逆ルート注入
Reverse Route Injection(RRI; 逆ルート注入)とは、リモート トンネル エンドポイントによって保護されているネットワークおよびホストのルーティング プロセスに、スタティック ルートを自動的に組み込む機能です。保護されているホストおよびネットワークをリモート プロキシ ID といいます。
各ルートはリモート プロキシ ネットワークおよびマスクを基に作成され、このネットワークへのネクストホップがリモート トンネル エンドポイントになります。ネクストホップとして Virtual Private Network(VPN; バーチャル プライベート ネットワーク)のリモート ルータを使い、暗号化プロセスによってトラフィックを強制的に暗号化します。
Cisco IOS Release 12.3(14)T の Reverse Route Injection(RRI)機能に、RRI のデフォルト動作の拡張機能、ルート タグ値の追加、RRI の設定方法の拡張機能が追加されました。
Cisco IOS Release 12.4(15)T には、VPN プロセスによって作成されたルートにディスタンス メトリックを設定する拡張機能が追加されました。この拡張機能により、ルータでダイナミックに学習されたルートを、ローカルに設定されているスタティック ルートより優先されることができます。
この章で紹介する機能情報の入手方法
ご使用の Cisco IOS ソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。 この章に記載されている特定の機能に関する説明へのリンク、および各機能がサポートされているリリースのリストについては、「RPI の機能情報」を参照してください。
プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索するには
Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
逆ルート注入の前提条件
• RRI で生成されたスタティック ルートの伝播にダイナミック ルーティング プロトコルを使用する場合は、IP ルーティングをイネーブルにし、スタティック ルートを再配布する必要があります。
逆ルート注入の制約事項
• RRI をクリプト マップに適用する際、そのクリプト マップはルータのインターフェイスごとに一意でなければなりません。つまり、同じクリプト マップは複数のインターフェイスに適用できないということです。複数のクリプト マップを複数のインターフェイスに適用すると、ルートが正しくクリーンアップされないことがあります。複数のインターフェイスに 1 つのクリプト マップが必要な場合は、一意に定義したマップを各インターフェイスで使用する必要があります。この制約があるのは、Cisco IOS Release 12.3(14)T 以前のリリースの RRI だけです。
• スタティック クリプト マップでは、適用済みのクリプト マップに RRI が設定されている場合、必ずルートが存在します。Cisco IOS Release 12.3(14)T では、(スタティック マップに常に存在するルートの)デフォルトの動作は適用されません。ただし、キーワード static を reverse-route コマンドに追加している場合は除きます。
逆ルート注入に関する情報
逆ルート注入の拡張機能を設定するには、次の概念を理解しておく必要があります。
• 「逆ルート注入」
• 「Cisco IOS Release 12.4(15)T の RRI の拡張機能」
逆ルート注入
RRI とは、リモート トンネル エンドポイントによって保護されているネットワークとホストのルーティング プロセスに、スタティック ルートを自動的に組み込む機能です。保護されているホストおよびネットワークをリモート プロキシ ID といいます。
各ルートはリモート プロキシ ネットワークおよびマスクを基に作成され、このネットワークへのネクストホップがリモート トンネル エンドポイントになります。ネクストホップとして VPN のリモート ルータを使い、暗号化プロセスによってトラフィックを強制的に暗号化します。
スタティック ルートを VPN ルータ上に作成すると、その情報がアップストリーム デバイスに伝播され、戻されてくるトラフィックの送信先となる適切な VPN ルータが判定可能になることで、IPsec のステート フローを維持します。適切な VPN ルータを判定することができれば、サイトで複数の VPN ルータを使用してロード バランシングやフェールオーバーを実行する場合や、デフォルト ルートでリモート VPN デバイスにアクセスできない場合に特に役立ちます。ルートは、グローバル ルーティング テーブルまたは適切な Virtual Route Forwarding(VRF; VPN ルーティングおよび転送)テーブルに作成されます。
スタティック クリプト マップ テンプレートであってもダイナミック クリプト マップ テンプレートであっても、RRI はクリプト マップごとに適用されます。この 2 つのタイプのマップのデフォルト動作は次のとおりです。
• ダイナミック クリプト マップでは、ルートは、リモート プロキシの IPsec セキュリティ アソシエーション(SA)が正常に確立されるとすぐに作成されます。これらのリモート プロキシに戻るネクストホップは、ダイナミック クリプト マップ テンプレートの作成中に学習、適用されるアドレスのリモート VPN ルータを経由します。このルートは SA の削除後に削除されます。Cisco IOS Release 12.3(14)T には、スタティック クリプト マップの IPsec ソース プロキシを基にしたルート作成が追加されました。この動作がスタティック マップでのデフォルトの動作になり、クリプト ACL を基にしたルート作成(次の黒丸を参照)を無効にしました。
• スタティック クリプト マップでは、クリプト アクセス リストに定義されている宛先情報を基にルートが作成されます。ネクストホップは、クリプト マップにアタッチされている最初の set peer 文から取得します。RRI、ピア、またはアクセス リストがクリプト マップから削除されると、必ずルートも削除されます。この動作は、以降の項で説明するように、RRI の拡張機能を追加することで変わります。
RRI ディスタンス メトリック
一般に、スタティック ルートはアドミニストレーティブ ディスタンスが 1 で作成されます。これはルーティング テーブルで常にスタティック ルートに優先権があることを意味します。ただし場合によっては、ダイナミックに学習されたルートの方をスタティック ルートより優先させる必要があります(ダイナミックに学習されたルートがない場合はスタティック ルートを使用)。クリプト マップまたは IPsec プロファイルのいずれかで set reverse-route distance コマンドを実行すると、VPN で作成されたルートに別のディスタンス メトリックを指定することで、ダイナミック ルートまたは優先度の高いルートを使用できない場合だけそのルートが有効になるようにできます。
ゲートウェイ オプション
この RRI ゲートウェイ オプションを指定できるのはクリプト マップだけです。
このオプションを使用すると、リモート トンネル エンドポイントに対して一意のネクストホップまたはゲートウェイを設定できます。このオプションは、各 VPN トンネルでルートが 2 つ作成されるという点で、Cisco IOS Release 12.3(14)T よりも前の reverse-route remote-peer { ip-address } コマンドと動作が同じです。1 番目のルートは、リモート トンネル エンドポイントを経由して、宛先が保護されたサブネットに向かいます。2 番目のルートは、このトンネル エンドポイントに到達するためのネクストホップを指定します。この RRI ゲートウェイ オプションを使用すると、ルートの再帰検索をサポートするプラットフォームで、特定のデフォルト パスを VPN 接続の特定のグループに指定できます。
(注) 12.4(15)T 以降のリリースでは、キーワード オプション gateway は reverse-route remote-peer コマンド(IP アドレスの指定なし)に変わっています。Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)に変更があったため、ネクストホップ IP アドレスを追加せずにインターフェイスをネクストホップとしては使用できません。
IPsec プロファイルにおける RRI のサポート
RRI を使用できるのは、以前はクリプト マップ コンフィギュレーションだけでした。Cisco IOS Release 12.4(15)T は、主に仮想トンネル インターフェイスに使用されている、IPsec プロファイルの関連 RRI オプションをサポートしています。トンネル インターフェイスでは、一般的な RRI 機能を使ったディスタンス メトリックとタグ オプションだけが有効です。
(注) Easy VPN クライアントのダイナミック バーチャル インターフェイスでは、RRI を特にイネーブルにする必要はありません。ルート サポートはデフォルトでイネーブルになっています。必要に応じて、タグまたはディスタンス メトリックの値を指定する必要があります。
タグ オプション設定の変更点
タグ オプションは 12.3(14)T でクリプト マップ向けに導入されました。現在このオプションは、IPsec プロファイルでサポート( set reverse-route tag コマンド構文)されています。また、 set reverse-route tag コマンドは、最適化のためにクリプト マップでも使用できます。ただし、従来の reverse-route tag コマンドはサポートされていません。
show crypto route コマンド
show crypto route コマンドは、RRI または Easy VPN virtual tunnel interface(VTI; 仮想トンネル インターフェイス)を介して IPsec で作成されたルートを表示します。ルートは 1 つの表で表示されます。 show crypto route コマンドのサンプル出力については、 「show crypto route コマンドの出力:例」 の項を参照してください。
RRI の設定方法
ここでは、Cisco IOS ソフトウェアのリリース 12.4(15)T 以前およびリリース 12.4(15)T の RRI の設定方法を説明します。
• 「12.4(15)T 以前の Cisco IOS リリースのクリプト マップにおける RRI の設定」
• 「Cisco IOS Release 12.4(15)T に追加された拡張機能による RRI の設定」
スタティック クリプト マップにおける RRI の設定
リリース 12.4(15)T よりも前の Cisco IOS ソフトウェアのスタティック クリプト マップで RRI を設定するには、以下の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto map { map-name } { seq-name } ipsec-isakmp
4. reverse-route [ static | tag tag-id [ static ] | remote-peer [ static ] | remote-peer ip-address [ static ]]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto map { map-name } { seq-name } ipsec-isakmp
Router (config)# crypto map mymap 1 ipsec-isakmp |
クリプト マップ エントリを作成または変更し、クリプト マップ コンフィギュレーション モードを開始します。 |
ステップ 4 |
reverse-route [ static | tag tag-id [ static ] | remote-peer [ static ] | remote-peer ip-address [ static ]]
Router (config-crypto-map)# reverse-route remote peer 10.1.1.1 |
クリプト マップ エントリのソース プロキシ情報を作成します。 |
ダイナミック マップ テンプレートでの RRI の設定
リリース 12.4(15)T よりも前の Cisco IOS ソフトウェアのダイナミック マップ テンプレートで RRI を設定するには、以下の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto dynamic-map dynamic-map-name dynamic-seq-name
4. reverse-route [ static | tag tag-id [ static ] | remote-peer [ static ] | remote-peer ip-address [ static ]]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto dynamic-map dynamic-map-name dynamic-seq-name
Router (config)# crypto dynamic-map mymap 1 |
ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション コマンド モードを開始します。 |
ステップ 4 |
reverse-route [ static | tag tag-id [ static ] | remote-peer [ static ] | remote-peer ip-address [ static ]]
Router (config-crypto-map)# reverse-route remote peer 10.1.1.1 |
クリプト マップ エントリのソース プロキシ情報を作成します。 |
スタティック クリプト マップにおける RRI 拡張機能の設定
スタティック クリプト マップで RRI 拡張機能を設定するには(Cisco IOS Release 12.4(15)T 以降のリリース)、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto map map-name seq-name ipsec-isakmp
4. reverse-route [ static | remote-peer ip-address [ gateway ] [ static ]]
5. set reverse-route [ distance number | tag tag-id ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto map map-name seq-name ipsec-isakmp
Router (config)# crypto map mymap 1 ipsec-isakmp |
クリプト マップ エントリを作成または変更し、クリプト マップ コンフィギュレーション モードを開始します。 |
ステップ 4 |
reverse-route [ static | remote-peer ip-address [ gateway ] [ static ]]
Router (config-crypto-map)# reverse-route |
クリプト マップ エントリのソース プロキシ情報を作成します。 を追加すると、デュアル ルート機能をイネーブルにしてデフォルト ゲートウェイをサポートできます。 |
ステップ 5 |
set reverse-route [ distance number | tag tag-id ]
Router (config-crypto-map)# set reverse-route distance 20 |
使用するディスタンス メトリック、またはルートに関連づけるタグ値を指定します。 |
ダイナミック マップ テンプレートにおける RRI および拡張機能の設定
ダイナミック マップ テンプレートで RRI 拡張機能を設定するには(Cisco IOS Release 12.4(15)T 以降のリリースの場合)、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto dynamic-map dynamic-map-name dynamic-seq-name
4. reverse-route [ static | remote-peer ip-address [ gateway ] [ static ]]
5. set reverse-route [ distance number | tag tag-id ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto dynamic-map dynamic-map-name dynamic-seq-name
Router (config)# crypto dynamic-map mymap 1 |
ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション コマンド モードを開始します。 |
ステップ 4 |
reverse-route [ static | remote-peer ip-address [ gateway ] [ static ]]
Router (config-crypto-map)# reverse-route remote peer 10.1.1.1 gateway |
クリプト マップ エントリのソース プロキシ情報を作成します。 |
ステップ 5 |
set reverse-route [ distance number | tag tag-id ]
Router (config-crypto-map)# set reverse-route distance 20 |
使用するディスタンス メトリック、またはルートに関連づけるタグ値を指定します。 |
IPsec プロファイルにおける RRI ディスタンス メトリックの設定
IPsec プロファイルで Cisco IOS Release 12.4(15)T 以降のリリースの RRI ディスタンス メトリックを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec profile name
4. set reverse-route [ distance number | tag tag-id ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec profile name
Router (config)# crypto ipsec profile myprofile |
IPsec プロファイルを作成または変更し、IPsec プロファイル コンフィギュレーション モードを開始します。 |
ステップ 4 |
set reverse-route [ distance number | tag tag-id ]
Router (config-crypto-profile)# set reverse-route distance 20 |
各スタティック ルートのディスタンス メトリックを定義するか、RRI によって作成されたルートにタグを設定します。 • distance :各スタティック ルートのディスタンス メトリックを定義します。 • tag :ルート マップを使用した分散を制御するための「照合」値として使用可能なタグ値を設定します。 |
RRI または Easy VPN VTI を介して IPsec で作成されたルートの確認
RRI または Easy VPN VTI を介して IPsec で作成されたルートを表示するには、次の手順を実行します。
手順の概要
1. enable
2. show crypto route
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show crypto route
Router# show crypto route |
RRI または Easy VPN VTI を介して IPsec で作成されたルートを表示します。 |
RRI の設定例
ここでは、次の各手順について説明します。
• 「Cisco IOS Release 12.3(14)T よりも前の RRI の設定:例」
• 「Cisco IOS Release 12.3(14)T に追加された拡張機能による RRI の設定:例」
• 「Cisco IOS Release 12.4(15)T に追加された拡張機能による RRI の設定:例」
Crypto ACL が存在する場合の RRI の設定:例
次に、すべてのリモート VPN ゲートウェイを 192.168.0.3 でルータに接続している例を示します。RRI がスタティック クリプト マップに追加され、crypto access control list(ACL; アクセス コントロール リスト)で定義されている発信元ネットワークおよび発信元ネットマスクを基にルートを作成します。
crypto map mymap 1 ipsec-isakmp
set transform-set esp-3des-sha
Interface FastEthernet 0/0
ip address 192.168.0.2 255.255.255.0
crypto map mymap redundancy group1
access-list 102 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.255.255
Cisco IOS Release 12.3(14)T 以降のリリースの場合、クリプト ACL の内容を基にスタティック マップでルート作成と同じ動作を維持するには、キーワード static が必要です( reverse-route static )。
(注) この場合の reverse-route コマンドは、次のスタティック ルート Command-Line Interface(CLI; コマンドライン インターフェイス)コマンド(ip route)を使った場合と似たルートを作成します。
リモート トンネル エンドポイント
ip route 10.1.1.1 255.255.255.255 192.168.1.1
VPNSM
ip route 10.1.1.1 255.255.255.255 vlan0.1
2 つのルート(リモート エンドポイント用とルート再帰用)を作成する場合の RRI の設定:例
次に、クリプト マップが設定されているインターフェイスを介して、リモート エンドポイント用とリモート エンドポイントへのルート再帰用の 2 つのルートを作成する場合の例を示します。
reverse-route remote-peer
Crypto ACL が存在する場合の RRI の設定:例
次に、ACL が既に存在する状況で RRI を設定する例を示します。
crypto map mymap 1 ipsec-isakmp
set transform-set esp-3des-sha
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.17.11.0 0.0.0.255
ルート タグを使った RRI の設定:例
次に、RRI で作成されたルートにタグ番号付きでタグを設定した後、タグを設定したそのルートをルーティング プロセスで使用してルート マップを介して再配布する方法の例を示します。
crypto dynamic-map ospf-clients 1
redistribute rip route-map rip-to-ospf
route-map rip-to-ospf permit
Router# show ip eigrp topology
P 10.81.7.48/29, 1 successors, FD is 2588160, tag is 5
via 192.168.82.25 (2588160/2585600), FastEthernet0/1
ユーザが定義したネクストホップを介したリモート プロキシへのルートを 1 つ作成する RRI の設定:例
(注) このオプションを適用できるのはクリプト マップだけです。
上記の例では、ユーザが定義したネクストホップを介したリモート プロキシへのルートを 1 つ作成しました。このネクストホップでは、デフォルト ルートに再帰する場合を除き、再帰ルート検索は必要ありません。
reverse-route remote-peer 10.4.4.4
Cisco IOS Release 12.3(14)T よりも前のリリースでは、上記の例は次のような出力になります。
10.0.0.0/24 via 10.1.1.1 (in the VRF table if VRFs are configured)
10.1.1.1/32 via 10.4.4.4 (in the global route table)
また、RRI 拡張機能を使うと次のような結果になります。
10.0.0.0/24 via 10.4.4.4 (in the VRF table if VRFs are configured, otherwise in the global table)
クリプト マップにおける RRI ディスタンス メトリックの設定:例
次に、RRI ディスタンス メトリックがクリプト マップに設定されているサーバおよびクライアントの設定を示します。
サーバ
set security-association lifetime seconds 300
set transform-set 3dessha
set isakmp-profile profile1
set reverse-route distance 20
クライアント
crypto ipsec client ezvpn ez
username XXX password XXX
ルート タグを使った RRI の設定:例
次に、RRI で作成されたルートにタグ番号付きでタグを設定した後、タグを設定したそのルートをルーティング プロセスで使用してルート マップを介して再配布する方法の例を示します。
crypto dynamic-map ospf-clients 1
redistribute rip route-map rip-to-ospf
route-map rip-to-ospf permit
Router# show ip eigrp topology
P 10.81.7.48/29, 1 successors, FD is 2588160, tag is 5
via 192.168.82.25 (2588160/2585600), FastEthernet0/1
debug コマンドおよび show コマンドによる、クリプト マップにおける RRI ディスタンス メトリックの設定の出力:例
次に、 debug コマンドおよび show コマンドを使って出力した、サーバのクリプト マップにおける RRI ディスタンス メトリックの設定を示します。
Router# debug crypto ipsec
00:23:37: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= 10.0.0.119, remote= 10.0.0.14,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 192.168.6.1/255.255.255.255/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
00:23:37: IPSEC(key_engine): got a queue event with 1 KMI message(s)
00:23:37: IPSEC(rte_mgr): VPN Route Event create routes for peer or rekeying for
00:23:37: IPSEC(rte_mgr): VPN Route Refcount 1 FastEthernet0/0
00:23:37: IPSEC(rte_mgr): VPN Route Added 192.168.6.1 255.255.255.255 via 10.0.0.14 in IP DEFAULT TABLE with tag 0 distance 20
00:23:37: IPSEC(policy_db_add_ident): src 0.0.0.0, dest 192.168.6.1, dest_port 0
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.0.14 to network 0.0.0.0
C 192.200.200.0/24 is directly connected, Loopback0
10.20.20.20/24 is subnetted, 1 subnets
C 10.30.30.30 is directly connected, Loopback4
C 192.168.5.0/24 is directly connected, Loopback3
10.20.20.20/24 is subnetted, 2 subnets
S 10.3.1.0 [1/0] via 10.0.0.113
C 10.20.20.20 is directly connected, FastEthernet0/0
192.168.6.0/32 is subnetted, 1 subnets
S 192.168.6.1 [20/0] via 10.0.0.14
C 192.168.3.0/24 is directly connected, Loopback2
10.15.0.0/24 is subnetted, 1 subnets
C 10.15.0.0 is directly connected, Loopback6
S* 0.0.0.0/0 [1/0] via 10.0.0.14
VTI の RRI ディスタンス メトリックの設定:例
次に、VTI に RRI ディスタンス メトリックが設定されているサーバおよびクライアントの設定を示します。
サーバの設定
crypto isakmp profile profile1
match identity group cisco
client authentication list authenlist
isakmp authorization list autholist
client configuration address respond
set transform-set 3dessha
set reverse-route distance 20
set isakmp-profile profile1
interface Virtual-Template1 type tunnel
tunnel protection ipsec profile vi
クライアントの設定
crypto ipsec client ezvpn ez
username XXX password XXX
debug コマンドおよび show コマンドによる、VTI が設定されている RRI メトリックの設定の出力:例
次に、 debug コマンドおよび show コマンドを使って出力した、サーバの VTI の RRI メトリックの設定を示します。
Router# debug crypto ipsec
00:47:56: IPSEC(key_engine): got a queue event with 1 KMI message(s)
00:47:56: Crypto mapdb : proxy_match
00:47:56: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same pro
00:47:56: IPSEC(rte_mgr): VPN Route Event create routes for peer or rekeying for
00:47:56: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
00:47:56: IPSEC(rte_mgr): VPN Route Added 192.168.6.1 255.255.255.255 via Virtua
l-Access2 in IP DEFAULT TABLE with tag 0 distance 20
00:47:56: IPSEC(policy_db_add_ident): src 0.0.0.0, dest 192.168.6.1, dest_port 0
00:47:56: IPSEC(create_sa): sa created,
(sa) sa_dest= 10.0.0.110, sa_proto= 50,
sa_spi= 0x19E1175C(434181980),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 87
00:47:56: IPSEC(create_sa): sa created,
(sa) sa_dest= 10.0.0.14, sa_proto= 50,
sa_spi= 0xADC90C5(182227141),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 88
00:47:56: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, chang
00:47:56: IPSEC(key_engine): got a queue event with 1 KMI message(s)
00:47:56: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
00:47:56: IPSEC(key_engine_enable_outbound): enable SA with spi 182227141/50
00:47:56: IPSEC(update_current_outbound_sa): updated peer 10.0.0.14 current outb
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.0.14 to network 0.0.0.0
C 192.200.200.0/24 is directly connected, Loopback0
10.20.20.20/24 is subnetted, 1 subnets
C 10.30.30.30 is directly connected, Loopback4
C 192.168.5.0/24 is directly connected, Loopback3
10.20.20.20/24 is subnetted, 2 subnets
S 10.3.1.0 [1/0] via 10.0.0.113
C 10.20.20.20 is directly connected, FastEthernet0/0
192.168.6.0/32 is subnetted, 1 subnets
S 192.168.6.1 [20/0] via 0.0.0.0, Virtual-Access2
C 192.168.3.0/24 is directly connected, Loopback2
10.15.0.0/24 is subnetted, 1 subnets
C 10.15.0.0 is directly connected, Loopback6
S* 0.0.0.0/0 [1/0] via 10.0.0.14
show crypto route コマンドの出力:例
次に、RRI または Easy VPN VTI を介して IPsec で作成されたルート(1 テーブル)の出力例を示します。
Router# show crypto route
VPN Routing Table: Shows RRI and VTI created routes
Codes: RRI - Reverse-Route, VTI- Virtual Tunnel Interface
Routes created in table GLOBAL DEFAULT
192.168.6.2/255.255.255.255 [0/0] via 10.0.0.133
10.1.1.0/255.255.255.0 [10/0] via Virtual-Access2 VTI
192.168.6.1/255.255.255.255 [0/0] via Virtual-Access2 VTI
その他の参考資料
ここでは、RRI 拡張機能の関連資料について説明します。
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
RPI の機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2007-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2007-2011, シスコシステムズ合同会社.
All rights reserved.