Catalyst 6500 シリーズ スイッチ SIP、SSC、およ び SPA ソフトウェア コンフィギュレーション ガイド
IPsec VPN SPA の概要
IPsec VPN SPA の概要
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

IPsec VPN SPA の概要

リリース履歴

の概要

IPSec および IKE 設定の基本概念の概要

IPSec の設定情報

IKE の設定情報

IPSec VPN SPA による VPN の設定

暗号接続モード

VRF モード

IPSec 機能のサポート

すべての VPN モードに共通の IPSec 機能

暗号接続モードでの IPSec 機能

VRF モードでの IPSec 機能

ソフトウェア要件

インターオペラビリティ

制約事項

サポートされる MIB

ハードウェアの設定時の注意事項

SPA ハードウェア タイプの表示

show module コマンドの例

show crypto eli コマンドの例

IPsec VPN SPA の概要

この章では、IPsec VPN SPA のリリース履歴、機能、および Management Information Base(MIB; 管理情報ベース)サポートの概要を示します。

この章の内容は次のとおりです。

「リリース履歴」

「IPsec VPN SPA の概要」

「IPSec および IKE 設定の基本概念の概要」

「IPSec VPN SPA による VPN の設定」

「IPSec 機能のサポート」

「ソフトウェア要件」

「インターオペラビリティ」

「制約事項」

「サポートされる MIB」

「IPsec VPN SPA ハードウェアの設定時の注意事項」

「SPA ハードウェア タイプの表示」

リリース履歴

 

リリース
変更点

Cisco IOS Release 12.2(33)SXI

次の変更が行われました。

次の機能のサポートが追加されました。

トンネル インターフェイス上のプラットフォーム QoS

トンネル インターフェイス上のプラットフォーム ACL

VTI を介したマルチキャスト

フラグメンテーション動作が変更されました。

ip tcp adjust-mss コマンドは、GRE トンネル、GRE/TP トンネル、および sVTI トンネルでの暗号接続モードと VRF モードでサポートされます。

Cisco IOS Release 12.2(33)SXH

次の変更が行われました。

次の機能のサポートが追加されました。

VTI または GRE/IP は、VRF なしの VRF モードで設定されます(グローバル コンテキストでトンネルを終端します)。

前面扉 VRF

IPSec アンチリプレイ ウィンドウ サイズ

IPSec 優先ピア

持続的自己署名証明書

Easy VPN Remote RSA シグニチャ ストレージ

ソフトウェア ベースの暗号化モードのサポートをサポートしなくなりました。

HSRP および SSP を使用する IPSec ステートフル フェールオーバーをサポートしなくなりました。

トンネル キャパシティが 16,000 トンネルに増加されました。

次のコマンドのサポートが追加されました。

clear crypto engine accelerator counter コマンド:プラットフォームおよびネットワーク インターフェイスのコントローラの統計情報をクリアします。

show crypto engine accelerator counter コマンド:プラットフォームおよびネットワーク インターフェイスのコントローラの統計情報を表示します。

Supervisor Engine 2 をサポートしなくなりました。Cisco IOS Release 12.2(33)SXH は Supervisor Engine 32 および Supervisor Engine 720 だけでサポートされます。

Cisco IOS Release 12.2(18)SXF2

GRE トンネル経由の IP マルチキャスト設定サポートが追加されました。

前のリリースから次の点が変更されていますので注意してください。

crypto engine subslot コマンドは、 crypto engine slot コマンドに置き換えられました。

Cisco IOS Release 12.2(18)SXE2

Catalyst 6500 シリーズ スイッチの Cisco 7600 SSC-400 に IPsec VPN SPA のサポートが追加されました。

IPsec VPN SPA の概要

IPsec VPN SPA は、Catalyst 6500 シリーズ スイッチに搭載し、IP Security(IPSec)暗号化および復号化、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)、および Internet Key Exchange(IKE; インターネット キー エクスチェンジ)鍵生成のためのハードウェア アクセラレーションを提供するギガビット イーサネット IPSec 暗号化 SPA です。


ソフトウェア ベースの IPSec 機能は、IPsec VPN SPA をサポートする Cisco IOS リリースではサポートされません。


Cisco IOS における IPSec の従来のソフトウェア ベースの実装では、Authentication Header(AH)、Encapsulating Security Payload(ESP)、および IKE を含めて、あらゆるセキュリティ プロトコルがサポートされています。これらのアクティビティは大量のリソースを消費するため、セキュアなバーチャル プライベート ネットワーク(VPN)上でライン レートの伝送速度を達成するのは困難です。この問題を解決するため、広い VPN 帯域幅が必要な特定のプラットフォームでは、ハードウェアのフォワーディング エンジンと連携する Bump-in-the-Wire(BITW)IPSec ハードウェア モジュールをサポートしています。これらのモジュールでは、ポリシー実施の他にバルク暗号化および転送の動作が Route Processor(RP; ルート プロセッサ)からオフロードされるため、スイッチを通過する各パケットを処理する必要がありません。その結果、セッションの確立、キーの管理といった他の機能のためにリソースが解放されます。IPsec VPN SPA には、Catalyst 6500 シリーズ スイッチに対応する VLAN(仮想 LAN)を使用した BITW IPSec が実装されています。


) BITW は、IP スタックがパケットの処理を終了した後で出力パケットの処理を開始し、IP スタックがパケットを受信する前に、入力パケットの処理を終了する IPSec 実装です。


IPsec VPN SPA は他の Catalyst 6500 シリーズ スイッチ モジュールで複数のファスト イーサネット ポートまたはギガビット イーサネット ポートを使用して、WAN ルータを介してインターネットに接続できます。物理ポートは、ポート VLAN という VLAN を介して IPsec VPN SPA に接続できます。WAN ルータから受信したパケットは、IPSec 処理のために IPsec VPN SPA を通過します。パケットは、インターフェイス VLAN または内部 VLAN という専用 VLAN に出力されます。コンフィギュレーション モード(VRF モードまたは暗号接続モード)に応じて、インターフェイス VLAN またはポート VLAN を明示的に設定したり、システムによって暗黙的に割り当てることができます。

LAN 側では、LAN ポート間のトラフィックは複数のファスト イーサネットまたはギガビット イーサネット ポートでルーティングまたはブリッジングできます。LAN トラフィックは暗号化または復号化の対象にならないため、IPsec VPN SPA を通過しません。

IPsec VPN SPA は、ルーティング、ルーティング情報の維持、またはパケットの MAC(メディア アクセス制御)ヘッダーの変更は(1 つの VLAN から別の VLAN への VLAN ID は例外)実行しません。

IPSec および IKE 設定の基本概念の概要

ここでは、Security Associations(SA; セキュリティ アソシエーション)、Access Control List(ACL; アクセス コントロール リスト)、暗号マップ、トランスフォーム セット、IKE ポリシーなど、IPsec VPN SPA の設定全体で使用される基本的な IPSec および IKE の概念について説明します。ここに記載された情報は一部に過ぎず、完全なものではありません。


) IPSec および IKE の概念や手順の詳細については、『Cisco IOS Security Configuration Guide』を参照してください。


IPSec の設定情報

IPSec は 2 つのピア(2 つのルータまたはスイッチなど)を結ぶセキュアなトンネルを確立します。より正確に言えば、これらのトンネルは、2 つの IPSec ピア間に確立された Security Association(SA; セキュリティ アソシエーション)のセットです。SA は、重要なパケットに適用されるプロトコルおよびアルゴリズムを定義し、2 つのピアで使用されるキー関連情報を指定します。SA は単一方向であり、セキュリティ プロトコル(Authentication Header [AH] または Encapsulating Security Payload [ESP])ごとに確立されます。2 つのピア間に複数の IPSec トンネルを確立し、トンネルごとに個別の SA セットを使用して、各データ ストリームを保護できます。たとえば、あるデータ ストリームには認証だけを行い、別のデータ ストリームには暗号化と認証を行わなければならないことがあります。


) ここで「トンネル」という用語を使用していても、IPSec をトンネル モードで使用するという意味ではありません。


IPSec では、ACL を設定し、暗号マップを使用してこれらの ACL をインターフェイスに適用して、2 つの IPSec ピア間で保護する必要があるトラフィックを定義します (IPSec で使用される ACL は、IPSec で保護するトラフィックを判別する場合にだけ使用します。インターフェイスの通過をブロックまたは許可するトラフィックを判別する場合には、使用しません。インターフェイスでのブロックや許可は、別の ACL で定義します)。

あるトラフィックに特定の組み合わせの IPSec 保護(認証だけなど)を適用し、その他のトラフィックに別の組み合わせの IPSec 保護(認証と暗号化など)を適用する場合は、2 つの異なる暗号 ACL を作成して、2 つの異なるタイプのトラフィックを定義する必要があります。これらの ACL をそれぞれ異なる暗号マップ エントリで使用して、異なる IPSec ポリシーを指定します。

IPSec 暗号マップ エントリに対応付けられた暗号 ACL には、主に 4 つの機能があります。

IPSec で保護される発信トラフィックを選択します(permit = protect)。

IPSec セキュリティ アソシエーションのネゴシエーションを開始する場合に、新しい SA で保護されるデータ フローを指定します(単一の許可エントリで指定)。

着信トラフィックを処理して、IPSec で保護されていたトラフィックを除外し、ドロップします。

IPSec ピアからの IKE ネゴシエーションを処理する場合に、要求されたデータ フローの代わりに IPSec セキュリティ アソシエーションの要求を受け入れるかどうかを判別します。ネゴシエーションが実行されるのは、ipsec-isakmp 暗号マップ エントリに対してだけです。要求を受け入れるには、ピアが IPSec ネゴシエーションを開始した場合に、ipsec-isakmp 暗号マップ エントリに対応付けられた暗号 ACL で「許可する」データ フローを指定する必要があります。

IPSec 用に作成される暗号マップ エントリは、IPSec SA の設定に使用される、次のような情報を集めたものです。

IPSec で保護されるトラフィック(暗号 ACL 単位)

SA セットで保護されるフローの粒度

IPSec で保護されたトラフィックの送信先(リモート IPSec ピアの名前)

IPSec トラフィックで使用されるローカル アドレス

現在のトラフィックに適用される IPSec SA(1 つ以上のトランスフォーム セットのリストから選択)

SA を手動で確立するか、または IKE を使用して確立するか

IPSec SA を定義するために必要なその他のパラメータ

暗号マップ エントリが順に検索されます。スイッチは該当するエントリで指定されたアクセス リストとパケットを照合しようとします。

暗号マップ エントリには、トランスフォーム セットも含まれます。トランスフォーム セットは、IPSec で保護されたトラフィックに適用される、セキュリティ プロトコル、アルゴリズム、およびその他の設定の有効な組み合わせです。

複数のトランスフォーム セットを指定してから、暗号マップ エントリ内でこれらのトランスフォーム セットを 1 つ以上指定できます。IPSec セキュリティ アソシエーションと IKE のネゴシエーション中に、ピアは両方のピアに同じトランスフォーム セットがあるか検索します。両方のピアで同じトランスフォーム セットが検出された場合は、このトランスフォーム セットが選択されて、両方のピアの IPSec SA の一部として、保護対象トラフィックに適用されます (SA を手動で確立した場合は、ピアとのネゴシエーションが行われないため、両方のピアで同じトランスフォーム セットを指定する必要があります)。


) キーの再生成中のパケット損失の可能性を最小限にするため、ボリュームベースではなく、タイムベースの IPSec SA 有効期限を使用することをお勧めします。set security-association lifetime kilobytes 536870912 コマンドを使用して、ライフタイム ボリュームを最大値に設定することで、通常、タイムベース SA 有効期限を強制できます。


IKE の設定情報

IKE は、IPSec 標準と組み合わせて使用されるキー管理プロトコル標準です。

IKE は、Internet Security Association and Key Management Protocol(ISAKMP)フレームワーク内で Oakley 鍵交換および Skeme 鍵交換を実装するハイブリッド プロトコルです (ISAKMP、Oakley、および Skeme は IKE によって実装されるセキュリティ プロトコルです)。

Cisco IOS Release 12.2(33)SXF 以前のリリースでは、IKE を使用しなくても IPSec を設定できますが、IKE を使用すると IPSec 標準に機能が追加され、柔軟性が高まり、設定が容易になって、IPSec が強化されます。IKE はデフォルトでイネーブルです。

crypto isakmp policy コマンドを使用して各ピアに IKE ポリシーを作成し、IKE を設定します。IKE ポリシーは、IKE ネゴシエーション中に使用されるセキュリティ パラメータの組み合わせを定義し、ピアの認証方法を規定します。

それぞれ異なるパラメータ値が組み合わされた複数の IKE ポリシーを作成できます。ただし、これらのポリシーの少なくとも 1 つに、リモート ピアのポリシーの 1 つとまったく同じ暗号、ハッシュ、認証、および Diffie-Hellman パラメータ値を格納する必要があります。作成したポリシーごとに、一意のプライオリティを割り当てます(1 ~ 10,000 で、1 が最大プライオリティ)。

ポリシーを設定しない場合は、デフォルト ポリシー(常に最小プライオリティに設定され、各パラメータのデフォルト値を格納しているポリシー)が使用されます。

各 IKE ポリシーでは、5 つのパラメータを定義します。

暗号化アルゴリズム

ハッシュ アルゴリズム

認証方式

Diffie-Hellman グループ ID

SA のライフタイム

IKE の詳細については、「IKE の概要」を参照してください。

IPSec VPN SPA による VPN の設定

IPsec VPN SPA を使用して VPN を設定するには、暗号接続モード、または Virtual Routing and Forwarding(VRF)モードの 2 つの基本オプションを使用できます。いずれかのモードで、VPN トンネル内の幅広いプロトコル パケット タイプ(マルチキャスト パケットを含む)をカプセル化するよう GRE トンネリングを設定することもできます。


) 暗号接続モードと VRF モードを切り替える場合は、リロードが必要です。



) VPN セッションがアクティブの場合、VPN 設定を変更しないでください。システムの中断を避けるため、定期メンテナンス時間を計画し、clear crypto sessions コマンドを使用してすべての VPN セッションをクリアしてから VPN 設定を変更することをお勧めします。


暗号接続モード

これまで、IPsec VPN SPA に VPN を設定するには、暗号マップをインターフェイス VLAN に適用し、そのインターフェイス VLAN に物理ポートを暗号接続していました。この方法は暗号接続モードといい、Cisco IOS ソフトウェアが稼動するルータに VPN を設定するための方法と似ています。暗号接続モードを使用して IPsec VPN SPA に VPN を設定する場合は、(インターフェイス VLAN を使用して)VLAN に暗号マップを適用します。Cisco IOS ソフトウェアが稼動するスイッチに VPN を設定する場合は、個々のインターフェイスを設定します。


) IPsec VPN SPA を使用する場合も、個々のインターフェイスに暗号マップを適用しますが、許可されるインターフェイスのセットはインターフェイス VLAN に限定されます。


暗号接続モード VPN 設定については、「暗号接続モードでの VPN の設定」を参照してください。

VRF モード

VRF モード(別名、VRF 対応 IPSec 機能)を使用すると、公衆向けのアドレスを 1 つ使用して IPSec トンネルを VPN ルーティング/転送インスタンス(VRF)にマッピングできます。VRF インスタンスは、Provider Edge(PE; プロバイダー エッジ)ルータに接続されたカスタマー サイトの VPN メンバーシップを定義する、VPN 単位のルーティング情報リポジトリです。VRF は IP ルーティング テーブル、派生した Cisco Express Forwarding(CEF)テーブル、フォワーディング テーブルを使用する一連のインターフェイス、およびルーティング テーブルに含まれる情報を制御する一連の規則とルーティング プロトコル パラメータで構成されます。VPN カスタマーごとに、異なるルーティング テーブルおよび CEF テーブルのセットが保持されます。

VRF モードを使用して IPsec VPN SPA に VPN を設定する場合、インターフェイス VLAN のモデルは残されていますが、crypto connect vlan コマンドは使用しません。特定の VRF の特定のサブネットを宛先とするパケットが、そのインターフェイス VLAN に到達するように、ルートを構築する必要があります。

VRF モードを使用して VPN を設定する場合は、GRE を使用した Tunnel Protection(TP; トンネル保護)、および Virtual Tunnel Interface(VTI)の追加トンネリング オプションを使用できます。これらのいずれかのオプションを使用すると、VRF(通常の VRF モード)またはグローバル コンテキストでトンネルを終端できます。

VRF モード VPN 設定については、「VRF モードでの VPN の設定」を参照してください。

IPSec 機能のサポート

次の表に、各 VPN モードでサポートされる、およびサポートされない VSPA の IPSec 機能をソフトウェア リリースごとに示します。

「すべての VPN モードに共通の IPSec 機能」

「暗号接続モードでの IPSec 機能」

「VRF モードでの IPSec 機能」


) ここでは、サポートされているテスト済の IPsec VPN SPA の機能とアプリケーションについて記載します。この表および後続の章に明示的に記載されていない機能およびアプリケーションは、サポート対象外とお考えください。ここに記載されていない設定を実装する場合は、事前にシスコ アカウント チームにご連絡ください。


すべての VPN モードに共通の IPSec 機能

表 20-1 に、すべての VPN モードに共通のサポートされる IPSec 機能およびサポートされない IPSec 機能を示します。

 

表 20-1 すべての VPN モードでのリリース別 IPSec 機能のサポート

機能名
Cisco IOS Software Release 12.2
SXE
SXF
SRA1
SRB、SRC、 SRD
SXH
SXI

ソフトウェア暗号を使用する IPSec
トンネル

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

拡張された GRE 引き継ぎ(スーパーバイザ エンジンが処理できない場合)

サポート

サポート

サポート

サポート

サポート

サポート

GRE を介したマルチキャスト

非サポート

サポート

サポート

サポート

サポート

サポート

multipoint GRE(mGRE; マルチポイント GRE)/Dynamic Multipoint VPN(DMVPN; ダイナミック マルチポイント VPN)を介したマルチキャスト

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

マルチキャスト スケーラビリティ
拡張機能(シングル SPA モード)

非サポート

サポート

サポート

サポート

サポート

非サポート

Advanced Encryption Standard(AES; 高度暗号化規格)

サポート

サポート

サポート

サポート

サポート

サポート

ISAKMP キーリング

サポート

サポート

サポート

サポート

サポート

サポート

SafeNet Client サポート

サポート

サポート

サポート

サポート

サポート

非サポート

ピア フィルタリング(SafeNet Client サポート)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

証明書/ISAKMP プロファイル
マッピング

サポート

サポート

サポート

サポート

サポート

サポート

暗号化事前共有キー

サポート

サポート

サポート

サポート

サポート

サポート

IKE アグレッシブ モードの開始

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

IKE の Call Admission Control(CAC; コール アドミッション制御)

非サポート

非サポート

サポート

サポート

サポート

サポート

DPD オンデマンド

サポート

サポート

サポート

サポート

サポート

サポート

DPD 定期的なメッセージ オプション

非サポート

非サポート

サポート

サポート

サポート

サポート

IPSec VPN のプリフラグメンテーション(Look-Ahead Fragmentation または LAF)

サポート

サポート

サポート

サポート

サポート

サポート

Reverse Route Injection(RRI;
逆ルート注入)

サポート

サポート

サポート

サポート

サポート

サポート

オプション パラメータでの逆ルート

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

調整可能な IPSec アンチリプレイ ウィンドウ サイズ

非サポート

サポート

サポート

サポート

サポート

サポート

IPSec 優先ピア

サポート

サポート

サポート

サポート

サポート

サポート

暗号マップ単位の(およびグローバルな)IPSec セキュリティ アソシエーション(SA)アイドル タイマー

サポート

サポート

サポート

サポート

サポート

サポート

Distinguished Name(DN; 識別名)ベースの暗号マップ

サポート

サポート

サポート

サポート

サポート

サポート

アクセス コントロール リスト(ACL)(暗号 ACL)のシーケンス

サポート

サポート

サポート

サポート

サポート

サポート

拒否ポリシー設定の拡張機能
(ドロップ、ジャンプ、クリア)

サポート

サポート

サポート

サポート

サポート

サポート

インターフェイスごとのボリューム ライフタイムのディセーブル

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

IPsec VPN SPAQuality of Service(QoS)キューイング

サポート

サポート

サポート

サポート

サポート

サポート

複数の RSA キー ペアのサポート

非サポート

非サポート

サポート

サポート

サポート

サポート

保護された秘密鍵ストレージ

非サポート

非サポート

サポート

サポート

サポート

サポート

トラストポイント CLI

非サポート

非サポート

サポート

サポート

サポート

サポート

トラストポイントごとのクエリー モード

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

ローカル証明書ストレージ場所

非サポート

非サポート

サポート

サポート

サポート

サポート

CA サーバへの HTTP による直接登録

サポート

サポート

サポート

サポート

サポート

サポート

手動での証明書登録(TFTP およびカットアンドペースト)

非サポート

非サポート

サポート

サポート

サポート

サポート

証明書の自動登録

非サポート

非サポート

サポート

サポート

サポート

サポート

キーのロールオーバーによる CA の
更新

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)クエリーの複数のサーバ

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

Online Certificate Status Protocol(OCSP)

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

オプションの OCSP ナンス

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

証明書のセキュリティ アトリビュートに基づくアクセス制御

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

件名全体を使用する PKI AAA 許可

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

件名を使用した PKI ローカル認証

非サポート

非サポート

サポート

サポート

サポート

サポート

CA への発信トラフィックの送信元
インターフェイス選択

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

Cisco IOS CA サーバとしての永続的自己署名証明書

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

証明書チェーン検証

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

マルチティア証明書のサポート

サポート

サポート

サポート

サポート

サポート

サポート

Easy VPN サーバの拡張機能

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

Easy VPN サーバの基本的な機能

サポート

サポート

サポート

サポート

サポート

サポート

事前共有キーを使用する Easy VPN Remote のある INTEROP

サポート

サポート

サポート

サポート

サポート

サポート

RSA シグニチャを使用する Easy VPN Remote のある INTEROP

非サポート

非サポート

サポート

サポート

サポート

サポート

Central Policy Push(CPP)

非サポート

非サポート

サポート

サポート

非サポート

非サポート

Hot Standby Router Protocol(HSRP; ホット スタンバイ ルータ プロトコル)を使用したステートレス フェールオーバー

サポート

サポート

サポート

サポート

サポート

サポート

HSRP および SSP を使用するシャーシ間のステートフル フェールオーバー、および事前共有キー(暗号マップ
あり)を使用するサイト間 IPSec

サポート

サポート

非サポート

非サポート

非サポート

非サポート

DMVPN、GRE/TP、VTI、Easy VPN、または PKI を使用する
シャーシ間フェールオーバー(IPSec ステートフル フェールオーバー)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

ブレード間でのステートフル
フェールオーバー

サポート

サポート

サポート

サポート

サポート

サポート

IPSec VPN モニタリング(IPSec
フロー MIB)

サポート

サポート

サポート

サポート

サポート

サポート

IPSec VPN アカウンティング
(開始/停止/暫定)

サポート

サポート

サポート

サポート

サポート

サポート

暗号条件別デバッグのサポート

非サポート

サポート

サポート

サポート

サポート

サポート

show crypto engine accelerator statistic コマンド

非サポート

非サポート

サポート

サポート

サポート

サポート

その他 show crypto engine コマンド

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

clear crypto engine accelerator counter コマンド

非サポート

非サポート

サポート

サポート

サポート

サポート

ループバック インターフェイスに
適用される crypto コマンド

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

トンネル インターフェイスまたは
インターフェイス VLAN 上の Policy Based Routing(PBR; ポリシー
ベース ルーティング)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

トンネル インターフェイス上の ACL

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

トンネル インターフェイス上の MQC QoS(サービス ポリシー)

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

すべてのトンネル インターフェイス上の mls qos コマンド:IPSec、GRE、mGRE

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

QoS pre-classify CLI

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

暗号マップでのインターフェイス VLAN 上の NAT(暗号接続モードでの GRE 引き継ぎ)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

16K トンネル(IKE および IPSec
トンネル)

非サポート

非サポート

サポート

サポート

サポート

サポート

VRF モードと暗号接続モードの
切り替えによりリブートが必要

サポート

サポート

サポート

サポート

サポート

サポート

トンネル保護(TP)トンネル上の GRE キープアライブ

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

mGRE/DMVPN トンネル上の
GRE キープアライブ

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec Network Address Translation(NAT; ネットワーク アドレス変換)の透過機能(NAT-T)
(トランスポート モード、ESP に
限る)

サポート

サポート

サポート

サポート

サポート

サポート

ダイナミック マルチポイント VPN(DMVPN)フェーズ 2(mGRE; TP & NHRP)

サポート

サポート

サポート

サポート

サポート

サポート

DMVPN フェーズ 3

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

NAT ゲートウェイの後ろの DMVPN ハブ ルータ:トンネル モード

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

NAT ゲートウェイの後ろの DMVPN ハブ ルータ:トランスポート モード
(スポークツースポークではありません)

非サポート

非サポート

非サポート

非サポート

サポート

サポート

NAT ゲートウェイの後ろの DMVPN スポーク ルータ:トンネル モード

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

NAT ゲートウェイの後ろの DMVPN スポーク ルータ:トランスポート モード
(スポークツースポークではありません)

サポート

サポート

サポート

サポート

サポート

サポート

DMVPN トンネル上のマルチキャスト トランジット トラフィック

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

TP(DMVPN、ポイントツー
ポイント GRE、sVTI)トンネル上の非 IP トラフィック

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

VPNSM のサポート

サポート

サポート

非サポート

非サポート

非サポート

非サポート

暗号接続モードのシリアル PPP
インターフェイスすべてには「 ip unnumber null 0 」コマンドが含まれている必要がある

非サポート

非サポート

非サポート

サポート

サポート

サポート

手動キー

非サポート

サポート

非サポート

非サポート

非サポート

非サポート

トンネル エンドポイント ディスカバリ

サポート

サポート

非サポート

非サポート

非サポート

非サポート

転送隣接およびネストされたトンネル

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec パケットの転送

非サポート

サポート

非サポート

非サポート

サポート

サポート

Virtual Switching System(VSS)での IPsec VPN SPA サポート

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec トンネル経由の IP ヘッダー
オプション

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

無効な SPI リカバリ

非サポート

非サポート

サポート

サポート

サポート

サポート

IPSec 圧縮

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

Group Encrypted Transport VPN(GETVPN)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec パッシブ モード

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

マルチリンクまたはダイヤラ インターフェイス

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

ポイントツーポイント フレームリレー

サポート

サポート

サポート

サポート

サポート

サポート

マルチポイント フレームリレー

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

1.SR ソフトウェア リリースは Cisco 7600 シリーズ ルータ用です。これらのリリースは、Catalyst 6500 シリーズ スイッチには適用されません。

暗号接続モードでの IPSec 機能

表 20-2 に、暗号接続モードでサポートされる IPSec 機能およびサポートされない IPSec 機能を示します。

 

表 20-2 暗号接続モードでのリリース別 IPSec 機能のサポート

機能名
Cisco IOS Software Release 12.2
SXE
SXF
SRA2
SRB、SRC、SRD
SXH
SXI

ポイントツーポイント GRE、
トンネル保護、および VTI

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

Path MTU Discovery(PMTUD)

非サポート

非サポート

サポート

サポート

サポート

サポート

PMTUD(NAT-T)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

IPSec static Virtual Tunnel Interface(sVTI)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

暗号機能と組み合わせた VRF の使用

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

ポイントツーポイント GRE を経由
した IPX および Appletalk

サポート

サポート

サポート

サポート

サポート

サポート

引き継ぎ時の GRE での ip tcp adjust-mss コマンド

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

2.SR ソフトウェア リリースは Cisco 7600 シリーズ ルータ用です。これらのリリースは、Catalyst 6500 シリーズ スイッチには適用されません。

VRF モードでの IPSec 機能

表 20-3 に、VRF モードでサポートされる IPSec 機能およびサポートされない IPSec 機能を示します。

 

表 20-3 VRF モードでのリリース別 IPSec 機能のサポート

機能名
Cisco IOS Software Release 12.2
SXE
SXF
SRA3
SRB、SRC、SRD
SXH
SXI

グローバル VRF

サポート

サポート

サポート

サポート

サポート

サポート

Front-door VRF(FVRF; 前面扉 VRF)

非サポート

非サポート

サポート

サポート

サポート

サポート

DMVPN ハブで設定された mGRE
トンネル上の FVRF

非サポート

非サポート

サポート

サポート

サポート

サポート

DMVPN スポークで設定された mGRE トンネル上の FVRF

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

VRF 内の IP アドレス スペースの
オーバーラップ

サポート

サポート

サポート

サポート

サポート

サポート

インターフェイスでのセカンダリ IP アドレス

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

MPLS over GRE/IPSec(トンネル
インターフェイス上でのタグ スイッチング)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

MPLS 上での PE 間での暗号化(IPSec に限る)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

MPLS 上での PE 間での暗号化
(トンネル保護)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

GRE/TP での MPLS PE-CE 暗号化(Tag2IP)

非サポート

非サポート

非サポート

サポート

サポート

サポート

sVTI での MPLS PE-CE 暗号化(Tag2IP)

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

暗号マップでの MPLS PE-CE 暗号化(Tag2IP)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

VRF ライトでの暗号マップ

サポート

サポート

サポート

サポート

サポート

サポート

RADIUS のある VRF 単位の AAA

非サポート

非サポート

非サポート

サポート

サポート

サポート

TACACS のある VRF 単位の AAA

非サポート

非サポート

非サポート

サポート

非サポート

非サポート

IPSec static Virtual Tunnel Interface(sVTI)

非サポート

非サポート

サポート

サポート

サポート

サポート

sVTI を介したマルチキャスト

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

sVTI または GRE での ip tcp adjust-mss コマンド

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

sVTI、GRE/TP および mGRE トンネル上での入出力機能(ACL、QOS)

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

外部インターフェイス上の入力機能(ACL、PBR、インバウンド サービス ポリシー)

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

外部インターフェイス上のアウト
バウンド サービス ポリシー

サポート

サポート

サポート

サポート

サポート

サポート

グローバル コンテキストでの TP
サポート

非サポート

非サポート

サポート

サポート

サポート

サポート

トランスポート モードで作成された暗号マップを使用した IPSec SA

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

Path MTU Discovery(PMTUD)

非サポート

非サポート

非サポート

非サポート

非サポート

サポート

TP トンネル上の非 IPv4 トラフィック

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

IPv6 IPSec sVTI IPv6-in-IPv6

非サポート

非サポート

非サポート

非サポート

非サポート

非サポート

3.SR ソフトウェア リリースは Cisco 7600 シリーズ ルータ用です。これらのリリースは、Catalyst 6500 シリーズ スイッチには適用されません。

ソフトウェア要件

VSPA では、スイッチ上で次のいずれかの暗号イメージを実行している必要があります。

Supervisor Engine 720(10G を含む)

s72033-adventerprisek9_wan-mz

s72033-advipservicesk9_wan-mz

s72033-adventerprisek9_wan-vz

s72033-advipservicesk9_wan-vz

Supervisor Engine 32(10G を含む)

s3223-adventerprisek9_wan-mz

s3223-advipservicesk9_wan-mz

s3223-adventerprisek9_wan-vz

s3223-advipservicesk9_wan-vz


) 「-vz」でのイメージ エンディングでは、Cisco IOS Release 12.2(33)SXH 以降のリリースが必要です。


インターオペラビリティ

スーパーバイザ エンジンのサポートは、リリースによって異なります。 表 20-4 に、各リリースのサポート対象スーパーバイザ エンジンを示します。

 

表 20-4 リリースごとの IPSec VPN SPA に対するスーパーバイザ エンジン サポート

スーパーバイザ
説明
Cisco IOS Release 12.2

SXF2

SXH

SXI

WS-SUP720-3B

Supervisor 720 Fabric MSFC3 PFC3B

サポート

サポート

サポート

WS-SUP720-3BXL

Supervisor 720 Fabric MSFC3 PFC3BXL

サポート

サポート

サポート

VS-S720-10G-3C

Supervisor 720、2 ポート 10GbE MSFC3 PFC3C

非サポート

サポート

サポート

VS-S720-10G-3CXL

Supervisor 720、2 ポート 10GbE MSFC3 PFC3CXL

非サポート

サポート

サポート

WS-SUP32-GE-3B

Supervisor 32、8 GbE アップリンクおよび PFC3B

サポート

サポート

サポート

WS-SUP32-10GE-3B

Supervisor 32、2 ポート 10GbE および PFC3B

非サポート

サポート

サポート

WS-S32-GE-PISA

Supervisor 32、PISA および 8 GbE アップ
リンク

非サポート

非サポート

非サポート

WS-S32-10GE-PISA

Supervisor 32、PISA および 2 ポート 10GbE

非サポート

非サポート

非サポート

WS-X6K-S2-MSFC2

スーパーバイザ エンジン 2、2GbE および MSFC-2/PFC-2

非サポート

非サポート

非サポート

IPsec VPN SPA は、次のインターオペラビリティ機能をサポートします。

同じシャーシの IPsec VPN SPA で次のサービス モジュールを使用できます。

Firewall Services Module(WS-SVC-FWM-1-K9)

Network Analysis Module 2(WS-SVC-NAM-2)

表 20-5 に、各リリースの SIP および SSC サポートを示します。

 

表 20-5 IPsec VPN SPA に対するリリース別の SIP および SSC サポート

ラインカードまたはモジュール
Cisco IOS Release 12.2
SXF
SXH
SXI

7600-SIP-200

サポート

サポート

サポート

7600-SIP-400

サポート

サポート

サポート

7600-SIP-600

非サポート

非サポート4

サポート

7600-SSC-400

サポート

サポート

サポート

4.7600-SIP-600 は Cisco IOS Release 12.2(33)SXH でサポートされなくなりました。このサポートは、Cisco IOS Release 12.2(33)SXI 以降のリリースで再追加されました。

ラインカード モジュールのサポートは、リリースによって異なります。 表 20-6 に、各リリースのイーサネット ラインカードおよびモジュール サポートを示します。

 

表 20-6 IPsec VPN SPA に対するリリース別のイーサネット ラインカードおよびモジュール サポート

ラインカードまたはモジュール
Cisco IOS Release 12.2
SXF
SXH
SXI

SPA-1X10GE

非サポート

非サポート

SIP-600

SPA-10X1GE5

非サポート

非サポート

SIP-600

SPA-2X1GE

SIP-400

SIP-400

SIP-400

SPA-2XT3/E3

非サポート

非サポート

非サポート

SPA-4X1FE-TX-V2

非サポート

非サポート

非サポート

SPA-5X1GE1

非サポート

非サポート

SIP-600

SPA-5X1GE-V2

非サポート

非サポート

非サポート

SPA-8X1FE-TX-V2

非サポート

非サポート

非サポート

WS-X6148-GE-TX

サポート

サポート

サポート

WS-X6148-RJ-21

サポート

サポート

サポート

WS-X6148-RJ-21V

サポート

サポート

サポート

WS-X6148-RJ-45

サポート

サポート

サポート

WS-X6148-RJ-45V

サポート

サポート

サポート

WS-X6408A-GBIC

サポート

サポート

サポート

WS-X6416-GBIC

サポート

サポート

サポート

WS-X6502-10GE

サポート

サポート

サポート

WS-X6516-GBIC

サポート

サポート

サポート

WS-X6516-GE-TX

サポート

サポート

サポート

WS-X6516A-GBIC

サポート

サポート

サポート

WS-X6548-GE-TX

サポート

サポート

サポート

WS-X6548-RJ-45

サポート

サポート

サポート

WS-X6704-10GE

サポート

サポート

サポート

WS-X6708-10GE

非サポート

サポート

サポート

WS-X6716-10GE

非サポート

サポート

サポート

WS-X6748-GE-TX

サポート

サポート

サポート

WS-X6748-SFP

サポート

サポート

サポート

5.SPA-5X1GE および SPA-10X1GE のサブインターフェイスはどのリリースでもサポートされていません。

 

表 20-7 に、各リリースの ATM ラインカードおよびモジュール サポートを示します。

 

表 20-7 IPsec VPN SPA に対するリリース別の ATM ラインカードおよびモジュール サポート

ラインカードまたはモジュール
Cisco IOS Release 12.2
SXF
SXH
SXI

SPA-1XCHSTM1/OC3

非サポート

非サポート

非サポート

SPA-1XOC48-ATM

SIP-400

非サポート

SIP-400

SPA-2XOC3-ATM

SIP-200
SIP-400

非サポート

SIP-200
SIP-400

SPA-4XOC3-ATM

非サポート

非サポート

非サポート

 

表 20-8 に、各リリースの POS ラインカードおよびモジュール サポートを示します。

 

表 20-8 IPsec VPN SPA に対するリリース別の POS ラインカードおよびモジュール サポート

ラインカードまたはモジュール
Cisco IOS Release 12.2
SXF
SXH
SXI

SPA-1XOC12-POS

非サポート

SIP-400

SIP-400

SPA-1XOC48POS/RPR

非サポート

非サポート

非サポート

SPA-2XOC3-POS

SIP-200
SIP-400

SIP-200
SIP-400

SIP-200
SIP-400

SPA-OC192POS-XFP

非サポート

非サポート

SIP-600

 

表 20-9 に、各リリースのシリアル ラインカードおよびモジュール サポートを示します。

 

表 20-9 IPsec VPN SPA に対するリリース別のシリアル ラインカードおよびモジュール サポート

ラインカードまたはモジュール
Cisco IOS Release 12.2
SXF
SXH
SXI

SPA-2XCT3/DS0

非サポート

SIP-200

SIP-200
SIP-400

SPA-2XT3/E3

非サポート

非サポート

非サポート

SPA-4XCT3/DS0

非サポート

非サポート

非サポート

SPA-4XT3/E3

非サポート

非サポート

非サポート

SPA-8XCHT1/E1

非サポート

非サポート

非サポート

WS-6182-2PA

サポート

非サポート

非サポート

WS-6802-2PA

非サポート

非サポート

非サポート

WS-X6582-2PA
次の PA 付き:

PA-A3-OC3MM
PA-POS-OC3MM
PA-POS-2OC3
PA-MC-2T3+
PA-1FE-TX6
PA-2FE-TX1

サポート

サポート

サポート

6.PA-1FE-TX および PA-2FE-TX のサブインターフェイスは、Cisco IOS Release 12.2(33)SXI2 よりも前のリリースではサポートされていません。

 

表 20-10 に、各リリースのサービス モジュール サポートを示します。

 

表 20-10 IPsec VPN SPA に対するリリース別のサービス モジュール サポート

ラインカードまたはモジュール
Cisco IOS Release 12.2
SXF
SXH
SXI

WS-SVC-FWSM-1

サポート

サポート

サポート

WS-SVC-IDSM2

非サポート

非サポート

非サポート

WS-SVC-NAM2

非サポート

非サポート

サポート

 

表 20-11 に、各リリースの OSM ラインカード サポートを示します。


) Cisco IOS Release 12.2(33)SXH 以降のリリースでは OSM モジュールをサポートしていません。


 

表 20-11 IPsec VPN SPA に対するリリース別の OSM ラインカードおよびモジュール サポート

ラインカードまたはモジュール
Cisco IOS Release 12.2
SXF
SXH
SXI

OSM-2OC48/1DPT-SI

サポート

非サポート

非サポート

OSM-2OC48/1DPT-SL

サポート

非サポート

非サポート

OSM-2OC48/1DPT-SS

サポート

非サポート

非サポート

OSM-8OC3-POS-MM

サポート

非サポート

非サポート

OSM-8OC3-POS-SI

サポート

非サポート

非サポート

OSM-8OC3-POS-SI+

サポート

非サポート

非サポート

OSM-8OC3-POS-SL

サポート

非サポート

非サポート

OSM-16OC3-POS-MM+

サポート

非サポート

非サポート

OSM-16OC3-POS-SI

サポート

非サポート

非サポート

OSM-16OC3-POS-SI+

サポート

非サポート

非サポート

OSM-16OC3-POS-SL

サポート

非サポート

非サポート

OSM-2+4GE-WAN+

サポート

非サポート

非サポート

制約事項


) その他の SSC 固有の機能および制約事項について、このマニュアルの「SIP および SSC の概要」も参照してください。


次の制約事項は IPsec VPN SPA を対象としています。

IPsec VPN SPA では、Cisco IOS Release 12.2(18)SXE2 以降のリリースが必要です。

IPsec VPN SPA は Cisco 7600 SSC-400 だけでサポートされています。

Supervisor Engine 720(MSFC3 および PFC3)では、IPsec VPN SPA と機能するため少なくとも 512 MB のメモリが必要です。


) IPsec VPN SPA MSFC DRAM の要件は次のとおりです。

最大 8,000 トンネルの 512 MB DRAM
最大 16,000 トンネルの 1 GB DRAM

これらの数値は、ルーティング プロトコルおよびその他のアプリケーションが使用できるように、一部のメモリを残して選択されます。ただし、MSFC の使用状況によっては、上記よりも多くのメモリが必要になる場合があります。極端なケースでは、トンネルを 1 つしか使用しなくても、MSFC 上で動作する他のプロトコルおよびアプリケーション用に 512 MB の DRAM が必要になる場合も考えられます。


シャーシごとに最大 10 のIPsec VPN SPA がサポートされています。

IPsec VPN SPA 状態情報は、通常の操作中、アクティブおよびスタンバイ スーパーバイザ エンジン間では維持されません。SSO 環境でのスーパーバイザ エンジン スイッチオーバー中、IPsec VPN SPA はリブートします。


) Cisco IOS Release 12.2(18)SXF2 以降のリリースでは、それまでのリリースで使用されていた crypto engine subslot コマンドは、crypto engine slot コマンド(形式は crypto engine slot slot/subslot {inside | outside})に置き換えられました。crypto engine subslot コマンドはサポートされなくなりました。Cisco IOS Release 12.2(33)SXI 以降のリリースでは、slot slot/subslot は、outside キーワードが使用されるときには指定されません。

アップグレード時には、余計なメンテナンス時間がかからないように、このコマンドが起動コンフィギュレーション内で変更されていることを確認してください。


サポートされる MIB

Catalyst 6500 シリーズ スイッチに Cisco 7600 SSC-400 および IPsec VPN SPA が搭載されている場合、Cisco IOS Release 12.2(18)SXE2 では次の MIB がサポートされます。

CISCO-IPSEC-FLOW-MONITOR-MIB


) Gigabit Ethernet ポート SNMP 統計情報(たとえば、ifHCOutOctets および ifHCInOctets)は、内部 IPsec VPN SPA トランク ポートでは提供されません。これは、これらのポートが外部の機能するポートであり、コンフィギュレーションだけで使用されるためです。


Catalyst 6500 シリーズ スイッチの MIB サポートの詳細については、次の URL にある『 Cisco 7600 Series Router MIB Specifications Guide 』を参照してください。

http://www.cisco.com/en/US/docs/routers/7600/technical_references/7600_mib_guides/MIB_Guide_ver_6/mibgde6.html

選択されたプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに対応する MIB を検索し、ダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://tools.cisco.com/ITDIT/MIBS/servlet/index

必要な MIB 情報が Cisco MIB Locator でサポートされていない場合は、次の URL にある Cisco MIB ページからサポート対象 MIB のリストを入手して、MIB をダウンロードすることもできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Cisco MIB Locator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れたか、紛失した場合は、cco-locksmith@cisco.com に空の E メールを送信してください。送信された E メール アドレスが Cisco.com に登録されているかどうか、自動チェック機能によって確認されます。チェックに成功すると、アカウントの詳細と新規のランダム パスワードが E メールで通知されます。承認されたユーザは次の URL の指示に従って、Cisco.com のアカウントを確立できます。

http://tools.cisco.com/RPF/register/register.do

IPsec VPN SPA ハードウェアの設定時の注意事項

IPsec VPN SPA ハードウェアを設定するときは、次の注意事項に従ってください。

システム イメージおよびコンフィギュレーション ファイルの管理については、『 Cisco IOS Configuration Fundamentals Configuration Guide Release 12.2 および『 Cisco IOS Configuration Fundamentals Command Reference Release 12.2 を参照してください。

CLI コマンドによっては、 slot/subslot/port フォーマットで VSPA の内部および外部ポートを指定する必要があります。VSPA ポートが実際のギガビット イーサネットポートではなく、外部ギガビット イーサネット インターフェイスのすべてのプロパティは共有していない場合、これらは、次のようにポート番号を使用して、ギガビット イーサネット トランク ポートとして設定できます。

ポート 1:インターフェイス VLAN に接続される、内部ポート。

ポート 2:ポート VLAN に接続される、外部ポート。

たとえば、Catalyst 6500 シリーズ スイッチのスロット 6 にある Cisco 7600 SSC-400 の最初のサブスロット(サブスロット 0)の VSPA の外部ポートを設定するには、次のコマンドを入力します。

Router(config)# interface GigabitEthernet6/0/2
 

暗号接続が確立されていない場合、シャーシにアダプタが取り付けられていても、 show crypto engine configuration コマンドで IPsec VPN SPA のサブスロット番号は表示されません。

暗号接続で使用中のポートを備えた IPsec VPN SPA を取り外しても、その暗号接続は保持されます。同じスロットに同じタイプの IPsec VPN SPA を再び取り付けると、暗号接続が再確立されます。IPsec VPN SPA を別のスロットに移動する場合、IPsec VPN SPA を取り外す前に、まず暗号接続を手動で削除する必要があります。対応する物理ポートを取り外した場合には、任意のインターフェイスから no crypto connect vlan コマンドを入力します。

暗号接続で使用している IPsec VPN SPA を再起動しても、既存の暗号接続は保持されます。暗号接続は IPsec VPN SPA のリブートの後に再確立されます。暗号接続が確立されていても、IPsec VPN SPA の内部ポートに対応するインターフェイス VLAN がない場合には、IPsec VPN SPA を再起動した時点でその暗号接続は削除されます。

no interface vlan コマンドを使用してポート VLAN またはインターフェイス VLAN を削除すると、対応付けられた暗号接続も削除されます。

SPA ハードウェア タイプの表示

Catalyst 6500 シリーズ スイッチのその他のコマンドを使用して、IPsec VPN SPA ハードウェア情報を表示することもできます。

スイッチに搭載された SPA ハードウェアのタイプを確認するには、 show module コマンドを使用します。

IPsec VPN SPA のハードウェア情報を表示するには、 show crypto eli コマンドを使用します。

これらのコマンドの詳細については、『 Catalyst 6500 Series Cisco IOS Command Reference Release 12.2SX を参照してください。

show module コマンドの例

次に、Catalyst 6500 シリーズ スイッチのスロット 4 に搭載された Cisco 7600 SSC-400 のサブスロット 0 にある IPsec VPN SPA について、 show module コマンドの出力例を示します。

Router# show module 4
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
4 0 2-subslot Services SPA Carrier-400 7600-SSC-400 JAB1104013N
 
Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
4 001a.a1aa.95f0 to 001a.a1aa.962f 2.0 12.2(33)SXH 12.2(33)SXH Ok
 
Mod Sub-Module Model Serial Hw Status
---- --------------------------- ------------------ ----------- ------- -------
4/0 2 Gbps IPSec SPA SPA-IPSEC-2G JAB1048075L 1.0 Ok
 
Mod Online Diag Status
---- -------------------
4 Pass
4/0 Pass
 

show crypto eli コマンドの例

次の例に、Catalyst 6500 シリーズ スイッチのスロット 3 に搭載された Cisco 7600 SSC-400 のサブスロット 0 および 1 にある IPsec VPN SPA について、 show crypto eli コマンドの出力例を示します。アクティブな IKE SA および IPSec セッション数および各 IPsec VPN SPA に使用されている Diffie-Hellman キー数を表示します。

Router# show crypto eli
 
Hardware Encryption : ACTIVE
Number of hardware crypto engines = 2
 
CryptoEngine SPA-IPSEC-2G[3/0] details: state = Active
Capability :
IPSEC: DES, 3DES, AES, RSA
 
IKE-Session : 0 active, 16383 max, 0 failed
DH : 0 active, 9999 max, 0 failed
IPSec-Session : 0 active, 65534 max, 0 failed
 
CryptoEngine SPA-IPSEC-2G[3/1] details: state = Active
Capability :
IPSEC: DES, 3DES, AES, RSA
 
IKE-Session : 1 active, 16383 max, 0 failed
DH : 0 active, 9999 max, 0 failed
IPSec-Session : 2 active, 65534 max, 0 failed