この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、インターネット キー交換(IKE)セキュリティ プロトコルを設定するために使用される Cisco IOS XR ソフトウェア コマンドについて説明します。
IKE の概念、設定作業、および例の詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide』の「Implementing Internet Key Exchange Security Protocol on Cisco ASR 9000 Series Router」を参照してください。
ISAKMP プロファイルを介して接続するすべてのピアについて認証、許可、アカウンティング(AAA)サービスをイネーブルにするには、ISAKMP プロファイル コンフィギュレーション モードで accounting コマンドを使用します。 デフォルト値に戻すには、このコマンドの no 形式を使用します。
accounting list-name
no accounting
list-name |
クライアント アカウンティング リストの名前。 最大長は 127 文字です。 |
デフォルト値は no accounting です。
ISAKMP プロファイル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、アカウンティング リストを作成する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile RP/0/RSP0/CPU0:router(config-isa-prof)# accounting aaalist
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
手動で設定するリモート ピアの Rivest, Shamir, and Adelman(RSA)公開キーの IP アドレスを指定するには、公開キー コンフィギュレーション モードで address コマンドを使用します。 リモート ピアの IP アドレスを削除するには、このコマンドの no 形式を使用します。
address ip-address
no address ip-address
ip-address |
手動で設定するピアのリモート RSA 公開キーの IP アドレス |
なし
公開キー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
次に手動で設定する IP Security(IPSec)ピアの RSA 公開キーを指定するには、address コマンドを使用します。
RSA キーの指定が終了したら、公開キー コンフィギュレーション モード プロンプトで quit と入力してグローバル コンフィギュレーション モードに戻る必要があります。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IPSec ピアの RSA 公開キーを手動で指定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkey RP/0/RSP0/CPU0:router(config-keyring)# rsa-pubkey name host.vpn.com RP/0/RSP0/CPU0:router(config-pubkey)# address 10.5.5.1 RP/0/RSP0/CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001 quit
コマンド |
説明 |
---|---|
リモート ピアの RSA 公開キーを指定します。 |
|
IKE 認証時の暗号化またはシグニチャに使用される Rivest, Shamir, and Adelman(RSA)手動キーを定義します。 |
|
ルータに保存されているピアの RSA 公開キーを表示します。 |
インターネットキー交換(IKE)ポリシー内の認証方式を指定するには、ISAKMP ポリシー コンフィギュレーション モードで authentication コマンドを使用します。 認証方式をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
authentication { pre-share | rsa-sig | rsa-encr }
no authentication { pre-share | rsa-sig | rsa-encr }
pre-share |
認証方式として事前共有キーを指定します。 |
rsa-sig |
認証方式として RSA シグニチャを指定します。 |
rsa-encr |
認証方式として Rivest, Shamir, and Adelman(RSA)暗号化ナンスを指定します。 |
RSA シグニチャ
ISAKMP ポリシー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。 IKE ポリシーの認証方式を指定するには、authentication コマンドを使用します。 事前共有キーを指定した場合は、これらの事前共有キーも個別に設定する必要があります。
RSA 暗号化ナンスを指定した場合は、各ピアが他のピアの RSA 公開キーを持っていることを確認する必要があります (address、rsa-pubkey、および key-string コマンドを参照)。
RSA シグニチャを指定した場合は、Certification Authority(CA; 認証局)から証明書を取得するためにピア ルータを設定する必要があります。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、認証方式として事前共有キーを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# authentication pre-share
次に、認証方式として RSA 暗号キーを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# authentication rsa-encr
次に、認証方式として RSA シグニチャを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# authentication rsa-sig
コマンド |
説明 |
---|---|
address | 手動で設定するリモート ピアのリモート RSA 公開キーの IP アドレスを指定します。 |
IKE ポリシーを定義します。 |
|
IKE ポリシー内の暗号化アルゴリズムを指定します。 |
|
IKE ポリシー内部での Diffie-Hellman グループの識別番号を指定します。 |
|
IKE ポリシー内のハッシュ アルゴリズムを指定します。 |
|
リモート ピアの RSA 公開キーを指定します。 |
|
IKE SA のライフタイムを指定します。 |
|
IKE 認証時の暗号化またはシグニチャに使用される Rivest, Shamir, and Adelman(RSA)手動キーを定義します。 |
|
各 IKE ポリシーのパラメータを表示します。 |
アクティブなインターネットキー交換(IKE)接続をクリアするには、EXEC モードで clear crypto isakmp コマンドを使用します。
clear crypto isakmp [connection-id]
connection-id |
(任意)クリアする接続の名前。 範囲は 1 ~ 64000 です。 |
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
(注) |
connection-id 引数を使用しない場合は、このコマンドの発行時に既存のすべての IKE 接続がクリアされます。 |
タスク ID |
操作 |
---|---|
crypto |
実行 |
次に、インターフェイス 172.21.114.123 および 172.21.114.67 で接続された 2 つのピア間の IKE 接続をクリアする例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp sa vrf dst src state conn-id nodeid ---------- ------------ ------------ --------- ------- ------ default 172.21.114.123 172.21.114.67 QM_IDLE 1 0 default 172.0.0.2 172.0.0.1 QM_IDLE 8 0 RP/0/RSP0/CPU0:router# configure Enter configuration commands, one per line. End with CNTL/Z. RP/0/RSP0/CPU0:router# clear crypto isakmp 1 RP/0/RSP0/CPU0:router# show crypto isakmp sa vrf dst src state conn-id nodeid ---------- ------------ ------------ --------- ------- ------ default 172.0.0.2 172.0.0.1 QM_IDLE 8 0
コマンド |
説明 |
---|---|
ピアにおける現在のすべての IKE SA を表示します。 |
ISAKMP コール アドミッション統計情報をクリアするには、EXEC モードで clear crypto isakmp call admission statistics コマンドを使用します。
clear crypto isakmp call isakmp call admission statistics
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
実行 |
次に、コール アドミッション統計情報をクリアする例を示します。
RP/0/RSP0/CPU0:router# clear crypto isakmp call admission statistics
コマンド |
説明 |
---|---|
IKE プロトコルに対する Call Admission Control(CAC; コール アドミッション制御)の設定を表示します。 |
Internet Security Association and Key Management Protocol(ISAKMP)エラーの統計情報をクリアするには、EXEC モードで clear crypto isakmp errors コマンドを使用します。
clear crypto isakmp error
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
実行 |
次に、ISAKMP エラー統計情報をクリアする例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp errors Control Plane Errors --------------------- ERR NO MEMORY.....................................0 INVALID CERT......................................0 CRYPTO FAILURE....................................0 SA NOT AUTH.......................................0 AUTHENTICATION FAILED.............................0 GROUP AUTHOR FAILED...............................0 USER AUTHEN REJECTED..............................0 LOCAL ADDRESS FAILURE.............................0 FAILED TO CREATE SKEYID...........................0 RSA PUBLIC KEY NOT FOUND..........................0 RETRANSMITION LIMIT...............................0 MALFORMED MESSAGE.................................0 QUICK MODE TIMER EXPIRED..........................0 KEY NOT FOUND IN PROFILE..........................0 PROFILE NOT FOUND.................................0 PRESHARED KEY NOT FOUND...........................0 PHASE2 PROPOSAL NOT CHOSEN........................0 POLICY MISMATCH...................................0 NO POLICY FOUND...................................0 PACKET PROCESS FAILURE............................0 Warnings --------- CERT DOESNT MATCH ID..............................0 CERT ISNT TRUSTED ROOT............................0 PACKET NOT ENCRYPTED..............................0 UNRELIABLE INFO MSG...............................0 NO SA.............................................0 BAD DOI SA........................................0 UNKNOWN EXCHANGE TYPE.............................0 OUTGOING PKT TOO BIG..............................0 INCOMING PKT TOO BIG..............................0 Informational -------------- CAC DROPS.........................................0 DEFAULT POLICY ACCEPTED...........................0 RP/0/RSP0/CPU0:router# clear crypto isakmp errors
コマンド |
説明 |
---|---|
show crypto isakmp errors |
トンネルの確立時に発生する ISAKMP エラーを表示します。 |
暗号化セッション(IP セキュリティ [IPSec] およびインターネットキー交換 [IKE] セキュリティ アソシエーション [SA])を削除するには、EXEC モードで clear crypto session コマンドを使用します。
clear crypto session [ user username | group group | interface | ivrf vrf-name | local ip-address | fvrf vrf-name | remote ip-address ]
user username |
(任意)ユーザの名前を指定します。 |
group group |
(任意)グループの識別名を指定します。 |
interface |
(任意)インターフェイスの名前を指定します。 |
ivrf vrf-name |
(任意)クリアされる 内部 VRF(IVRF)セッションを指定します。 |
local ip-address |
(任意)ローカル暗号化エンドポイントの暗号化セッションをクリアします。 ip-address 引数は、ローカル暗号化エンドポイントの IP アドレスです。 |
fvrf vrf-name |
(任意)Front Door Virtual Routing and Forwarding(FVRF; 前面扉仮想ルーティングおよび転送)セッションを指定します。 |
remote ip-address |
(任意)リモート IKE ピアの暗号化セッションをクリアします。 ip-address 引数は、リモート IKE ピアの IP アドレスです。 |
キーワードを指定しないで clear crypto session コマンドを入力した場合は、既存のすべてのセッションがクリアされます。 IPSec SA が最初に削除されます。 次に、IKE SA が削除されます。 リモート ポートのデフォルト値は 500 です。
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
特定の暗号化セッションまたはすべてのセッションのサブセットをクリアするには、ローカル インターフェイス、ローカル IP アドレス、リモート IP アドレス(およびポート)、FVRF 名、または IVRF 名などのセッション固有のパラメータを指定する必要があります。
ローカル IP アドレスがパラメータとして指定された場合は、その IP アドレスをローカル暗号化エンドポイント(IKE ローカル アドレス)として共有するすべてのセッション(とその IKE SA および IPSec SA)が削除されます。
タスク ID |
操作 |
---|---|
crypto |
実行 |
次に、すべての暗号化セッションを削除する例を示します。
RP/0/RSP0/CPU0:router# clear crypto session
次に、"blue" という名前の FVRF の暗号化セッションが削除される例を示します。
RP/0/RSP0/CPU0:router# clear crypto session fvrf blue
次に、ローカル エンドポイント 10.1.1.1 の暗号化セッションが削除される例を示します。
RP/0/RSP0/CPU0:router# clear crypto session local 10.1.1.1
コマンド |
説明 |
---|---|
インターネットキー交換(IKE)ピアの説明を追加します。 |
|
アクティブな暗号セッションのステータス情報を表示します。 |
ピア ルータでインターネットキー交換(IKE)をグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp コマンドを使用します。 ピアで IKE をディセーブルにするには、このコマンドの no 形式を使用します。
crypto isakmp
no crypto isakmp
このコマンドには、キーワードと引数はありません。
IKE はディセーブルです。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE は 個々のインターフェイスに対してイネーブルにする必要はありませんが、ルータのすべてのインターフェイスに対してグローバルにイネーブルにします。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、1 つのピアの IKE をディセーブルにする例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp RP/0/RSP0/CPU0:router(config)# no crypto isakmp
複数のメトリックに基づいて着信または発信セッション要求を拒否するには、グローバル コンフィギュレーション モードで crypto isakmp call admission limit コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
crypto isakmp call admission limit { cpu { total percent | ike percent } | in-negotiation-sa number | sa number }
no crypto isakmp call admission limit { cpu { total percent | ike percent } | in-negotiation-sa number | sa number }
cpu |
新しいコールを受け入れるための CPU 使用率の合計リソース制限を指定します。 |
total percent |
新しいコールを受け入れるための最大合計 CPU 使用率を指定します。 percent 引数の範囲は 1 ~ 100 です。 |
ike percent |
新しいコールを受け入れるための最大 IKE CPU 使用率を指定します。 percent 引数の範囲は 1 ~ 100 です。 |
in-negotiation-sa number |
IKE が新しい SA 要求の拒否を開始するまでにルータが確立できる、ネゴシエーション中(初期)IKE セキュリティ アソシエーション(SA)の最大数を指定します。 number 引数の範囲は 1 ~ 100000 です。 |
sa number |
IKE が新しい SA 要求の拒否を開始するまでにルータが確立できる、アクティブな IKE SA の最大数を指定します。 ネゴシエーション中の接続数に制限を設定できます。 このタイプの接続は、認証と実際の確立よりも前の、アグレッシブ モードの IKE SA またはメイン モードの SA を意味します。 number 引数の範囲は 1 ~ 100000 です。 |
in-negotiation-sa キーワードのデフォルト値は 1000 SA に設定されています。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ネゴシエーションを処理するのに十分なシステム リソースが存在しない場合、IKE SA の要求は拒否されます。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、crypto isakmp call admission limit コマンドを使用する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp call admission limit cpu ike 30
コマンド |
説明 |
---|---|
crypto ipsec profile |
IPSec プロファイルを設定します。 |
IKE ポリシーを定義します。 |
インターネットキー交換(IKE)プロトコルへの参加時にルータで使用される識別情報を指定するには、グローバル コンフィギュレーション モードで crypto isakmp identity コマンドを使用します。 Internet Security Association Key Management Protocol(ISAKMP)識別情報をデフォルト値(address)にリセットするには、このコマンドの no 形式を使用します。
crypto isakmp identity { address | hostname }
no crypto isakmp identity
address |
ISAKMP 識別情報を、IKE ネゴシエーション時にリモート ピアと通信するインターフェイスの IP アドレスに設定します。 |
hostname |
ISAKMP 識別情報を、ドメイン名と連結されたホスト名(例:myhost.example.com)に設定します。 |
IP アドレスが ISAKMP 識別情報に使用されます。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IP アドレスまたはホスト名のいずれかによって ISAKMP 識別情報を指定するには、crypto isakmp identity コマンドを使用します。 原則として、ピアの識別情報はすべて同じ方法で(IP アドレスまたはホスト名のいずれかで)設定してください。
事前共有キーを指定する場合は必ず ISAKMP 識別情報を設定します。
IKE ネゴシエーションに 1 つのインターフェイスだけ(したがって、1つの IP アドレスだけ)がピアによって使用され、その IP アドレスが既知である場合は、address キーワードを使用します。
ピア上の複数のインターフェイスが IKE ネゴシエーションに使用される可能性がある場合、またはインターフェイスの IP アドレスが未知である場合(ダイナミックに割り当てられる IP アドレスなど)は、hostname キーワードを使用します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、2 つのピアで事前共有キーを使用し、両方の ISAKMP 識別情報を IP アドレスに設定する例を示します。
ローカル ピア(10.0.0.1)で、ISAKMP 識別情報が設定され、事前共有キーが指定されます。
RP/0/RSP0/CPU0:router(config)# crypto isakmp identity address RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1 RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 192.168.1.33 key presharedkey
リモート ピア(192.168.1.33)で、ISAKMP 識別情報が設定され、同じ事前共有キーが指定されます。
RP/0/RSP0/CPU0:router(config)# crypto isakmp identity address RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1 RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 10.0.0.1 key presharedkey
(注) |
前の例で、crypto isakmp identity コマンドが実行されなかった場合、ISAKMP 識別情報は IP アドレス(デフォルトの識別情報)に設定されたままになります。 |
次に、2 つのピアで事前共有キーを使用し、両方の ISAKMP 識別情報をホスト名に設定する例を示します。
ローカル ピアで、ISAKMP 識別情報が設定され、事前共有キーが指定されます。
RP/0/RSP0/CPU0:router(config)# crypto isakmp identity hostname RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1 RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key hostname remoterouter.example.com key presharedkey
リモート ピアで、ISAKMP 識別情報が設定され、同じ事前共有キーが指定されます。
RP/0/RSP0/CPU0:router(config)# crypto isakmp identity hostname RP/0/RSP0/CPU0:router(config)# crypto keyring keyring1 RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key hostname localrouter.example.com key presharedkey
コマンド |
説明 |
---|---|
IKE ポリシー内の認証方式を指定します。 |
|
IKE 認証時の暗号キーリングを定義します。 |
|
ISAKMP キーリング設定の範囲を、ローカル ターミネーション アドレスに限定します。 |
|
IKE 認証の事前共有キーを定義します。 |
インターネットキー交換(IKE)セキュリティ アソシエーション(SA)機能を使用して 2 つの IP セキュリティ(IPSec)ピア間の接続切断を検出するメカニズムを提供するには、グローバル コンフィギュレーション モードで crypto isakmp keepalive コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
crypto isakmp keepalive seconds retry-seconds
no crypto isakmp keepalive
seconds |
キープアライブ メッセージの間隔を指定する秒数。 範囲は 10 ~ 3600 です。 |
retry-seconds |
キープアライブが失敗した場合の再試行の間隔を指定する秒数。 範囲は 2 ~ 60 です。 |
このコマンドで指定されない限り、IKE はキープアライブ メッセージを送信しません。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
4 回試行してもピアからキープアライブ応答メッセージを受け取らなかった場合、IKE はピアとの接続が切断されたと判断します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
キープアライブ メッセージの間隔を 20 秒に設定し、キープアライブが失敗した場合の再試行の間隔を 20 秒に設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp keepalive 20
コマンド |
説明 |
---|---|
IKE プロトコルへの参加時にルータが使用する識別情報を指定します。 |
インターネットキー交換(IKE)用に IP セキュリティ(IPSec)ピアをイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp peer コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
crypto isakmp peer { address ip-address | hostname hostname } [ description line | vrf fvrf-name ]
no crypto isakmp peer { address ip-address | hostname hostname } [ description line | vrf vrf-name ]
address ip-address |
ピア ルータの IP アドレスを指定します。 |
hostname hostname |
ピアのホスト名を指定します。 |
description line |
(任意)IKE ピアの説明を指定します。 ピアの説明に使用できる文字の最大数は 80 文字です。 |
vrf vrf-name |
(任意)ピアから到達可能な VPN ルーティングおよび転送(VRF)ルーティング テーブルを指定します。 fvrf-name 引数は、VPN ルーティングおよび転送(VRF)設定時に定義された FVRF 名と一致する必要があります。 |
なし
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ISAKMP ピア コンフィギュレーション モードを開始するには、crypto isakmp peer コマンドを使用します。
IP アドレスで識別されるピアに、意味のある名前または説明を付与することができます。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、ピアのアドレスが 40.40.40.2 で名前が citeA である場合の例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp peer address 40.40.40.2 RP/0/RSP0/CPU0:router(config-isakmp-peer)# description citeA RP/0/RSP0/CPU0:router(config-isakmp-peer)# commit RP/0/RSP0/CPU0:router# show crypto isakmp peers Peer: 60.60.60.2 Port: 500 Local: 70.70.70.2 vrf: default UDP encapsulate: False SA information: Connection ID: 2 State: QM_IDLE Phase 1 ID: IPV4_ADDR 60.60.60.2 Peer: 40.40.40.2 Port: 500 Local: 50.50.50.2 vrf: default Description: peerA UDP encapsulate: False SA information: Connection ID: 1 State: QM_IDLE Phase 1 ID: IPV4_ADDR 40.40.40.2
コマンド |
説明 |
---|---|
インターネットキー交換(IKE)ピアの説明を追加します。 |
|
ピアの構造を表示します。 |
インターネットキー交換(IKE)ポリシーを定義するには、グローバル コンフィギュレーション モードで crypto isakmp policy コマンドを使用します。 IKE ポリシーを削除するには、このコマンドの no 形式を使用します。
crypto isakmp policy priority
no crypto isakmp policy priority
priority |
IKE ポリシーを一意に識別し、保護ポリシーにプライオリティを割り当てる値。 1 ~ 10000 の整数を使用します(1 が最高で 10000 が最低のプライオリティ)。 |
デフォルト ポリシーがあり、常に最低のプライオリティが設定されています。 デフォルト ポリシーには、暗号化、ハッシュ、認証、Diffie-Hellman グループ、およびライフタイム パラメータのデフォルト値が含まれています (パラメータのデフォルトについては、「使用上のガイドライン」を参照してください)。IKE ポリシーを作成する際に、値を指定しない場合は特定のパラメータのデフォルトが使用されます。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE ネゴシエーション時に使用するパラメータを指定するには、crypto isakmp policy コマンドを使用します (これらのパラメータによって IKE セキュリティ アソシエーション [SA] が作成されます)。
crypto isakmp policy コマンドにより、ISAKMP ポリシー コンフィギュレーション モードが開始されます。 このモードでは、ポリシーのパラメータを指定するために次のコマンドを使用できます。
ポリシーに対してこれらのコマンドのいずれかを指定しない場合、そのパラメータのデフォルト値が使用されます。
IP セキュリティ(IPSec)に参加する各ピアに複数の IKE ポリシーを設定できます。 IKE ネゴシエーションが開始されると、リモート ピアに指定された最高プライオリティのポリシーから順に、両方のピアに設定された共通のポリシーの検索が試行されます。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、ピアに 2 つのポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# hash md5 RP/0/RSP0/CPU0:router(config-isakmp)# authentication rsa-sig RP/0/RSP0/CPU0:router(config-isakmp)# group 2 RP/0/RSP0/CPU0:router(config-isakmp)# lifetime 5000 RP/0/RSP0/CPU0:router(config-isakmp)# exit RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 20 RP/0/RSP0/CPU0:router(config-isakmp)# authentication pre-share RP/0/RSP0/CPU0:router(config-isakmp)# lifetime 10000 RP/0/RSP0/CPU0:router(config-isakmp)# exit
結果として次のようなポリシーが設定されます。
Protection suite priority 15 encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Message Digest 5 authentication method: Rivest-Shamir-Adelman Signature Diffie-Hellman Group: #2 (1024 bit) lifetime: 5000 seconds, no volume limit Protection suite priority 20 encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman Group: #1 (768 bit) lifetime: 10000 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman Group: #1 (768 bit) lifetime: 86400 seconds, no volume limit
IKE ポリシー 15 が最高のプライオリティで、デフォルト ポリシーが最低のプライオリティです。
コマンド |
説明 |
---|---|
IKE ポリシー内の認証方式を指定します。 |
|
ISAKMP ポリシーの説明を指定します。 |
|
IKE ポリシー内の暗号化アルゴリズムを指定します。 |
|
IKE ポリシー内部での Diffie-Hellman グループの識別番号を指定します。 |
|
IKE ポリシー内のハッシュ アルゴリズムを指定します。 |
|
IKE SA のライフタイムを指定します。 |
|
各 IKE ポリシーのパラメータを表示します。 |
ISAKMP 保護スイート用のポリシー セットを定義するには、グローバル コンフィギュレーション モードで crypto isakmp policy-set コマンドを使用します。 以前に設定されたポリシー セットをキャンセルするには、このコマンドの no 形式を使用します。
crypto isakmp policy-set policy-name
no crypto isakmp policy-set policy-name
policy-name |
ポリシー セットの名前。 |
なし
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
このコマンドを使用すると、ISAKMP ポリシー セット コンフィギュレーション モードが開始されます。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、リモート アクセスのユーザが特定の ISAKMP ポリシーにアクセスできないように制限するために、ローカル アドレスに基づいて ISAKMP ポリシー セットを定義する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy-set mypolicy RP/0/RSP0/CPU0:router(config-isakmp-pol-set)#
コマンド |
説明 |
---|---|
ISAKMP ポリシーセットの説明です。 |
|
SVI トンネル ソースを作成します。 この手順で識別された IP にユーザが接続すると、定義済みの暗号化アルゴリズムが動作するようになります。 |
|
事前設定されたポリシーを使用するためのプライオリティを指定します。 |
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査するには、グローバル コンフィギュレーション モードで crypto isakmp profile コマンドを使用します。 名前付き暗号化 ISAKMP プロファイルを削除するには、このコマンドの no 形式を使用します。
crypto isakmp profile { profile-name | local profile-name }
no crypto isakmp profile { profile-name | local profile-name }
local |
ローカルが送信元または終端であるトラフィックに使用されるプロファイルを指定します。
|
||
profile-name |
ユーザ プロファイルの名前。 ユーザ プロファイルを RADIUS サーバに関連付けるには、ユーザ プロファイル名が識別されている必要があります。 |
なし
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ローカルが送信元または宛先であるトラフィックを定義する場合は、ISAKMP プロファイルに local キーワードが使用されます。 このトラフィックは、Cisco IPSec VPN SPA ではなく、ルート プロセッサ(RP)によって復号化または暗号化されます。
ISAKMP プロファイルに定義された識別情報と突き合わせて(インターネットキー交換 [IKE] の識別子 [ID] ペイロードに指定されたとおりに)識別情報が一致した場合に、ピアは ISAKMP プロファイルにマッピングされます。 1 つの ISAKMP プロファイルに一意にマッピングするには、2 つの ISAKMP プロファイルが同じ識別情報と一致しないようにする必要があります。 ピアの識別情報が 2 つの ISAKMP プロファイルと一致する場合、その設定は無効です。 プロファイルが完全であるためには、ISAKMP プロファイルに少なくとも 1 つの match identity コマンドが定義されていることも必要です。
ISAKMP プロファイルを設定する前に、プロファイルに使用されるキーリングを設定する必要があります。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、ISAKMP プロファイルを定義し、ピアの識別情報を照合する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp profile local profile1vpnprofile RP/0/RSP0/CPU0:router(config-isa-prof)# match identity address 10.1.1.0/24group vpngroup RP/0/RSP0/CPU0:router(config-isa-prof-match)# set interface tunnelservice-ipsec 1
コマンド |
説明 |
---|---|
isakmp authorization list |
インターネットキー交換(IKE)対話の許可に使用される許可リストを指定します。 |
ゲートウェイが Dead Peer Detection(DPD)メッセージをピアに送信できるようにします。 |
|
self-identity |
ローカル IKE がリモート ピアに対して IKE 自身を識別させるために使用する ID を定義します。 |
インターフェイス インスタンスを事前定義します。 |
|
IPSec プロファイルを事前定義します。 |
|
ルータに定義されている ISAKMP プロファイルをすべてリストします。 |
IKE 認証時の暗号キーリングを定義するには、グローバル コンフィギュレーション モードで crypto keyring コマンドを使用します。 キーリングを削除するには、このコマンドの no 形式を使用します。
crypto keyring keyring-name [ vrf fvrf-name ]
no crypto keyring keyring-name [ vrf fvrf-name ]
keyring-name |
暗号キーリングの名前。 キーリング名の最大長は 32 文字です。 |
vrf fvrf-name |
(任意)キーリングの参照先となる前面扉仮想ルーティングおよび転送(FVRF)名を指定します。 fvrf-name 引数は、仮想ルーティングおよび転送(VRF)設定時に定義された FVRF 名と一致する必要があります。 |
vrf キーワードが定義されない場合、キーリングの参照先はグローバル VRF になります。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
キーリングは、事前共有キーおよび RSA 公開キーのリポジトリです。 キーリングはグローバル コンフィギュレーション モードで使用されます。 このプロファイルに対応付けられるキーリングにピアのキーが定義されている場合、ISAKMP プロファイルはピアの認証を正常に完了します。
キーリング コンフィギュレーション モードを開始するには、crypto keyring コマンドを使用します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、crypto keyring コマンドを使用する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkey RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 10.72.23.11 key vpnsecret
コマンド |
説明 |
---|---|
インターネットキー交換(IKE)プロトコルへの参加時にルータが使用する識別情報を指定します。 |
|
キーリングの説明を作成します。 |
|
ISAKMP キーリング設定の範囲を、ローカル ターミネーション アドレスまたはインターフェイスに限定します。 |
|
IKE 認証の事前共有キーを定義します。 |
|
アドレスまたはホスト名によって Rivest, Shamir, and Adelman(RSA)公開キーを定義します。 |
暗号化トンネルのアップまたはダウン メッセージの表示をイネーブルにするには、グローバル コンフィギュレーション モードで crypto logging コマンドを使用します。 このオプションをディセーブルにするには、このコマンドの no 形式を使用します。
crypto logging tunnel-status
no crypto logging tunnel-status
tunnel-status |
トンネルステータスのロギングをイネーブルにします。 |
デフォルトではディセーブルになっています。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、crypto logging コマンドを使用する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto logging tunnel-status
インターネットキー交換(IKE)ポリシーの説明を作成するには、ISAKMP ポリシー コンフィギュレーション モードで description コマンドを使用します。 IKE ポリシーの説明を削除するには、このコマンドの no 形式を使用します。
description string
no description
string |
IKE ポリシーを説明する文字ストリング。 |
なし
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE ポリシーの説明を作成するには、ISAKMP ポリシー コンフィギュレーション サブモード内で description コマンドを使用します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IKE ポリシーの説明を作成する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# description this is a sample IKE policy
ISAKMP ポリシー セットの説明を作成するには、ISAKMP ポリシー コンフィギュレーション モードで description コマンドを使用します。 ISAKMP ポリシーセットの説明を削除するには、このコマンドの no 形式を使用します。
description string
no description
string |
IKE ポリシー セットを説明する文字ストリングです。 |
なし
ISAKMP ポリシー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE ポリシー セットの説明を作成するには、ISAKMP ポリシーセット コンフィギュレーション サブモード内で description コマンドを使用します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IKE ポリシーの説明を作成する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy-set pol1 RP/0/RSP0/CPU0:router(config-isakmp-pol-set)# description this is a sample IKE policy-set
コマンド |
説明 |
---|---|
ISAKMP 保護スイートのポリシー セットを定義します。 |
|
事前設定されたポリシー セットと一致する識別情報に基づいて、SVI トンネル ソースを作成します。 |
|
事前設定されたポリシーのルーティング プライオリティを指定します。 |
インターネットキー交換(IKE)ピアの説明を追加するには、ISAKMP ピア コンフィギュレーション モードで description コマンドを使用します。 説明を削除するには、このコマンドの no 形式を使用します。
description string
no description string
string |
IKE ピアに付与する説明。 最大数は 80 文字です。 |
なし
ISAKMP ピア コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ネットワーク アドレス変換(NAT)デバイスの背後に「配置」された IKE ピアは一意に識別することができないため、同じピアの説明を共有する必要があります。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IKE ピアに「connection from site A」という説明を追加する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp peer address 10.2.2.9 RP/0/RSP0/CPU0:router(config-isakmp-peer)# description connection from site A
コマンド |
説明 |
---|---|
ISAKMP グループおよびユーザの暗号化セッション IPSec および IKE SA を削除します。 |
|
インターネットキー交換(IKE)用に IP セキュリティ(IPSec)ピアをイネーブルにします。 |
|
ピアの構造を表示します。 |
|
アクティブな暗号セッションのステータス情報を表示します。 |
|
auto-update client |
ISAKMP グループおよびユーザの暗号化セッション IPSec および IKE SA を削除します。 |
キーリングの 1 行説明を作成するには、キーリング コンフィギュレーション モードで description コマンドを使用します。 キーリングの説明を削除するには、このコマンドの no 形式を使用します。
description string
no description
string |
キーリングを説明する文字ストリング。 |
デフォルトの説明は空白です。
キーリング コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、キーリングの説明を作成する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkey RP/0/RSP0/CPU0:router(config-keyring)# description this is a sample keyring
コマンド |
説明 |
---|---|
IKE 認証時の暗号キーリングを定義します。 |
インターネットキー交換(IKE)ポリシー内の暗号化アルゴリズムを指定するには、ISAKMP ポリシー コンフィギュレーション モードで encryption コマンドを使用します。 暗号化アルゴリズムをデフォルト値にリセットするには、このコマンドの no 形式を使用します。
encryption { des | 3des | aes | aes 192 | aes 256 }
no encryption
des |
暗号化アルゴリズムとして 56 ビット DES-CBC を指定します。 このオプションがデフォルト値です。 |
3des |
暗号化アルゴリズムとして 168 ビット Digital Encryption Standard(DES; デジタル暗号化規格)を指定します。 |
aes |
暗号化アルゴリズムとして 128 ビット Advanced Encryption Standard(AES)を指定します。 |
aes 192 |
暗号化アルゴリズムとして 192 ビット AES を指定します。 |
aes 256 |
暗号化アルゴリズムとして 256 ビット AES を指定します。 |
56 ビット DES-CBC 暗号化アルゴリズム(des)です。
ISAKMP ポリシー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。 IKE ポリシーの暗号化アルゴリズムを指定するには、encryption コマンドを使用します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、3DES 暗号化アルゴリズムを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# encryption 3des
コマンド |
説明 |
---|---|
IKE ポリシー内の認証方式を指定します。 |
|
IKE ポリシーを定義します。 |
|
IKE ポリシー内部での Diffie-Hellman グループの識別番号を指定します。 |
|
IKE ポリシー内のハッシュ アルゴリズムを指定します。 |
|
IKE SA のライフタイムを指定します。 |
|
各 IKE ポリシーのパラメータを表示します。 |
インターネットキー交換(IKE)ポリシー内の Diffie-Hellman ID を指定するには、ISAKMP ポリシー コンフィギュレーション モードで group コマンドを使用します。 Diffie-Hellman グループ ID をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
group { 1 | 2 | 5 }
no group
1 |
768 ビット Diffie-Hellman グループを指定します。 このオプションがデフォルトです。 |
2 |
1024 ビット Diffie-Hellman グループを指定します。 |
5 |
1536 ビット Diffie-Hellman グループを指定します。 |
デフォルトは 768 ビット Diffie-Hellman(グループ 1)です
ISAKMP ポリシー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。 IKE ポリシーの Diffie-Hellman グループを指定するには、group(IKE ポリシー)コマンドを使用します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、1024 ビット Diffie-Hellman グループを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# group 2
コマンド |
説明 |
---|---|
IKE ポリシー内の認証方式を指定します。 |
|
IKE ポリシーを定義します。 |
|
IKE ポリシー内の暗号化アルゴリズムを指定します。 |
|
IKE ポリシー内のハッシュ アルゴリズムを指定します。 |
|
IKE SA のライフタイムを指定します。 |
|
各 IKE ポリシーのパラメータを表示します。 |
インターネットキー交換(IKE)ポリシー内のハッシュ アルゴリズムを指定するには、ISAKMP ポリシー コンフィギュレーション モードで hash コマンドを使用します。 ハッシュ アルゴリズムをデフォルトの SHA-1 ハッシュ アルゴリズムにリセットするには、このコマンドの no 形式を使用します。
hash { sha | md5 }
no hash
sha |
ハッシュ アルゴリズムとして SHA-1(Hashed Message Authentication Code [HMAC])を指定します。 このオプションがデフォルトです。 |
md5 |
ハッシュ アルゴリズムとして Message Digest 5(MD5)(HMAC バリアント)を指定します。 |
SHA-1 ハッシュ アルゴリズム
ISAKMP ポリシー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IKE ポリシーのハッシュ アルゴリズムを指定するには、hash コマンドを使用します。 IKE ポリシーは、IKE ネゴシエーション時に使用される一連のパラメータを定義したものです。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、MD5 ハッシュ アルゴリズムを指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# hash md5
コマンド |
説明 |
---|---|
IKE ポリシー内の認証方式を指定します。 |
|
IKE ポリシーを定義します。 |
|
IKE ポリシー内の暗号化アルゴリズムを指定します。 |
|
IKE ポリシー内部での Diffie-Hellman グループの識別番号を指定します。 |
|
IKE SA のライフタイムを指定します。 |
|
各 IKE ポリシーのパラメータを表示します。 |
ゲートウェイが Dead Peer Detection(DPD)メッセージをピアに送信できるようにするには、ISAKMP プロファイル コンフィギュレーション モードで keepalive コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。
keepalive disable
no keepalive
disable |
キープアライブのグローバル宣言をディセーブルにします。 |
キープアライブはイネーブルです。
ISAKMP プロファイル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、keepalive コマンドを使用する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile RP/0/RSP0/CPU0:router(config-isa-prof)# keepalive disable
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
ISAKMP プロファイルとともにキーリングを設定するには、ISAKMP プロファイル コンフィギュレーション モードで keyring コマンドを使用します。 ISAKMP プロファイルからキーリングを削除するには、このコマンドの no 形式を使用します。
keyring kr-name1 [ kr-name2 [ kr-name3 [ kr-name4 [ kr-name5 [kr-name6] ] ] ] ]
no keyring kr-name1 [ kr-name2 [ kr-name3 [ kr-name4 [ kr-name5 [kr-name6] ] ] ] ]
kr-name1 |
キーリング 1 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。 |
kr-name2 |
キーリング 2 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。 |
kr-name3 |
キーリング 3 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。 |
kr-name4 |
キーリング 4 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。 |
kr-name5 |
キーリング 5 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。 |
kr-name6 |
キーリング 6 の名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。 |
なし
ISAKMP プロファイル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
このプロファイルに対応付けられるキーリングにピアのキーが定義されている場合、ISAKMP プロファイルはピアの認証を正常に完了します。 少なくとも 1 つのキーリングを定義する必要があります。
ISAKMP プロファイルでは 1 つまたは複数のキーリングを定義できます。 たとえば、IKE ピア エンドポイントがパブリック アドレス空間にほとんどないのに対して、他のものは IKE ローカル エンドポイントとして前面扉仮想ルーティングおよび転送(FVRF)スペースにある場合は、複数のキーリングを使用できます。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、vpnkeyring をキーリング名に設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile RP/0/RSP0/CPU0:router(config-isa-prof)# keyring vpnkeyring
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
|
IKE 認証時の暗号キーリングを定義します。 |
|
ルータに定義されている ISAKMP プロファイルをすべてリストします。 |
リモート ピアの Rivest, Shamir, and Adelman(RSA)公開キーを手動で指定するには、公開キー コンフィギュレーション モードで key-string コマンドを使用します。
key-string key-string
key-string |
リモート ピアの公開キー。 キーは 16 進数表記で入力します。 |
なし
公開キー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IP セキュリティ(IPSec)ピアの RSA 公開キーを手動で指定するには、key-string コマンドを使用します。 このコマンドを使用する前に、リモート ピアを識別する必要があります。
間違いを防ぐために、(データをタイプ入力するのではなく)キー データをカット アンド ペーストしてください。
RSA キーの指定が終了したら、公開キー コンフィギュレーション モード プロンプトで quit と入力してグローバル コンフィギュレーション モードに戻る必要があります。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IPSec ピアの RSA 公開キーを手動で指定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring RP/0/RSP0/CPU0:router(config-keyring)# rsa-pubkey address 10.5.5.1 RP/0/RSP0/CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001 quit
コマンド |
説明 |
---|---|
アドレスまたはホスト名によって Rivest, Shamir, and Adelman(RSA)公開キーを定義します。 |
|
ルータに保存されているピアの RSA 公開キーを表示します。 |
インターネットキー交換(IKE)セキュリティ アソシエーション(SA)のライフタイムを指定するには、ISAKMP ポリシー コンフィギュレーション モードで lifetime コマンドを使用します。 SA のライフタイムをデフォルト値にリセットするには、このコマンドの no 形式を使用します。
lifetime seconds
no lifetime
seconds |
期限切れになるまでに各 SA が存在する時間(秒単位)。 60 ~ 86400 秒の整数を使用します。 |
86400 秒(1 日)
ISAKMP ポリシー コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
期限切れになるまでに IKE SA が存在する時間を指定するには、lifetime コマンドを使用します。
IKE はネゴシエーションの開始時に、最初に自身のセッション用のセキュリティ パラメータに同意します。 その後、同意済みのパラメータが各ピアで SA によって参照されます。 SA は、SA のライフタイムが期限切れになるまで各ピアによって保持されます。 SA が期限切れになるまで、SA は次の IKE ネゴシエーションで再利用することができるので、新しい IP セキュリティ(IPSec)SA が設定される際の時間を節約できます。
IPSec の設定時間を節約するには、IKE SA のライフタイムを長めに設定します。 ただし、ライフタイムが短いほど、この SA の攻撃者への露出は制限されます。 SA が長く使用されるほど、攻撃者はより多くの暗号化トラフィックを収集できるようになり、それが攻撃に使用される可能性が高くなります。
(注) |
ローカル ピアがリモート ピアとの IKE ネゴシエーションを開始する際に、ライフタイムが等しくない場合は、ライフタイムが短いほうの IKE ポリシーが選択されます。 |
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、SA ライフタイムを 600 秒に指定した(他のパラメータはすべてデフォルトに設定された)IKE ポリシーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy 15 RP/0/RSP0/CPU0:router(config-isakmp)# lifetime 600
コマンド |
説明 |
---|---|
IKE ポリシー内の認証方式を指定します。 |
|
IKE ポリシーを定義します。 |
|
IKE ポリシー内の暗号化アルゴリズムを指定します。 |
|
IKE ポリシー内部での Diffie-Hellman グループの識別番号を指定します。 |
|
IKE ポリシー内のハッシュ アルゴリズムを指定します。 |
|
各 IKE ポリシーのパラメータを表示します。 |
ISAKMP キーリング コンフィギュレーションの範囲をローカル ターミネーション アドレスに限定するには、キーリング コンフィギュレーション モードで local-address コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
local-address ip-address
no local-address ip-address
ip-address |
バインド先の IP アドレスです。 |
local-address コマンドが設定されない場合、ISAKMP キーリングはすべてのローカル アドレスで使用可能になります。
キーリング コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、ISAKMP キーリングの範囲を IP アドレス 130.40.1.1 だけに制限する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring RP/0/RSP0/CPU0:router(config-keyring)# local-address 130.40.1.1 RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 0.0.0.0 0.0.0.0 key mykey
コマンド |
説明 |
---|---|
インターネットキー交換(IKE)プロトコルへの参加時にルータが使用する識別情報を指定します。 |
|
IKE 認証時の暗号キーリングを定義します。 |
SVI トンネル ソースを作成するには、ISAKMP ポリシーセット コンフィギュレーション モードで match identity コマンドを使用します。 識別情報を削除するには、このコマンドの no 形式を使用します。
match identity local-address IP address
no match identity local-address IP address
local-address |
これにより、リモート ピア用の SVI トンネル ソースが作成されます。 |
IP address |
SVI トンネル ソースの IP プレフィックスです。 |
なし
ISAKMP ポリシーセット コンフィギュレーション モード
リリース |
変更箇所 |
---|---|
リリース 3.7.2 | このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ISAKMP プロファイル コンフィギュレーションには、少なくとも 1 つの match identity コマンドが必要です。 ISAKMP プロファイルに定義された識別情報と突き合わせて(IKE 交換の ID ペイロードに指定されたとおりに)識別情報が一致した場合に、ピアは ISAKMP プロファイルにマッピングされます。 1 つの ISAKMP プロファイルに一意にマッピングするには、2 つの ISAKMP プロファイルが同じ識別情報と一致しないようにする必要があります。 ピアの識別情報が 2 つの ISAKMP プロファイルと一致する場合、その設定は無効です。
このコマンドで識別される IP アドレスには、特定の暗号化アルゴリズムが事前設定されている必要があり、それが 1 つだけ動作していることが必要です。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、match identity(ISAKMP ポリシーセット)コマンドを設定する例を示します。
/CPU0:router(config)# crypto isakmp policy-set ps2 /CPU0:router(config-isakmp-pol-set)# policy 60 61 /CPU0:router(config-isakmp-pol-set)# match identity local-address 12.13.51.1
コマンド |
説明 |
---|---|
ISAKMP 保護スイートのポリシー セットを定義します。 |
|
事前設定されたポリシーのルーティング プライオリティを指定します。 |
|
ISAKMP ポリシー セットの説明を作成します。 |
ISAKMP プロファイルでピアの識別情報を照合するには、ISAKMP プロファイル コンフィギュレーション モードで match identity コマンドを使用します。 識別情報を削除するには、このコマンドの no 形式を使用します。
match identity { group group-name | address address [mask] vrf [fvrf] | host hostname | host domain domain-name | user username | user domain domain-name }
no match identity { group group-name | address address [mask] vrf [fvrf] | host hostname | host domain domain-name | user username | user domain domain-name }
group group-name |
識別子(ID)タイプ ID_KEY_ID と一致する Unity グループを指定します。 RSA シグニチャを使用する場合、group-name 引数は Distinguished Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)フィールドと一致します。 |
address address |
address 引数を ID タイプ ID_IPV4_ADDR と照合します。 |
mask |
mask 引数はアドレスの範囲を指定するのに使用されます。 |
vrf |
ピアの前面扉 VPN ルーティングおよび転送(FVRF)を指定します。 |
fvrf |
fvrf 引数は、前面扉 VPN ルーティングおよび転送(FVRF)バーチャル プライベート ネットワーク(VPN)領域のアドレスと一致します。 |
host hostname |
Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)がドメイン名で終わるタイプ ID_FQDN と一致する識別情報を指定します。 |
host domain domain-name |
タイプ ID_FQDN と一致する識別情報を指定します。 ドメイン名は domain-name 引数と同じです。 |
user username |
FQDN と一致する識別情報を指定します。 |
user domain domain-name |
タイプ ID_USER_FQDN と一致する識別情報を指定します。 user domain キーワードが存在する場合、タイプ ID_USER_FQDN の識別情報を持ち、domain-name で終わるすべてのユーザが照合されます。 |
デフォルトの動作または値はありません。
ISAKMP プロファイル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ISAKMP プロファイル コンフィギュレーションには、少なくとも 1 つの match identity コマンドが必要です。 ISAKMP プロファイルに定義された識別情報と突き合わせて(IKE 交換の ID ペイロードに指定されたとおりに)識別情報が一致した場合に、ピアは ISAKMP プロファイルにマッピングされます。 1 つの ISAKMP プロファイルに一意にマッピングするには、2 つの ISAKMP プロファイルが同じ識別情報と一致しないようにする必要があります。 ピアの識別情報が 2 つの ISAKMP プロファイルと一致する場合、その設定は無効です。
(注) |
tunnel-ipsec インターフェイスを設定するには、ローカル ISAKMP プロファイルを設定する必要があります。 |
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、match identity コマンド用の vpngroup としてグループを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp profile local_tunnel_ipsec RP/0/RSP0/CPU0:router(config-isa-prof)# match identity address 10.1.1.6/32 vrf default RP/0/RSP0/CPU0:router(config-isa-prof-match)# set interface tunnel-ipsec3001
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
|
self-identity |
ローカル IKE がリモート ピアに対して IKE 自身を識別させるために使用する ID を定義します。 |
インターフェイス インスタンスを事前定義します。 |
|
IPSec プロファイル インスタンスを事前定義します。 |
事前設定されたポリシーのルーティング プライオリティを指定するには、ISAKMP ポリシーセット サブモード内で policy コマンドを使用します。 プライオリティをキャンセルするには、このコマンドの no 形式を使用します。
policy policy number
no policy
policy number |
1 ~ 10000 で、範囲の最低値が最も高いプライオリティを表します。 |
なし
ISAKMP ポリシーセット コンフィギュレーション モード
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、ルーティング ポリシーのプライオリティを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp policy-set p1 RP/0/RSP0/CPU0:router(config-isakmp-pol-set)# policy pol2
コマンド |
説明 |
---|---|
ISAKMP ポリシー セットを定義します。 |
|
ISAKMP 保護スイートのポリシー セットを定義します。 |
|
SVI トンネル ソースを作成します。 |
IKE 認証用の事前共有キーを定義するには、キーリング コンフィギュレーション モードで pre-shared-key コマンドを使用します。 ディセーブルにするには、このコマンドの no 形式を使用します。
pre-shared-key { address address [mask] | hostname hostname } key key
no pre-shared-key { address address [mask] | hostname hostname } key key
address address |
リモート ピアの IP アドレスまたはサブネットとマスクを指定します。 |
mask |
(任意)mask 引数はアドレスの範囲と一致します。 デフォルト値は 255.255.255.255 です。 |
hostname hostname |
ピアの完全修飾ドメイン名(FQDN)を指定します。 |
key key |
事前共有キーを指定します。 |
なし
キーリング コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IP アドレスとホスト名を使用して事前共有キーを設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key address 10.72.23.11 key vpnkey RP/0/RSP0/CPU0:router(config-keyring)# pre-shared-key hostname www.vpn.com key vpnkey
コマンド |
説明 |
---|---|
インターネットキー交換(IKE)プロトコルへの参加時にルータが使用する識別情報を指定します。 |
|
IKE 認証時の暗号キーリングを定義します。 |
IKE 認証時の暗号化またはシグニチャに使用される Rivest, Shamir, and Adelman(RSA)手動キーを定義するには、キーリング コンフィギュレーション モードで rsa-pubkey コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
rsa-pubkey { address address | name fqdn } [ encryption | signature ]
no rsa-pubkey { address address | name fqdn } [ encryption | signature ]
address address |
リモート ピアの RSA 公開キーの IP アドレスを指定します。 address 引数は、手動で設定するリモート ピアのリモート RSA 公開キーの IP アドレスです。 |
name fqdn |
ピアの完全修飾ドメイン名(FQDN)を指定します。 |
encryption |
(任意)手動キーが暗号化に使用されるように指定します。 |
signature |
(任意)手動キーがシグニチャに使用されるように指定します。 signature キーワードがデフォルトです。 |
キーはシグニチャに使用されます。
キーリング コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
公開キー コンフィギュレーション モードを開始するには、rsa-pubkey コマンドを使用します。 他の IP Security(IPSec)ピアの RSA 公開キーを手動で指定する必要がある場合は、このコマンドを使用します。 ピア ルータで IKE ポリシーの認証方式として RSA 暗号化ナンスを設定するときは、他のピアのキーを指定する必要があります。
RSA キーの指定が終了したら、quit と入力してグローバル コンフィギュレーション モードに戻る必要があります。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IPSec ピアの RSA 手動キーが指定されている例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto keyring vpnkeyring RP/0/RSP0/CPU0:router(config-keyring)# rsa-pubkey name host.vpn.com RP/0/RSP0/CPU0:router(config-pubkey)# key-string 005C300D 06092A86 4886F70D 01010105 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001 quit
コマンド |
説明 |
---|---|
手動で設定するリモート ピアの Rivest, Shamir, and Adelman(RSA)公開キーの IP アドレスを指定します。 |
|
IKE 認証時の暗号キーリングを定義します。 |
|
リモート ピアの Rivest, Shamir, and Adelman(RSA)公開キーを手動で指定します。 |
ローカル IKE がリモート ピアに自身を識別させるために使用する識別情報を定義するには、ISAKMP プロファイル コンフィギュレーション モードで self-identity コマンドを使用します。 IKE 用に定義された ISAKMP 識別情報を削除するには、このコマンドの no 形式を使用します。
self-identity { address | fqdn | user-fqdn user-fqdn }
no self-identity { address | fqdn | user-fqdn user-fqdn }
address |
ローカル エンドポイントの IP アドレスを指定します。 |
fqdn |
ホストの完全修飾ドメイン名(FQDN)を指定します。 |
user-fqdn user-fqdn |
リモート エンドポイントに送信されるユーザ FQDN を指定します。 |
ISAKMP 識別情報が ISAKMP プロファイル コンフィギュレーションに定義されていない場合、グローバル コンフィギュレーションがデフォルトになります。
ISAKMP プロファイル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
self-identity コマンドが定義されていない場合、IKE はグローバルに設定された値を使用します。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IKE 識別情報がユーザ FQDN「user@vpn.com」である例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp profile vpnprofile RP/0/RSP0/CPU0:router(config-isa-prof)# self-identity user-fqdn user@vpn.com
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
ローカルが送信元または終端であるトラフィック用のトンネル モード IPSec サービス アソシエーション(SA)について IKE がネゴシエートする際に、仮想インターフェイス インスタンスを事前定義するには、ISAKMP プロファイル照合コンフィギュレーション モードで set interface tunnel-ipsec コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
set interface tunnel-ipsec intf-index
no set interface tunnel-ipsec intf-index
intf-index |
仮想インターフェイス インデックスを指定します。 範囲は 0 ~ 4294967295 です。 |
デフォルトの動作または値はありません。
ISAKMP プロファイル照合コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
インターフェイスは set interface コマンドを使用して事前定義する必要があります。 そうしないと、IKE SA を確立できません。
ローカル エンドポイントが IKE の応答側である場合、定義済みのインターフェイスは、ピアの識別情報に応じて検索されます。 ローカル エンドポイントが IKE の発信側である場合、定義済みのインターフェイスは、使用する適切な ISAKMP プロファイルを検索するために使用されます。 したがって、複数の ISAKMP プロファイルには仮想インターフェイスを事前定義できません。
(注) |
set interface tunnel-ipsec コマンドは、ローカル ISAKMP プロファイルだけに使用されます。 |
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、インターフェイス インスタンスを事前定義する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:routerr(config)# crypto isakmp profile local vpnprofile RP/0/RSP0/CPU0:router(config-isa-prof)# match identity group vpngroup RP/0/RSP0/CPU0:router(config-isa-prof-match)# set interface tunnel-ipsec 50
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
|
ISAKMP プロファイルのピアの ID を照合します。 |
|
IPSec プロファイル インスタンスを事前定義します。 |
ローカルが送信元または終端であるトラフィック用のトランスポート モード IPSec サービス アソシエーション(SA)について IKE がネゴシエートする際に、プロファイル インスタンスを事前定義するには、プロファイル照合コンフィギュレーション モードで set ipsec-profile コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
set ipsec-profile profile-name
no set ipsec-profile profile-name
profile-name |
IPsec プロファイルの名前です。 |
なし
ISAKMP プロファイル照合コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IPSec プロファイルは、トランスポート モード IPSec SA のネゴシエーション時に set ipsec-profile または set interface tunnel-ipsec コマンドを使用して事前定義する必要があります。 そうしないと、IKE SA を確立できません。
ローカル エンドポイントが IKE の応答側である場合、定義済みのインターフェイスは、ピアの識別情報に応じて検索されます。 ローカル エンドポイントが IKE の発信側である場合、定義済みのインターフェイスは、使用する適切な ISAKMP プロファイルを検索するために使用されます。 したがって、複数の ISAKMP プロファイルには仮想インターフェイスを事前定義できません。
(注) |
識別情報のプロファイルは、選択された仮想インターフェイスに基づいて決定されます。ローカル ISAKMP プロファイルだけがサポートされるため、この場合は tunnel-ipsec だけです。 |
ローカル エンドポイントが IKE の発信側である場合、定義されたプロファイルまたはインターフェイスは、正しい ISAKMP プロファイルを選択するために使用されます。
タスク ID |
操作 |
---|---|
crypto |
read, write |
次に、IPSec プロファイル インスタンスを事前定義する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto isakmp profile local vpnprofile RP/0/RSP0/CPU0:router(config-isa-prof)# match identity group vpngroup RP/0/RSP0/CPU0:router(config-isa-prof-match)# set ipsec-profile myprofile
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
|
ISAKMP プロファイルのピアの ID を照合します。 |
|
ローカルを送信元または終端とするトラフィックのトンネル モード IPSec サービス アソシエーション(SA)について IKE がネゴシエートする際に、インターフェイス インスタンスを事前定義します。 |
IKE プロトコルのコール アドミッション制御(CAC)統計情報をモニタするには、EXEC モードで show crypto isakmp call admission statistics コマンドを使用します。
show crypto isakmp call admission statistics
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto isakmp call admission statistics コマンドの設定を表示する例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp call admission statistics
---------------------------------------------------------------------
Crypto Call Admission Control Statistics
---------------------------------------------------------------------
IKE Active SA Limit: 1, IKE In-Negotiation SA limit: 2
Total CPU usage limit: 100, IKE CPU usage limit: 100
Total IKE SA Count: 0, active: 0, negotiating: 0
Incoming IKE Calls: 24 , accepted 24 , rejected 0
Outgoing IKE Calls: 16 , accepted 6 , rejected 10
Total Calls: 40
Rejected IKE Calls: 10, resources low 0, limit exceeded 10
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
IKE Active SA Limit |
デフォルト値の 0 には、制限がありません。 |
In-Negotiation SA limit |
デフォルト値は 1000 です。 |
Total IKE SA Count |
IKE SA の数。 |
active |
アクティブな SA の数。 |
negotiating |
ネゴシエートされる SA 要求の数。 |
Incoming IKE Calls |
着信 IKE SA 要求の数。 着信 IKE コールの数は、受け入れられた要求と拒否された要求の合計と同じです。 |
accepted |
受け入れられた着信または発信 IKE SA 要求の数。 |
rejected |
拒否された着信または発信 IKE SA 要求の数。 |
Outgoing IKE Calls |
発信 IKE SA 要求の数。 発信 IKE コールの数は、受け入れられた要求と拒否された要求の合計と同じです。 |
Total Calls |
合計コール数は、着信 IKE コール数と発信 IKE コール数の合計と同じです。 |
Rejected IKE Calls |
拒否された IKE 要求の数。 拒否された IKE コール数は、リソース低下と制限超過の合計数と同じです。 |
resources low |
システム リソースの低下、または事前設定されたシステム リソース制限の超過を理由に拒否された IKE 要求の数。 |
limit exceeded |
SA 制限に達したために拒否された IKE SA 要求の数。 |
コマンド |
説明 |
---|---|
ISAKMP コール アドミッション統計情報をクリアします。 |
トンネルの確立時に発生した Internet Security Association and Key Management Protocol(ISAKMP)エラーを表示するには、EXEC モードで show crypto isakmp errors コマンドを使用します。
show crypto isakmp errors
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto isakmp errors コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp errors
Control Plane Errors
---------------------
ERR NO MEMORY.....................................0
INVALID CERT......................................0
CRYPTO FAILURE....................................0
SA NOT AUTH.......................................0
AUTHENTICATION FAILED.............................0
GROUP AUTHOR FAILED...............................0
USER AUTHEN REJECTED..............................0
LOCAL ADDRESS FAILURE.............................0
FAILED TO CREATE SKEYID...........................0
RSA PUBLIC KEY NOT FOUND..........................0
RETRANSMITION LIMIT...............................0
MALFORMED MESSAGE.................................0
QUICK MODE TIMER EXPIRED..........................0
KEY NOT FOUND IN PROFILE..........................0
PROFILE NOT FOUND.................................0
PRESHARED KEY NOT FOUND...........................0
PHASE2 PROPOSAL NOT CHOSEN........................0
POLICY MISMATCH...................................0
NO POLICY FOUND...................................0
PACKET PROCESS FAILURE............................0
Warnings
---------
CERT DOESNT MATCH ID..............................0
CERT ISNT TRUSTED ROOT............................0
PACKET NOT ENCRYPTED..............................0
UNRELIABLE INFO MSG...............................0
NO SA.............................................0
BAD DOI SA........................................0
UNKNOWN EXCHANGE TYPE.............................0
OUTGOING PKT TOO BIG..............................0
INCOMING PKT TOO BIG..............................0
Informational
--------------
CAC DROPS.........................................0
DEFAULT POLICY ACCEPTED...........................0
次の表に、この出力で表示される重要なフィールドの説明を示します。
コマンド |
説明 |
---|---|
clear crypto isakmp errors |
ISAKMP エラーの統計情報をクリアします。 |
ルータの Internet Security Association and Key Management Protocol(ISAKMP)事前共有キーを表示するには、EXEC モードで show crypto isakmp key コマンドを使用します。
show crypto isakmp key
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、IP ホスト名およびアドレスと事前共有キーを表示する例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp key
Keyring Hostname/Address Preshared Key
K1 3.3.3.1 rd26
K2 5.5.5.5 ex22
K2 tzvi.cisco.com ppp
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Hostname/Address |
ルータの IP ホスト名またはアドレス |
Preshared Key |
ルータの ISAKMP 事前共有キー |
ピアの構造を表示するには、EXEC モードで show crypto isakmp peers コマンドを使用します。
show crypto isakmp peers [ ip-address | vrf vrf-name ]
ip-address |
(任意)ピアの IP アドレス。 |
vrf vrf-name |
(任意)ピアの前面扉 VRF を指定します。 vrf-name 引数は、VRF に割り当てる名前です。 |
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto isakmp peers コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp peers
Peer: 10.0.83.1 Port: 4500 Local: 30.0.0.4 vrf: default
UDP encapsulate: True
SA information:
Connection ID: 1
State: QM_IDLE
Phase 1 ID: DER_ASN1_DN srbu
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Connection ID |
インターネットキー交換(IKE)ID。 |
State |
さまざまな状態の出力表示。 各状態の詳細については、表 2 を参照してください。 |
Phase1 ID |
インターネットキー交換(IKE)ID。 |
コマンド |
説明 |
---|---|
インターネットキー交換(IKE)用に IP セキュリティ(IPSec)ピアをイネーブルにします。 |
|
インターネットキー交換(IKE)ピアの説明を追加します。 |
|
アクティブな暗号セッションのステータス情報を表示します。 |
各インターネットキー交換(IKE)ポリシーのパラメータを表示するには、EXEC モードで show crypto isakmp policy コマンドを使用します。
show crypto isakmp policy
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、2 つの IKE ポリシー(プライオリティはそれぞれ 15 および 20)を設定したあとの show crypto isakmp policy コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp policy
Protection suite priority 15
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman Group: #2 (1024 bit)
lifetime: 5000 seconds, no volume limit
Protection suite priority 20
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: preshared Key
Diffie-Hellman Group: #1 (768 bit)
lifetime: 10000 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman Group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
(注) |
出力ではライフタイムに「no volume limit」と表示されていますが、現在設定できるのは、時限ライフタイム(86,400 秒など)だけです。ボリューム制限によるライフタイムは設定できません。 |
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
encryption algorithm |
IKE ポリシー内の暗号化アルゴリズム |
hash algorithm |
IKE ポリシー内のハッシュ アルゴリズム |
authentication method |
IKE ポリシーで使用される認証方式 |
Diffie-Hellman group |
IKE ポリシーの Diffie-Hellman グループ ID |
lifetime |
期限切れになるまでにセキュリティ アソシエーション(SA)が存在する時間(秒単位) |
コマンド |
説明 |
---|---|
IKE ポリシー内の認証方式を指定します。 |
|
IKE ポリシーを定義します。 |
|
IKE ポリシー内の暗号化アルゴリズムを指定します。 |
|
IKE ポリシー内部での Diffie-Hellman グループの識別番号を指定します。 |
|
IKE ポリシー内のハッシュ アルゴリズムを指定します。 |
|
IKE SA のライフタイムを指定します。 |
ルータに定義されているすべての ISAKMP プロファイルを表示するには、EXEC モードで show crypto isakmp profile コマンドを使用します。
show crypto isakmp profile [ interface intf-name | ipsec-profile ipsec-prof-name | tag isakmp-prof-name ]
interface intf-name |
(任意)IPSec 照合 ID のインターフェイスごとに ISAKMP プロファイルを表示します。 |
ipsec-profile ipsec-prof-name |
(任意)IPSec 照合 ID の IPSec プロファイルごとに ISAKMP プロファイルを表示します。 |
tag isakmp-prof-name |
(任意)名前ごとに ISAKMP プロファイルを表示します。 |
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto isakmp profile コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp profile
ISAKMP Profile: isakmp-prof2
Keyring(s): kr2
Identities matched are:
Address: 10.0.2.1 255.255.255.255 fvrf: green
Interface: service-ipsec2
ISAKMP Profile: isakmp-prof1
Keyring(s): kr1
Identities matched are:
Group: srbu
Interface: service-gre1
次の表に、show crypto isakmp profile コマンドのフィールドを示します。
フィールド |
説明 |
---|---|
ISAKMP Profile |
ISAKMP プロファイルの名前。 |
Keyring(s) |
キーリングの名前です。これはグローバル コンフィギュレーションで定義されたキーリング名と一致する必要があります。 |
Identities matched are |
ISAKMP プロファイルで照合できるすべての識別情報です。 |
コマンド |
説明 |
---|---|
ISAKMP プロファイルを定義し、IPSec ユーザ セッションを監査します。 |
|
ISAKMP プロファイルとともにキーリングを定義します。 |
ピアにおける現在のすべてのインターネットキー交換(IKE)セキュリティ アソシエーション(SA)を表示するには、EXEC モードで show crypto isakmp sa コマンドを使用します。
show crypto isakmp sa [ connection ID ]
connection ID |
(任意)IKE SA ID です。 有効な範囲は 1 ~ 65535 です。 |
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ID のリストを表示するには、connection ID 引数を使用します。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、IKE ネゴシエーションが 2 つのピア間で正常に完了したあとの show crypto isakmp sa コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp sa vrf
dst src state conn-id nodeid ---------- ------------ ------------ --------- -------
------ default 30.0.0.4 10.0.83.1 QM_IDLE 1 0
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
vrf |
VRF ごとの ISAKMP SA 詳細を表示するための Virtual Route Forwarding(VRF; 仮想ルート転送)。 |
dst |
宛先の IP アドレス。 |
src |
発信元の IP アドレス。 |
conn-id |
接続 ID。 |
nodeid |
ノード ID。 |
次の表に、show crypto isakmp sa コマンドの出力に表示される可能性のあるさまざまな状態を示します。 Internet Security Association and Key Management Protocol(ISAKMP)SA が存在するときは、ほとんどの場合、休止状態(QM_IDLE)です。 長い交換の間に、いくつかの MM_xxx 状態が観察される可能性があります。
状態:メイン モード交換 |
説明 |
---|---|
MM_NO_STATE |
ISAKMP SA は作成済みですが、他にはまだ何も発生していません。 この段階では「仮性」で、状態はありません。 |
MM_SA_SETUP |
ピアは ISAKMP SA のパラメータに同意しました。 |
MM_KEY_EXCH |
ピアは Diffie-Hellman 公開キーを交換して共有秘密を生成しました。 ISAKMP SA は認証されていないままです。 |
MM_KEY_AUTH |
ISAKMP SA は認証済みです。 ルータがこの交換を開始した場合、この状態はすぐに QM_IDLE に移行し、クイック モード交換が開始されます。 |
状態:アグレッシブ モード交換 | 説明 |
AG_NO_STATE |
ISAKMP SA は作成済みですが、他にはまだ何も発生していません。 この段階では「仮性」で、状態はありません。 |
AG_INIT_EXCH |
ピアはアグレッシブ モードで最初の交換を実行しましたが、SA は認証されていません。 |
AG_AUTH |
ISAKMP SA は認証済みです。 ルータがこの交換を開始した場合、この状態はすぐに QM_IDLE に移行し、クイック モード交換が開始されます。 |
状態:クイック モード交換 | 説明 |
QM_IDLE |
ISAKMP SA はアイドル状態です。 Iピアとは認証されたままですが、後続のクイック モード交換用に使用される可能性があります。 休止状態です。 |
コマンド |
説明 |
---|---|
IKE ポリシーを定義します。 |
|
IKE SA のライフタイムを指定します。 |
|
ISAKMP セキュリティ アソシエーション(SA)の数を表示します。 |
|
ISAKMP セキュリティ アソシエーション(SA)の詳細を表示します。 |
ISAKMP のグローバル統計情報を表示するには、EXEC モードで show crypto isakmp stats コマンドを使用します。
show crypto isakmp stats [ vrf vrf-name ]
vrf vrf-name |
(任意)VPN ルーティングおよび転送(VRF)インスタンスごとの ISAKMP 統計情報を指定します。 vrf-name 引数は、VRF に割り当てる名前です。 |
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
VRF インスタンスごとの ISAKMP 統計情報を表示するには、show crypto isakmp stats コマンドを使用します。 VRF インスタンスが指定されない場合は、VRF インスタンスの統計情報デフォルトが表示されます。
show crypto isakmp stats コマンドにより、次のグローバル統計情報が出力されます。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto isakmp stats コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto isakmp stats
VRF ISAKMP statistics:
Active Tunnels: 0
Previous Tunnels: 0
In Octets: 0
In Packets: 0
In Drop Packets: 0
In Notifys Messages: 0
In Phase2 Exchanges: 0
In Phase2 Exchange Invalids: 0
In Phase2 Exchange Rejects: 0
In Phase2 SA Delete Requests: 0
Out Octets: 0
Out Packets: 0
Out Drop Packets: 0
Out Notifys Messages: 0
Out Phase2 Exchanges: 0
Out Phase2 Exchange Invalids: 0
Out Phase2 Exchange Rejects: 0
Out Phase2 SA Delete Requests: 0
Initiator Tunnels: 0
Initiator Tunnel Setup Fails: 0
Responder Tunnel Setup Fails: 0
Sys Cap Fails: 0
Auth Failures: 0
Decryption Fails: 0
Hash Valid Fails: 0
No SA Fails: 0
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Active Tunnels |
現在アクティブな IPSec フェーズ 1 IKE トンネルの数 |
Previous Tunnels |
以前にアクティブだった IPSec フェーズ 1 IKE トンネルの合計数 |
In Octets |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信した合計オクテット数 |
In Packets |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信した合計パケット数 |
In Phase2 Exchanges |
現在アクティブおよび以前にアクティブだったすべての IPsec フェーズ 1 IKE トンネルが受信した IPSec フェーズ 2 交換の合計数 |
In Phase2 Exchange Invalids |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信し、無効であることを検出した IPSec フェーズ 2 交換の合計数 |
In Phase2 Exchange Rejects |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信し、拒否した IPSec フェーズ 2 交換の合計数 |
In Phase2 SA Delete Requests |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが受信した、IPSec フェーズ 2 セキュリティ アソシエーション の削除要求の合計数 |
Out Octets |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した合計オクテット数 |
Out Packets |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 トンネルが送信した合計パケット数 |
Out Drop Packets |
現在アクティブおよび以前にアクティブだったすべての IPsec フェーズ 1 IKE トンネルが送信処理中にドロップしたパケットの合計数 |
Out Notifys Messages |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した通知の合計数 |
Out Phase2 Exchanges |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した IPSec フェーズ 2 交換の合計数 |
Out Phase2 Exchange Invalids |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 トンネルが送信し、無効であることを検出した IPSec フェーズ 2 交換の合計数 |
Out Phase2 Exchange Rejects |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信し、拒否した IPSec フェーズ 2 交換の合計数 |
Out Phase2 SA Delete Requests |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルが送信した、IPSec フェーズ 2 SA の削除要求の合計数 |
Initiator Tunnels |
ローカルで開始された IPSec フェーズ 1 IKE トンネルの合計数 |
Initiator Tunnel Setup Fails |
ローカルで開始され、アクティブにされなかった IPSec フェーズ 1 IKE トンネルの合計数 |
Responder Tunnel Setup Fails |
リモートで開始され、アクティブにされなかった IPSec フェーズ 1 IKE トンネルの合計数 |
Sys Cap Fails |
現在アクティブおよび以前にアクティブだったすべての IPSec フェーズ 1 IKE トンネルの処理中に発生した、システム キャパシティ障害の合計数 |
Auth Failures |
現在および以前のすべての IPSec フェーズ 1 IKE トンネルが失敗した認証の合計数 |
Decryption Fails |
現在および以前のすべての IPSec フェーズ 1 IKE トンネルが失敗した復号化の合計数 |
Hash Valid Fails |
現在および以前のすべての IPSec フェーズ 1 IKE トンネルが失敗したハッシュ検証の合計数 |
No SA Fails |
現在および以前のすべての IPSec フェーズ 1 IKE トンネルの処理中に発生した、存在しないセキュリティ アソシエーションの障害の合計数 |
ルータに保存されているピアの Rivest, Shamir, and Adelman(RSA)公開キーを表示するには、EXEC モードで show crypto key pubkey-chain rsa コマンドを使用します。
show crypto key pubkey-chain rsa [ name key-name | address key-address ]
name key-name |
(任意)特定の公開キーの名前を表示します。 |
address key-address |
(任意)特定の公開キーのアドレスを表示します。 |
ルータに保存されているすべての RSA 公開キーが表示されます。
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ルータに保存されている RSA 公開キーを表示するには、このコマンドを使用します。 表示には、ルータで手動で設定されたピアの RSA 公開キー、および他の手段によって(認証局サポートが設定されている場合は、証明書によってなど)ルータで受信されたキーが含まれます。
ルータを再起動した場合、証明書によって取得された公開キーは失われます。ルータが再度証明書を要求し、その際に公開キーが再度取得されるためです。
ルータに保存されている特定の RSA 公開キーの詳細を表示するには、name または address キーワードを使用します。
キーワードを指定しない場合、このコマンドではルータに保存されているすべての RSA 公開キーのリストが表示されます。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto key pubkey-chain rsa コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto key pubkey-chain rsa
Codes: M - Manually Configured, C - Extracted from certificate
Code Usage IP-Address VRF Keyring Name
M Encrypt K1 example.cisco.com
M Signing 5.5.5.5 green K2
次に、手動で設定された、somerouter という名前のピアの専用 RSA 公開キーの例を示します。 この例には、ピア証明書から取得した 3 つのキー(peer routerA 用の 2 つの専用キーと peer routerB 用の 1 つの汎用キー)も示されています。
例では証明書サポートが使用されています。証明書サポートが使用されていない場合、どのピアのキーも Code 列に「C」と表示されず、すべて手動で設定されることが必要になります。
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Code |
ルータ上で手動で設定された RSA 公開キー(M)と、証明書などの他の手段によってルータで受信されたキー(C)。 |
Usage |
生成された RSA キーのタイプ。 |
IP-address |
RSA キーが設定されているローカルまたはリモート ピアの IP アドレス。 |
VRF |
キーリングの仮想ルート転送(VRF)。 |
Keyring |
暗号キーリングの名前。 グローバル キーはデフォルトのキーリングに表示されます。 |
Name |
ローカルまたはリモート ピアの名前。 |
次に、name キーワードで公開キーに somerouter.example.com という名前を付けている、show crypto key pubkey-chain rsa コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto key pubkey-chain rsa name somerouter.example.com
Key name: somerouter.example.com
Key address: 10.0.0.1
Usage: Signature Key
Source: Manual
Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22
04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2
BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001
Key name: somerouter.example.com
Key address: 10.0.0.1
Usage: Encryption Key
Source: Manual
Data:
00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5
18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB
07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21
(注) |
例の Source フィールドに表示されている「Manual」は、キーがピアからの証明書で受信したものではなく、ルータ上で手動で設定されたものであることを意味します。 |
次に、アドレス 192.168.10.3 の show crypto key pubkey-chain rsa コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto key pubkey-chain rsa address 192.168.10.3
Key name: routerB.example.com
Key address: 192.168.10.3
Usage: General Purpose Key
Source: Certificate
Data:
0738BC7A 2BC3E9F0 679B00FE 53987BCC 01030201 42DD06AF E228D24C 458AD228
58BB5DDD F4836401 2A2D7163 219F882E 64CE69D4 B583748A 241BED0F 6E7F2F16
0DE0986E DF02031F 4B0B0912 F68200C4 C625C389 0BFF3321 A2598935 C1B1
例の Source フィールドに表示されている「Certificate」は、キーが他方のルータからの証明書を介してルータで受信したものであることを意味します。
アクティブな暗号化セッションのステータス情報を表示するには、EXEC モードで show crypto session コマンドを使用します。
show crypto session [ detail | fvrf fvrf-name [detail] | group group name | groups | interface interface-name | ivrf ivrf-name | local IP address [ fvrf fvrf-name | detail ] | profile profile name [detail] | remote IP-address [ detail | port remote-port | fvrf fvrf-name ] | user username [detail] | users ]
detail |
(任意)セッションに関するより詳細な情報を表示します。たとえば、インターネットキー交換(IKE)セキュリティ アソシエーション(SA)の機能、接続 ID、IKE SA の残りのライフタイム、IP セキュリティ(IPSec)フローの着信または発信の暗号化または復号化パケット数、ドロップされたパケットの数、IPSec SA のライフタイム(キロバイト/秒単位)などが含まれます。 |
fvrf vrf-name |
(任意)前面扉仮想ルーティングおよび転送(FVRF)セッションのステータス情報を表示します。 fvrf-name 引数は、FVRF に割り当てられた名前です。 |
group group name |
(任意)バーチャル プライベート ネットワーク(VPN)デバイスで現在アクティブなグループの識別名の使用状況を表示します。 group name 引数は、グループの識別名です。 |
groups |
(任意)バーチャル プライベート ネットワーク(VPN)デバイスで現在アクティブなすべての接続グループの使用状況を表示します。 |
interface interface- name |
|
ivrf ivrf-name |
(任意)内部 VRF(IVRF)セッションのステータス情報を表示します。 ivrf-name 引数は、内部 VRF の名前です。 |
local IP address |
(任意)ローカル暗号化エンドポイントの暗号化セッションに関するステータス情報を表示します。 IP-address 引数は、ローカル暗号化エンドポイントの IP アドレスです。 |
profile profile name |
(任意)ルータに定義されている Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを表示します。 profile name 引数は、ISAKMP プロファイルの名前です。 |
remote IP address |
(任意)リモート セッションの暗号化セッションに関するステータス情報を表示します。IP address 引数は、リモート暗号化エンドポイントの IP アドレスです。 |
port remote-port |
(任意)リモート暗号化エンドポイントの暗号化セッションに関するステータス情報を表示します。 remote-port 引数は 1 ~ 65535 です。 デフォルト値は 500 です。 |
user username |
(任意)接続ユーザの使用状況を表示します。 user name 引数は、ユーザの名前です。 |
users |
(任意)すべての接続ユーザの使用状況を表示します。 |
キーワードを指定しないで show crypto session コマンドを入力した場合は、既存のすべてのセッションがクリアされます。 ポートのデフォルト値は 500 です。
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない可能性がある場合は、AAA 管理者に問い合わせてください。
show crypto session コマンドを使用して、すべてのアクティブな ISAKMP セッションと、各セッションの IKE および IPSec SA のリストを取得できます。 次のリストが含まれます。
(同じセッションの)同じピアには、複数の IKE または IPSec SA が確立されます。その場合、IKE ピアの説明は、ピアと関連付けられている IKE SA と、セッションのフローのサービスを提供している IPSec SA 用に、異なる値で繰り返されます。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto session コマンドのフィールド リストの例を示します。
RP/0/RSP0/CPU0:router# show crypto session
Interface: service-ipsec1
Profile: prof1
ISAKMP policy: 10
Fvrf: default
Ivrf: default
Peer: 21.21.21.21/500
Ike SAs: 1
IKE SA : conn-id 1 local 100.100.100.1/500 remote 21.21.21.21/500 QM_IDLE
Interface: service-ipsec4
Username: cisco
InterfaceProfile: tunnel-ipsec3001ezvpnIke
ProfileGroup: TUNNEL_IPSECgroup-a
Assigned address: 10.0.0.1
ISAKMP policy: 1020
Fvrf: default
Ivrf: default
Peer: 10192.1168.110.52/500
Ike SAs: 1
IPsec FlowsSAs: 1
IKE SA : conn-id 1 2 local 10135.135.1135.1.6/500 remote 10192.1168.110.52/500 QM_IDLE
IPSEC FLOW 1510: permit ipv4 100.70.2080.20/2550.2550.2550.255 0 10.70.2080.21/255.255.255.255
Active SAs 2
次に、セッションの詳細情報の例を示します。
Interface: tunnelservice-ipsec3001gre1 Profile: TUNNEL_IPSECisakmp-prof1 ISAKMP policy: 10 Fvrf: default Ivrf: default Peer: 1040.140.140.62/500 Ike SAs: 1 IPsec FlowsSAs: 1 IKE SA : conn-id 2 1 local 1050.150.150.52/500 remote 1040.140.140.62/500 QM_IDLE IPSEC FLOW 2501: permit ipv4 10gre 50.750.20850.2/255.255.255.255 1040.740.20840.2/255.255.255.255 Active SAs 2 Inbound: #pkts dec'ed 5 0 drop 0 life (KB/Sec) 10000000099354592/32492414 Outbound: #pkts encdec'ed 5 655653 drop 0 life (KB/Sec) 10000000099354592/32492414
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Interface |
暗号化セッションが関連付けられるインターフェイス。 |
IKE SA |
IKE SA についての情報が提供されます。たとえば、ローカルおよびリモート アドレスおよびポート、SA のステータス、SA の機能、暗号化エンジンの接続 ID、IKE SA の残りのライフタイムなどが含まれます。 |
IPSEC FLOW |
IPSec で保護されたトラフィック フローに関する情報のスナップショット。たとえば、フローの内容、存在する IPSec SA の数、SA の送信元、暗号化または復号化パケットまたはドロップ パケットの数、IPSec SA の残りのライフタイム(キロバイト/秒単位)などが含まれます。 |
コマンド |
説明 |
---|---|
暗号化セッション(IP セキュリティ [IPSec] およびインターネットキー交換 [IKE] セキュリティ アソシエーション [SA])を削除します。 |
|
インターネットキー交換(IKE)ピアの説明を追加します。 |
|
ピアの構造を表示します。 |