Catalyst 6500 シリーズ スイッチ SIP、SSC、およ び SPA ソフトウェア コンフィギュレーション ガイド
IPsec VPN SPA のモニタリングおよびアカ ウンティングの設定
IPsec VPN SPA のモニタリングおよびアカウンティングの設定
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

IPsec VPN SPA のモニタリングおよびアカウンティングの設定

のモニタリングおよびアカウンティングの概要

IPSec VPN セッションのモニタリングおよび管理

IKE ピアの記述の追加

ピアの記述の確認

暗号化セッション ステータスのサマリー リストの表示

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知

暗号化セッションのクリア

の SPAN モニタリングの設定

SPAN セッションの設定

IPSec VPN アカウンティングの設定

設定例

IPSec VPN アカウンティングの設定例

IPSec VPN モニタリングの設定例

IPsec VPN SPA のモニタリングおよびアカウンティングの設定

この章では、IPsec VPN SPA上の Catalyst 6500 シリーズ スイッチ を使用してモニタリングおよびアカウンティングを設定する方法について説明します。具体的な内容は次のとおりです。

「IPsec VPN SPA のモニタリングおよびアカウンティングの概要」

「IPSec VPN セッションのモニタリングおよび管理」

「IPsec VPN SPA の SPAN モニタリングの設定」

「IPSec VPN アカウンティングの設定」

「設定例」


) Cisco IOS の IP Security(IPSec)暗号化処理およびポリシーについての詳細は、『Cisco IOS Security Configuration Guide』および『Cisco IOS Security Command Reference』を参照してください。


システム イメージおよびコンフィギュレーション ファイルの管理については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』および『 Cisco IOS Configuration Fundamentals Command Reference 』を参照してください。

この章で使用しているコマンドの構文および使用方法の詳細については、 Catalyst 6500 Series Cisco IOS Command Reference Release 12.2SX 、および関連する Cisco IOS Release 12.2 ソフトウェア コマンド コンフィギュレーション ガイドおよびマスター インデックス資料を参照してください。これらの資料の入手方法については、「関連資料」を参照してください。


ヒント IPsec VPN SPA を使用して VPN を正しく設定するために、設定の概要および注意事項にすべて目を通してから設定作業を始めてください。


IPsec VPN SPA のモニタリングおよびアカウンティングの概要

この章では、IPsec VPN SPA をモニタおよび管理するために使用できる IPSec 機能の一部について説明します。次のような機能があります。

IPSec VPN モニタリング機能:VPN のトラブルシューティングおよびエンドユーザ インターフェイスの監視に使用できる VPN セッションのモニタリング拡張機能が提供されます。

IPSec VPN アカウンティング機能:セッションが開始および停止された時間を示すセッション アカウンティング レコードが生成されます。

Cisco VRF 対応 IPSec の IPSec および Internet Key Exchange(IKE; インターネット キー エクスチェンジ)MIB サポート機能:MIB を使用して VPN Routing and Forwarding(VRF; VPN ルーティング/転送)対応 IPSec を管理できるようにします。

IPSec VPN セッションのモニタリングおよび管理

IPSec VPN モニタリング機能により、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)のトラブルシューティングおよびエンドユーザ インターフェイスの監視に使用できる VPN セッションのモニタリング拡張機能が提供されます。暗号化セッションは、2 つの暗号化エンドポイント間の IPSec 接続(フロー)の集合です。2 つの暗号化エンドポイントがキーイング プロトコルとして IKE を使用している場合、これらのエンドポイントは相互に IKE ピアとして機能します。暗号化セッションは通常、1 つの IKE SA(セキュリティ アソシエーション)(制御トラフィック用)および最低 2 つの IPSec SA(データ トラフィック用、各方向に 1 つずつ)で構成されます。キーの再生成中、または両端から同時にセットアップ要求が発行された場合、IKE セキュリティ アソシエーション(SA)および IPSec SA の重複や、同じセッションの IKE SA または IPSec SA の重複が発生することがあります。

セッションのモニタリング拡張機能は次のとおりです。

コンフィギュレーション ファイルのインターネット キー エクスチェンジ(IKE)ピアに関する記述を指定する機能

暗号化セッション ステータスのサマリー リスト

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知

共通の Command-Line Interface(CLI; コマンドライン インターフェイス)を使用して IKE セキュリティ アソシエーション(SA)と IPSec SA の両方を削除する機能

IKE ピアの記述の追加

IPSec VPN セッションに IKE ピアの記述を追加するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# crypto isakmp peer { ip-address ip-address }

IPSec ピアによるアグレッシブ モードのトンネル アトリビュートに関する Authentication, Authorization, Accounting(AAA; 認証、認可、アカウンティング)の IKE クエリーをイネーブルにし、ISAKMP ピア コンフィギュレーション モードを開始します。

ip-address :ピアの IP アドレス。

ステップ 2

Router(config-isakmp-peer)# description description

IKE ピアに関する記述を追加します。

description :ピアを特定する記述。

次の例は、IKE ピアの記述を追加する方法を示しています。

Router(config)# show crypto isakmp peer 10.2.2.9
Router(config-isakmp-peer)# description connection from site A
 

ピアの記述の確認

ピアの記述を確認するには、 show crypto isakmp peer コマンドを入力します。

Router# show crypto isakmp peer
 
Peer: 10.2.2.9 Port: 500
Description: connection from site A
flags: PEER_POLICY
 

アドレス 10.2.2.9 のピアが接続し、セッションがアップ状態になると、Syslog ステータスが次のように表示されます。

%CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP. Peer 10.2.2.9:500 Description: connection from site A Id: ezvpn
 

暗号化セッション ステータスのサマリー リストの表示

すべてのアクティブな VPN セッションの一覧を表示するには、 show crypto session コマンドを入力します。次の内容が表示されます。

インターフェイス

IKE ピアの記述(ある場合)

IPSec SA を作成したピアに対応付けられている IKE SA

セッションのフローを処理している IPSec SA

同じピアに対して、複数の IKE または IPSec SA が確立される場合があります。その場合、ピアに対応付けられた IKE SA や、セッションのフローを処理している IPSec SA ごとに異なる値を使用して、IKE ピアの記述が繰り返されます。

このコマンドのバリエーションである show crypto session detail を使用して、セッションに関して、より詳しい情報を取得することもできます。

次に、 detail キーワードを使用しない show crypto session コマンドの出力例を示します。

Router# show crypto session
 
Crypto session current status
 
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 172.0.0.2/500
IKE SA: local 172.0.0.1/500 remote 172.0.0.2/500 Active
IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 10.30.30.0/255.255.255.0
Active SAs: 2, origin: crypto map
 

次に、 detail キーワードを使用した show crypto session コマンドの出力例を示します。

Router# show crypto session detail
 
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.1.1.3 port 500 fvrf: (none) ivrf: (none)
Desc: this is my peer at 10.1.1.3:500 Green
Phase1_id: 10.1.1.3
IKE SA: local 10.1.1.4/500 remote 10.1.1.3/500 Active
Capabilities:(none) connid:3 lifetime:22:03:24
IPSEC FLOW: permit 47 host 10.1.1.4 host 10.1.1.3
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
IPSEC FLOW: permit ip host 10.1.1.4 host 10.1.1.3
Active SAs: 4, origin: crypto map
Inbound: #pkts dec'ed 4 drop 0 life (KB/Sec) 4605665/2949
Outbound: #pkts enc'ed 4 drop 1 life (KB/Sec) 4605665/2949
 

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知

暗号化セッションのアップまたはダウン ステータスに関する Syslog 通知機能により、暗号化セッションがアップまたはダウンになるたびに、Syslog に対する通知が行われます。セッション ステータスの Syslog ロギングをイネーブルにするには、コンフィギュレーション モードで crypto logging session および crypto logging ezvpn コマンドを入力します。

次に、暗号化セッションがアップ状態になったときの Syslog 通知の例を示します。

%CRYPTO-5-SESSION_STATUS: Crypto session is UP. Peer 10.6.6.1:500 fvrf=name10 ivrf=name20 Description: SJC24-2-VPN-Gateway Id: 10.5.5.2
 

次に、暗号化セッションがダウン状態になったときの Syslog 通知の例を示します。

%CRYPTO-5-SESSION_STATUS: Crypto session is DOWN. Peer 10.6.6.1:500 fvrf=name10 ivrf=name20 Description: SJC24-2-VPN-Gateway Id: 10.5.5.2
 

暗号化セッションのクリア

Cisco IOS の以前のソフトウェア リリースでは、IKE セキュリティ アソシエーション(SA)および IPSec SA の両方を 1 つのコマンドでクリアできませんでした。その代わりに、 clear crypto isakmp コマンドを入力して IKE を、 clear crypto ipsec コマンドを使用して IPSec をクリアする必要がありました。 clear crypto session コマンドを使用すると、1 つのコマンドで IKE と IPSec の両方をクリアできます。特定の暗号化セッションまたはすべてのセッションのサブセット(特定のリモート サイトへの 1 つのトンネルなど)をクリアするには、セッション固有のパラメータ(ローカルまたはリモートの IP アドレス、ローカルまたはリモートのポート、Front-door VRF(FVRF; 前面扉 VRF)名、Inside VRF(IVRF; 内部 VRF)名など)を指定する必要があります。通常、削除すべきトンネル 1 つを指定するには、リモート IP アドレスを使用します。

clear crypto session コマンドを入力するとき、パラメータとしてローカル IP アドレスを指定すると、その IP アドレスをローカルの暗号化エンドポイント(IKE ローカル アドレス)として共有するすべてのセッション(および各セッションの IKE SA と IPSec SA)がクリアされます。 clear crypto session コマンドを入力するときパラメータを指定しないと、スイッチ上のすべての IPSec SA および IKE SA が削除されます。

暗号化セッションをクリアするには、特権 EXEC モードで、スイッチのコマンドラインから clear crypto session コマンドを入力します。このコマンドを使用する場合、コンフィギュレーション ファイル内のコンフィギュレーション ステートメントは必要ありません。

Router# clear crypto session
 

IPSec VPN モニタリングに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_ipsvm.html

IPSec VPN モニタリングの設定例は、「IPSec VPN モニタリングの設定例」を参照してください。

IPsec VPN SPA の SPAN モニタリングの設定

IPsec VPN SPA ポートのトラフィックをモニタリングするには、ローカル Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)、または Remote SPAN(RSPAN; リモート SPAN)を使用します。内部ポートに 1 つ、外部ポートに 1 つ、合計 2 つの SPAN セッションを設定することにより、平文のトラフィックと暗号化されたトラフィックを同時にモニタリングできます。

SPAN の使用に関する詳細は、 次の URL にある『 Catalyst 6500 Release 12.2SXH and Later Software Configuration Guide 』の「Configuring Local SPAN, RSPAN, and ERSPAN」の章を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/span.html


) 1 つの IPsec VPN SPA ポートを複数の SPAN セッションに対するソースとして設定できません。


SPAN セッションの設定

ソースとして IPsec VPN SPA ポートを使用し、ローカル SPAN セッションを設定するには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# monitor session session_number source [ interface type slot / subslot / port | vlan vlan_number ] rx

ローカル SPAN ソース セッション番号とソース ポート、または VLAN を関連付け、モニタリングするトラフィックの方向を選択します。

session_number :ユーザにより定義された、セッションを識別するための番号。範囲は 1 ~ 66 です。

ステップ 2

Router(config)# monitor session session_number destination interface type slot / port

ローカル SPAN セッション トラフィックの宛先を指定します。

この例では、復号化前にモジュール 2 のサブスロット 0 にある IPsec VPN SPA からインバウンド トラフィックを取得し、このトラフィックをモジュール 5 のポート 16 に送信するように、ローカル SPAN セッションを設定する方法を示しています。

Router(config)# monitor session 1 source interface gi2/0/2 tx
Router(config)# monitor session 1 destination interface gi5/16
 

この例は、復号化後にインバウンド トラフィックを取得する方法を示しています。

Router(config)# monitor session 1 source interface gi2/0/1 rx
 

この例は、復号化前にアウトバウンド トラフィックを取得する方法を示しています。

Router(config)# monitor session 1 source interface gi2/0/1 tx
 

この例は、復号化後にアウトバウンド トラフィックを取得する方法を示しています。

Router(config)# monitor session 1 source interface gi2/0/2 rx
 

IPSec VPN アカウンティングの設定

IPSec VPN アカウンティング機能により、セッションが開始および停止された時間を示すセッション アカウンティング レコードが生成されます。

VPN セッションは、インターネット キー エクスチェンジ(IKE)セキュリティ アソシエーション(SA)およびその IKE SA によって作成された 1 つ以上の SA ペアとして定義されます。セッションは最初の IP Security(IPSec)ペアが作成された時点で開始し、すべての IPSec SA が削除された時点で停止します。IPSec アカウンティングを設定した場合、IKE フェーズの完了後にセッションのアカウンティング開始レコードが生成されます。キーの再生成を行っても、新しいアカウンティング レコードは生成されません。

セッション識別情報およびセッション使用情報が、標準的な Remote Authentication Dial-In User Service(RADIUS)アトリビュートおよび Vendor-Specific Attribute(VSA; ベンダー固有属性)を使用して、RADIUS サーバに渡されます。

IPSec VPN アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードから次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

アカウンティング サーバへの暫定アカウンティング レコードの定期的な送信をイネーブルにします。

ステップ 2

Router(config)# aaa authentication login list-name group radius

ログイン時の RADIUS サーバによる認証、許可、アカウンティング(AAA)認証を設定します。

list-name :ユーザがログインした時点でアクティブにされる認証方式のリスト名として使用するストリング。

group radius :すべての RADIUS サーバのリストを認証に使用します。

ステップ 3

Router(config)# aaa authorization network list-name group radius

Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、PPP、PPP Network Control Program(NCP; ネットワーク コントロール プログラム)、AppleTalk Remote Access(ARA)など、すべてのネットワーク関連サービス要求について許可を実行します。

list-name :ユーザがログインした時点でアクティブにされる許可方式のリスト名として使用するストリング。

group radius :すべての RADIUS サーバのリストを認証に使用します。

ステップ 4

Router(config)# aaa accounting network list-name start-stop [ broadcast ] group radius

RADIUS を使用している場合、課金またはセキュリティの目的で、要求されたネットワーク関連サービスの AAA アカウンティングをイネーブルにします。

list-name :アカウンティング方式のリスト名として使用するストリング。

start-stop :プロセスの始まりにアカウンティング「開始」通知を、プロセスの終わりにアカウンティング「停止」通知を送信します。アカウンティング「開始」レコードがバックグラウンドで送信されます。アカウンティング サーバがアカウンティング「開始」通知を受信したかどうかにかかわらず、要求されたユーザ プロセスが開始されます。

broadcast :(任意)複数の AAA サーバへのアカウンティング レコードの送信をイネーブルにします。同時に、各グループの最初のサーバにアカウンティング レコードを送信します。最初のサーバが使用不可能な場合、そのグループで定義されているバックアップ サーバへのフェールオーバーが行われます。

group radius :aaa group server radius コマンドで定義されたすべての RADIUS サーバのリストを認証に使用します。

ステップ 5

Router(config)# aaa accounting update periodic minutes

(任意)セッションがアップの状態で、アカウンティング アップデートをアカウンティング サーバに送信します。

minutes :アカウンティング サーバにアカウンティング レコードを送信する間隔(単位は分)を指定します。

ステップ 6

Router(config)# aaa session-id common

コール内の各 AAA アカウンティング サービス タイプに同じセッション ID を使用するか、それともアカウンティング サービス タイプごとに異なるセッション ID を割り当てるかを指定します。

common :対象となるコールに関して送信されるすべてのセッション ID 情報が同じになるようにします。デフォルトの動作は common です。

ステップ 7

Router(config)# crypto isakmp profile profile-name

IP security(IPSec)ユーザ セッションを監査し、ISAKMP プロファイル コンフィギュレーション モードを開始します。

profile-name :ユーザ プロファイルの名前。ユーザ プロファイルに RADIUS サーバを対応付けるには、ユーザ プロファイル名を指定する必要があります。

ステップ 8

Router(conf-isa-prof)# vrf ivrf

VPN ルーティング/転送(VRF)インスタンス名にオンデマンドのアドレス プールを対応付けます。

ivrf :IPSec トンネルをマッピングする VRF

ステップ 9

Router(conf-isa-prof)# match identity group group-name

ピアからのアイデンティティを ISAKMP プロファイルと照合します。

group-name :Identification(ID; 識別子)タイプ ID_KEY_ID と一致する Unity グループ。Unity およびメイン モードの Rivest, Shamir, and Adelman(RSA)シグニチャを使用する場合、 group-name 引数は Distinguished Name(DN; 識別名)の Organizational Unit(OU; 組織単位)フィールドと一致します。

ステップ 10

Router(conf-isa-prof)# client authentication list list-name

Internet Security Association and Key Management Protocol(ISAKMP)プロファイルにインターネット キー エクスチェンジ(IKE)拡張認証(XAUTH)を設定します。

list-name :ユーザがログインした時点でアクティブにされる認証方式のリスト名として使用するストリング。このリスト名は、認証、許可、アカウンティング(AAA)の設定時に定義したリスト名と同じである必要があります。

ステップ 11

Router(conf-isa-prof)# isakmp authorization list list-name

ISAKMP プロファイル内の AAA サーバを使用し、IKE 共有秘密パラメータおよびその他のパラメータを設定します。共有秘密などのパラメータは一般に、モード コンフィギュレーション(MODECFG)によってリモート ピアにプッシュされます。

list-name :コンフィギュレーション モード アトリビュートまたはアグレッシブ モードの事前共有キーとして使用される AAA 許可リスト

ステップ 12

Router(conf-isa-prof)# client configuration address [ initiate | respond ]

ISAKMP プロファイルで IKE モード コンフィギュレーション(MODECFG)を設定します。

initiate :(任意)スイッチは各ピアの IP アドレスの設定を試みます。

respond :(任意)スイッチは任意の要求元ピアからの IP アドレスの要求を受け付けます。

ステップ 13

Router(conf-isa-prof)# accounting list-name

この Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを使用して、接続するすべてのピアについて AAA アカウンティング サービスをイネーブルにします。

list-name :クライアント アカウンティング リストの名前

ステップ 14

Router(conf-isa-prof)# exit

ISAKMP プロファイル コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 15

Router(config)# crypto dynamic-map dynamic-map-name dynamic-seq-num

ダイナミック クリプト マップ テンプレートを作成し、暗号マップ コンフィギュレーション コマンド モードを開始します。

dynamic-map-name :ポリシー テンプレートとして使用するダイナミック クリプト マップ セットの名前。

dynamic-seq-num :ダイナミック クリプト マップ エントリに割り当てるシーケンス番号。

ステップ 16

Router(config-crypto-map)# set transform-set transform-set-name

暗号マップ テンプレートとともに使用できるトランスフォーム セットを指定します。トランスフォーム セットは、IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。トランスフォーム セットおよび使用できる値については、『 Cisco IOS Security Command Reference 』に記載されています。

transform-set-name :トランスフォーム セットの名前。

ステップ 17

Router(config-crypto-map)# set isakmp-profile profile-name

ISAKMP プロファイル名を設定します。

profile-name :ISAKMP プロファイルの名前。

ステップ 18

Router(config-crypto-map)# reverse-route [ remote-peer ]

VPN リモート トンネルのエンドポイントの後ろに、宛先へのルート(IP アドレス)を注入できるようにします。トンネル エンドポイント自体へのルートも含めることができます(暗号マップの remote-peer キーワードを使用)。

remote-peer :(任意)パブリック IP アドレスおよび IPSec トンネルの宛先アドレスのルートが、ルーティング テーブルに挿入されます。

ステップ 19

Router(config-crypto-map)# exit

暗号マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 20

Router(config)# crypto map map-name ipsec-isakmp dynamic dynamic-map-name

ダイナミックに作成される暗号マップ設定のテンプレートとなる暗号プロファイルを作成します。

map-nam e:暗号マップ セットの識別名。

dynamic-map-name :ポリシー テンプレートとして使用するダイナミック クリプト マップ セットの名前。

ステップ 21

Router(config)# radius-server host ip-address [ auth-port auth-port-number ] [ acct-port acct - port-number ]

RADIUS サーバ ホストを指定します。

ip-address :RADIUS サーバ ホストの IP アドレス

auth-port-number :(任意)認証要求の UDP 宛先ポート番号。0 に設定する場合、ホストは認証に使用されません。指定しない場合、デフォルトでポート番号 1645 が使用されます。

acct-port-number :(任意)アカウンティング要求の UDP 宛先ポート番号。0 に設定する場合、ホストはアカウンティングに使用されません。指定しない場合、デフォルトでポート番号 1646 が使用されます。

ステップ 22

Router(config)# radius-server key string

スイッチと RADIUS デーモンの間のすべての RADIUS 通信に使用される認証および暗号キーを設定します。

string :暗号化されない(平文の)共有キー

ステップ 23

Router(config)# interface type slot /[ subslot ]/ port

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

slot /[ subslot ] / port :設定するスロット、サブスロット(任意)、およびポートの番号。

ステップ 24

Router(config-if)# crypto map map-name

事前に定義した暗号マップ セットをインターフェイスに適用します。

map-nam e:暗号マップ セットの識別名。

IPSec VPN アカウンティングに関する詳しい設定情報は、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ft_evpna.html

IPSec VPN アカウンティングの設定例は、「IPSec VPN アカウンティングの設定例」を参照してください。

設定例

ここでは、次の設定例を示します。

「IPSec VPN アカウンティングの設定例」

「IPSec VPN モニタリングの設定例」


) 次の例では、Cisco IOS Release 12.2(33)SXH レベルのコマンドを使用しています。

Cisco IOS Release 12.2(33)SXH 以降、それまでのリリースで使用されていた crypto engine subslot コマンドは crypto engine slot コマンド(形式は crypto engine slot slot {inside | outside})で置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


IPSec VPN アカウンティングの設定例

次に、IPSec VPN アカウンティング機能をイネーブルにする例を示します。

aaa new-model
!
!
aaa group server radius r1
server-private 10.30.1.52 auth-port 1812 acct-port 1813 key allegro
!
aaa authentication login test_list group r1
aaa authorization network test_list group r1
aaa accounting update periodic 10 jitter maximum 0
aaa accounting network test_list start-stop group r1!
!
ip vrf ivrf1
rd 1:2
!
crypto engine mode vrf
!
crypto isakmp policy 5
encr 3des
authentication pre-share
group 2
lifetime 14400
!
crypto isakmp client configuration group test
key world
pool pool1
!
crypto isakmp profile test_pro
vrf ivrf1
match identity group test
client authentication list test_list
isakmp authorization list test_list
client configuration address respond
accounting test_list
!
crypto ipsec transform-set t3 esp-3des esp-sha-hmac
!
!
crypto dynamic-map dyn-ra 10
set transform-set t3
set isakmp-profile test_pro
reverse-route
!
!
crypto map map-ra local-address GigabitEthernet3/15
crypto map map-ra 1 ipsec-isakmp dynamic dyn-ra
!
!
interface GigabitEthernet1/0/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,1002-1005
switchport mode trunk
mtu 9216
mls qos trust ip-precedence
flowcontrol receive on
flowcontrol send off
spanning-tree portfast edge trunk
!
interface GigabitEthernet1/0/2
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,1002-1005
switchport mode trunk
mtu 9216
mls qos trust ip-precedence
flowcontrol receive on
flowcontrol send off
spanning-tree portfast edge trunk
!
!
 
interface GigabitEthernet3/15
mtu 9216
ip address 120.0.0.254 255.255.255.0
crypto engine outside
!
!
!
interface Vlan100
ip vrf forwarding ivrf1
ip address 120.0.0.100 255.255.255.0
ip flow ingress
crypto map map-ra
crypto engine slot 1/0 inside
!
!
!
ip local pool pool1 100.0.1.1 100.0.5.250
 

IPSec VPN モニタリングの設定例

次に、IKE ピアで IPSec VPN モニタリングを設定する例を示します。

!
upgrade fpd auto
version 12.2
service timestamps debug datetime
service timestamps log datetime
no service password-encryption
service counters max age 5
!
hostname Ez-DCM-CC
!
boot-start-marker
boot system disk1:s72033-adventerprisek9_wan-mz.122-33.SXH
boot-end-marker
!
logging buffered 1000000 debugging
enable secret 5 $1$i5FZ$47ybx5dEaUKc3eRaDIZ/z.
!
username cisco password 0 cisco
username t1 password 0 t1
username t2 password 0 t2
username t3 password 0 t3
username t4 password 0 t4
username t5 password 0 t5
username t6 password 0 t6
username t7 password 0 t7
username t8 password 0 t8
username user1 password 0 letmein
aaa new-model
aaa authentication login myuserlist local
aaa authorization network myuserlist local
!
aaa session-id common
clock timezone PST -7
call-home
alert-group configuration
alert-group diagnostic
alert-group environment
alert-group inventory
alert-group syslog
profile "CiscoTAC-1"
no active
no destination transport-method http
destination transport-method email
destination address email callhome@cisco.com
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
subscribe-to-alert-group diagnostic severity minor
subscribe-to-alert-group environment severity minor
subscribe-to-alert-group syslog severity major pattern ".*"
subscribe-to-alert-group configuration periodic monthly 10 15:08
subscribe-to-alert-group inventory periodic monthly 10 14:53
ip subnet-zero
!
no ip domain-lookup
ip domain-name cisco.com
ipv6 mfib hardware-switching replication-mode ingress
vtp mode transparent
no mls acl tcam share-global
mls netflow interface
no mls flow ip
no mls flow ipv6
mls cef error action freeze
!
redundancy
keepalive-enable
mode sso
linecard-group 0 feature-card
class load-sharing
subslot 4/0
main-cpu
auto-sync running-config
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
diagnostic monitor syslog
diagnostic cns publish cisco.cns.device.diag_results
diagnostic cns subscribe cisco.cns.device.diag_commands
!
power redundancy-mode combined
port-channel per-module load-balance
!
vlan internal allocation policy descending
vlan access-log ratelimit 2000
!
vlan 2-3,16-17
!
crypto logging session
crypto logging ezvpn
!
crypto logging ezvpn group mygroup
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
lifetime 43200
crypto isakmp key WorldCup2006 address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group mygroup
key mykey
pool mypool
!
crypto isakmp peer address 16.0.0.3
description first-ezvpn-client
!
crypto isakmp peer address 16.0.0.4
description second-ezvpn-client
!
crypto ipsec security-association lifetime seconds 21600
!
crypto ipsec transform-set MyTranSet esp-aes esp-sha-hmac
no crypto ipsec nat-transparency udp-encaps
!
crypto call admission limit ike in-negotiation-sa 10
!
crypto dynamic-map DynMap1 10
set transform-set MyTranSet
reverse-route
!
crypto map MyMap1 client authentication list myuserlist
crypto map MyMap1 isakmp authorization list myuserlist
crypto map MyMap1 client configuration address respond
crypto map MyMap1 500 ipsec-isakmp dynamic DynMap1
!
interface GigabitEthernet1/25
no ip address
crypto connect vlan 16
!
interface GigabitEthernet1/27
no ip address
crypto connect vlan 17
!
interface GigabitEthernet1/29
ip address 26.0.0.2 255.255.255.0
!
interface GigabitEthernet4/0/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 16,17,1002-1005
switchport mode trunk
mtu 9216
mls qos vlan-based
mls qos trust cos
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet4/0/2
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1002-1005
switchport mode trunk
mtu 9216
mls qos trust cos
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet5/2
ip address 44.0.111.114 255.0.0.0
media-type rj45
!
interface Vlan1
no ip address
ip flow ingress
ip igmp snooping querier
shutdown
!
interface Vlan16
ip address 16.0.0.2 255.255.224.0
no mop enabled
crypto map MyMap1
crypto engine slot 4/0
!
interface Vlan17
ip address 16.0.32.2 255.255.224.0
no mop enabled
crypto map MyMap1
crypto engine slot 4/0
!
ip local pool mypool 36.0.0.1 36.0.15.254
ip local pool mypool 36.0.16.1 36.0.31.254
ip local pool mypool 36.0.32.1 36.0.47.254
ip local pool mypool 36.0.48.1 36.0.63.254
ip default-gateway 44.0.100.1
ip classless
ip route 43.0.0.0 255.0.0.0 44.0.100.1
ip route 45.0.0.0 255.0.0.0 44.0.100.1
ip route 223.255.254.53 255.255.255.255 44.0.100.1
ip route 223.255.254.54 255.255.255.255 44.0.100.1
!
no ip http server
no ip http secure-server
!
radius-server source-ports 1645-1646
!
control-plane
!
dial-peer cor custom
!
line con 0
exec-timeout 0 0
line vty 0 4
password cisco
transport input lat pad mop udptn telnet rlogin ssh nasi acercon
line vty 5 15
transport input lat pad mop udptn telnet rlogin ssh nasi acercon
!
monitor event-trace platform cmfi lc agg-label
monitor event-trace platform cmfi lc error
ntp clock-period 17280219
ntp update-calendar
ntp server 223.255.254.254
ntp server 223.255.254.53
mac-address-table aging-time 0
!
end