自動的に設定されます。


) 内部ポートのデフォルトの信頼状態が信頼できるに設定されていても、特定のグローバル設定により状態が変化することがあります。双方向で VPN トラフィックの ToS バイトを維持するには、内部および外部ポート両方で mls qos trust コマンドを設定し、インターフェイスを信頼状態に設定します。mls qos trust コマンドの詳細については、「モジュラ QoS 設定時の注意事項および制約事項」を参照してください。


内部ポートの特性を意図せず変更してしまった場合には、次のコマンドを入力し、ポート属性をデフォルトに戻してください。

Router(config-if)# switchport
Router(config-if)# no switchport access vlan
Router(config-if)# switchport trunk allowed vlan 1,1002-1005
Router(config-if)# switchport trunk encapsulation dot1q
Router(config-if)# switchport mode trunk
Router(config-if)# mtu 9216
Router(config-if)# flow control receive on
Router(config-if)# flow control send off
Router(config-if)# span portfast trunk
 

内部トランク ポート上で許可 VLAN を設定しないでください。内部ポートの VLAN リストは、Cisco IOS ソフトウェアによって crypto engine slot コマンドに基づいて自動的に設定されます。これらの VLAN は、 show run コマンドを使用してポート コンフィギュレーションに表示できます。

外部トランク ポート上で許可 VLAN を設定しないでください。これらの VLAN は、Cisco IOS ソフトウェアによって非表示 VLAN として自動的に設定されます。これらの VLAN は、 show run コマンドを使用してポート コンフィギュレーションに表示できません。

IPsec VPN SPA の内部ポートから VLAN を削除しないでください。インターフェイス VLAN への暗号接続が確立されているにもかかわらず、IPsec VPN SPA の内部ポートからインターフェイス VLAN を削除すると、トラフィックが停止します。暗号接続は削除されず、 show running-config コマンドの表示には引き続き crypto connect vlan コマンドが表示されます。この実行コンフィギュレーションの write memory コマンドを入力すると、スタートアップ コンフィギュレーション ファイルの設定ミスが発生します。


) インターフェイス VLAN への暗号接続が確立されている場合に、IPsec VPN SPAの内部ポートからインターフェイス VLAN を削除できません。最初に暗号接続を削除する必要があります。


IPsec VPN SPA の外部ポートから VLAN を削除しないでください。インターフェイス VLAN への暗号接続が確立されているにもかかわらず、IPsec VPN SPAの外部ポートからポート VLAN を削除すると、トラフィックが停止します。暗号接続は削除されず、 show running-config コマンドの表示には引き続き crypto connect vlan コマンドが表示されます。 crypto connect vlan コマンドが入力された時点で、IPsec VPN SPA の外部ポートにポート VLAN が自動的に追加されるため、IPsec VPN SPA の外部ポートから VLAN を削除しても、スタートアップ コンフィギュレーション ファイルに影響はありません。

アクセス ポートの設定

ここでは、IPsec VPN SPA と WAN ルータとの、アクセス ポート接続の設定方法について説明します(図 21-2 を参照)。

図 21-2 アクセス ポートの設定例

 


) シャーシ内にある Cisco 7600 SIP-400に搭載されたイーサネット ポートをスイッチ ポートとして設定できません。


WAN ルータへのアクセス ポート接続を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

コマンド
目的

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp) # exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto isakmp key keystring address peer-address

事前共有認証キーを設定します。

keystring :事前共有キー。

peer-address :リモート ピアの IP アドレス。

事前共有キーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 3

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

Router(config-crypto-tran)# exit

トランスフォーム セット(セキュリティ プロトコルとアルゴリズムの可能な組み合わせ)を定義し、暗号トランスフォーム コンフィギュレーション モードを開始します。

transform-set-name :トランスフォーム セットの名前。

transform1 [ transform2 [ transform3 ]]:IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。

許容される transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 4

Router(config)# access list access-list-number { deny | permit } ip source source-wildcard destination destination-wildcard

拡張 IP アクセス リストを定義します。

access-list-number :アクセス リストの番号。100 ~ 199 または 2,000 ~ 2,699 の範囲の 10 進数です。

{ deny | permit }:条件が満たされた場合にアクセスを拒否または許可します。

source :パケットの送信元ホストのアドレス

source-wildcard :送信元アドレスに適用されるワイルドカード ビット

destination :パケットの宛先ホストのアドレス

destination-wildcard :宛先アドレスに適用されるワイルドカード ビット

アクセス リストの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 5

Router(config)# crypto map map-name seq-number ipsec-isakmp

...

Router(config-crypto-map)# exit

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 6

Router(config)# vlan inside-vlan-id

VLAN データベースに VLAN ID を追加します。

inside-vlan-id VLAN の識別子。

ステップ 7

Router(config)# vlan outside-vlan-id

VLAN データベースに VLAN ID を追加します。

outside-vlan-id VLAN の識別子。

ステップ 8

Router(config)# interface vlan inside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

inside-vlan-id VLAN の識別子。

ステップ 9

Router(config-if)# description inside_interface_vlan_for_crypto_map

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 10

Router(config-if)# ip address address mask

インターフェイスの IP アドレスおよびサブネット マスクを指定します。

address IP アドレス。

mask サブネット マスク。

ステップ 11

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-name :暗号マップ セットの識別名。ステップ 5 で作成した map-name 値を入力します。

ステップ 12

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の内部インターフェイス VLAN としてイネーブルにします。

ステップ 13

Router(config-if)# crypto engine slot slot/subslot

暗号インターフェイス VLAN に暗号エンジンを割り当てます。

slot/subslot :IPsec VPN SPA が搭載されたスロット、およびサブスロットを入力します。

ステップ 14

Router(config)# interface vlan outside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

outside-vlan-id VLAN の識別子。

ステップ 15

Router(config-if)# description outside_access_vlan

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 16

Router(config-if)# no shutdown

インターフェイスを外部アクセス ポート VLAN としてイネーブルにします。

ステップ 17

Router(config-if)# crypto connect vlan inside-vlan-id

外部アクセス ポート VLAN を内部インターフェイス VLAN に接続し、暗号接続モードにします。

inside-vlan-id VLAN の識別子。

ステップ 18

Router(config-if)# interface gigabitethernet slot / subslot / port

セキュア ポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 19

Router(config-if)# description outside_secure_port

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 20

Router(config-if)# switchport

インターフェイスにレイヤ 2 スイッチングの設定を行います。

ステップ 21

Router(config-if)# switchport access vlan outside-vlan-id

インターフェイスのデフォルト VLAN を指定します。

outside-vlan-id VLAN の識別子。

ステップ 22

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

アクセス ポートの設定例は、「アクセス ポート(暗号接続モード)の設定例」を参照してください。

アクセス ポートの設定の確認

アクセス ポートの設定を確認するには、 show crypto vlan コマンドを入力します。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to VLAN 502 with crypto map set MyMap

ルーテッド ポートの設定

ここでは、IPsec VPN SPA に、WAN ルータへのルーテッド ポート接続設定を行う方法について説明します(図 21-3 を参照)。


) IP アドレスが指定されていないルーテッド ポートがインターフェイス VLAN に暗号接続されると、非表示ポート VLAN が自動的に作成されます。このポート VLAN はユーザによって明示的に設定されておらず、実行コンフィギュレーションには表示されません。


図 21-3 ルーテッド ポートの設定例

 

ルーテッド ポート設定時の注意事項

IPsec VPN SPA を使用してルーテッド ポートの設定を行う場合は、次の注意事項に従ってください。

ルーテッド ポートで暗号接続が確立されている場合、そのルーテッド ポートに IP ACL を適用できません。代わりに、接続されているインターフェイス VLAN に IP ACL を適用できます。

アクセス ポートやトランク ポートとは異なり、ルーテッド ポートは設定で switchport コマンドを使用しません。

WAN ルータへのルーテッド ポート接続を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp) # exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto isakmp key keystring address peer-address

事前共有認証キーを設定します。

keystring :事前共有キー。

peer-address :リモート ピアの IP アドレス。

事前共有キーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 3

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

Router(config-crypto-tran)# exit

トランスフォーム セット(セキュリティ プロトコルとアルゴリズムの可能な組み合わせ)を定義し、暗号トランスフォーム コンフィギュレーション モードを開始します。

transform-set-name :トランスフォーム セットの名前。

transform1 [ transform2 [ transform3 ]]:IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。

許容される transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 4

Router(config)# access list access-list-number { deny | permit } ip source source-wildcard destination destination-wildcard

拡張 IP アクセス リストを定義します。

access-list-number :アクセス リストの番号。100 ~ 199 または 2,000 ~ 2,699 の範囲の 10 進数です。

{ deny | permit }:条件が満たされた場合にアクセスを拒否または許可します。

source :パケットの送信元ホストのアドレス

source-wildcard :送信元アドレスに適用されるワイルドカード ビット

destination :パケットの宛先ホストのアドレス

destination-wildcard :宛先アドレスに適用されるワイルドカード ビット

アクセス リストの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 5

Router(config)# crypto map map-name seq-number ipsec-isakmp

...

Router(config-crypto-map)# exit

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 6

Router(config)# vlan inside-vlan-id

VLAN データベースに VLAN ID を追加します。

inside-vlan-id VLAN の識別子。

ステップ 7

Router(config)# interface vlan inside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

inside-vlan-id VLAN の識別子。

ステップ 8

Router(config-if)# description inside_interface_vlan_for_crypto_map

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 9

Router(config-if)# ip address address mask

インターフェイスの IP アドレスおよびサブネット マスクを指定します。

address IP アドレス。

mask サブネット マスク。

ステップ 10

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-name :暗号マップ セットの識別名。ステップ 5 で作成した map-name 値を入力します。

ステップ 11

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の暗号インターフェイス VLAN としてイネーブルにします。

ステップ 12

Router(config-if)# crypto engine slot slot/subslot

暗号インターフェイス VLAN に暗号エンジンを割り当てます。

slot/subslot :IPsec VPN SPA が搭載されたスロット、およびサブスロットを入力します。

ステップ 13

Router(config-if)# interface gigabitethernet slot / subslot / port

セキュア ポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 14

Router(config-if)# description outside_secure_port

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 15

Router(config-if)# crypto connect vlan inside-vlan-id

ルーテッド ポートを暗号インターフェイス VLAN に接続し、暗号接続モードにします。

inside-vlan-id VLAN の識別子。

ステップ 16

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

ルーテッド ポートの設定例は、「ルーテッド ポート(暗号接続モード)の設定例」を参照してください。

ルーテッド ポートの設定の確認

ルーテッド ポートの設定を確認するには、 show crypto vlan コマンドを入力します。次の例では、ポート Gi 1/2 が暗号接続ポートです。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to Gi1/2 with crypto map set MyMap
 

トランク ポートの設定


注意 イーサネット ポートをトランク ポートとして設定すると、デフォルトではすべての VLAN がトランク ポート上で許可されます。このデフォルト設定では IPsec VPN SPA はうまく動作せず、ネットワーク ループが発生します。この問題を回避するには、必要な VLAN だけを明示的に指定する必要があります。

ここでは、IPsec VPN SPA に、WAN ルータへのトランク ポート接続設定を行う方法について説明します(図 21-4 を参照)。

図 21-4 トランク ポートの設定例

 


) シャーシ内にある Cisco 7600 SIP-400に搭載されたイーサネット ポートをスイッチ ポートとして設定できません。


トランク ポート設定時の注意事項

IPsec VPN SPA を使用してトランク ポートの設定を行う場合は、次の注意事項に従ってください。

暗号接続のトランク ポートを設定する場合、デフォルト設定の「すべての VLAN を許可」は使用しないでください。 switchport trunk allowed vlan コマンド を使用して、許可する VLAN はすべて明示的に指定する必要があります。

不正なスタートアップ コンフィギュレーションまたはトランク ポートのデフォルト設定が原因で、トランク ポートにインターフェイス VLAN が対応付けられる場合があります。このインターフェイス VLAN を VLAN リストから削除しようとすると、次のようなエラー メッセージが表示されます。

Command rejected:VLAN 2 is crypto connected to V502.
 

VLAN リストからインターフェイス VLAN を削除するには、次のようにコマンドを入力します。

Router# configure terminal
Router(config)# interface g1gabitethernet1/2
Router(config-if)# no switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 1
Router(config-if)# switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 1,502,1002-1005

) VLAN リスト内の VLAN に、インターフェイス VLAN が含まれないようにします。


対応するインターフェイス VLAN がないようにするために、イーサネット ポートをトランク モードにする際、次のコマンドを記載されている順序で入力します。

Router# configure terminal
Router(config)# interface g1gabitethernet1/2
Router(config)# no shut
Router(config-if)# switchport
Router(config-if)# switchport trunk allowed vlan 1
Router(config-if)# switchport trunk encapsulation dot1q
Router(config-if)# switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 1,502,1002-1005

) VLAN リスト内の VLAN に、インターフェイス VLAN が含まれないようにします。


トランク ポートの設定時に起こりがちなミスとして、 add オプションを次の例のように使うことがあります。

Router(config-if)# switchport trunk allowed vlan add 502
 

switchport trunk allowed vlan コマンドを未実行の状態では、 add オプションを適用しても、VLAN 502 はトランク ポート上で許可される唯一の VLAN には なりません 。デフォルトですべての VLAN が許可されているため、このコマンドの入力後も引き続き、すべての VLAN が許可されます。 switchport trunk allowed vlan コマンドを使用して VLAN を追加すると、 switchport trunk allowed vlan ad d コマンドを使用して、さらに VLAN を追加できるようになります。

トランク ポートから不要な VLAN を削除するには、 switchport trunk allowed vlan remove コマンドを使用します。


注意 保護されたトランク ポートで、switchport trunk allowed vlan all コマンドを実行しないでください。また、IPsec VPN SPA の内部ポートおよび外部ポートで「すべての VLAN を許可」設定を行わないでください。

WAN スイッチへのトランク ポート接続を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp) # exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto isakmp key keystring address peer-address

事前共有認証キーを設定します。

keystring :事前共有キー。

peer-address :リモート ピアの IP アドレス。

事前共有キーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 3

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

Router(config-crypto-tran)# exit

トランスフォーム セット(セキュリティ プロトコルとアルゴリズムの可能な組み合わせ)を定義し、暗号トランスフォーム コンフィギュレーション モードを開始します。

transform-set-name :トランスフォーム セットの名前。

transform1 [ transform2 [ transform3 ]]:IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。

許容される transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 4

Router(config)# access list access-list-number { deny | permit } ip source source-wildcard destination destination-wildcard

拡張 IP アクセス リストを定義します。

access-list-number :アクセス リストの番号。100 ~ 199 または 2,000 ~ 2,699 の範囲の 10 進数です。

{ deny | permit }:条件が満たされた場合にアクセスを拒否または許可します。

source :パケットの送信元ホストのアドレス

source-wildcard :送信元アドレスに適用されるワイルドカード ビット

destination :パケットの宛先ホストのアドレス

destination-wildcard :宛先アドレスに適用されるワイルドカード ビット

アクセス リストの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 5

Router(config)# crypto map map-name seq-number ipsec-isakmp

...

Router(config-crypto-map)# exit

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 6

Router(config)# vlan inside-vlan-id

VLAN データベースに VLAN ID を追加します。

inside-vlan-id VLAN の識別子。

ステップ 7

Router(config)# vlan outside-vlan-id

VLAN データベースに VLAN ID を追加します。

outside-vlan-id VLAN の識別子。

ステップ 8

Router(config)# interface vlan inside-vlan-id

指定した VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

inside-vlan-id VLAN の識別子。

ステップ 9

Router(config-if)# description inside_interface_vlan_for_crypto_map

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 10

Router(config-if)# ip address address mask

インターフェイスの IP アドレスおよびサブネット マスクを指定します。

address IP アドレス。

mask サブネット マスク。

ステップ 11

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-name :暗号マップ セットの識別名。ステップ 5 で作成した map-name 値を入力します。

ステップ 12

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の暗号インターフェイス VLAN としてイネーブルにします。

ステップ 13

Router(config-if)# crypto engine slot slot/subslot

暗号インターフェイス VLAN に暗号エンジンを割り当てます。

slot/subslot :IPsec VPN SPA が搭載されたスロット、およびサブスロットを入力します。

ステップ 14

Router(config)# interface vlan outside-vlan-id

特定の VLAN インターフェイスを外部トランク ポート VLAN として追加し、この VLAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

outside-vlan-id VLAN の識別子。

ステップ 15

Router(config-if)# description outside_trunk_port_vlan

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 16

Router(config-if)# crypto connect vlan inside-vlan-id

外部トランク ポート VLAN を内部(暗号)インターフェイス VLAN に接続し、暗号解読モードにします。

inside-vlan-id VLAN の識別子。

ステップ 17

Router(config-if)# no shutdown

インターフェイスをレイヤ 3 の暗号インターフェイス VLAN としてイネーブルにします。

ステップ 18

Router(config-if)# interface gigabitethernet slot / subslot / port

セキュア ポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 19

Router(config-if)# description outside_secure_port

(任意)インターフェイスの識別に役立つ注釈を追加します。

ステップ 20

Router(config-if)# switchport

インターフェイスにレイヤ 2 スイッチングの設定を行います。

ステップ 21

Router(config-if)# no switchport access vlan

アクセス VLAN をデバイスの適切なデフォルト VLAN にリセットします。

ステップ 22

Router(config-if)# switchport trunk encapsulation dot1q

トランクのカプセル化を 802.1Q に設定します。

ステップ 23

Router(config-if)# switchport mode trunk

トランク VLAN のレイヤ 2 インターフェイスを指定します。

ステップ 24

Router(config-if)# switchport trunk allowed vlan remove vlan-list

現在このインターフェイスから送信するように設定されている VLAN から、指定した VLAN リストを削除します。

vlan-list :トランキング モードのとき、インターフェイスをタグ付きフォーマットで送信する VLAN のリスト。有効値は 1 ~ 4094 です。

ステップ 25

Router(config-if)# switchport trunk allowed vlan add outside-vlan-id

現在このインターフェイスから送信するように設定されている VLAN リストに、特定の VLAN を追加します。

outside-vlan-idステップ 14 VLAN の識別子

ステップ 26

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

トランク ポートの設定例は、「トランク ポート(暗号接続モード)の設定例」を参照してください。

トランク ポート設定の確認

トランク ポートで許可される VLAN を確認するには、 show interfaces trunk コマンドを入力します。次の例では、すべての VLAN が許可されています。

Router# show interfaces GigabitEthernet 1/2 trunk
 
Port Mode Encapsulation Status Native vlan
Gi1/2 on 802.1q trunking 1
 
Port Vlans allowed on trunk
Gi1/2 1-4094
 
Port Vlans allowed and active in management domain
Gi1/2 1-4,7-8,513,1002-1005
 
Port Vlans in spanning tree forwarding state and not pruned
Gi1/2 1-4,7-8,513,1002-1005

WAN インターフェイスへの IPsec VPN SPA 接続の設定

WAN インターフェイスへの IPsec VPN SPA 接続の設定は、イーサネット ルーテッド インターフェイスの設定と類似しています。

WAN インターフェイスへの IPsec VPN SPA 接続設定時の注意事項および制約事項

IPsec VPN SPA を使用して WAN インターフェイスへの接続設定を行う場合は、次の注意事項および制約事項に従ってください。

WAN インターフェイスへの IPsec VPN SPA接続を設定するには、WAN サブインターフェイスからインターフェイス VLAN への暗号接続を次の条件に設定します。

Router(config)# interface Vlan101
Router(config-if)# ip address 192.168.101.1 255.255.255.0
Router(config-if)# no mop enabled
Router(config-if)# crypto map cwan
Router(config-if)# crypto engine slot 4/0
 
Router(config)# interface ATM6/0/0.101 point-to-point
Router(config-subif)# pvc 0/101
Router(config-subif)# crypto connect vlan 101
 

サブインターフェイス上の暗号接続は、ATM(非同期転送モード)およびフレームリレーに対応するように設定する必要があります。

ATM の場合、SVC のサポート、RFC -1483 ブリッジング、および point-to-multipoint(p2mp; ポイントツーマルチポイント)のサポートはありません。

フレームリレーの場合、SVC のサポート、RFC -1490 ブリッジング、および p2mp のサポートはありません。

Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)および Multilink PPP(MLPPP; マルチリンク PPP)の場合、次の例のように、物理インターフェイスをルーティング プロトコルに対してパッシブにする必要があります。

Router(config)# router ospf 10
Router(config-router)# passive-interface multilink1
 

PPP および MLPPP では、インターフェイスで crypto connect vlan コマンドが設定されている場合、IPCP ネゴシエーションをサポートするために ip unnumbered Null0 コマンドが自動的にポート設定に追加されます。スタートアップ コンフィギュレーションで WAN ポートに no ip address コマンドを設定する場合、自動設定と競合しないように、実行コンフィギュレーションの no ip address コマンドが自動的に削除されます。

PPP および MLPPP の場合、Bridging Control Protocol(BCP)のサポートはありません。

QSPF を内部 VLAN でイネーブルにする場合、point-to-point(p2p; ポイントツーポイント)インターフェイス(T1、POS、シリアル、または ATM など)が内部 VLAN に暗号接続されていても、OSPF はデフォルトのブロードキャスト ネットワーク モードで設定されます。さらに、OSPF がピア ルータ(例、暗号カードを装備していない中継ルータ)で p2p ネットワーク モードに設定されている場合、OSPF は完全な隣接関係を確立しません。この場合、内部 VLAN で OSPF ネットワーク p2p モードを手動で設定できます。

Router(config)# interface vlan inside-vlan
Router(config-if)# ip ospf network point-to-point
 

WAN インターフェイスへの IPsec VPN SPA 接続の設定例は、「WAN インターフェイスへの IPsec VPN SPA 接続の設定例」 を参照してください。

VPN の動作状態の表示

VPN の動作状態を表示するには、 show crypto vlan コマンドを使用します。ここでは、さまざまな IPsec VPN SPA 構成での show crypto vlan コマンドの出力例を示します。

次の例では、インターフェイス VLAN は IPsec VPN SPA の内部ポートに属しています。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to Fa8/3
 

次の例では、VLAN 2 がインターフェイス VLAN で、VLAN 2022 が非表示 VLAN です。

Router# show crypto vlan
 
Interface VLAN 2 on IPSec Service Module port Gi4/0/1 connected to VLAN 2022 with crypto map set coral2
 

次の例では、インターフェイス VLAN が IPsec VPN SPA の内部ポートに存在しないか、シャーシから IPsec VPN SPA が取り外されているか、または IPsec VPN SPA が別のサブスロットに移動されています。

Router# show crypto vlan
 
Interface VLAN 2 connected to VLAN 502 (no IPSec Service Module attached)
 

暗号接続モードでの GRE トンネリングの設定

ここで GRE 設定について説明する内容は、次のとおりです。

「暗号接続モードでの GRE トンネリングの概要」

「GRE 引き継ぎ基準の設定」

「GRE トンネルを介した IP マルチキャストの設定」

暗号接続モードでの GRE トンネリングの概要

Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)は、IP トンネルの内部にさまざまなプロトコル パケット タイプをカプセル化することが可能なトンネリング プロトコルで、IP ネットワーク上のリモート ポイントでスイッチへの仮想 p2p リンクを作成できます。


) IPsec VPN SPA は、シャーシごとに最大 2,048 の GRE トンネルでパケット処理を高速化できます。IPsec VPN SPA により引き継がれていないトンネル、または 2,048 を上回るトンネルはすべて、プラットフォーム ハードウェアで、またはルート プロセッサにより処理されます。スイッチでは何個の GRE トンネルでもサポートされますが、IPsec VPN SPA を増やしても、IPsec VPN SPA により処理できるのはシャーシ 1 つあたり 2,048 トンネルという上限値は変わりません。シャーシに 2,048 を超えるトンネルを設定すると、RP が過負荷になる可能性があります。シャーシごとにトンネルを 2,048 より多く設定するときは、RP の CPU 利用率のモニタリングが必要です。



) Cisco IOS Release 12.2(18)SXF 以降、VPN モジュールの GRE フラグメンテーション動作はルート プロセッサのフラグメンテーション動作と整合性がとれるように変更されています。VPN モジュールによって GRE カプセル化が実行される場合、アウトバウンド パケットのプリフラグメンテーションはトンネル インターフェイスの IP MTU に基づいて行われます。VPN モジュールによって GRE カプセル化が実行された後、IPSec プリフラグメンテーション設定によってはさらにフラグメンテーションが行われることがあります。IPSec フラグメンテーション動作はこのリリースでは変更されておらず、出力インターフェイスの IPSec MTU 設定に基づいて行われます。


GRE トンネリング設定の注意事項および制約事項

IPsec VPN SPA を使用して暗号接続モードで p2p GRE トンネリングを設定する場合、次の注意事項に従ってください。

Catalyst 6500 シリーズ スイッチでは従来、GRE カプセル化およびカプセル開放は、RP またはスーパーバイザ エンジン ハードウェアによって実行されてきました。ルーティングの結果 GRE トンネル用にカプセル化されたパケットが、IPsec VPN SPA の内部ポートに接続されたインターフェイス VLAN を通じて出力される場合、IPsec VPN SPA は、スーパーバイザ エンジンが GRE トンネル インターフェイスをハードウェアで処理できない場合にかぎり、GRE トンネル インターフェイスを引き継ごうとします。スーパーバイザ エンジンが GRE トンネル インターフェイスをハードウェアで処理できない場合、IPsec VPN SPA は自身がそのインターフェイスを引き継げるかどうかを判断します。トンネルを引き継ぐことで、GRE カプセル化およびカプセル開放の処理は RP から IPsec VPN SPA に移ります。この機能は、特別な設定変更なしで使用できます。通常どおりに GRE を設定してください。ルーティングによって GRE カプセル化パケットがインターフェイス VLAN 経由で送信されるかぎり、IPsec VPN SPAが GRE トンネルを処理します。

複数の GRE トンネルで同じ送信元アドレスが使用されている場合、スーパーバイザ エンジン ハードウェアはトンネルを引き継ぎません。上の個条書きで説明した基準が満たされた場合、このトンネルは IPsec VPN SPA により引き継がれます。

暗号接続モードでは、トンネル保護を使用する p2p GRE はサポートされていませんが、DMVPN はサポートされています。

ルーティング情報が変化し、GRE カプセル化パケットがインターフェイス VLAN から出力されなくなった場合、IPsec VPN SPA は GRE トンネルを放棄します。IPsec VPN SPA がトンネルを放棄したあとは、RP がカプセル化およびカプセル開放を再開します。これにより、RP の CPU 利用率が上がります。


注意 GRE トンネルの設定によって RP が過負荷にならないように注意してください。

ルーティング情報が変更されてから IPsec VPN SPA が GRE トンネルを引き継ぐまでの間に、遅延(最大 10 秒)が発生します。

暗号マップはトンネル インターフェイスではなく、インターフェイス VLAN だけに適用する必要があります。

トンネル インターフェイスでは、ACL、サービス ポリシー、TTL、および ToS オプションがサポートされます。

トンネル インターフェイスでは、チェックサムのイネーブル化、シーケンス チェックのイネーブル化、トンネル キー、IP セキュリティ オプション、Policy-Based Routing(PBR; ポリシーベース ルーティング)、トラフィック シェーピング(トンネル インターフェイスの設定では暗号エンジン crypto engine configuration に適用できます)、QoS 事前分類、および NAT オプションはサポートされていません。

非 IPv4 パケットの GRE トンネリングは、トンネルが IPsec VPN SPAによって引き継がれている場合にも、RP によって処理されます。

暗号接続モードでは、暗号化後のフラグメンテーションを避けるために、トンネルの IP MTU を、出力インターフェイス MTU から GRE と IPSec のオーバーヘッドを引いた値以下に設定します。

GRE トンネル インターフェイスに適用する際、 ip tcp adjust-mss コマンドは無視されます。代わりに、コマンドを入力 LAN インターフェイスに適用します。

GRE トンネルを設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface tunnel number

トンネル インターフェイス(存在しない場合)を作成し、インターフェイス コンフィギュレーション モードを開始します。

number :設定するトンネル インターフェイスの番号

ステップ 2

Router(config-if)# ip address address

トンネル インターフェイスの IP アドレスを設定します。

address IP アドレス。

ステップ 3

Router(config-if)# tunnel source { ip-address | type number }

トンネル送信元を設定します。送信元は、カスタマー ネットワークからトラフィックを受信するスイッチです。

ip-address :トンネル内のパケットの送信元アドレスとして使用する IP アドレス。

type number :インターフェイスのタイプおよび番号(VLAN1 など)

ステップ 4

Router(config-if)# tunnel destination { hostname | ip-address }

トンネル インターフェイスの宛先 IP アドレスを設定します。宛先アドレスは、受信側カスタマー ネットワークにパケットを転送するスイッチです。

hostname :宛先ホストの名前

ip-address :宛先ホストの IP アドレス(ドット区切りの 4 つの部分からなる 10 進表記)

ステップ 5

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

GRE トンネリング設定の確認

IPsec VPN SPA が GRE トンネルを引き継いでいるかどうかを確認するには、 show crypto vlan コマンドを入力します。

Router# show crypto vlan
 
Interface VLAN 101 on IPSec Service Module port 7/1/1 connected to AT4/0/0.101
Tunnel101 is accelerated via IPSec SM in subslot 7/1
Router#
 

GRE トンネリングに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/12s_tos.html

GRE トンネリングの設定例は、「暗号接続モードでの GRE トンネリングの設定例」を参照してください。

GRE 引き継ぎ基準の設定

crypto engine gre supervisor または crypto engine gre vpnblade コマンドを使用して、総称ルーティング カプセル化(GRE)処理の引き継ぎ基準を設定できます。これら 2 つのコマンドにより、GRE 処理をスーパーバイザ エンジン ハードウェア、ルート プロセッサ、または IPsec VPN SPA が行うかどうかを指定できます。


) GRE 引き継ぎ基準コマンドは、Cisco IOS Release 12.2(18)SXE5 以上だけでサポートされています。Cisco IOS Release 12.2 SXE1 以前のリリースでは、暗号関連の GRE トンネルは常に VPN SPA によって引き継がれます。Cisco IOS Release 12.2 SXE1 では、スーパーバイザ エンジン ハードウェアが処理を実行できない場合だけ、GRE トンネルは VPN SPA によって引き継がれます。


スイッチがスーパーバイザ エンジン ハードウェアまたは Route Processor(RP; ルート プロセッサ)を使用して GRE を処理するように設定するには、 crypto engine gre supervisor コマンドを使用します。このコマンドが指定されると、スーパーバイザ エンジン ハードウェアによる GRE 処理が RP による処理に優先します(トンネルが重複送信元からのものでない場合)。RP が GRE 処理を引き継ぐのは、スーパーバイザ エンジン ハードウェアが処理できない場合だけです。このコマンドが設定されている場合、重複送信元 GRE は RP によって処理されます。

スイッチが IPsec VPN SPA を使用して GRE を処理するように設定するには、 crypto engine gre vpnblade コマンドを使用します。IPsec VPN SPA が GRE 処理を引き継げない場合、GRE 処理はスーパーバイザ エンジン ハードウェア(こちらが優先)または RP のいずれかが処理します。

これら両方のコマンドは、グローバルに、または個別トンネルで設定可能です。

個々のトンネル コンフィギュレーションは、グローバル コンフィギュレーションより優先されます。たとえば、 crypto engine gre supervisor コマンドがグローバル コンフィギュレーション レベルで設定されている場合、このコマンドは crypto engine gre supervisor コマンドまたは crypto engine gre vpnblade コマンドを使用して個別に設定されたものを除き、すべてのトンネルに適用されます。

いつでもグローバルまたは個別にトンネルで設定できるのは、この 2 つのコマンド( crypto engine gre supervisor または crypto engine gre vpnblade )のうち 1 つだけです。いずれかのコマンドがすでに設定されている場合、2 番めのコマンドは最初のコマンドを上書きし、2 番めのコマンドによって適用されたコンフィギュレーションだけが使用されます。

GRE 引き継ぎ コンフィギュレーションの注意事項および制約事項

IPsec VPN SPA での GRE 引き継ぎを設定するときは、次の注意事項および制約事項に従ってください。

GRE トンネルが IPsec VPN SPA により引き継がれるには、まず次の基準を満たす必要があります。

GRE トンネル インターフェイスがアップ状態であること。

トンネル宛先へのルートが IPsec VPN SPA を通過していること。

ネクストホップの Address Resolution Protocol(ARP; アドレス解決プロトコル)エントリが存在している必要がある。

トンネル モードは GRE でなければならない。

サポート対象のオプションは、 tunnel ttl tunnel tos だけです。次のコマンド オプションのいずれかが設定されている場合、トンネルは引き継がれません。

tunnel key

tunnel sequence-datagrams

tunnel checksum

設定されているその他のオプションはすべて無視されます。

GRE トンネルが同じ送信元および宛先アドレスを持つ場合、IPsec VPN SPA は最も多い場合でもその 1 つだけを引き継ぎ、どの特定トンネルが引き継がれるかという判断は、ランダムに行われます。

次の機能がトンネル インターフェイスで設定されている場合、IPsec VPN SPA による GRE 処理は行われません。

DMVPN

NAT

暗号接続モードでは、インターフェイス VLAN に適用された暗号マップがない場合、IPsec VPN SPA は GRE 処理を引き継ぎません。暗号マップはトンネル インターフェイスではなく、インターフェイス VLAN に適用する必要があります。

IPsec VPN SPA が GRE 処理を引き継げない場合、GRE 処理はスーパーバイザ エンジン ハードウェア(こちらが優先)または RP のいずれかが処理します。

crypto engine gre supervisor コマンドまたは crypto engine gre vpnblade コマンドのいずれもトンネルに対してグローバルまたは個別に指定されていない場合は、次の条件が該当する場合だけ、IPsec VPN SPA は GRE 処理の引き継ぎを試行します。

スーパーバイザ エンジン ハードウェアが GRE 処理を引き継がない。

Protocol Independent Multicast(PIM)がトンネル上で設定されている。

複数のトンネルが同じトンネル送信元インターフェイスを共有し、複数のトンネルがアップ状態である。(1 つのトンネルだけがアップ状態である場合、スーパーバイザ エンジン ハードウェアが引き続き GRE 処理を実行できます)。

新しいコンフィギュレーション ファイルが実行中のコンフィギュレーションにコピーされたとき、新しいコンフィギュレーションは crypto engine gre vpnblade および crypto engine gre supervisor コマンドの古いコンフィギュレーションを上書きします。新しいコンフィギュレーションが GRE 引き継ぎ基準をグローバルに、または個別トンネルに対して指定しない場合、既存の古いコンフィギュレーションが使用されます。

GRE 引き継ぎ基準のグローバルな設定

GRE 引き継ぎ基準をグローバルに設定するには( crypto engine gre supervisor コマンドまたは crypto engine gre vpnblade コマンドのいずれかを使用して個別に設定されたトンネルを除いたすべてのトンネルに影響を与えるために)、次の手順をグローバル コンフィギュレーション モードで実行します。

 

コマンド
目的

ステップ 1

Router(config)# crypto engine gre supervisor

or

Router(config)# crypto engine gre vpnblade

ルータがスーパーバイザ エンジン ハードウェアまたは RP を使用して GRE を処理するように設定します。

ルータが IPsec VPN SPA を使用して GRE を処理するように設定します。

個別トンネルでの GRE 引き継ぎ基準の設定

個別トンネルで GRE 引き継ぎ基準を設定するには(特定のトンネルだけに影響を与えるには)、グローバル コンフィギュレーション モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

Router(config)# interface tunnel number

トンネル インターフェイス(存在しない場合)を作成し、インターフェイス コンフィギュレーション モードを開始します。

number :設定するトンネル インターフェイスの番号

ステップ 2

Router(config-if)# crypto engine gre supervisor

or

Router(config-if)# crypto engine gre vpnblade

ルータがスーパーバイザ エンジン ハードウェアまたは RP を使用して GRE を処理するように設定します。

または

ルータが IPsec VPN SPA を使用して GRE を処理するように設定します。

GRE 引き継ぎ基準の設定例は、「GRE 引き継ぎ基準の設定例」を参照してください。

GRE トンネルを介した IP マルチキャストの設定

IP マルチキャストは、情報の単一ストリームを同時に複数の受信側に配信してトラフィックを削減する、帯域幅節約テクノロジーです。GRE は、シスコが開発したトンネリング プロトコルです。通常は IPSec と併用して、IP トンネルの内部にさまざまなプロトコル パケット タイプをカプセル化し、IP ネットワーク上のリモート ポイントでシスコ製ルータへの仮想 p2p リンクを作成します。

ネットワーク構成によっては、GRE トンネルを使用してルータ間で Protocol Independent Multicast(PIM)およびマルチキャスト トラフィックを送信するように、ネットワークを設定できます。一般に、この状況が発生するのは、マルチキャスト送信元および受信側が、IP マルチキャスト ルーティングが設定されていない IP クラウドによって分離されている場合です。このようなネットワーク構成では、PIM をイネーブルにした状態で IP クラウドにトンネルを設定すると、受信側方向にマルチキャスト パケットが転送されます。IPsec VPN SPA を使用して GRE トンネルを介した IP マルチキャストを設定する主要手順は、次の 3 つからなります。

マルチキャスト トラフィック用のシングル SPA モードがサポートされている場合、このモードの設定

マルチキャストのグローバル設定

トンネル インターフェイスでの PIM の設定

GRE トンネルを介した IP マルチキャスト設定時の注意事項および制約事項

GRE トンネルを介した IP マルチキャストを設定する場合は、次の注意事項に従ってください。

hw-module slot subslot only コマンドを実行すると、Cisco 7600 SSC-400 カードが自動的にリセットされ、コンソールに次のプロンプトが表示されます。

Module n will be reset? Confirm [n]:
 

プロンプトのデフォルトは「N」(no)です。リセット アクションをイネーブルにするには「Y」(yes)を入力する必要があります。


hw-module slot subslot only コマンドは、Cisco IOS Release 12.2(33)SXI 以降のリリースではサポートされません。


シングル SPA モードで、2 番めの SPA を手動でプラグインするか、または( no hw-module subslot shutdown コマンドを入力するなどして)SPA をリセットしようとすると、カスタマー マニュアルを参照するように促すメッセージがルータ コンソールに表示されます。

PIM が設定されていて、GRE トンネル インターフェイスが残りのトンネル引き継ぎ基準を満たしている場合は、マルチキャスト パケットの GRE 処理が IPsec VPN SPA に引き継がれます。

GRE トンネル インターフェイスが次のトンネル引き継ぎ基準を満たす場合は、IP マルチキャスト パケットの GRE 処理が IPsec VPN SPA に引き継がれます。

トンネルが起動している。

同じ送信元/宛先ペアを持つトンネルが他にない。

トンネルが mGRE トンネルではない。

トンネルに PIM が設定されている。

tunnel key、tunnel sequence-datagrams、tunnel checksum、tunnel udlr address-resolution、tunnel udlr receive-only、tunnel udlr send-only、ip proxy-mobile tunnel reverse、または NAT のいずれの機能もトンネル上で設定されていない。これらのオプションが 1 つでも指定されていると、IPsec VPN SPAは GRE トンネルを引き継ぎません。

トンネルがマルチキャスト トラフィック用に設定されている場合は、 crypto engine gre supervisor コマンドをトンネルに適用しないでください。

IP マルチキャスト トラフィック用のシングル SPA モードの設定


) シングル SPA モードは、Cisco IOS Release 12.2(33)SXI 以降のリリースではサポートされません。


IPsec VPN SPA に IP マルチキャストを設定する前に、Cisco 7600 SSC-400 のモードを変更して、 hw-module slot subslot only コマンドを使用して指定されたサブスロットに全バッファを割り当てる必要があります。このコマンドを使用しないと、使用可能バッファの合計サイズが、Cisco 7600 SSC-400 カードの 2 つのサブスロットに分割されます。

全バッファを指定されたサブスロットに割り当てるには、次のように、 hw-module slot subslot only コマンドを使用します。

Router(config)# hw-module slot slot subslot subslot only
 

slot は Cisco 7600 SSC-400 カードが搭載されたスロットを指定します。

subslot は IPsec VPN SPA が搭載されたサブスロットを指定します。

hw-module slot subslot only コマンドを使用しないと、使用可能バッファの合計サイズが、Cisco 7600 SSC-400 カードの 2 つのサブスロットに分割されます。

IP マルチキャストのグローバル設定

ルータ インターフェイスで PIM をイネーブルにするには、まず IP マルチキャスト ルーティングをグローバルにイネーブルにする必要があります。

IP マルチキャスト ルーティングをグローバルにイネーブルにするには、 ip multicast-routing コマンドを使用します。

トンネル インターフェイスでの PIM の設定

IP マルチキャストを機能させるには、まず関与するすべてのルータ インターフェイスで PIM をイネーブルにする必要があります。

PIM をイネーブルにするには、次のように ip pim コマンドを使用します。

Router(config-if)# ip pim {dense-mode | sparse-mode | sparse-dense-mode}
 

dense-mode は dense(密)モード動作をイネーブルにします。

sparse-mode は sparse(疎)モード動作をイネーブルにします。

sparse-dense-mode は、マルチキャスト グループの動作モードに応じて、インターフェイスを sparse(疎)モード動作または dense(密)モード動作でイネーブルにします。

GRE トンネルを介した IP マルチキャストの設定例は、「GRE トンネルを介した IP マルチキャストの設定例」を参照してください。

GRE トンネルを介した IP マルチキャストの設定の確認

GRE トンネルを介した IP マルチキャストの設定を確認するには、 show crypto vlan および show ip mroute コマンドを入力します。

トンネルが IPsec VPN SPA に引き継がれたことを確認するには、 show crypto vlan コマンドを入力します。

Router# show crypto vlan

Interface VLAN 100 on IPSec Service Module port Gi7/0/1 connected to Po1 with crypto map set map_t3
Tunnel15 is accelerated via IPSec SM in subslot 7/0
 

IP マルチキャスト トラフィックがハードウェアでスイッチングされることを確認するには、 show ip mroute コマンドを入力して、H フラグを検索します。

Router# show ip mroute 230.1.1.5

IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
L - Local, P - Pruned, R - RP-bit set, F - Register flag,
T - SPT-bit set, J - Join SPT, M - MSDP created entry,
X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
U - URD, I - Received Source Specific Host Report, Z - Multicast Tunnel
Y - Joined MDT-data group, y - Sending to MDT-data group
Outgoing interface flags: H - Hardware switched, A - Assert winner
Timers: Uptime/Expires
Interface state: Interface, Next-Hop or VCD, State/Mode
(*, 230.1.1.5), 01:23:45/00:03:16, RP 15.15.1.1, flags: SJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
Tunnel15, Forward/Sparse-Dense, 00:25:47/00:03:16
(120.1.0.3, 230.1.1.5), 01:23:46/00:03:25, flags: T
Incoming interface: GigabitEthernet8/1, RPF nbr 0.0.0.0, RPF-MFD
Outgoing interface list:
Tunnel15, Forward/Sparse-Dense, 00:25:47/00:03:16, H

 

GRE トンネルを介した IP マルチキャストの設定例は、「GRE トンネルを介した IP マルチキャストの設定例」を参照してください。

設定例

ここでは、次の設定例を示します。

「アクセス ポート(暗号接続モード)の設定例」

「ルーテッド ポート(暗号接続モード)の設定例」

「トランク ポート(暗号接続モード)の設定例」

「WAN インターフェイスへの IPsec VPN SPA 接続の設定例」

「暗号接続モードでの GRE トンネリングの設定例」

「GRE 引き継ぎ基準の設定例」

「GRE トンネルを介した IP マルチキャストの設定例」


) 次の例では、Cisco IOS Release 12.2(33)SXH レベルのコマンドを使用しています。

Cisco IOS Release 12.2(33)SXH 以降、それまでのリリースで使用されていた crypto engine subslot コマンドは crypto engine slot コマンド(形式は crypto engine slot slot/subslot {inside | outside})で置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


アクセス ポート(暗号接続モード)の設定例

ここでは、スイッチ 1 でのアクセス ポートの設定例を示します(図 21-2 を参照)。

スイッチ1(アクセス ポート)

!
hostname router-1
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
 
interface Vlan2
!interface vlan
ip address 11.0.0.2 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 12.0.0.0 255.0.0.0 11.0.0.1
!
access-list 101 permit ip host 13.0.0.2 host 12.0.0.2
!
end
 

スイッチ 2(アクセス ポート)

!
hostname router-2
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.1 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 13.0.0.0 255.0.0.0 11.0.0.2
!
access-list 101 permit ip host 12.0.0.2 host 13.0.0.2
!
end
 

ルーテッド ポート(暗号接続モード)の設定例

ここでは、スイッチ 1 でのルーテッド ポートの設定例を示します(図 21-3 を参照)。

スイッチ1(ルーテッド ポート)

!
hostname router-1
!
vlan 2
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
no ip address
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.1 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.0 255.0.0.0 11.0.0.2
!
access-list 101 permit ip host 12.0.0.2 host 13.0.0.2
!
end
 

スイッチ 2(ルーテッド ポート)

!
hostname router-2
!
vlan 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
no ip address
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.2 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
ip classless
ip route 12.0.0.0 255.0.0.0 11.0.0.1
!
access-list 101 permit ip host 13.0.0.2 host 12.0.0.2
!
end
 

トランク ポート(暗号接続モード)の設定例

ここでは、スイッチ 1 でのトランク ポートの設定例を示します(図 21-4を参照)。

スイッチ1(トランク ポート)

!
hostname router-1
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 502
switchport mode trunk
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
!interface vlan
ip address 11.0.0.1 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan 502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 13.0.0.0 255.0.0.0 11.0.0.2
!
access-list 101 permit ip host 12.0.0.2 host 13.0.0.2
!
end
 

スイッチ 2(トランク ポート)

!
hostname router-2
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 esp-3des esp-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 502
switchport mode trunk
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
 
interface Vlan2
!interface vlan
ip address 11.0.0.2 255.255.255.0
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
!port vlan
no ip address
crypto connect vlan 2
!
ip classless
ip route 12.0.0.0 255.0.0.0 11.0.0.1
!
access-list 101 permit ip host 13.0.0.2 host 12.0.0.2
!
end
 

WAN インターフェイスへの IPsec VPN SPA 接続の設定例

ここでは、WAN インターフェイスへの IPsec VPN SPA接続の設定例を示します。

「ATM ポート アダプタへの IPsec VPN SPA 接続の設定例」

「POS ポート アダプタへの IPsec VPN SPA 接続の設定例」

「シリアル ポート アダプタへの IPsec VPN SPA 接続の設定例」

ATM ポート アダプタへの IPsec VPN SPA 接続の設定例

ATM ポート アダプタへのIPsec VPN SPA 接続の設定例を次に示します。

!
hostname router-1
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des esp-sha-hmac
!
crypto map testtag_1 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal
match address acl_1
!
interface GigabitEthernet1/1
ip address 12.0.0.2 255.255.255.0
!
interface ATM2/0/0
no ip address
atm clock INTERNAL
no atm enable-ilmi-trap
no atm ilmi-keepalive
!
interface ATM2/0/0.1 point-to-point
atm pvc 20 0 20 aal5snap
no atm enable-ilmi-trap
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
crypto map testtag_1
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.1 255.255.255.255 11.0.0.2
!
ip access-list extended acl_1
permit ip host 12.0.0.1 host 13.0.0.1
!
 

POS ポート アダプタへの IPsec VPN SPA 接続の設定例

POS ポート アダプタへの IPsec VPN SPA 接続の設定例を次に示します。

!
 
hostname router-1
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des esp-sha-hmac
!
crypto map testtag_1 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal
match address acl_1
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.2 255.255.255.0
!
interface POS2/0/0
no ip address
encapsulation frame-relay
clock source internal
!
interface POS2/0/0.1 point-to-point
frame-relay interface-dlci 16
crypto connect vlan 2
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
crypto map testtag_1
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.1 255.255.255.255 11.0.0.2
!
ip access-list extended acl_1
permit ip host 12.0.0.1 host 13.0.0.1
 

シリアル ポート アダプタへの IPsec VPN SPA 接続の設定例

シリアル ポート アダプタへの IPsec VPN SPA 接続の設定例を次に示します。

!
hostname router-1
!
controller T3 2/1/0
t1 1 channel-group 0 timeslots 1
t1 2 channel-group 0 timeslots 1
t1 3 channel-group 0 timeslots 1
t1 4 channel-group 0 timeslots 1
t1 5 channel-group 0 timeslots 1
t1 6 channel-group 0 timeslots 1
t1 7 channel-group 0 timeslots 1
t1 8 channel-group 0 timeslots 1
t1 9 channel-group 0 timeslots 1
t1 10 channel-group 0 timeslots 1
t1 11 channel-group 0 timeslots 1
t1 12 channel-group 0 timeslots 1
t1 13 channel-group 0 timeslots 1
t1 14 channel-group 0 timeslots 1
t1 15 channel-group 0 timeslots 1
t1 16 channel-group 0 timeslots 1
t1 17 channel-group 0 timeslots 1
t1 18 channel-group 0 timeslots 1
t1 19 channel-group 0 timeslots 1
t1 20 channel-group 0 timeslots 1
t1 21 channel-group 0 timeslots 1
t1 22 channel-group 0 timeslots 1
t1 23 channel-group 0 timeslots 1
t1 24 channel-group 0 timeslots 1
t1 25 channel-group 0 timeslots 1
t1 26 channel-group 0 timeslots 1
t1 27 channel-group 0 timeslots 1
t1 28 channel-group 0 timeslots 1
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des esp-sha-hmac
!
crypto map testtag_1 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal
match address acl_1
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.2 255.255.255.0
!
interface Serial2/1/0/1:0
ip unnumbered Null0
encapsulation ppp
no fair-queue
no cdp enable
crypto connect vlan 2
!
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
crypto map testtag_1
crypto engine slot 4/0
!
ip classless
ip route 13.0.0.1 255.255.255.255 11.0.0.2
!
ip access-list extended acl_1
permit ip host 12.0.0.1 host 13.0.0.1
 

暗号接続モードでの GRE トンネリングの設定例

ここでは、GRE トンネリングの設定例を示します。

スイッチ1(GRE トンネリング)

次に、スイッチ 1 の GRE トンネリングの設定例を示します。

!
hostname router-1
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.2
!
!
crypto ipsec transform-set proposal1 ah-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.2
set transform-set proposal1
match address 101
!
!
!
!
interface Tunnel1
ip address 1.0.0.1 255.255.255.0
tunnel source Vlan2
tunnel destination 11.0.0.2
!
interface GigabitEthernet1/1
!switch inside port
ip address 12.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.1 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
no ip address
crypto connect vlan 2
!
!
ip classless
ip route 13.0.0.0 255.0.0.0 Tunnel1
!
!
access-list 101 permit gre host 11.0.0.1 host 11.0.0.2
!

スイッチ2(GRE トンネリング)

!
hostname router-2
!
vlan 2,502
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key 12345 address 11.0.0.1
!
!
crypto ipsec transform-set proposal1 ah-md5-hmac
!
crypto map testtag 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set proposal1
match address 101
!
!
!
!
interface Tunnel1
ip address 1.0.0.2 255.255.255.0
tunnel source Vlan2
tunnel destination 11.0.0.1
!
interface GigabitEthernet1/1
!switch inside port
ip address 13.0.0.1 255.255.255.0
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport access vlan 502
switchport mode access
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,502,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
ip address 11.0.0.2 255.255.255.0
no mop enabled
crypto map testtag
crypto engine slot 4/0
!
interface Vlan502
no ip address
crypto connect vlan 2
!
ip classless
ip route 12.0.0.0 255.0.0.0 Tunnel1
!
access-list 101 permit gre host 11.0.0.2 host 11.0.0.1
!

GRE 引き継ぎ基準の設定例

次に、GRE 引き継ぎ基準の設定例を示します。

「GRE 引き継ぎ基準のグローバル設定例」

「GRE 引き継ぎ基準トンネルの設定例」

「GRE 引き継ぎの確認例」

GRE 引き継ぎ基準のグローバル設定例

次に、GRE 引き継ぎ基準がグローバルに設定され、スーパーバイザ エンジン ハードウェアまたは RP が常に GRE 処理を行う例を示します。

Router(config)# crypto engine gre supervisor

GRE 引き継ぎ基準トンネルの設定例

次に、GRE 引き継ぎ基準がトンネル インターフェイス 3 に対して個別に設定され、IPsec VPN SPA が常にこのトンネルの GRE 処理を行う例を示します。

Router(config)# interface tunnel 3
Router(config-if)# crypto engine gre vpnblade

GRE 引き継ぎの確認例

次の例は、トンネルが IPsec VPN SPAに引き継がれたことを確認する方法を示しています。

Router(config)# show crypto vlan 100
 
Interface VLAN 100 on IPSec Service Module port GigabitEthernet4/0/1 connected to POS8/0/0 with crypto map set MAP_TO_R2
Tunnel1 is accelerated via IPSec SM in subslot 4/0
 

次に、トンネルが IPsec VPN SPAに引き継がれていないことを確認する例を示します。

Router(config)# show crypto vlan 100
 
Interface VLAN 100 on IPSec Service Module port GigabitEthernet4/0/1 connected to POS8/0/0 with crypto map set MAP_TO_R2
 

GRE トンネルを介した IP マルチキャストの設定例

次の例は、GRE を介して IP マルチキャストを設定する方法を示しています。

 
hostname router-1
!
vlan 2-1001
ip multicast-routing
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set proposal esp-3des
!
!
crypto map cm_spoke1_1 10 ipsec-isakmp
set peer 11.1.1.1
set transform-set proposal
match address spoke1_acl_1
!
!
interface Tunnel1
ip address 20.1.1.1 255.255.255.0
ip mtu 9216
ip pim sparse-mode
ip hold-time eigrp 1 3600
tunnel source 1.0.1.1
tunnel destination 11.1.1.1
crypto engine slot 4/0
!
interface GigabitEthernet1/1
!switch inside port
mtu 9216
ip address 50.1.1.1 255.0.0.0
ip pim sparse-mode
!
interface GigabitEthernet1/2
!switch outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,252,1002-1005
switchport mode trunk
mtu 9216
!
interface GigabitEthernet4/0/1
!IPsec VPN SPA inside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
!IPsec VPN SPA outside port
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,252,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan2
mtu 9216
ip address 1.0.1.1 255.255.255.0
crypto map cm_spoke1_1
crypto engine slot 4/0
!
interface Vlan252
mtu 9216
no ip address
crypto connect vlan 2
!
router eigrp 1
network 20.1.1.0 0.0.0.255
network 50.1.1.0 0.0.0.255
no auto-summary
no eigrp log-neighbor-changes
!
ip classless
ip route 11.1.1.0 255.255.255.0 1.0.1.2
!
ip pim bidir-enable
ip pim rp-address 50.1.1.1
!
ip access-list extended spoke1_acl_1
permit gre host 1.0.1.1 host 11.1.1.1
!