インターネット プロトコル セキュリティ（IPSec）は、インターネット上のプライベート通信のセキュリティを確保するためのオープンスタンダードのフレームワークです。インターネット技術特別調査委員会（IETF）によって開発された標準に基づく IPsec は、パブリックネットワーク全体におけるデータ通信の機密性、完全性、真正性を保証します。IPsec は、ネットワーク全体のセキュリティポリシーを展開するための、標準ベースの柔軟なソリューションに必要なコンポーネントを提供します。

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラは IPSec の設定をサポートしています。IPSec のサポートにより、syslog トラフィックが保護されます。

このセクションでは、Cisco Catalyst 9800 シリーズ ワイヤレス コントローラと syslog（ピア IP）間の IPsec の設定方法について説明します。

IPSec は、次のネットワーク セキュリティ サービスを提供します。

• データ機密性：ネットワークにパケットを伝送する前に IPSec 送信側がパケットを暗号化できます。

• データ整合性：IPSec 受信者は、IPSec 送信者から送信されたパケットを認証し、伝送中にデータが変更されていないかを確認できます。

• データ送信元認証：IPsec 受信者は、送信された IPsec パケットの送信元を認証できます。このサービスは、データ整合性サービスに依存します。

• アンチリプレイ：IPsec 受信者は再送されたパケットを検出し、拒否できます。

IPSec は 2 つのピア（2 台のデバイスなど）間で、セキュアなトンネルを提供します。管理者は、機密性が高く、セキュアなトンネルを介して送信する必要があるパケットを定義し、セキュアなトンネルの特性を指定することによって、機密性の高いパケットを保護するために使用する必要のあるパラメータを定義します。IPsec ピアが機密パケットを認識すると、ピアは適切なセキュア トンネルを設定し、このトンネルを介してリモート ピアにパケットを送信します

正確には、このトンネルは、2 つの IPsec ピア間に確立されるセキュリティ アソシエーション（SA）のセットです。SA は、機密パケットに適用するプロトコルおよびアルゴリズムを定義し、2 つのピアが使用するキー関連情報を指定します。SA は単方向で、セキュリティプロトコルごとに確立されます。

IPsec では、管理者はアクセスリストを設定し、それらのアクセスリストをクリプトマップセットを使用してインターフェイスに適用することにより、2 つの IPsec ピア間で保護する必要のあるトラフィックを定義できます。そのため、送信元アドレスおよび宛先アドレスとオプションでレイヤ 4 プロトコルおよびポートに基づいてトラフィックを選択できます（IPsec に使用されるアクセス リストは、IPsec で保護する必要のあるトラフィックを判別するためだけに使用され、インターフェイスを通じてブロックまたは許可するトラフィックを判別するためには使用されません。インターフェイスでブロックするか許可するかは、別のアクセス リストで定義します）。

クリプト マップ セットには複数のエントリを含めることができ、それぞれが異なるアクセス リストに対応します。クリプトマップエントリは、デバイスがパケットをそのエントリで指定されたアクセスリストと照合しようとする順序で検索されます。

パケットが特定のアクセス リストの permit エントリに一致し、対応するクリプト マップ エントリがシスコとタグ付けされている場合、必要に応じて接続が確立されます。クリプト マップ エントリが ipsec-isakmp とタグ付けされている場合、IPsec がトリガーされます。このピア宛てのトラフィックを保護するために IPsec が使用できる SA が存在しない場合、IPsec は IKE を使用してリモート ピアとネゴシエーションし、データ フローに必要な IPsec SA を設定します。ネゴシエーションでは、特定のアクセス リスト エントリからのデータ フロー情報とともに、クリプト マップ エントリで指定された情報が使用されます

SA のセット（ピアへの発信）が確立されると、トリガーするパケットと後続の適用可能なパケットがデバイスを出るときにこの SA のセットが適用されます。適用可能なパケットとは、元のパケットが一致するのと同じアクセスリストの基準と一致するパケットです。たとえば、すべての適用可能なパケットを、リモート ピアに転送する前に暗号化できます。そのピアからの着信のトラフィックを処理するときには、対応する着信 SA が使用されます。

IPsec クリプトマップエントリに関連付けられたアクセスリストは、デバイスが IPsec による保護を必要とするトラフィックも表します。着信トラフィックはクリプトマップエントリに対して処理されます。保護されていないパケットが IPsec クリプトマップエントリに関連付けられた特定のアクセス リスト内の許可エントリに一致すると、そのパケットは IPsec で保護されたパケットとして送信されていないのでドロップされます。

クリプト マップ エントリには、トランスフォーム セットも含まれます。トランスフォーム セットは、IPSec で保護されたトラフィックに適用可能なセキュリティ プロトコル、アルゴリズム、およびその他の設定の有効な組み合わせです。IPSec SA のネゴシエーション中に、両ピアは特定のトランスフォーム セットを使用して特定のデータ フローを保護することに合意します。

インターネット キー エクスチェンジ バージョン 1（IKEv1）トランスフォーム セットは、セキュリティ プロトコルとアルゴリズムの特定の組み合わせを表します。IPsec SA のネゴシエーション中に、ピアは、特定のトランスフォーム セットを使用して特定のデータ フローを保護することに合意します。

特権管理者は、複数のトランスフォームセットを指定し、これらのトランスフォームセットの 1 つまたは複数をクリプトマップエントリに指定できます。クリプトマップエントリで定義されたトランスフォームセットは、このクリプトマップエントリのアクセスリストで指定されたデータフローを保護するために、IPSec SA ネゴシエーションで使用されます。

IKE との IPSec セキュリティ アソシエーションのネゴシエーション中に、ピアは両方のピア上で同じトランスフォームセットを検索します。同一のトランスフォームセットが検出された場合、そのトランスフォームセットが選択され、両方のピアの IPsec SA の一部として、保護するトラフィックに適用されます。

（注）	動作中にトランスフォームセットの定義が変更された場合、その変更は既存の SA には適用されませんが、新規の SA を確立するために以降のネゴシエーションで使用されます。新しい設定をただちに有効にする場合は、clear crypto sa コマンドを使用して、SA データベースのすべてまたは一部を消去します。

次のスニペットは、ペイロード暗号化に AES-CBC-128 を使用するように IPsec IKEv1 を設定するために役立ちます。AES-CBC-256 は、encryption aes 256 で選択できます。

device # conf t 
device (config)#crypto isakmp policy 1 
device (config-isakmp)# hash sha 
device (config-isakmp)# encryption aes 

インターネット キー エクスチェンジ バージョン 2（IKEv2）プロポーザルは、IKE_SA_INIT 交換の一部としての IKEv2 SA のネゴシエーションで使用されるトランスフォームのセットです。IKEv2 プロポーザルは、少なくとも 1 つの暗号化アルゴリズム、整合性アルゴリズム、および Diffie-Hellman（DH）グループが設定されている場合にのみ、完全であると見なされます。プロポーザルが設定されておらず、IKEv2 ポリシーに接続されていない場合、ネゴシエーションではデフォルトのプロポーザルが使用されます。次のスニペットは、デバイスの IKEv2 機能を使用した IPsec の設定に役立ちます。

device # conf t 
device(config)#crypto ikev2 proposal sample 
device(config-ikev2-proposal)# integrity sha1  
device (config-ikev2-proposal)# encryption aes-cbc-128 
device(config-ikev2-proposal)# group 14 
device(config-ikev2-proposal)# exit 
device(config)# crypto ikev2 keyring keyring-1 
device (config-ikev2-keyring)# peer peer1 
device (config-ikev2-keyring-peer)# address 192.0.2.4 255.255.255.0 
device (config-ikev2-keyring-peer)# pre-shared-key cisco123!cisco123!CISC 
device (config-ikev2-keyring-peer)# exit 
device(config)#crypto ikev2 keyring keyring-1 
device (config-ikev2-keyring)# peer peer1 
device (config-ikev2-keyring-peer)# address 192.0.2.4 255.255.255.0 
device (config-ikev2-keyring-peer)# pre-shared-key cisco123!cisco123!CISC 
device (config-ikev2-keyring-peer)# exit 
device(config)#crypto logging ikev2 

選択した IKE バージョンに関係なく、IPsec ESP 暗号化と整合性、および IPsec の存続時間に適切な変換を使用してデバイスを設定する必要があります。

device (config)# crypto ipsec transform-set example esp-aes 128 esp-sha-hmac 

これにより、HMAC-SHA-1 および AES-CBC-128 を使用するように IPsec ESP が設定されることに注意してください。これを他の許可されたアルゴリズムに変更するには、上記のコマンドの esp-aes 128 を次のオプションに置き換えます。

（注）	ここで選択するキーのサイズは、IKE 暗号化設定で選択したキーサイズ以下にする必要があります。IKE 暗号化で使用するために AES-CBC-128 がここで選択された場合は、AES-CBC-128 または AES-GCM-128 のみをここで選択できます。

device(config-crypto)# mode tunnel 

これにより、IPsec のトンネルモードが設定されます。トンネルはデフォルトですが、トンネルモードを明示的に指定することで、デバイスはトンネルモードをリクエストし、トンネルモードのみを受け入れるようになります。

device(config-crypto)# mode transport 

これにより、IPsec の転送モードが設定されます。

device(config)# crypto ipsec security-association lifetime seconds 28800 

フェーズ 2 SA のデフォルトの時間値は 1 時間です。デフォルトを使用できるため、この設定に必要な設定はありません。ただし、セキュリティターゲットで要求されているように設定を 8 時間に変更するには、上記のように crypto ipsec security-association lifetime コマンドを使用できます。

device(config)# crypto ipsec security-association lifetime kilobytes 100000 

これにより、フェーズ 2 SA のトラフィックの存続時間が 100 MB に設定されます。この設定のデフォルトは 2560KB です。これは、このコマンドで設定可能な最小値です。このコマンドで設定できる最大値は 4GB です。

ピアとの IPsec セッションが予期せず中断された場合、接続は切断されます。このシナリオでは、管理上の操作は必要ありません。ピアがオンラインに戻ると、IPsec セッションが再確立されます（新しい SA がセットアップされます）。

次の出力例は、IPSec の [isakmp] 設定を示しています。

crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 14
 lifetime 28800

crypto isakmp key 0 Cisco!123 address 192.0.2.4 
crypto isakmp peer address 192.0.2.4

crypto ipsec transform-set aes-gcm-256 esp-gcm 256 
 mode tunnel

crypto map IPSEC_ewlc_to_syslog 1 ipsec-isakmp 
 set peer 192.0.2.4
 set transform-set aes-gcm-256 
 match address acl_ewlc_to_syslog

interface Vlan15
 crypto map IPSEC_ewlc_to_syslog
end

次に、isakmp 設定で IPSec トラフィック設定を確認する例を示します。

Device# show crypto map 
Crypto Map IPv4 "IPSEC_ewlc_to_syslog" 1 ipsec-isakmp
        Peer = 192.0.2.4
        Extended IP access list acl_ewlc_to_syslog
            access-list acl_ewlc_to_syslog permit ip host 192.0.2.2 host 192.0.2.4
        Current peer: 192.0.2.4
        Security association lifetime: 4608000 kilobytes/3600 seconds
        Responder-Only (Y/N): N
        PFS (Y/N): N
        Mixed-mode : Disabled
        Transform sets={ 
                aes-gcm-256:  { esp-gcm 256  } , 
        }
        Interfaces using crypto map IPSEC_ewlc_to_syslog:
                Vlan15

Device# show crypto isakmp sa 
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
192.0.2.5       192.0.2.4       QM_IDLE           1011 ACTIVE

IPv6 Crypto ISAKMP SA

Device# show crypto ipsec sa 

interface: Vlan15
    Crypto map tag: IPSEC_ewlc_to_syslog, local addr 192.0.2.5

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.0.2.5/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (192.0.2.4/255.255.255.255/0/0)
   current_peer 192.0.2.4 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 1626, #pkts encrypt: 1626, #pkts digest: 1626
    #pkts decaps: 1625, #pkts decrypt: 1625, #pkts verify: 1625
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.0.2.5, remote crypto endpt.: 192.0.2.4
     plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb Vlan15
     current outbound spi: 0x17FF2F4C(402599756)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x4B77AD78(1266134392)
        transform: esp-gcm 256 ,
        in use settings ={Tunnel, }
        conn id: 2041, flow_id: HW:41, sibling_flags FFFFFFFF80004048, crypto map: IPSEC_ewlc_to_syslog
        sa timing: remaining key lifetime (k/sec): (4607904/1933)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x17FF2F4C(402599756)
        transform: esp-gcm 256 ,
        in use settings ={Tunnel, }
        conn id: 2042, flow_id: HW:42, sibling_flags FFFFFFFF80004048, crypto map: IPSEC_ewlc_to_syslog
        sa timing: remaining key lifetime (k/sec): (4607904/1933)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)
          
     outbound ah sas:
     outbound pcp sas:

Device# show ip access-lists acl_ewlc_to_syslog
Extended IP access list acl_ewlc_to_syslog
    10 permit ip host 192.0.2.5 host 192.0.2.4 (17 matches)

次の出力例は、IPSec の IKEv2 設定を示しています。

topology : [192.0.2.6]DUT — (infra) — PEER[192.0.2.9]

ikev2 config in 192.0.2.6 (peer is 192.0.2.9)
hostname for 192.0.2.9: Edison-M1
hostname for 192.0.2.6: prsna-nyquist-192.0.2.6

ip access-list extended ikev2acl
 permit ip host 192.0.2.6 host 192.0.2.9

crypto ikev2 proposal PH1PROPOSAL 
 encryption aes-cbc-256
 integrity sha256
 group 14
!
crypto ikev2 policy PH1POLICY 
 proposal PH1PROPOSAL

crypto ikev2 keyring PH1KEY
  peer Edison-M1
  address 192.0.2.9
  pre-shared-key Cisco!123Cisco!123Cisco!123


crypto ikev2 profile PH1PROFILE
 match identity remote address 192.0.2.9 255.255.255.255 
 authentication remote pre-share
 authentication local pre-share
 keyring local PH1KEY

crypto ipsec transform-set aes256-sha1 esp-aes 256 esp-sha-hmac 
 mode tunnel

crypto map ikev2-cryptomap 1 ipsec-isakmp 
 set peer 192.0.2.9
 set transform-set aes256-sha1 
 set ikev2-profile PH1PROFILE
 match address ikev2acl

interface Vlan15
 ip address 192.0.2.6 255.255.255.0
 crypto map ikev2-cryptomap

次に、IKEv2 設定で IPSec トラフィック設定を確認する例を示します。

Device# show ip access-lists 
Extended IP access list ikev2acl
    10 permit ip host 192.0.2.6 host 192.0.2.9 (80 matches)

prsna-nyquist-192.0.2.6#show crypto map 
Crypto Map IPv4 "ikev2-cryptomap" 1 ipsec-isakmp
        Peer = 192.0.2.9
        IKEv2 Profile: PH1PROFILE
        Extended IP access list ikev2acl
            access-list ikev2acl permit ip host 192.0.2.6 host 192.0.2.9
        Current peer: 192.0.2.9
        Security association lifetime: 4608000 kilobytes/3600 seconds
        Responder-Only (Y/N): N
        PFS (Y/N): N
        Mixed-mode : Disabled
        Transform sets={ 
                aes256-sha1:  { esp-256-aes esp-sha-hmac  } , 
        }
        Interfaces using crypto map ikev2-cryptomap:
                Vlan15
Device# show crypto ikev2 sa detailed 
 IPv4 Crypto IKEv2  SA 

Tunnel-id Local                 Remote                fvrf/ivrf            Status 
1         192.0.2.6/500         192.0.2.9/500          none/none            READY  
      Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/1002 sec
      CE id: 1089, Session-id: 2
      Status Description: Negotiation done
      Local spi: 271D20169FE91074       Remote spi: 13895472E3B910AF
      Local id: 192.0.2.6
      Remote id: 192.0.2.9
      Local req msg id:  2              Remote req msg id:  0         
      Local next msg id: 2              Remote next msg id: 0         
      Local req queued:  2              Remote req queued:  0         
      Local window:      5              Remote window:      5         
      DPD configured for 0 seconds, retry 0
      Fragmentation not  configured.
      Dynamic Route Update: disabled
      Extended Authentication not configured.
      NAT-T is not detected  
      Cisco Trust Security SGT is disabled
      Initiator of SA : Yes
Device# show crypto ipsec sa detail 

interface: Vlan15
    Crypto map tag: ikev2-cryptomap, local addr 192.0.2.6

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.0.2.6/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (192.0.2.9/255.255.255.255/0/0)
   current_peer 192.0.2.9 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 80, #pkts encrypt:80, #pkts digest: 80
    #pkts decaps: 80, #pkts decrypt: 80, #pkts verify: 80
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #pkts no sa (send) 0, #pkts invalid sa (rcv) 0
    #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
    #pkts invalid prot (recv) 0, #pkts verify failed: 0
    #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
    #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
    ##pkts replay failed (rcv): 0
    #pkts tagged (send): 0, #pkts untagged (rcv): 0
    #pkts not tagged (send): 0, #pkts not untagged (rcv): 0
    #pkts internal err (send): 0, #pkts internal err (recv) 0
          
     local crypto endpt.: 192.0.2.6, remote crypto endpt.: 192.0.2.9
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Vlan15
     current outbound spi: 0xB546157A(3041269114)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x350925BC(889791932)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 838, flow_id: 838, sibling_flags FFFFFFFF80000040, crypto map: ikev2-cryptomap
        sa timing: remaining key lifetime (k/sec): (4287660676/2560)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB546157A(3041269114)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 837, flow_id: 837, sibling_flags FFFFFFFF80000040, crypto map: ikev2-cryptomap
        sa timing: remaining key lifetime (k/sec): (4287660672/2560)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas: