パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

ダウンロード オプション

  • PDF     (230.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (105.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (300.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 11 月 13 日
Document ID:200243

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

この資料が収集装置に IPSecトンネルを通して AVC トラフィックを通過させるために必要な設定を説明したものです。 デフォルトで、AVC 情報は収集装置に IPSecトンネルを渡ってエクスポートすることができません

前提条件

Cisco はこれらのトピックの基本的な知識があることを推奨します:

  • アプリケーションの可視性と制御(AVC)
  • 容易なパフォーマンスモニタ(EzPM)

背景説明

複数のアプリケ− ションに認識し、分析し、制御するのに Cisco AVC 機能が使用されています。 よりよいエンドユーザ体験に終ってネットワークで、アプリケーション 帯域幅 使用の粒状制御のための AVC 有効アプリケーション単位のポリシー、動作するアプリケーションのパフォーマンスに表示とネットワークインフラストラクチャに、構築されてアプリケーション 対応が。 このテクノロジーについてのより多くの詳細を見つけることができます。

EzPM は従来のパフォーマンスの監視 設定を設定するより速く、簡単な方法です。 現在 EzPM は提供しません従来のパフォーマンスモニタ 設定 モデルの完全な柔軟性を。 EzPM についてのより多くの詳細を見つけることができます。

制限事項

現在 AVC はパススルー トンネリング プロトコルの数を、詳細ここに見つけることができますサポートしません。

インターネット プロトコル セキュリティによって(IPSec)は AVC およびこの資料のためのサポートされていないパススルー トンネリング プロトコルの 1 つ当たりますこの制限のための可能性のある回避策がです。

設定

このセクションはある特定の制限を模倣するのに使用される完全な設定を説明します。

ネットワーク図

EzPM_Network_Diagram.png

このネットワークダイアグラムでルータ全員にスタティック・ルートを使用して到達可能性が互いにあります。 R1 は EzPM 設定で設定され、R2 ルータによって確立される 1 つの IPSecトンネルがあります。 R3 はエクスポーターもの Cisco プライム記号またはパフォーマンスデータを収集することができる他のどの種類である可能性があるエクスポーターとしてここにはたらいています。

AVC トラフィックは R1 によって生成され、R2 によってエクスポーターに送信 されます。 R1 は IPSecトンネル インターフェイス上の R2 に AVC トラフィックを送信 します。

初期設定

このセクションは R1 によって R3 のための初期設定を説明します。

R1

!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!

interface GigabitEthernet0/1

 ip address 172.16.1.1 255.255.255.0

 duplex auto

 speed auto

!

IP ルート 0.0.0.0 0.0.0.0 172.16.1.2

R2

!

インターフェイス GigabitEthernet0/0/0

 IP アドレス 172.16.2.2 255.255.255.0

 ネゴシエーション自動

 !

インターフェイス GigabitEthernet0/0/1

 ip address 172.16.1.2 255.255.255.0

 ネゴシエーション自動

!

R3

!

インターフェイス GigabitEthernet0/0

 ip address 172.16.2.1 255.255.255.0

 duplex auto

 speed auto

!

IP ルート 0.0.0.0 0.0.0.0 172.16.2.2

!

IPSec の設定

このセクションは R1 および R2 ルータのための IPSec構成を説明します。

R1

!

IPアクセスリスト拡張 IPSec_Match

 割り当て IP ホスト 172.16.2.1

!

crypto isakmp policy 1

 encr aes 256

 hash md5

 authentication pre-share

 グループ 2

暗号 isakmp key cisco123 アドレス 172.16.1.2

!

!

暗号 IPSec トランスフォーム セット set2 esp-aes 256 esp-sha-hmac

 モード トンネル

!

!

crypto map vpn 10 ipsec-isakmp

 一定ピア 172.16.1.2

 transform-set set2 を設定 して下さい

 アドレス IPSec_Match を一致する

!

interface GigabitEthernet0/1

 ip address 172.16.1.1 255.255.255.0

 duplex auto

 speed auto

 crypto map vpn

!

R2

!

IPアクセスリスト拡張 IPSec_Match

 割り当て IPホスト 172.16.2.1

!

crypto isakmp policy 1

 encr aes 256

 hash md5

 authentication pre-share

 グループ 2

暗号 isakmp key cisco123 アドレス 172.16.1.1

!

!

暗号 IPSec トランスフォーム セット set2 esp-aes 256 esp-sha-hmac

 モード トンネル

!

!

crypto map vpn 10 ipsec-isakmp

 一定ピア 172.16.1.1

 transform-set set2 を設定 して下さい

 アドレス IPSec_Match を一致する

 反転ルート

!

インターフェイス GigabitEthernet0/0/1

 ip address 172.16.1.2 255.255.255.0

 ネゴシエーション自動

 cdp enable

 crypto map vpn

!

IPSec 構成が予想通りはたらいているかどうか確かめるために、show crypto isakmp sa があるように出力を確認して下さい

R1#show 暗号 isakmp sa

IPv4 暗号 ISAKMP SA

dst ソース状態 conn ID ステータス

IPv6 暗号 ISAKMP SA

セキュリティ結合を始動するために、エクスポーター(R1 からの R3 を、172.16.2.1) ping して下さい。

R1#ping 172.16.2.1

Type escape sequence to abort.

5 つを、100-byte ICMP エコーは 172.16.2.1 に送信 して、タイムアウト 2 秒です:

!!!!!

成功率は 100% (5/5)、ラウンド トリップ最小値/avg/最大値 = 1/1/4 ms です

要約

この場合、ルータは R1 から起き、エクスポーターに向かうトラフィックはカプセル化される ESP であることを確認するアクティブ セキュリティ アソシエーションを備えています。

R1#show 暗号 isakmp sa

IPv4 暗号 ISAKMP SA

dst ソース状態 conn ID ステータス

172.16.1.2 172.16.1.1 QM_IDLE 1002 アクティブ

IPv6 暗号 ISAKMP SA

EzPM 設定

このセクションは R1 ルータのための EzPM 設定を説明します。

R1

!

class-map match-all PERF 月曜日 ACL

  説明 PrimeAM によって生成されるエンティティ-このエンティティを修正しませんでしたり、または使用しないで下さい

 protocol ip を一致する

!

パフォーマンスモニタ コンテキスト パフォーマンスモニタ プロファイル アプリケーション エクスペリエンス

 エクスポーター宛先 172.16.2.1 ソース GigabitEthernet0/1 転送する UDP (ユーザ・データグラム・プロトコル)ポート 9991

 トラフィック モニタ アプリケーション トラフィック統計

 トラフィック モニタ メッセージ交換トラフィック統計 ipv4

 トラフィック モニタ Application Response Time ipv4

 トラフィック モニタ メディア ipv4 入力

 トラフィック モニタ メディア ipv4 出力

 トラフィック モニタ URL ipv4 は PERF 月曜日 ACL をクラス取り替えます

!

監視される必要インターフェイスの EzPM プロファイルを適用して下さい; ここにループバック 0 インターフェイスを監視しています。

R1

!

interface Loopback0

 ip address 1.1.1.1 255.255.255.255

 パフォーマンスモニタ コンテキスト パフォーマンスモニタ

!

回避策

上の設定によって、出力をのための示しますパフォーマンスモニタ contextcontext-nameexporter を奪取 して下さい。

出力 機能 オプションのステータスがあるように確認して下さい、デフォルトで予期された動作であり、そういうわけで AVC トラフィックがカプセル化されないし、ここに暗号化されていない使用されなかった状態にあるはずです。

AVC トラフィック パススルーがインターフェイスするようにするために IPSecトンネルは使用された状態に出力 機能 オプションあります。 そしてそれをするために、それはフロー エクスポーター プロファイルで明示的に 有効に ならなければなりません。 このオプションを有効に する詳しいステップバイステップ手順は下記にあります。

Step-1

完全な出力をのための示し、パフォーマンスモニタ コンテキスト コンテキストネーム 設定コマンドをテキストエディタで保存します奪取 して下さい。 この出力のためのスニップは下記にあります、

R1#show パフォーマンスモニタ コンテキスト パフォーマンスモニタ 設定

! ===============================================================================

!            コンテキスト パフォーマンスモニタの同等の設定!

! ===============================================================================

! エクスポーター

! ==========

!

フロー エクスポーター Performance-Monitor-1

 説明パフォーマンスモニタ コンテキスト パフォーマンスモニタ エクスポーター

 宛先 172.16.2.1

 ソース GigabitEthernet0/1

 転送する UDP (ユーザ・データグラム・プロトコル) 9991

 エクスポート プロトコル ipfix

 テンプレート データ タイムアウト 300

 オプション インターフェイス テーブル タイムアウト 300

 オプション VRF 表 タイムアウト 300

 オプション c3pl-class-table タイムアウト 300

 オプション c3pl-policy-table タイムアウト 300

 オプション リファレンス表 タイムアウト 300

 オプション アプリケーション表 タイムアウト 300

 オプション アプリケーション属性タイムアウト 300

 オプション副アプリケーション表 タイムアウト 300

-----------------------以下省略------------------------

Step-2

フロー エクスポーター プロファイルの下で出力 機能 オプションを明示的に追加して下さい。 出力 機能 オプションを追加した後フロー エクスポーター プロファイルはこのようになります、

フロー エクスポーター Performance-Monitor-1

 説明パフォーマンスモニタ コンテキスト パフォーマンスモニタ エクスポーター

 宛先 172.16.2.1

 ソース GigabitEthernet0/1

 転送する UDP (ユーザ・データグラム・プロトコル) 9991

 エクスポート プロトコル ipfix

 テンプレート データ タイムアウト 300

出力 機能

 オプション インターフェイス テーブル タイムアウト 300

 オプション VRF 表 タイムアウト 300

 オプション c3pl-class-table タイムアウト 300

 オプション c3pl-policy-table タイムアウト 300

 オプション リファレンス表 タイムアウト 300

 オプション アプリケーション表 タイムアウト 300

 オプション アプリケーション属性タイムアウト 300

 オプション副アプリケーション表 タイムアウト 300

あるように出力の他を、変えません出力で何か他のもの残して下さい。

Step-3

この場合、インターフェイスとルータから EzPM プロファイルを同様に取除いて下さい。

!

Interface loopback 0

パフォーマンスモニタ コンテキスト パフォーマンスモニタ無し

exit

!

!

パフォーマンスモニタ コンテキスト パフォーマンスモニタ プロファイル アプリケーション エクスペリエンス無し

!

Step-4

R1 ルータの修正された構成を適用して下さい。 により予期せぬ動作を引き起こすかもしれないのでない単一 コマンドが抜けていることを確かめて下さい。

検証

このセクションはこの回避策がここに述べられる AVC パケットのための制限のどのように克服を助けたかチェックするのにこの資料で使用される確認 方式を記述し。

回避策を適用する前に、IPSec ピア ルータ(R2)によって受信されたパケットは廃棄されます。 メッセージの下で同様に生成されます:

%IPSEC-3-RECVD_PKT_NOT_IPSEC: Rec'd パケットない IPsecパケット、dest_addr= 172.16.2.1、src_addr= 172.16.1.1、prot= 17

ここに R2 は 172.16.2.1 に向かうが、受け取り パケットは明白な UDP パケット(prot=17)であり、ESP カプセル化されたパケットを期待していますそれはこれらのパケットを廃棄する予期された動作です。 パケットキャプチャの下で R2 で受信されるパケットがカプセル化される AVC のためのデフォルトの動作である ESP の代りに明白な UDP パケットであることを示します。

回避策を適用した後、R2 で受信される AVC パケットがカプセル化される ESP であるおよび R2 で見られるこれ以上のエラーメッセージわかりませんことが下記のパケットキャプチャからはっきり。

トラブルシューティング

現在この設定に関する特定なトラブルシューティングの情報がありません。

TAC Authored

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ