この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このモジュールでは、IPSec のコマンドについて説明します。
(注) |
次に示す IPSec のコマンドを使用できるのは、<platform>-k9sec.pie がインストールされている場合のみです。 |
特定のセキュリティ アソシエーション(SA)、または IP Security(IPSec)セキュリティ アソシエーション データベース(SADB)内のすべての SA を削除するには、EXEC モードで clear crypto ipsec sa コマンドを使用します。
clear crypto ipsec sa { sa-id | all }
sa-id |
SA の識別子。 IPSec では、1 ~ 64,500 セッションがサポートされます。 |
all |
IPsec SADB のすべての IPSec SA を削除します。 |
デフォルトの動作または値はありません。
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
SA は IPsec 内のデータ フローのセキュリティを確保するために確立されます。 clear crypto ipsec sa コマンドは、アクティブな IPSec セッションを削除するときや、強制的に新しい IPSec SA を再確立するときに使用します。 通常、ピア間の SA の確立は、IPsec に代わってインターネット キー交換(IKE)を通してネゴシエートされます。
タスク ID |
操作 |
---|---|
crypto |
execute |
次の例では、ID 100 の SA を SADB から削除する方法を示します。
RP/0/RSP0/CPU0:router# clear crypto ipsec sa 100
コマンド |
説明 |
---|---|
現在の SA によって使用されている設定を表示します。 |
IPSec プロファイルの説明を作成するには、description コマンドをプロファイル コンフィギュレーション モードで使用します。 プロファイルの説明を削除するには、このコマンドの no 形式を使用します。
description string
no description
string |
IPSec プロファイルを説明する文字列。 |
なし
Crypto IPSec プロファイル
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
IPSec プロファイルの説明を作成するには、プロファイル コンフィギュレーション サブモード内で description コマンドを使用します。
タスク ID |
操作 |
---|---|
profile configuration |
read, write |
次の例では、プロファイルの説明を作成する方法を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# crypto ipsec profile newprofile RP/0/RSP0/CPU0:router(config-newprofile)# description this is a sample profile
総称ルーティング カプセル化(GRE)のトンネル インターフェイスを設定するには、グローバル コンフィギュレーション モードで interface tunnel-ip コマンドを使用します。 IP トンネル インターフェイスを削除するには、このコマンドの no 形式を使用します。
interface tunnel-ip number
no interface tunnel-ip number
number |
インターフェイスのインスタンス番号。 範囲は 0 ~ 65535 です。 |
なし
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.9.0 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
interface |
read, write |
次の例では、interface tunnel-ip コマンドの使用方法を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# interface tunnel-ip 50000 RP/0/RSP0/CPU0:router(config-if)#
ラック/スロット/モジュールの場所に基づいてセキュリティ アソシエーション(SA)の情報を表示するには、EXEC モードで show crypto ipsec sa コマンドを使用します。
show crypto ipsec sa [ sa-id | peer ip-address | profile profile-name | detail | fvrf fvrf-name | ivrf ivrf-name | location node-id ]
sa-id |
(任意)SA の識別子。 範囲は 1 ~ 64500 です。 |
peer ip-address |
(任意)リモート(PC)側で使用される IP アドレス。 無効な IP アドレスを入力することはできません。 |
profile profile-name |
(任意)セキュリティ プロファイルの名前を英数字で指定します。 文字範囲は 1 ~ 64 です。 プロファイル名が重複していてはなりません。 |
detail |
(任意)追加の動的 SA 情報を表示します。 |
fvrf fvrf-name |
(任意)前面扉仮想ルーティングおよび転送(FVRF)のすべての既存の SA が fvrf-name と同じであることを指定します。 |
ivrf ivrf-name |
(任意)内部仮想ルーティングおよび転送(IVRF)のすべての既存の SA が ivrf-name と同じであることを指定します。 |
location node-id |
(任意)SA が指定の場所で設定されることを指定します。 |
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
任意指定の引数やキーワードを使用しない場合は、フロー内のすべての SA が表示されます。 フロー内の SA は、プロトコル(カプセル化セキュリティ ペイロード(ESP)または認証ヘッダー(AH))および方向(インバウンドまたはアウトバウンド)ごとに表示されます。
detail キーワードを指定すると、ソフトウェア暗号化エンジン内で設定された SA のみの追加情報が表示されます。 SA は、tunnel-ipsec と transport を使用して設定されます。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto ipsec sa コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto ipsec sa
SSA id: 510
Node id: 0/1/0
SA Type: MANUAL
interface: service-ipsec22
profile : p7
local ident (addr/mask/prot/port) : (0.0.0.0/0.0.0.255/512/0)
remote ident (addr/mask/prot/port) : (0.0.0.0/0.0.0.0/512/0)
local crypto endpt: 0.0.0.0, remote crypto endpt: 0.0.0.0, vrf default
#pkts tx :0 #pkts rx :0
#bytes tx :0 #bytes rx :0
#pkts encrypt :0 #pkts decrypt :0
#pkts digest :0 #pkts verify :0
#pkts encrpt fail:0 #pkts decrpt fail:0
#pkts digest fail:0 #pkts verify fail:0
#pkts replay fail:0
#pkts tx errors :0 #pkts rx errors :0
outbound esp sas:
spi: 0x322(802)
transform: esp-3des-md5
in use settings = Tunnel
sa agreed lifetime: 3600s, 4194303kb
sa timing: remaining key lifetime: 3142303931sec/0kb
sa DPD: disable, mode none, timeout 0s
sa idle timeout: disable, 0s
sa anti-replay (HW accel): enable, window 64
inbound esp sas:
spi: 0x322(802)
transform: esp-3des-md5
in use settings = Tunnel
sa agreed lifetime: 3600s, 4194303kb
sa timing: remaining key lifetime: 3142303931sec/0kb
sa DPD: disable, mode none, timeout 0s
sa idle timeout: disable, 0s
sa anti-replay (HW accel): enable, window 64
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド |
説明 |
---|---|
SA id |
SA の識別子。 |
interface |
インターフェイスの識別子。 |
profile |
セキュリティ プロファイルの名前を指定する英数字の文字列。 |
local ident |
ローカル ピアの IP アドレス、マスク、プロトコル、およびポート。 |
remote ident |
リモート ピアの IP アドレス、マスク、プロトコル、およびポート。 |
outbound esp sas |
アウトバウンド ESP の SA。 |
inbound esp sas |
インバウンド ESP の SA。 |
transform |
SA で使用されるトランスフォーム。 |
sa lifetime |
SA で使用されるライフタイム値。 |
次の出力例は、show crypto ipsec sa コマンドの profile キーワードで pn1 というプロファイルを指定した場合のものです。
RP/0/RSP0/CPU0:router# show crypto ipsec sa profile pn1
SA id: 2
interface: tunnel0
profile: pn1
local ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0)
local crypto endpt: 172.19.70.92, remote crypto endpt: 172.19.72.120
outbound esp sas:
spi: 0x8b0e950f (2332988687)
transform: esp-3des-sha
in use settings = Tunnel
sa lifetime: 3600s, 4194303kb
SA id: 2
interface: tunnel0
profile: pn1
local ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0)
local crypto endpt: 172.19.72.120, remote crypto endpt: 172.19.70.92
inbound esp sas:
spi: 0x2777997c (662149500)
transform: esp-3des-sha
in use settings = Tunnel
sa lifetime: 3600s, 4194303kb
次の出力例は、show crypto ipsec sa コマンドで peer キーワードを指定した場合のものです。
RP/0/RSP0/CPU0:router# show crypto ipsec sa peer 172.19.72.120
SA id: 2
interface: tunnel0
profile: pn1
local ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0)
local crypto endpt: 172.19.70.92, remote crypto endpt: 172.19.72.120
outbound esp sas:
spi: 0x8b0e950f (2332988687)
transform: esp-3des-sha
in use settings = Tunnel
sa lifetime: 3600s, 4194303kb
SA id: 2
interface: tunnel0
profile: pn1
local ident (addr/mask/prot/port): (172.19.72.120/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.19.70.92/255.255.255.255/0/0)
local crypto endpt: 172.19.72.120, remote crypto endpt: 172.19.70.92
inbound esp sas:
spi: 0x2777997c (662149500)
transform: esp-3des-sha
in use settings = Tunnel
sa lifetime: 3600s, 4194303kb
IP セキュリティ(IPSec)のサマリー情報を表示するには、show crypto ipsec summary コマンドを EXEC モードで使用します。
show crypto ipsec summary
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto ipsec summary コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto ipsec summary # * Attached to a transform indicates a bundle # Active IPSec Sessions: 1 SA Interface Local Peer/Port Remote Peer/Port FVRF Profile Transform Lifetime ------------------------------------------------------------------------------------------ 502 tunnel-ipsec100 70.70.70.2/500 60.60.60.2/500 default ipsec1 esp-3des esp 3600/100000000
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド |
説明 |
---|---|
SA |
セキュリティ アソシエーションの識別子。 |
Node |
ノードの識別子。 |
Local Peer |
ローカル ピアの IP アドレス。 |
Remote Peer |
リモート ピアの IP アドレス |
FVRF |
SA の前面扉仮想ルーティングおよび転送(FVRF)。 FVRF がグローバルの場合は、出力の f_vrf が空のフィールドとして表示されます |
Mode |
プロファイル モードのタイプ。 |
Profile |
使用中の暗号化プロファイル。 |
Transform |
使用中のトランスフォーム。 |
Lifetime |
ライフタイム値(秒単位)の後に KB 数が続きます。 |
設定済みのトランスフォーム セットを表示するには、EXEC モードで show crypto ipsec transform-set コマンドを使用します。
show crypto ipsec transform-set [transform-set-name]
transform-set-name |
(任意)transform-set-name 引数で指定された値を持つ IPSec トランスフォーム セットが表示されます。 |
デフォルト値はありません。 デフォルトでは、すべての使用可能なトランスフォーム セットが出力されます。
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
トランスフォームを指定しない場合は、すべてのトランスフォームが表示されます。
タスク ID |
操作 |
---|---|
crypto |
read |
次に、show crypto ipsec transform-set コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show crypto ipsec transform-set
Transform set combined-des-sha: {esp-des esp-sha-hmac}
Transform set tsfm2: {esp-md5-hmac esp-3des }
Mode: Transport
Transform set tsfm1: {esp-md5-hmac esp-3des }
Mode: Tunnel
Transform set ts1: {esp-des }
Mode: Tunnel