Catalyst 6500 シリーズ スイッチ SIP、SSC、およ び SPA ソフトウェア コンフィギュレーション ガイド
IPsec VPN SPA を使用した拡張 IPSec 機能 の設定
IPsec VPN SPA を使用した拡張 IPSec 機能の設定
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

IPsec VPN SPA を使用した拡張 IPSec 機能の設定

拡張 IPSec 機能の概要

トランスフォーム セットでの AES の設定

AES トランスフォーム セットの確認

RRI の設定

RRI 設定時の注意事項および制約事項

スタティック クリプト マップを使用した RRI の設定

ダイナミック クリプト マップを使用した RRI の設定

IPSec アンチリプレイ ウィンドウ サイズの設定

IPSec アンチリプレイ ウィンドウ サイズのグローバルな拡張

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウの拡張

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウ サイズ コンフィギュレーションの確認

IPSec アンチリプレイ チェックのディセーブル化

IPSec 優先ピアの設定

IPSec 優先ピアの設定時の注意事項および制約事項

デフォルト ピアの設定

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定

IPSec SA アイドル タイマーの設定

IPSec SA アイドル タイマー設定時の注意事項

IPSec SA アイドル タイマーのグローバルな設定

IPSec SA アイドル タイマーの暗号マップ単位での設定

Distinguished Name(DN; 識別名)ベースの暗号マップの設定

DN ベース暗号マップ設定時の注意事項および制約事項

VPN に対する QoS の設定

のモジュラ QoS 機能の使用

モジュラ QoS 設定時の注意事項および制約事項

のプラットフォーム QoS 機能の使用

パケットのリマーキング

パケットのポリシング

プラットフォーム QoS の注意事項および制約事項

VPN に対するプラットフォーム ACL の設定

プラットフォーム ACL 設定時の注意事項および制約事項

シーケンス番号付き暗号 ACL の設定

暗号 ACL の拒否ポリシー拡張機能の設定

暗号 ACL の拒否ポリシー拡張機能設定時の注意事項および制約事項

設定例

AES の設定例

RRI の設定例

スタティック クリプト マップを使用した RRI の設定例

ダイナミック クリプト マップを使用した RRI の設定例

既存の ACL が存在する場合の RRI の設定例

2 つのルートがある場合の RRI の設定例

ユーザ定義ホップを使用した RRI の設定例

IPSec アンチリプレイ ウィンドウ サイズの設定例

IPSec アンチリプレイ ウィンドウのグローバルな設定例

IPSec アンチリプレイ ウィンドウの暗号マップ単位の設定例

IPSec 優先ピアの設定例

デフォルト ピアの設定例

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例

IPSec SA アイドル タイマーの設定例

IPSec SA アイドル タイマーのグローバルな設定例

IPSec SA アイドル タイマーの暗号マップ単位での設定例

DN ベースの暗号マップの設定例

QoS の設定例

モジュラ QoS の設定例

プラットフォーム QoS の設定例

プラットフォーム ACL の設定例

ACL の拒否ポリシー拡張機能の設定例

IPsec VPN SPA を使用した拡張 IPSec 機能の設定

この章では、IPsec VPN SPA上の Catalyst 6500 シリーズ スイッチ を使用して拡張 IP Security(IPSec; IP セキュリティ)機能を設定する方法について説明します。具体的な内容は次のとおりです。

「拡張 IPSec 機能の概要」

「トランスフォーム セットでの AES の設定」

「RRI の設定」

「IPSec アンチリプレイ ウィンドウ サイズの設定」

「IPSec 優先ピアの設定」

「IPSec SA アイドル タイマーの設定」

「Distinguished Name(DN; 識別名)ベースの暗号マップの設定」

「VPN に対する QoS の設定」

「VPN に対するプラットフォーム ACL の設定」

「シーケンス番号付き暗号 ACL の設定」

「設定例」


) Cisco IOS の IPSec 暗号化処理およびポリシーについての詳細は、『Cisco IOS Security Configuration Guide』Release 12.2 および『Cisco IOS Security Command Reference』Release 12.2 を参照してください。


システム イメージおよびコンフィギュレーション ファイルの管理については、『 Cisco IOS Configuration Fundamentals Configuration Guide Release 12.2 および『 Cisco IOS Configuration Fundamentals Command Reference Release 12.2 を参照してください。

この章で使用しているコマンドの構文および使用方法の詳細については、 Catalyst 6500 Series Cisco IOS Command Reference Release 12.2SX を参照してください また、関連する Cisco IOS Release 12.2 ソフトウェア コマンド リファレンスおよびマスター インデックス資料も参照してください。これらの資料の入手方法については、「関連資料」を参照してください。


ヒント IPsec VPN SPA を使用して VPN を正しく設定するために、設定の概要および注意事項にすべて目を通してから設定作業を始めてください。


拡張 IPSec 機能の概要

IPSec は Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)で開発されたオープン規格のフレームワークです。インターネットなど保護されていないネットワークを介して重要な情報を伝達する場合は、IPSec によってセキュリティが確保されます。IPSec はネットワーク レイヤで機能して、シスコ製ルータなど、関与する IPSec デバイス(ピア)間の IP パケットを保護し、認証します。

この章では、IPSec VPN のスケーラビリティおよびパフォーマンスを高めるために使用できる高度な IPSec 機能について説明します。

トランスフォーム セットでの AES の設定

Advanced Encryption Standard(AES; 高度暗号化規格)は、Data Encryption Standard(DES; データ暗号規格)の後継として開発された IPSec および Internet Key Exchange(IKE; インターネット キー エクスチェンジ)のプライバシ トランスフォームです。AES は DES よりも安全度の高い設計となっています。AES ではキーのサイズが従来より大きく、侵入者がメッセージを解読するには、あらゆるキーを試してみるしか方法がありません。AES ではキーの長さは可変であり、128 ビット(デフォルト)、192 ビット、または 256 ビットのキーを指定できます。

トランスフォーム セット内で AES 暗号化アルゴリズムを設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]]

...

トランスフォーム セットおよび IPSec セキュリティ プロファイルおよびアルゴリズムを指定します。

transform-set-name は、トランスフォーム セット名を指定します。

transform1 [ transform2 [ transform3 ]] は、IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。AES を設定するには、次のいずれかの AES Encapsulating Security Payload(ESP)暗号化トランスフォームを選択する必要があります。

esp-aes は、128 ビット AES 暗号化アルゴリズムを使用する ESP を指定します。

esp-aes 192 は、192 ビット AES 暗号化アルゴリズムを使用する ESP を指定します。

esp-aes 256 は、256 ビット AES 暗号化アルゴリズムを使用する ESP を指定します。

許容される他の transformx 値、およびトランスフォーム セットの設定についての詳細は、『 Cisco IOS Security Command Reference 』を参照してください。

AES トランスフォーム セットの確認

トランスフォーム セットの設定を確認するには、 show crypto ipsec transform-set コマンドを入力します。

Router# show crypto ipsec transform-set
 
Transform set transform-1:{esp-256-aes esp-md5-hmac}
will negotiate = {Tunnel, }
 

AES サポートに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ft_aes.html

AES の設定例は、「AES の設定例」を参照してください。

RRI の設定

Reverse Router Injection(RRI; 逆ルート注入)には、リモート トンネル エンドポイントで保護されたネットワークおよびホストのルーティング プロセスに、スタティック ルートを自動的に挿入する機能があります。保護されたこれらのホストおよびネットワークは、リモート プロキシ アイデンティティとして認識されます。

各ルートはリモート プロキシ ネットワークおよびマスクに基づいて作成され、このネットワークに対するネクスト ホップがリモート トンネル エンドポイントになります。リモート Virtual Private Network(VPN; バーチャル プライベート ネットワーク)ルータをネクスト ホップとして使用することにより、トラフィックは強制的に暗号プロセスを通して暗号化されます。

VPN ルータにスタティック ルートを作成すると、この情報がアップストリーム デバイスに伝搬され、IPSec 状態フローを維持するために戻りトラフィックを送信する宛先として適切な VPN ルータを判別できます。適切な VPN ルータの判別機能は、特に、サイトで複数の VPN ルータを使用してロード バランスやフェールオーバーを実現する場合、またはデフォルト ルートを介してリモート VPN デバイスにアクセスできない場合に、便利です。ルートはグローバル ルーティング テーブルまたは適切な Virtual Routing and Forwarding(VRF)テーブルに作成されます。

RRI は、スタティック クリプト マップ テンプレートとダイナミック クリプト マップ テンプレートのいずれを使用するかに関係なく、暗号マップ単位で適用されます。ダイナミック マップとスタティック マップのいずれの場合も、ルートは IPSec SA を作成するときにだけ作成されます。SA を削除すると、ルートも削除されます。スタティック クリプト マップに永続的に接続される暗号 Access Control List(ACL; アクセス コントロール リスト)の内容に基づいてルートを作成する場合は、reverse-route コマンドに static キーワードを追加できます。

RRI 設定時の注意事項および制約事項

RRI を設定する場合は、次の注意事項および制約事項に従ってください。


) RRI がイネーブルに設定されている場合、VPN セッションがアクティブである間は、暗号設定を変更しないでください。変更を行う前に、clear crypto session コマンドを入力します。


ダイナミック ルーティング プロトコルを使用して RRI 生成のスタティック ルートを伝播させる場合は、IP ルーティングをイネーブルにし、スタティック ルートを再配信する必要があります。

インターフェイスまたはアドレスをリモート VPN デバイスの明示的なネクスト ホップとして指定できます。この機能により、デフォルト ルートを上書きして、暗号化された発信パケットを適切に転送できます。

RRI を使用して作成されるルートには、ルート タグ値を追加できます。このルート タグにより、ルート マップを使用するルートのグループを再配信して、グローバル ルーティング テーブルに格納するルートを選択できます。

複数のルータ インターフェイスに適用される同一の暗号マップに、RRI を設定できます。

reverse-route remote-peer [ static ] コマンドは 2 つのルートを作成します。1 番めのルートは標準リモート プロキシ ID で、ネクストホップはリモート VPN クライアント トンネル アドレスです。2 番めのルートは、このリモート トンネル エンドポイントへの実際のルートです。再帰検索で、ネクスト ホップ経由でリモート エンドポイントに到達できることが必要な場合に、使用されます。VRF では、デフォルト ルートをより明示的なルートで上書きする必要があるため、実際のネクスト ホップに対応する 2 番めのルートを作成することは重要です。

作成するルート数を削減し、ルート再帰の実現が困難な一部のプラットフォームをサポートするには、 reverse-route { ip-address } [ static ] キーワードを使用して、ルートを 1 つだけ作成します。

IPsec VPN SPAを使用するデバイスの場合、リバース ルートはインターフェイス、サブインターフェイス、または Virtual LAN(VLAN; 仮想 LAN)となるネクスト ホップを指定し、暗号マップを適用します。

スタティック クリプト マップを使用した RRI の設定

スタティック クリプト マップを使用して RRI を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

コマンド
目的

ステップ 1

Router(config)# crypto map map-name seq-name ipsec-isakmp

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

ステップ 2

Router(config-crypto-map)# reverse-route [[ static ] | tag tag-id [ static ] | remote-peer [ static ] | remote-peer ip-address [ static ]]

暗号マップ エントリに対応する送信元プロキシ情報を作成します。

static :(任意)スタティック ACL に基づいて固定ルートを作成します。

tag tag-id :(任意)ルート マップによる再配信を制御するための照合値として使用できるタグ値

remote-peer [ static ]:(任意)2 つのルートが作成されます。1 つはリモート エンドポイント用で、もう 1 つは暗号マップの適用先となるインターフェイスを介してリモート エンドポイントに至るルート再帰用です。 static キーワードはオプションです。

remote-pee r ip-address [ static ]:(任意)ユーザ定義のネクスト ホップを経由してリモート プロキシに至るルートが 1 つ作成されます。このネクスト ホップを使用して、デフォルト ルートを上書きできます。 ip-address 引数は必須です。 static キーワードはオプションです。

ダイナミック クリプト マップを使用した RRI の設定

ダイナミック クリプト マップを使用して RRI を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

コマンド
目的

ステップ 1

Router(config)# crypto dynamic-map { dynamic-map-name } { dynamic-seq-name }

ダイナミック クリプト マップ エントリを作成し、暗号マップ コンフィギュレーション モードを開始します。

dynamic-map-name :マップ セットの識別名

dynamic-seq-num :暗号マップ エントリに割り当てられたシーケンス番号

ステップ 2

Router(config-crypto-map)# reverse-route [ tag tag-id | remote-peer | remote-peer ip-address ]

暗号マップ エントリに対応する送信元プロキシ情報を作成します。

tag tag-id :(任意)ルート マップによる再配信を制御するための照合値として使用できるタグ値

remote-peer :(任意)2 つのルートが作成されます。1 つはリモート エンドポイント用で、もう 1 つは暗号マップの適用先となるインターフェイスを介してリモート エンドポイントに至るルート再帰用です。

remote-peer ip-address :(任意)ユーザ定義のネクスト ホップを経由してリモート プロキシに至るルートが 1 つ作成されます。このネクスト ホップを使用して、デフォルト ルートを上書きできます。 ip-address 引数は必須です。

RRI の詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_rrie.html

RRI の設定例は、「RRI の設定例」を参照してください。

IPSec アンチリプレイ ウィンドウ サイズの設定

Cisco IPSec 認証を行うと、アンチリプレイ サービスを利用できます。これにより、暗号化された各パケットに一意のシーケンス番号を割り当てて、暗号化パケットを複製する攻撃者から保護できます (セキュリティ アソシエーション(SA)アンチリプレイは、受信側がリプレイ攻撃から自身を保護するために、古いパケットまたは重複パケットを拒否できるセキュリティ サービスです)。復号機能によって、以前に認識したシーケンス番号が除外されます。暗号機能によって、シーケンス番号が昇順で割り当てられます。復号機能は、認識済みのシーケンス番号の中の最大値(X)を記憶します。N は複合機能のウィンドウ サイズです。X から N を引いた値よりもシーケンス番号が小さいパケットはすべてドロップされます。現在、N は 64 に設定されています。


) IPSec アンチ リプレイ ウィンドウ サイズ機能は、Cisco IOS Release 12.2(18)SXF6 以降だけでサポートされます。


64 パケット ウィンドウ サイズでは不十分な場合があります。たとえば、Cisco Quality of Service(QoS)はプライオリティが高いパケットを優先しますが、これによって、プライオリティが低いパケットが、リプレイされたパケットでない場合も、ドロップされることがあります。IPSec アンチリプレイ ウィンドウ サイズ機能を使用すると、64 を超えるパケットのシーケンス番号情報を保持できるように、ウィンドウ サイズを拡張できます。


) アンチ リプレイ ウィンドウ サイズの変更は、次にキーの再生性が完了するまで有効になりません。


IPSec アンチリプレイ ウィンドウ サイズのグローバルな拡張

IPSec アンチリプレイ ウィンドウをグローバルに拡張して、作成されたすべての SA に影響するように設定するには(暗号マップ単位で上書きされたものを除いて)、グローバル コンフィギュレーション モードで次の手順を実行します。

 

コマンド
目的

Router(config)# crypto ipsec security-association replay window size [ size ]

IPSec アンチリプレイ ウィンドウを、指定された size にグローバルに拡張します。

size :(任意)ウィンドウ サイズ。有効値は 64、128、256、512、または 1024 です。この値がデフォルト値になります。

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウの拡張

暗号マップ単位で IPSec アンチリプレイ ウィンドウを拡張するには(指定された暗号マップまたはプロファイルを使用して作成された SA に影響するように設定するには)、グローバル コンフィギュレーション モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

Router(config)# crypto map map-name seq-num ipsec-isakmp

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

ステップ 2

Router(config-crypto-map)# crypto ipsec security-association replay window size [ size ]

 

特定の暗号マップ、ダイナミック クリプト マップ、または暗号プロファイルで指定されたポリシーを使用して作成される SA を制御します。

size :(任意)ウィンドウ サイズ。有効値は 64、128、256、512、または 1024 です。この値がデフォルト値になります。

暗号マップ レベルでの IPSec アンチリプレイ ウィンドウ サイズ コンフィギュレーションの確認

IPSec アンチリプレイ ウィンドウ サイズが特定の暗号マップでイネーブルになっているかどうかを確認するには、その特定マップに対して show crypto map コマンドを入力します。アンチリプレイ ウィンドウ サイズがイネーブルになっている場合、イネーブルになっていることおよび設定されているウィンドウ サイズがディスプレイに示されます。アンチリプレイ ウィンドウ サイズがディセーブルになっている場合、コマンドの結果でその旨が示されます。

次の例は、IPSec アンチ リプレイ ウィンドウ サイズがイネーブルにされていることを示しています。

Router# show crypto map tag TESTMAP
 
Crypto Map "TESTMAP" 10 ipsec-isakmp
WARNING: This crypto map is in an incomplete state!
(missing peer or access-list definitions)
No matching address list set.
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
}
Antireplay window size = 128
Interfaces using crypto map TESTMAP:
 

IPSec アンチリプレイ ウィンドウ サイズに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_iarwe.html

IPSec アンチ リプレイ ウィンドウ サイズの設定例は、「IPSec アンチリプレイ ウィンドウ サイズの設定例」を参照してください。


) IPsec VPN SPA によって検出されるアンチ リプレイ エラーの原因には、リオーダー、再キューイング、またはネットワーク内のフラグメンテーションなどがあります。中間者攻撃に対する防御として、IPsec VPN SPAはこのようなパケットをドロップします。これは予期されている動作です。


IPSec アンチリプレイ チェックのディセーブル化

IPSec アンチリプレイ チェックをディセーブルにするには、次のようにグローバル コンフィギュレーション モードで crypto ipsec security-association replay disable コマンドを入力します。

 

コマンド
目的

Router(config)# crypto ipsec security-association replay disable

IPSec アンチリプレイ チェックをディセーブルにします。

特定の暗号マップで IPSec アンチ リプレイ チェックをディセーブルにするには、次のように暗号マップ コンフィギュレーション モードで set security-association replay disable コマンドを入力します。

 

コマンド
目的

ステップ 1

Router(config)# crypto map map-name seq-num ipsec-isakmp

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

ステップ 2

Router(config-crypto-map)# set security-association replay disable

特定の暗号マップ、ダイナミック クリプト マップ、または暗号プロファイルで、IPSec アンチ リプレイ チェックをディセーブルにします。

IPSec 優先ピアの設定

IPSec 優先ピア機能を使用すると、暗号マップの複数のピアをフェールオーバー構成で試行する場合の環境を制御できます。デフォルト ピアが存在する場合は、次回に接続を開始すると、ピア リスト内の次のピアでなく、デフォルト ピアに接続されます。現在のピアとのすべての接続がタイムアウトした場合、次回に接続を開始すると、デフォルト ピアに接続されます。


) IPSec 優先ピア機能は、Cisco IOS Release 12.2(33)SXH 以降のリリースでサポートされます。


この機能には、次の機能が含まれます。

デフォルト ピアの設定

接続がタイムアウトした場合、現在のピアとの接続は切断されます。set peer コマンドを使用すると、先頭のピアをデフォルト ピアとして設定できます。デフォルト ピアが存在する場合は、次回に接続を開始すると、ピア リスト内の次のピアでなく、デフォルト ピアに接続されます。デフォルト ピアが応答しない場合、ピア リスト内の次のピアが現在のピアになり、今後、暗号マップを使用して接続しようとすると、このピアとの接続が試行されます。

この機能は、リモート ピアの障害が原因で物理リンクのトラフィックが停止した場合に、便利です。Dead Peer Detection(DPD)はリモート ピアが使用不能であるにもかかわらず、このピアが引き続き現在のピアになっていることを示します。

デフォルト ピアが設定されていると、以前は使用不能だったにもかかわらず、サービス状態に戻っている優先ピアへのフェールオーバーが容易になります。ユーザはフェールオーバーが発生した場合に備えて、特定のピアを優先させることができます。これは、障害の本来の原因がリモート ピアの故障でなく、ネットワーク接続問題である場合に便利です。

デフォルト ピアを設定するには、「デフォルト ピアの設定」を参照してください。

デフォルト ピアを設定する場合の IPSec アイドル タイマー

Cisco IOS ソフトウェアが稼動するルータでピアの IPSec セキュリティ アソシエーション(SA)を作成する場合、SA を維持するためのリソースを割り当てる必要があります。SA には、メモリといくつかの管理タイマーが必要です。アイドル ピアがあると、リソースが浪費されます。アイドル ピアによるリソースの浪費が大きくなると、ルータは他のピア用に新しい SA を作成できなくなる可能性があります。

IPSec SA アイドル タイマーは、アイドル ピアに対応付けられた SA を削除して、リソースのアベイラビリティを向上させます。IPSec SA アイドル タイマーにより、アイドル ピアによるリソース浪費は防止されるため、新しい SA を作成するためにリソースが必要な場合に、使用できるリソースが多くなります (IPSec SA アイドル タイマーが設定されていない場合は、IPSec SA のグローバル ライフタイムだけが適用されます。ピアの活動状況に関係なく、グローバル タイマーの期限が切れるまで、SA は維持されます)。

IPSec SA アイドル タイマーとデフォルト ピアが両方とも設定されている場合に、現在のピアとの接続がすべてタイムアウトすると、次回に接続を開始したときに、 set peer コマンドで設定したデフォルト ピアに接続されます。デフォルト ピアが設定されていない場合に、接続がタイムアウトすると、現在のピアはタイムアウト状態を継続します。

この拡張機能を使用すると、以前は使用不能だったにもかかわらず、現在はサービス状態になっている優先ピアへのフェールオーバーが容易になります。

IPSec アイドル タイマーの設定については、「デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定」を参照してください。

IPSec 優先ピアの設定時の注意事項および制約事項

IPSec 優先ピアを設定する場合は、次の注意事項および制約事項に従ってください。

デフォルト ピアを設定する場合は、次の注意事項および制約事項に従ってください。

暗号マップでデフォルト ピアに指定できるのは、1 つのピアだけです。

デフォルト ピアはピア リストの先頭ピアに指定する必要があります。


) デフォルト ピア機能は Dead Peer Detection(DPD; デッドピア検知)と併用する必要があります。この機能は、DPD が稼動するリモート サイトで、定期的モードで使用するのが最も効果的です。DPD はデバイスの障害をすばやく検出し、次回の接続試行でデフォルト ピアが試行されるように、ピア リストをリセットします。


デフォルト ピアを使用して、IPSec アイドル タイマーを設定する場合は、次の注意事項および制約事項に従ってください。

IPSec アイドル タイマーとデフォルト ピアの併用機能は、この機能が設定された暗号マップだけで機能します。この機能をすべての暗号マップにグローバルに設定できません。

グローバル アイドル タイマーがある場合、暗号マップのアイドル タイマー値とグローバル値は異なっている必要があります。そうでない場合、アイドル タイマーは暗号マップに追加されません。

デフォルト ピアの設定

デフォルト ピアを設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :(任意)IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

dynamic dynamic-map-name :(任意)ポリシー テンプレートとして使用するダイナミック クリプト マップ セットの名前を指定します。

discover :(任意)ピア検出をイネーブルにします。デフォルトでは、ピア検出はディセーブルです。

profile profile-name :(任意)作成中の暗号プロファイルの名前

ステップ 2

Router(config-crypto-map)# set peer { host-name [ dynamic ] [ default ] | i p-address [ default ]}

 

暗号マップ エントリで IPSec ピアを指定します。指定した最初のピアがデフォルト ピアとして定義されます。

host-name :IPSec ピアをホスト名で指定します。これはドメイン名と連結されるピアのホスト名です(myhost.example.com など)。

dynamic :(任意)ルータが IPSec トンネルを確立する前に、Domain Name Server(DNS)検索を使用して IPSec ピアのホスト名を解決します。

default :(任意)複数の IPSec ピアが存在する場合、最初のピアがデフォルト ピアになるように指定します。

i p-address :IPSec ピアを IP アドレスで指定します。

ステップ 3

Router(config-crypto-map)# exit

暗号マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定

IPSec アイドル タイマーとデフォルト ピアを併用するように設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]

暗号マップ コンフィギュレーション モードを開始し、ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-name :マップ セットの識別名。

seq-num :暗号マップ エントリに割り当てられたシーケンス番号。

ipsec-isakmp :(任意)IKE を使用して IPSec SA を確立し、この暗号マップ エントリで指定されたトラフィックを保護することを表します。

dynamic dynamic-map-name :(任意)ポリシー テンプレートとして使用するダイナミック クリプト マップ セットの名前を指定します。

discover :(任意)ピア検出をイネーブルにします。デフォルトでは、ピア検出はディセーブルです。

profile profile-name :(任意)作成中の暗号プロファイルの名前

ステップ 2

Router(config-crypto-map)# set security-association idle-time seconds [ default ]

 

デフォルト ピアを使用するまでに、現在のピアがアイドルのまま存続できる最大期間を指定します。

seconds :デフォルト ピアを使用するまでに、現在のピアがアイドルのまま存続できる秒数を指定します。有効値は、60 ~ 86400 です。

default :(任意)次の接続がデフォルト ピアとの間で確立されるように指定します。

ステップ 3

Router(config-crypto-map)# exit

暗号マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

IPSec 優先ピアに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_ipspp.html

IPSec 優先ピアの設定例は、「IPSec 優先ピアの設定例」を参照してください。

IPSec SA アイドル タイマーの設定

Cisco IOS ソフトウェアが稼動するスイッチでピアの IPSec SA を作成する場合、SA を維持するためのリソースを割り当てる必要があります。SA には、メモリといくつかの管理タイマーが必要です。アイドル ピアがあると、リソースが浪費されます。アイドル ピアによるリソースの浪費が大きくなると、スイッチは他のピア用に新しい SA を作成できなくなる可能性があります。IPSec SA アイドル タイマー機能を使用すると、SA のアクティビティを監視する設定可能なタイマーが提供され、アイドル ピアの SA を削除できるようになります。アイドル タイマーは、グローバルに設定することも、暗号マップ単位で設定することも、ISAKMP プロファイルを使用して設定することもできます。この機能の利点は次のとおりです。

リソースのアベイラビリティの向上

Cisco IOS IPSec 構成のスケーラビリティの向上

IPSec SA アイドル タイマー設定時の注意事項

暗号マップ単位でアイドル タイマーを設定する場合は、次の注意事項に従ってください。

IPsec VPN SPA は、Command Line Interface(CLI; コマンドライン インターフェイス)で設定された間隔を、切り上げて最も近い 10 分単位にします。たとえば、アイドル タイムアウトを 12 分に設定すると、IPsec VPN SPAは 20 分をアイドル タイムアウト値として使用します。5 分に設定すると、IPsec VPN SPAは 10 分をアイドル タイムアウト値として使用します。

IPsec VPN SPA によるアイドル タイムアウト検出方式の特徴として、アイドル タイムアウトが検出されるまでにインターバル(10 分単位)の 1 ~ 3 倍の時間がかかる場合があります。たとえば、アイドル タイムアウトを 12 分に設定した場合、アイドル タイムアウトは 20 ~ 60 分の時間内に発生する可能性があります。

アイドル タイマーをグローバルに設定すると、すべての SA にアイドル タイマーの設定が適用されます。

暗号マップにアイドル タイマーを設定すると、その暗号マップの下にあるすべての SA にアイドル タイマーの設定が適用されます。

IPSec SA アイドル タイマーのグローバルな設定

IPSec SA アイドル タイマーをグローバルに設定するには、次のようにグローバル コンフィギュレーション モードで crypto ipsec security-association idle-time コマンドを入力します。

 

コマンド
目的

Router(config)# crypto ipsec security-association idle-time seconds

seconds :アイドル タイマーで非アクティブなピアが SA を保持できる時間(秒)を指定します。範囲は 60 ~ 86400 秒です。

IPSec SA アイドル タイマーの暗号マップ単位での設定

特定の暗号マップに IPSec SA アイドル タイマーを設定するには、暗号マップを設定するときに、 set security-association idle-time コマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# crypto map map-name seq-number ipsec-isakmp

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

ステップ 2

Router(config-crypto-map)# set security-association idle-time seconds

seconds :アイドル タイマーで非アクティブなピアが SA を保持できる時間(秒)を指定します。範囲は 60 ~ 86400 秒です。

IPSec SA アイドル タイマーの設定についての詳細は、次の Cisco IOS マニュアルを参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ftsaidle.html

IPSec SA アイドル タイマーの設定例は、「IPSec SA アイドル タイマーの設定例」を参照してください。

Distinguished Name(DN; 識別名)ベースの暗号マップの設定

DN ベースの暗号マップ機能により、特定の証明書(特に、特定 DN の証明書)を持つピアの選択された暗号化インターフェイスだけに、アクセスを制限するようにスイッチを設定できます。

従来、スイッチが暗号化ピアから証明書または共有秘密を受け入れる場合、Cisco IOS では暗号化ピアの IP アドレスによって制限する以外、ピアが暗号化インターフェイスと通信することを防ぐ方法がありませんでした。この機能により、ピアが自身の認証に使用した DN に基づいて、ピアが使用できる暗号マップを設定し、特定の DN を持つ暗号化ピアがアクセスできる暗号化インターフェイスを制御できます。DN によって認証されたピアだけが使用可能な DN ベースの暗号マップ、またはホスト名によって認証されたピアだけが使用可能な暗号マップを設定できます。

DN ベース暗号マップ設定時の注意事項および制約事項

DN ベース暗号マップを設定する場合は、次の注意事項および制約事項に従ってください。

アクセスを制限する DN の数が多い場合、少数のアイデンティティ セクションを参照する多数の暗号マップを指定するよりも、多数のアイデンティティ セクションを参照する少数の暗号マップを指定することを推奨します。

DN によって認証されたピアだけが使用可能な DN ベース暗号マップ、またはホスト名によって認証されたピアだけが使用可能な暗号マップベース DN を設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# crypto isakmp policy priority

...

Router(config-isakmp)# exit

ISAKMP ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

priority :IKE ポリシーを指定し、このポリシーにプライオリティを割り当てます。1 ~ 10,000 の整数を使用します。プライオリティは 1 が最高、10,000 が最低です。

各ピアで ISAKMP ポリシーを作成します。

ISAKMP ポリシーの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 2

Router(config)# crypto map map-name seq-number ipsec-isakmp

暗号マップ エントリを作成または修正し、暗号マップ コンフィギュレーション モードを開始します。

map-name :暗号マップ セットの識別名。

seq-number :暗号マップ エントリに割り当てるシーケンス番号。値が小さいほどプライオリティが高くなります。

ipsec-isakmp :IKE を使用して IPSec SA を確立することを表します。

ステップ 3

Router(config-crypto-map)# set identity name

...

Router(config-crypto-map)# exit

暗号マップにアイデンティティを適用します。

name :既定の DN のリストに対応付けられた、スイッチのアイデンティティ

このコマンドを適用した場合、アイデンティティ名でリストされているコンフィギュレーションと一致するホストだけが、指定した暗号マップを使用できます。

コマンドが使用されていない場合、暗号化ピアの IP アドレス以外には、暗号接続の制限はありません。

コンフィギュレーションに対応するように、その他のポリシー値を指定します。

暗号マップの設定についての詳細は、『 Cisco IOS Security Configuration Guide 』を参照してください。

ステップ 4

Router(config)# crypto identity name

スイッチの証明書に所定の DN リストを備えたスイッチ アイデンティティを設定し、暗号アイデンティティ コンフィギュレーション モードを開始します。

name :ステップ 3 で指定した名前の値。

ステップ 5

Router(crypto-identity)# dn name =string [, name =string ]| fqdn name

スイッチのアイデンティティを DN またはホスト名(FQDN)に対応付け、特定の証明書を使用してピアへのアクセスを制限します。

name =string :スイッチの証明書の DN。複数の DN を対応付けることもできます。

fqdn name :ピアが自身の認証に使用したホスト名(FQDN)またはスイッチの証明書にある DN。

ピアのアイデンティティは、交換された証明書の中のアイデンティティと一致している必要があります。

DN ベースの暗号マップに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t4/feature/guide/ftdnacl.html

DN ベース暗号マップの設定例は、「DN ベースの暗号マップの設定例」を参照してください。

VPN に対する QoS の設定

VPN に対する Quality Of Service(QoS)は、通常、よりキャパシティの小さいスポークがハブを圧倒することを防ぐためのトラフィック ポリシングの使用、および Voice over IP(VoIP)などの遅延の影響を受けやすいトラフィックの VPN に対する優先順位付けに応用できます。VPN トラフィックに対する QoS 機能は、モジュール(IPsec VPN SPA および SSC-400 キャリア カード)およびプラットフォーム(Catalyst 6500 シリーズ スイッチ)の両方により提供されます。このモジュールは、モジュール トラフィックに対してデュアル プライオリティ キューを提供します。Cisco IOS Release 12.2(33)SXI 以降のリリースでは、Catalyst 6500 シリーズ スイッチが、データ分類と、トンネル インターフェイスでのトラフィックのリマーキング、またはポリシングを提供します。

モジュール、キャリア、およびプラットフォームの QoS 機能をアクティブにするには、 mls qos コマンドを入力して、グローバルに QoS をイネーブルにする必要があります。

QoS をグローバルにディセーブルにすると、システムは次のように動作します。

すべての QoS フィールドは、パケット内にそのまま残ります。

パケットは、キャリア カードの 1 つのキューだけをフローします。

QoS をグローバルにイネーブルにすると、システムは次のように動作します。

すべてのポートおよび VLAN のデフォルト ステートは信頼されていないステートであるため、ポートで QoS ポリシーがポートで設定されていない限り、そのポートはすべてのトラフィックの QoS フィールドをクリアし、0(ゼロ)にします。

パケットは、キャリア カードの 2 つのキューをフローします。CoS の値が 5 のパケットは、よりプライオリティの高いキューを使用しますが、その他のパケットはすべて、低いプライオリティのキューを使用します。

VPN の QoS を設定する前に、次の URL にある追加情報を参照してください。

Catalyst 6500 シリーズ スイッチでの QoS の設定:

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/qos.html

SIP での QoS 機能の設定:

http://www.cisco.com/en/US/docs/interfaces_modules/shared_port_adapters/configuration/6500series/76cfgsip.html#Configuring_QoS_Features_on_a_SIP

FlexWAN モジュールでの QoS の設定:

http://www.cisco.com/en/US/docs/routers/7600/install_config/flexwan_config/flexqos.html

Catalyst 6500 シリーズ スイッチでの QoS のポリシング:

http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00801c8c4b.shtml

Catalyst 6500 シリーズ スイッチでの QoS 出力スケジューリング:

http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008015bf98.shtml

QoS のトラブルシューティング:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008074d6b1.shtml

IPsec VPN SPA のモジュラ QoS 機能の使用

IPsec VPN SPA は、2 レベルの完全優先 QoS を実装します。Cisco 7600 SSC-400 および IPsec VPN SPA は同時に、インバウンドとアウトバウンドの各方向に 2 つのキューを実装します。パケットは 2 対 1 の比率でデキューされます。つまり、1 つのパケットがプライオリティが低いキューからデキューされる前に、2 つのパケットがプライオリティが高い Low-Latency Queue(LLQ; 低遅延キュー)からデキューされます。パケットはプライオリティ キュー設定に基づいてエンキューされます。IPsec VPN SPA の QoS 機能を活用するには、標準的な QoS コマンドを使用して、パケットの Class of Service(CoS; サービス クラス)が入力側でマークされるようにする必要があります。内部ポートおよび外部ポートに対して CoS マップを設定し、CoS マッピングを承認するように IPsec VPN SPAに対して QoS をグローバルにイネーブル化する必要があります。

モジュラ QoS 設定時の注意事項および制約事項

IPsec VPN SPA に対して QoS を設定する場合には、次の注意事項および制約事項に従ってください。

Cisco IOS Release 12.2(33)SXI 以前のリリースでは、サービス ポリシーを GRE および VTI トンネル インターフェイスに適用すべきではありません。

パケットは mls qos コマンドとプライオリティ キュー設定に基づいて、次のようにエンキューされます。

mls qos コマンドが設定されていない場合、すべてのデータ パケットはプライオリティが高いキューにエンキューされます。

mls qos コマンドが設定されていて、IPsec VPN SPA イーサネット インターフェイスで明示的なプライオリティ キュー設定がない場合、CoS 値が 5 のパケットだけがプライオリティが高いキューにエンキューされ、他のすべてのパケットはプライオリティが低いキューにエンキューされます。

mls qos コマンドが設定されていて、IPsec VPN SPAイーサネット インターフェイスにプライオリティ キュー設定がある場合、トラフィックはそのプライオリティ キュー設定に基づいてエンキューされます。

プライオリティが高いキューには、最大 3 つの CoS マップ値を送信できます。CoS 値 5 は高プライオリティとして事前設定されているため、高プライオリティ キューに他の値は 2 つしか選択できません。


) CoS 値を 3 つより多く設定しないでください。余分な値は設定されている値を上書きするためです。CoS 値 5 を上書きすると、設定されている他のいずれかの値を上書きすることによって値は復元されます。上書きされた CoS マップ値を復元するには、まず新しい値を削除してから前の値を再設定する必要があります。


mls qos コマンドが設定されている場合、IPsec VPN SPA イーサネット インターフェイスで次の例のように mls qos trust コマンドを指定する必要があります。

Interface GigabitEthernet4/0/1
mls qos trust cos
priority-queue cos-map 1 0 1 5
!
Interface GigabitEthernet4/0/2
mls qos trust cos
priority-queue cos-map 1 0 1 5
 

この例では、CoS 値 0、1、5 が高プライオリティ キューに送信されます。

Blade Failover Group(BFG)では、IPsec VPN SPA の両方に、一致するプラットフォーム QoS 構成が必要です。

mls qos trust コマンドが設定されていない場合、すべてのトラフィックの QoS フィールドはデフォルト レベルにクリアされます。 mls qos trust コマンドが設定されている場合、QoS フィールドはそのままになります。

モジュラ QoS の構成例については、「モジュラ QoS の設定例」を参照してください。

スイッチのプラットフォーム QoS 機能の使用

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、Catalyst 6500 シリーズ スイッチが、データ分類と、トンネル インターフェイスでのパケットのリマーキング、またはポリシングを許可します。

プラットフォーム QoS の設定では、Cisco Modular QoS CLI(MQC; モジュラ QoS CLI)フレームワークが使用されます。次の手順に従って、トラフィック クラスの定義、ポリシーおよびアクションと各トラフィック クラスの関連付け、およびこれらのポリシーとインターフェイスの接続ができます。


ステップ 1 match 文と class-map コマンドを使用して、トラフィック クラスを定義します。

ステップ 2 定義したトラフィック クラスと policy-map コマンドを使用してポリシーを設定します。

ステップ 3 service-policy コマンドを使用して、定義したポリシーをインターフェイスに接続します。


 

Catalyst 6500 シリーズ スイッチでの QoS の設定については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/qos.html

パケットのリマーキング

リマーキングは、ポリシー マップ内で set コマンドを使用することにより指定されます。VPN のプラットフォーム QoS は、トンネルのタイプに応じて、トンネル トラフィックの元の IP、GRE、および IPSec ヘッダーのプライオリティ設定をリマーキングできます。パケットのリマーキングについては、次のようにポートの信頼設定を行う必要があります。

照合が着信パケットの ToS ビットに基づいて行われる場合、 mls qos trust コマンドを使用して、LAN インターフェイスを信頼済みポートとして設定する必要があります。

VPN モード、および望ましい動作に応じて、IPsec VPN SPA の内部インターフェイスを、 mls qos vlan-based コマンドを使用して VLAN ベースとして、または mls qos trust コマンドを使用して信頼済みポートとして構成する必要があります。

これ以降の項では、さまざまなモードでのリマーキングの動作について説明します。

暗号接続モードでの IPSec パケットのリマーキング

IPsec VPN SPA の外部インターフェイスは、 mls qos trust コマンドを使用して、信頼済みポートとして設定する必要があります。

IPsec VPN SPA の内部インターフェイスが、 mls qos vlan-based コマンドを使用して、VLAN ベースとして設定されている場合、リマーキングの動作は次のようになります。

インターフェイス VLAN にサービス ポリシーを適用します。

発信トラフィックでは、リマーキングは元の IP ヘッダーに対して実行され、この IPSec ヘッダーにコピーされます。

着信トラフィックについては、リマーキングは元の IP ヘッダーに対して実行されます。

サービス ポリシーと一致するトラフィックは、リマーキングされます。サービス ポリシーと一致しないトラフィックは、プライオリティ 0(ゼロ)に設定されます。

IPsec VPN SPA の内部インターフェイスが、 mls qos trust コマンドを使用して、信頼済みポートとして設定されている場合、リマーキングの動作は次のようになります。

インターフェイス VLAN にサービス ポリシーを適用します。

リマーキングは、発信トラフィックだけでサポートされています。

リマーキングは元の IP ヘッダーに対して実行され、この IPSec ヘッダーにコピーされます。

サービス ポリシーと一致するトラフィックは、リマーキングされます。

暗号接続モードでの GRE パケットのリマーキング

VSPA の外部インターフェイスは、 mls qos trust コマンドを使用して、信頼済みポートとして設定する必要があります。

IPsec VPN SPA の内部インターフェイスは、 mls qos vlan-based コマンドを使用して、VLAN ベースとして設定されます。リマーキングの動作は次のようになります

リマーキングは、着信トラフィックと、発信トラフィックの両方でサポートされています。

GRE トンネルが IPsec VPN SPA により引き継がれた場合:

トンネル インターフェイスにサービス ポリシーを適用します。インターフェイス VLAN 上のサービス ポリシーはすべて無視されます。

リマーキングは元の IP ヘッダー、GRE ヘッダー、および IPSec ヘッダーに対して実行されます。

GRE トンネルが IPsec VPN SPA により引き継がれなかった場合:

トンネル インターフェイス、またはインターフェイス VLAN にサービス ポリシーを適用します。

リマーキングは GRE ヘッダー、および IPSec ヘッダーに対して実行されます。元の IP ヘッダー(内部ヘッダー)に対しては実行されません。

サービス ポリシーと一致するトラフィックは、リマーキングされます。

VRF モードでのトンネル保護を使った GRE パケットのリマーキング

IPsec VPN SPA の外部インターフェイスは、 mls qos trust コマンドを使用して、信頼済みポートとして設定する必要があります。IPsec VPN SPA からの出力後、暗号化パケットはリマーキングできません。

IPsec VPN SPA の内部インターフェイスは、 mls qos vlan-based コマンドを使用して、VLAN ベースとして設定されます。リマーキングの動作は次のようになります。

リマーキングは、着信トラフィックと、発信トラフィックの両方でサポートされています。

GRE トンネルが IPsec VPN SPA により引き継がれた場合:

トンネル インターフェイスにサービス ポリシーを適用します。

リマーキングは元の IP ヘッダー、GRE ヘッダー、および IPSec ヘッダーに対して実行されます。

GRE トンネルが IPsec VPN SPA により引き継がれなかった場合:

トンネル インターフェイス、またはインターフェイス VLAN にサービス ポリシーを適用します。

リマーキングは GRE ヘッダー、および IPSec ヘッダーに対して実行されます。元の IP ヘッダー(内部ヘッダー)に対しては実行されません。

サービス ポリシーと一致するトラフィックは、リマーキングされます。

VRF モードでの VTI パケットのリマーキング

IPsec VPN SPA の外部インターフェイスは、 mls qos trust コマンドを使用して、信頼済みポートとして設定する必要があります。IPsec VPN SPA からの出力後、暗号化パケットはリマーキングできません。

IPsec VPN SPA の内部インターフェイスは、 mls qos vlan-based コマンドを使用して、VLAN ベースとして設定されます。リマーキングの動作は次のようになります

トンネル インターフェイスにサービス ポリシーを適用します。

リマーキングは、着信トラフィックと、発信トラフィックの両方でサポートされています。

リマーキングは元の IP ヘッダー、および IPSec ヘッダーに対して実行されます。

サービス ポリシーと一致するトラフィックは、リマーキングされます。

パケットのポリシング

ポリシングは、余分なパケットをドロップすることにより、最大パケット レートを実現します。ポリシングは、IPsec VPN SPA との間でパケットをやりとりするレートを制限できます。

Catalyst 6500 シリーズ スイッチでのポリシングの設定については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/qos.html

プラットフォーム QoS の注意事項および制約事項

VPN に対してプラットフォーム QoS を設定する場合には、次の注意事項および制約事項に従ってください。

QoS をイネーブルにするには、 mls qos コマンドをグローバルに適用する必要があります。

プラットフォーム QoS ポリシーは、次のいずれかの状態でトンネル インターフェイスに適用できます。

暗号接続モードの GRE。GRE が IPsec VPN SPA により引き継がれているかどうかは関係ありません。

トンネル保護された GRE。GRE が IPsec VPN SPA により引き継がれているかどうかは関係ありません。

スタティック VTI

mGRE

match all 、match not、および match cos 分類基準は、トンネル インターフェイス上でのプラットフォーム QoS はサポートされていません。

police コマンドの exceed-action set オプションは、トンネル インターフェイス上のプラットフォーム QoS ではサポートされていません。また、リマーキング、またはポリシング用に設定できません。

プラットフォーム QoS ポリシーは、ルート プロセッサにより生成されたパケットや、ルート プロセッサ宛のパケットには適用されません。

1023 のポリシー、またはリマーカーサポートされています。

設定中にサービス ポリシーを適用する場合、インターフェイス コンフィギュレーション モードを終了するまで、ポリシーは有効になりません。

サービス ポリシーを適用し、その後削除すると、移行中に一部のパケットが他のプライオリティにリマークされます (CSCso84671)。

場合によっては、トンネルからサービス ポリシーを削除すると、トンネルが発信トラフィックをリマークし続けることがあります (CSCsq99617)。

ブレード間でのフェールオーバー用に設定する場合は、両方の IPsec VPN SPA の内部インターフェイスに、同一の QoS 設定を行う必要があります。

プラットフォーム QoS の構成例については、「プラットフォーム QoS の設定例」を参照してください。

VPN に対するプラットフォーム ACL の設定

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、VPN トンネル インターフェイスにアクセス コントロール リスト(ACL)を適用することができます。

プラットフォーム ACL 設定時の注意事項および制約事項

IPsec VPN SPA に対してプラットフォーム ACL を設定する場合には、次の注意事項および制約事項に従ってください。

ACL は、次のいずれかの状態でトンネル インターフェイスに適用できます。

暗号接続モードの GRE。GRE が IPsec VPN SPA により引き継がれているかどうかは関係ありません。

トンネル保護された GRE。GRE が IPsec VPN SPA により引き継がれているかどうかは関係ありません。

スタティック VTI

DMVPN (暗号接続モード、または VRF モード)

許可 ACL および拒否 ACL は、インバウンド、またはアウトバウンドのいずれかの方向でトンネル インターフェイスに適用できます。

GRE を使用する暗号接続モードで、GRE が IPsec VPN SPA により引き継がれていない場合は、ACL をインターフェイス VLAN に適用して、GRE カプセル化パケットをフィルタするか、または、トンネル インターフェイスに適用して、クリア IP パケットをフィルタします。

GRE を使用する暗号接続モードで、GRE が IPsec VPN SPA により引き継がれている場合は、インターフェイス VLAN 上で ACL はサポートされていません。クリア IP パケットをフィルタするには、トンネル インターフェイスに ACL を適用します。

トンネル上の ACL は、ブレード間のフェールオーバーでサポートされています。

ACL はトランジット パケットに適用されますが、スイッチで生成されたパケットには適用されません。

ACL の設定例は、「プラットフォーム ACL の設定例」を参照してください。

シーケンス番号付き暗号 ACL の設定

アクセス コントロール リスト(ACL)は、一連の Access Control Entry(ACE; アクセス コントロール エントリ)で構成されます。シーケンス番号付き ACL を使用すると、ACE の前にシーケンス番号を入力でき、そのシーケンス番号によって ACE が処理されます。さらに、削除する ACE の前にあるシーケンス番号を使用して、ACE を個別に削除することもできます。シーケンス番号はコンフィギュレーションには表示されませんが、 show access-list コマンドを使用して表示できます。


) ACE を削除または修正すると、ACL が IPsec VPN SPA に再設定されます。この結果、既存のセッションが切断される可能性があります。


暗号 ACL の拒否ポリシー拡張機能の設定

ACL に拒否アドレス範囲を指定することによって、「ジャンプ」動作が行われます。拒否アドレス範囲にヒットした場合、検索が暗号マップの次のシーケンスに対応付けられている ACL の先頭に「ジャンプ」し、検索が続行します。これらのアドレスに平文のトラフィックを渡すには、暗号マップ内のシーケンスごとに拒否アドレス範囲を挿入する必要があります。この作業を行うと、アドレスの許可リストごとに、ACL で指定されたすべての拒否アドレス範囲が継承されます。拒否アドレス範囲によって、ソフトウェアでは許可リストから拒否アドレス範囲が除外され、ハードウェアにプログラミングする必要のある複数の許可アドレス範囲を作成します。この動作により、繰り返されたアドレス範囲を 1 つの拒否アドレス範囲としてハードウェアにプログラミングすることが可能になるため、1 つの ACL に複数の許可アドレス範囲が作成されます。この問題を回避するには、 crypto ipsec ipv4-deny { jump | clear | drop } コマンド セットを次の要領で使用します。

jump キーワードを指定すると、標準的な「ジャンプ」動作が実行されます。

clear キーワードを使用すると、ハードウェアに拒否アドレス範囲をプログラミングできます。この拒否アドレスは暗号化および復号化の際に除外されます。VPN モードが暗号接続の場合、拒否アドレスにヒットすると、そこで検索が停止し、トラフィックは平文の(暗号化されない)状態で渡されます。VPN モードが VRF の場合、拒否アドレスと一致するトラフィックはドロップされます。

drop キーワードを指定すると、拒否アドレスにヒットした場合にトラフィックがドロップされます。

clear および drop キーワードを使用すると、ハードウェアにアドレス範囲が繰り返しプログラミングされることを防止でき、結果的に TCAM スペースを効率よく利用できます。

暗号 ACL の拒否ポリシー拡張機能設定時の注意事項および制約事項

拒否ポリシー拡張機能を設定する場合は、次の注意事項および制約事項に従ってください。

crypto ipsec ipv4-deny { jump | clear | drop } コマンドは、1 つの IPsec VPN SPA に適用されるグローバル コマンドです。指定するキーワード (jump clear 、または drop )は、IPsec VPN SPA の ACE ソフトウェアに渡されます。デフォルトの動作は jump です。

clear キーワードを VRF モードで使用すると、拒否アドレスのトラフィックは平文の状態で渡されるのではなく、ドロップされます。VRF モードでは、トラフィックを平文の状態では渡しません。

IPsec VPN SPA に暗号マップがすでに設定されている場合、キーワード( jump clear 、または drop )を適用すると、既存のすべての IPSec セッションが一時的に削除および再起動され、ネットワーク トラフィックに影響が出ます。

ACL に指定できる拒否エントリの数は、指定されたキーワードによって異なります。

jump :1 つの ACL で最大 8 つの拒否エントリをサポート


) 固定限度ではなく、ACL の 8 つの拒否ジャンプ エントリ限度を考慮してください。設定によっては、実際の限度は 8 よりも少ないことがあります。


clear :1 つの ACL で最大 1,000 の拒否エントリをサポート

drop :1 つの ACL で最大 1,000 の拒否エントリをサポート

拒否ポリシー拡張機能の設定例は、「ACL の拒否ポリシー拡張機能の設定例」を参照してください。

設定例

ここでは、次の設定例を示します。

「AES の設定例」

「RRI の設定例」

「IPSec アンチリプレイ ウィンドウ サイズの設定例」

「IPSec 優先ピアの設定例」

「IPSec SA アイドル タイマーの設定例」

「DN ベースの暗号マップの設定例」

「QoS の設定例」

「プラットフォーム ACL の設定例」

「ACL の拒否ポリシー拡張機能の設定例」


) 次の例では、Cisco IOS Release 12.2(33)SXH レベルのコマンドを使用しています。

Cisco IOS Release 12.2(33)SXH 以降、それまでのリリースで使用されていた crypto engine subslot コマンドは crypto engine slot コマンド(形式は crypto engine slot slot {inside | outside})で置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


AES の設定例

次の例では、Advanced Encryption Standard(AES; 高度暗号化規格)256 ビット キーを設定しています。

crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
mode transport
crypto map aesmap 10 ipsec-isakmp
set peer 10.0.110.1
set transform-set aesset
 

スタティック クリプト マップを使用した RRI の設定例

次に、スタティック クリプト マップを使用した RRI の設定例を示します。この例では、RRI によって作成されたルートにタグ番号が付加されています。ルーティング プロセスはこのタグ番号を使用し、ルート マップを介してタグ付きルートを再配信できます。

Router(config)# crypto map mymap 1 ipsec-isakmp
Router(config-crypto-map)# reverse-route tag 5
 

ダイナミック クリプト マップを使用した RRI の設定例

次に、ダイナミック クリプト マップを使用した RRI の設定例を示します。

Router(config)# crypto dynamic-map mymap 1
Router(config-crypto-map)# reverse-route remote peer 10.1.1.1
 

既存の ACL が存在する場合の RRI の設定例

次に、既存の ACL が存在する場合の RRI の設定例を示します。

Router(config)# crypto map mymap 1 ipsec-isakmp
Router(config-crypto-map)# set peer 172.17.11.1
Router(config-crypto-map)# reverse-route static
Router(config-crypto-map)# set transform-set esp-3des-sha
Router(config-crypto-map)# match address 101
 
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.17.11.0 0.0.0.255
 

2 つのルートがある場合の RRI の設定例

次に、2 つのルートを設定する例を示します。1 つはリモート エンドポイント用で、もう 1 つは暗号マップの適用先となるインターフェイスを介してリモート エンドポイントに至るルート再帰用です。

Router(config-crypto-map)# reverse-route remote-peer
 

ユーザ定義ホップを使用した RRI の設定例

次に、ユーザ定義ネクスト ホップを経由してリモート プロキシに至るルートを 1 つ作成する例を示します。このネクスト ホップは、デフォルト ルートに再帰する場合を除き、再帰ルート検索を必要としません。

Router(config-crypto-map)# reverse-route remote-peer 10.4.4.4
 

IPSec アンチリプレイ ウィンドウ サイズの設定例

次に、IPSec アンチリプレイ ウィンドウ サイズの設定例を示します。

「IPSec アンチリプレイ ウィンドウのグローバルな設定例」

「IPSec アンチリプレイ ウィンドウの暗号マップ単位の設定例」

IPSec アンチリプレイ ウィンドウのグローバルな設定例

次に、アンチリプレイ ウィンドウ サイズをグローバルに 1,024 に設定する例を示します。

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN-Gateway1
!
boot-start-marker
boot-end-marker
!
clock timezone EST 0
no aaa new-model
ip subnet-zero
!
ip audit po max-events 100
no ftp-server write-enable
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123
address 192.165.201.2
!
crypto ipsec security-association replay window-size 1024
!
crypto ipsec transform-set basic esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 192.165.201.2
set transform-set basic
match address 101
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1/0
ip address 192.165.200.2 255.255.255.252
serial restart-delay 0
crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.165.200.1
no ip http server
no ip http secure-server
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!access-list 101 remark Crypto ACL
!
control-plane
!
line con 0
line aux 0
line vty 0 4
end
 

IPSec アンチリプレイ ウィンドウの暗号マップ単位の設定例

次に、172.150.150.2 との IPSec 接続に対してアンチリプレイ チェックをディセーブルにし、172.150.150.3 および 172.150.150.4 との IPSec 接続に対してイネーブル(デフォルト ウィンドウ サイズは 64)にする例を示します。

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
enable secret 5 $1$KxKv$cbqKsZtQTLJLGPN.tErFZ1
enable password ww
!
ip subnet-zero
cns event-service server
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco170
address 172.150.150.2
crypto isakmp key cisco180
address 172.150.150.3
crypto isakmp key cisco190
address 172.150.150.4
crypto ipsec transform-set 170cisco esp-des esp-md5-hmac
crypto ipsec transform-set 180cisco esp-des esp-md5-hmac
crypto ipsec transform-set 190cisco esp-des esp-md5-hmac
crypto map ETH0 17 ipsec-isakmp
set peer 172.150.150.2
set security-association replay disable
set transform-set 170cisco
match address 170
crypto map ETH0 18 ipsec-isakmp
set peer 150.150.150.3
set transform-set 180cisco
match address 180
crypto map ETH0 19 ipsec-isakmp
set peer 150.150.150.4
set transform-set 190cisco
match address 190
!
interface Ethernet0
ip address 172.150.150.1 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled
crypto map ETH0
!
interface Serial0
ip address 172.160.160.1 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no fair-queue
!
ip classless
ip route 172.170.170.0 255.255.255.0 172.150.150.2
ip route 172.180.180.0 255.255.255.0 172.150.150.3
ip route 172.190.190.0 255.255.255.0 172.150.150.4
no ip http server
!
access-list 170 permit ip 172.160.160.0 0.0.0.255 172.170.170.0 0.0.0.255
access-list 180 permit ip 172.160.160.0 0.0.0.255 172.180.180.0 0.0.0.255
access-list 190 permit ip 172.160.160.0 0.0.0.255 172.190.190.0 0.0.0.255
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
end
 

IPSec 優先ピアの設定例

次に、IPSec 優先ピアの設定例を示します。

「デフォルト ピアの設定例」

「デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例」

デフォルト ピアの設定例

次に、デフォルト ピアの設定例を示します。この例では、IP アドレス 1.1.1.1 にある最初のピアがデフォルト ピアです。

Router(config)# crypto map tohub 1 ipsec-isakmp
Router(config-crypto-map)# set peer 1.1.1.1 default
Router(config-crypto-map)# set peer 2.2.2.2
Router(config-crypto-map)# exit

デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例

次に、デフォルト ピアを使用する場合の IPSec アイドル タイマーの設定例を示します。次の例では、現在のピアが 600 秒間アイドルであった場合、次の接続試行ではデフォルト ピア 1.1.1.1(set peer コマンドで指定)が使用されます。

Router (config)# crypto map tohub 1 ipsec-isakmp
Router(config-crypto-map)# set peer 1.1.1.1 default
Router(config-crypto-map)# set peer 2.2.2.2
Router(config-crypto-map)# set security-association idle-time 600 default
Router(config-crypto-map)# exit

IPSec SA アイドル タイマーの設定例

ここでは、IPSec SA アイドル タイマーを設定する例を示します。

「IPSec SA アイドル タイマーのグローバルな設定例」

「IPSec SA アイドル タイマーの暗号マップ単位での設定例」

IPSec SA アイドル タイマーのグローバルな設定例

次に、非アクティブなピアについて 600 秒後に SA をドロップするように、グローバルに IPSec SA アイドル タイマーを設定する例を示します。

Router(config)# crypto ipsec security-association idle-time 600

IPSec SA アイドル タイマーの暗号マップ単位での設定例

次に、暗号マップ「test」について、非アクティブなピアの SA を 600 秒後にドロップするように IPSec SA アイドル タイマーを設定する例を示します。

Router(config) # crypto map test 1 ipsec-isakmp
Router(config-crypto-map)# set security-association idle-time 600

DN ベースの暗号マップの設定例

次に、DN およびホスト名によって認証された DN ベースの暗号マップの設定例を示します。例には、さまざまなコマンドについての注釈も含まれています。

! DN based crypto maps require you to configure an IKE policy at each peer.
crypto isakmp policy 15
encryption 3des
hash md5
authentication rsa-sig
group 2
lifetime 5000
crypto isakmp policy 20
authentication pre-share
lifetime 10000
crypto isakmp key 1234567890 address 171.69.224.33
!
!The following is an IPsec crypto map (part of IPsec configuration). It can be used only
! by peers that have been authenticated by DN and if the certificate belongs to BigBiz.
crypto map map-to-bigbiz 10 ipsec-isakmp
set peer 172.21.114.196
set transform-set my-transformset
match address 124
identity to-bigbiz
!
crypto identity to-bigbiz
dn ou=BigBiz
!
!
! This crypto map can be used only by peers that have been authenticated by hostname
!and if the certificate belongs to little.com.
crypto map map-to-little-com 10 ipsec-isakmp
set peer 172.21.115.119
set transform-set my-transformset
match address 125
identity to-little-com
!
crypto identity to-little-com
fqdn little.com
!

QoS の設定例

次に、VPN 用 QoS の設定例を示します。

「モジュラ QoS の設定例」

「プラットフォーム QoS の設定例」

モジュラ QoS の設定例

次に、モジュラ QoS で使用されるデュアル プライオリティ キューの設定例を示します。

mls qos
!
Interface GigabitEthernet4/0/1
mls qos trust cos
priority-queue cos-map 1 0 1 5
!
Interface GigabitEthernet4/0/2
mls qos trust cos
priority-queue cos-map 1 0 1 5
 

プラットフォーム QoS の設定例

この例では、インバウンドおよびアウトバウンド サービス ポリシーを使用して、プラットフォーム QoS を設定する方法を説明します。

mls qos
!
! Define class maps
!
class-map match-any IPP1
match ip precedence 1
class-map match-any IPP0
match ip precedence 0
class-map match-any IPP3
match ip precedence 3
class-map match-any IPP2
match ip precedence 2
class-map match-any IPP5
match ip precedence 5
class-map match-any IPP4
match ip precedence 4
class-map match-any IPP7
match ip precedence 7
class-map match-any IPP6
match ip precedence 6
!
! Define policy maps
!
policy-map SET_3TO5
class IPP3
set precedence 5
!
policy-map SET_1TO5
class IPP1
set precedence 5
!
!
! LAN interface configuration
!
interface GigabitEthernet2/3
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 46,51,3501-4000
switchport mode trunk
mls qos trust ip-precedence
!
! inside interface configuration
!
interface GigabitEthernet3/0/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan none
switchport mode trunk
mtu 9216
mls qos vlan-based
flowcontrol receive on
flowcontrol send off
spanning-tree portfast edge trunk
!
! outside interface configuration
!
interface GigabitEthernet3/0/2
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan none
switchport mode trunk
mtu 9216
mls qos trust ip-precedence
!
! tunnel interface configuration
!
interface Tunnel1
ip vrf forwarding i1
ip address 26.0.1.2 255.255.255.0
ip access-group T1ACL_IN in
ip access-group T1ACL_OUT out
ip mtu 1400
tunnel source 27.0.1.2
tunnel destination 192.0.20.1
tunnel mode ipsec ipv4
tunnel vrf f1
tunnel protection ipsec profile TUN_PROTECTION
crypto engine slot 3/0 inside
service-policy input SET_1TO5
service-policy output SET_3TO5
 

プラットフォーム ACL の設定例

この例では、インバウンドおよびアウトバウンド プラットフォーム ACL を使用して、トンネルを設定する例を示します。

interface Tunnel1
ip vrf forwarding i1
ip address 26.0.1.2 255.255.255.0
ip access-group T1ACL_IN in
ip access-group T1ACL_OUT out
ip mtu 1400
tunnel source 27.0.1.2
tunnel destination 67.0.1.6
tunnel vrf f1
tunnel protection ipsec profile TUN_PROTECTION
crypto engine slot 3/0 inside
!
!
ip access-list extended T1ACL_IN
permit tcp any any
permit icmp any any
permit ip any host 50.0.1.2 precedence critical
permit ip any host 50.0.1.2 precedence internet
permit ip any host 50.0.1.2 precedence priority
permit ip any host 50.0.1.2 precedence flash
deny ip any any
ip access-list extended T1ACL_OUT
permit tcp any any
permit icmp any any
permit ip any host 60.0.1.2 precedence critical
permit ip any host 60.0.1.2 precedence internet
permit ip any host 60.0.1.2 precedence priority
permit ip any host 60.0.1.2 precedence flash
deny ip any any
 

ACL の拒否ポリシー拡張機能の設定例

次に、拒否ポリシーの clear オプションを使用した設定例を示します。この例では、拒否アドレスにヒットすると検索が停止し、トラフィックは平文の(暗号化されていない)状態で通過させることができます。

Router(config)# crypto ipsec ipv4-deny clear