サイト間VPN(その8)
「サイト間VPN(その7)」の続きです。引き続き、確認コマンドを使用して、設定したインターネットVPNの確認を行っていきます。
ネットワーク構成は、下図の通りです。
show crypto isakmp policy
「ISAKMP SA」の設定を確認するには、「show crypto isakmp policy」コマンドを使用します。
Router#show crypto isakmp policy
●Router_Aでの「show crypto isakmp policy」コマンドの出力
Router_A#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit上段の黄色の網掛けの部分が現在の設定で、下段の水色の網掛け部分がデフォルトです。デフォルトの設定を使用する場合は、コマンドの指定を省略できます。
show crypto ipsec transform-set
「IPSec SA」の設定を確認するには、トランスフォームセットを確認します。トランスフォームセットの確認を行うには、「show crypto ipsec transform-set」コマンドを使用します。
Router#show crypto ipsec transform-set
●Router_Aでの「show crypto ipsec transform-set」コマンドの出力
Router_A#show crypto ipsec transform-set
Transform set ESP-3DES-SHA: { esp-3des esp-sha-hmac }
will negotiate = { Tunnel, },黄色の網掛け部分から分かるように、設定したトランスフォームセットの名前ESP-3DES-SHA」が確認できます。暗号アルゴリズム、ハッシュアルゴリズムに何が指定されたのかを、ここで確認できます。
show crypto engine connections active
現在アクティブな「ISAKMP SA」、「IPSec SA」の概要を確認するには、「show crypto engine connections active」コマンドを使用します。
Router#show crypto engine connections active
Router_Aでコマンドを実行します。
●Router_Aでの「show crypto engine connections active」コマンドの出力
Router_A#show crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Ethernet0 200.200.200.1 set HMAC_SHA+3DES_56_C 0 0
2001 Ethernet0 200.200.200.1 set 3DES+SHA 0 0
2002 Ethernet0 200.200.200.1 set 3DES+SHA 0 0
2003 Ethernet0 200.200.200.1 set 3DES+SHA 0 0
2004 Ethernet0 200.200.200.1 set 3DES+SHA 348 0これで、サイト間VPNの検証は終わりです。