概要
このドキュメントでは、異なる Cisco VPN 製品の間における IP Security (IPSec) LAN-to-LAN トンネル再ネゴシエーションに関する、VPN デバイスのリブート、キー再生成、および IPSec セキュリティ アソシエーション(SA)の手動での終了など、さまざまなシナリオでのラボ試験結果を報告します。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
-
Cisco IOS®ソフトウェアリリース12.1(5)T8
-
Cisco PIXソフトウェアリリース6.0(1)
-
Cisco VPN 3000コンセントレータソフトウェアバージョン3.0(3)A
-
Cisco VPN 5000 コンセントレータ ソフトウェア バージョン 5.2(21)
このテストで使用されるIPトラフィックは、ホストAとホストBの間の双方向インターネット制御メッセージプロトコル(ICMP)パケットです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ネットワーク図
これは、テストベッドの概念図です。
VPNデバイスは、Cisco IOSルータ、Cisco Secure PIX Firewall、Cisco VPN 3000コンセントレータ、またはCisco VPN 5000コンセントレータを表します。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
テストシナリオ
3つの一般的なシナリオがテストされました。次に、テストシナリオの簡単な定義を示します。
-
IPSec SAの手動終了:ユーザはVPNデバイスにログオンし、コマンドラインインターフェイス(CLI)またはグラフィカルユーザインターフェイス(GUI)を使用してIPSec SAを手動でクリアします。
-
キー再生成:定義されたライフタイムが期限切れになると、通常のIPSecフェーズIおよびフェーズIIキー再生成が行われます。このテストでは、2台のVPN終端デバイスに同じフェーズIおよびフェーズIIライフタイムが設定されています。
-
VPNデバイスのリブート:サービス停止をシミュレートするために、VPNトンネルの終端のいずれかの端がリブートされました。
注:VPN 5000コンセントレータを使用するLAN-to-LANトンネルの場合、コンセントレータはMAINモードとトンネルレスポンダを使用して設定されます。
テスト結果
| セットアップ | IPSec SAの手動終了 | キー再生成 | VPNデバイスのリブート |
|---|---|---|---|
| IOSからPIX |
|
|
|
| IOSからVPN 3000 |
|
|
|
| IOSからVPN 5000 |
|
|
|
| PIXからVPN 3000 |
|
|
|
| PIXからVPN 5000 |
|
|
|
| VPN 3000からVPN 5000 |
|
|
|
1上記のように、使用されるテストトラフィックは、hostAとhostBの間の双方向ICMPパケットです。VPNデバイスのリブートテストでは、単方向トラフィックもテストされ、最悪のケースのシナリオをシミュレートします(トラフィックはVPNデバイスの背後にあるホストからリブートされたVPNデバイスに対してのみ行われます)。 表から分かるように、IKEキープアライブまたはDPDプロトコルを使用して、VPNトンネルを最悪のシナリオから回復できます。
2 DPDはUnityプロトコルの一部です。現在、この機能は、ソフトウェアバージョン3.0以降が稼働するCisco VPN 3000コンセントレータと、ソフトウェアバージョン6.0(1)以降が稼働するPIX Firewallでのみ使用できます。