VPN Acceleration Module VAM コンフィギュレーション...VAM は、Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータ

VPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド製品番号：SA-VAM(=)、SM-VAM(=)

サポート対象プラットフォーム：Cisco 7100 シリーズ、Cisco 7200 シリーズ、 Cisco 7401ASR ルータ

Text Part Number: OL-3576-02-J

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、

および推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記

載されている製品の使用は、すべてユーザ側の責任になります。

対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

FCC クラス A 準拠装置に関する記述：この装置はテスト済みであり、FCC ルール Part 15 に規定された仕様のクラス A デジタル装置の制限に準拠していることが確認済みです。これらの制限は、商業環境で装置を使用したときに、干渉を防止する適切な保護を規定しています。この装置は、無線周波エネ

ルギーを生成、使用、または放射する可能性があり、この装置のマニュアルに記載された指示に従って設置および使用しなかった場合、ラジオおよびテ

レビの受信障害が起こることがあります。住宅地でこの装置を使用すると、干渉を引き起こす可能性があります。その場合には、ユーザ側の負担で干渉

防止措置を講じる必要があります。

FCC クラス B 準拠装置に関する記述：このマニュアルに記載された装置は、無線周波エネルギーを生成および放射する可能性があります。シスコシステムズの指示する設置手順に従わずに装置を設置した場合、ラジオおよびテレビの受信障害が起こることがあります。この装置はテスト済みであり、FCCルール Part 15 に規定された仕様のクラス B デジタル装置の制限に準拠していることが確認済みです。これらの仕様は、住宅地で使用したときに、このような干渉を防止する適切な保護を規定したものです。ただし、特定の設置条件において干渉が起きないことを保証するものではありません。

シスコシステムズの書面による許可なしに装置を改造すると、装置がクラス A またはクラス B のデジタル装置に対する FCC 要件に準拠しなくなることがあります。その場合、装置を使用するユーザの権利が FCC 規制により制限されることがあり、ラジオまたはテレビの通信に対するいかなる干渉もユーザ側の負担で矯正するように求められることがあります。

装置の電源を切ることによって、この装置が干渉の原因であるかどうかを判断できます。干渉がなくなれば、シスコシステムズの装置またはその周辺機

器が干渉の原因になっていると考えられます。装置がラジオまたはテレビ受信に干渉する場合には、次の方法で干渉が起きないようにしてください。

・干渉がなくなるまで、テレビまたはラジオのアンテナの向きを変えます。

・テレビまたはラジオの左右どちらかの側に装置を移動させます。

・テレビまたはラジオから離れたところに装置を移動させます。

・テレビまたはラジオとは別の回路にあるコンセントに装置を接続します（装置とテレビまたはラジオがそれぞれ別個のブレーカーまたはヒューズで制

御されるようにします）。

米国シスコシステムズ社では、この製品の変更または改造を認めていません。変更または改造した場合には、FCC 認定が無効になり、さらに製品を操作する権限を失うことになります。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されま

す。シスコシステムズおよびこれら各社は、商品性や特定の目的への準拠性、権利を侵害しないことに関する、または取り扱い、使用、または取引によっ

て発生する、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコシステムズおよびその代理店は、このマニュアルの使用またはこのマニュアルを使用できないことによって起こる制約、

利益の損失、データの損傷など間接的で偶発的に起こる特殊な損害のあらゆる可能性がシスコシステムズまたは代理店に知らされていても、それらに対

する責任を一切負いかねます。

この資料は、ルータに付属している適切な資料と併せてご利用ください。

【注意】シスコ製品をご使用になる前に、安全上の注意（www.cisco.com/jp/go/safety_warning/）をご確認ください。　本書は、米国シスコシステムズ発行ドキュメントの参考和訳です。米国サイト掲載ドキュメントとの差異が生じる場合があるため、正式な内容については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認ください。

http://www.cisco.com/jp/go/safety_warning/

CCSP, the Cisco Square Bridge logo, Cisco Unity, Follow Me Browsing, FormShare, and StackWise are trademarks of Cisco Systems, Inc.; Changing the Way We Work, Live, Play, and Learn, and iQuick Study are service marks of Cisco Systems, Inc.; and Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Fast Step, GigaDrive, GigaStack, HomeLink, Internet Quotient, IOS, IP/TV, iQ Expertise, the iQ logo, iQ Net Readiness Scorecard, LightStream, Linksys, MeetingPlace, MGX, the Networkers logo, Networking Academy, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, ProConnect, RateMUX, Registrar, ScriptShare, SlideCast, SMARTnet, StrataView Plus, SwitchProbe, TeleRouter, The Fastest Way to Increase Your Internet Quotient, TransPath, and VCO are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.

All other trademarks mentioned in this document or Website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0406R)

VPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド Copyright © 2004 Cisco Systems, Inc. All rights reserved.

Copyright © 2008, シスコシステムズ合同会社 . All rights reserved.

C O N T E N T S

vVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

はじめに　　ix

マニュアルの目的　　ix

マニュアルの構成　　x

関連資料　　x

マニュアルの入手方法　　xii

Cisco.com　　xii

Documentation CD-ROM　　xii

マニュアルの発注方法　　xii

テクニカルサポート　　xiii

Cisco.com　　xiii

TAC　　xiii

TAC Web サイト　　xiv

Japan TAC Web サイト　　xiv

TAC Escalation Center　　xiv

その他の資料および情報の入手方法　　xv

C H A P T E R 1 概要　　1-1

VAM の概要　　1-2

データ暗号化の概要　　1-3

機能　　1-4

サポート対象の規格、MIB、および RFC　　1-5

規格　　1-5

MIB　　1-5

RFC　　1-5

LED　　1-6

SA-VAM　　1-6

SM-VAM　　1-7

ケーブル、コネクタ、およびピン割り当て　　1-7

VAM のスロット位置　　1-8

Cisco 7100 シリーズルータのスロット番号　　1-8

Cisco 7200 シリーズルータのスロット番号　　1-9

Contents

viVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

Cisco 7401ASR ルータのスロット番号　　1-10

C H A P T E R 2 インストレーションの準備　　2-1

必要な工具および備品　　2-1

最小限のハードウェアおよびソフトウェア要件　　2-2

ハードウェア要件　　2-2

ソフトウェア要件　　2-2

Cisco 7200 シリーズルータのメモリ要件　　2-2

VAM と ISA/ISM の相互運用性　　2-3

ハードウェアおよびソフトウェアの互換性の確認　　2-4

ハードウェアの互換性　　2-4

ソフトウェアの互換性　　2-4

安全に関する注意事項　　2-5

安全上の警告　　2-5

電気を扱う際の注意事項　　2-5

静電破壊の防止　　2-5

FCC クラス A 規格との適合　　2-6

暗号化に関する米国輸出規制法の遵守　　2-6

C H A P T E R 3 VAM の取り外しおよび取り付け　　3-1

VAM の取り扱い　　3-2

活性挿抜　　3-3

警告および注意　　3-4

VAM の取り外しおよび取り付け　　3-5

Cisco 7100 シリーズ— VAM の取り外し /取り付け　　3-6

Cisco 7200 シリーズ— SA-VAM の取り外し /取り付け　　3-7

Cisco 7401ASR ルータ— SA-VAM の取り外し /取り付け　　3-8

C H A P T E R 4 VAM の設定　　4-1

概要　　4-1

設定作業　　4-2

EXEC コマンドインタープリタの使用方法　　4-2

IKE の設定　　4-3

RSA 認証方式の指定　　4-3

IPSec の設定　　4-6

クリプトアクセスリストの作成　　4-7

トランスフォームセットの定義　　4-7

設定の確認　　4-9

設定例　　4-12

Contents

viiVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

IKE ポリシーの設定例　　4-12

IPSec の設定例　　4-12

IPSec の基本的な設定例　　4-14

ルータ A の設定　　4-14

ルータ B の設定　　4-15

トラブルシューティングのヒント　　4-16

VAM のモニタリングおよびメンテナンス　　4-18

I N D E X 索引

Contents

viiiVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

viiVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

はじめに

ここでは、このマニュアルの目的と構成について説明するとともに、関連製品およびサービス情報

の入手方法について説明します。具体的な内容は次のとおりです。

• マニュアルの目的（p.vii）

• マニュアルの構成（p.viii）

• 関連資料（p.viii）

• マニュアルの入手方法（p.x）

• テクニカルサポート（p.xi）

• その他の資料および情報の入手方法（p.xiii）

マニュアルの目的このマニュアルでは、VPN Acceleration Module（VAM）の搭載および設定手順について説明します。 VAM は、Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータでサポートされる、シングル幅のアクセラレーションモジュールです。

VAM はサービスアダプタ（SA-VAM）として、またはサービスモジュール（SM-VAM）としてご利用いただけます。SA-VAM は Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータ上でサポートされます。SM-VAM は Cisco 7100 シリーズルータ上でサポートされます。

VAM の部品番号は、次のとおりです。

• SA-VAM(=) — Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータ

• SM-VAM(=) — Cisco 7100 シリーズルータ

（注）米国の輸出規制を守り、将来的に問題を起こさないために、「暗号化に関する米国輸出規制法の遵

守」（p.2-6）を参照し、具体的な重要事項を確認してください。

はじめに

マニュアルの構成

viiiVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

マニュアルの構成このマニュアルの構成は、次のとおりです。

関連資料ルータおよびルータ上の Cisco IOS ソフトウェアに統合されている広範な機能については、以下の資料を参照してください。

• Cisco IOS ソフトウェア

コンフィギュレーション情報およびサポートについては、ご使用のシスコハードウェア製品にインストールされているソフトウェアリリースに対応する Cisco IOS ソフトウエアコンフィギュレーションマニュアルセットのモジュラコンフィギュレーションおよびモジュラコマンドリファレンスを参照してください。

（注） Cisco IOS ソフトウェアコンフィギュレーション、ハードウェアインストレーション、およびメンテナンスマニュアルは、WWW 上の URL、http://www.cisco.com、http://www.cisco.com/jp、 http://www-china.cisco.com、または http://www-europe.cisco.com から入手できます。

• Cisco 7100 シリーズルータ

ハードウェアインストレーションおよびメンテナンスについては、『Cisco 7100 Series VPN Router Installation and Configuration Guide』を参照してください。

• Cisco 7200 シリーズルータ

ハードウェアインストレーションおよびメンテナンスについては、『Cisco 7200 Series Router Quick Start Guide』または『Cisco 7200 Series Router Installation and Configuration Guide』を参照してください。

• Cisco 7401ASR ルータ

ハードウェアインストレーションおよびメンテナンスについては、『Cisco 7401ASR Series Router Quick Start Guide』または『Cisco 7401ASR Series Router Installation and Configuration Guide』を参照してください。

（注） Cisco 7401ASR ルータの販売は終了しています。

章タイトル説明

第 1 章概要 VAM および VAM の LED について説明します。

第 2 章インストレーションの準備安全上の注意事項、必要な工具、および取り付け作業を開始する前に必要な準備について説明します。

第 3 章 VAM の取り外しおよび取り付けサポート対象プラットフォームに VAM を取り付ける手順および取り外す手順について説明します。

第 4 章 VAM の設定 Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータに搭載した VAM の設定手順について説明します。

http://www.cisco.comhttp://www-china.cisco.comhttp://www-europe.cisco.comhttp://www.cisco.com/jp

はじめに

関連資料

ixVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

• IP セキュリティおよび暗号化

－『Cisco IOS Security Configuration Guide』Release 12.2

－『Cisco IOS Security Command Reference』Release 12.2

－『Cisco IOS Security Configuration Guide』Release 12.1

－『Cisco IOS Security Command Reference』Release 12.1

－『Cisco IOS Release 12.0 Security Configuration Guide』

－『Cisco IOS Release 12.0 Security Command Reference』

• WAN インターフェイスに関する各種認定、安全性、および法定情報

－『Site Preparation and Safety Guide』

－『Regulatory Compliance and Safety Information for the 7100 Series VPN Routers』

－『Cisco 7200 Regulatory Compliance and Safety Information』

－『Cisco 7401ASR Regulatory Compliance and Safety Information』

• シスコマニュアルを表示する、または総合マニュアル情報を入手する場合は、次を参照してください。

－マニュアルの入手方法（p.x）

－テクニカルサポート（p.xi）

はじめに

マニュアルの入手方法

xVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

マニュアルの入手方法シスコ製品のマニュアル、テクニカルサポート、およびその他のテクニカルリソースは、さまざまな方法で入手できます。ここでは、シスコ製品に関する技術情報を入手する方法について説明し

ます。

Cisco.com

WWW 上の次の URL から、シスコ製品の最新資料を入手できます。

http://www.cisco.com/univercd/home/home.htm

シスコの Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com

http://www.cisco.com/jp

シスコの Web サイトの各国語版へは、次の URL からアクセスしてください。

http://www.cisco.com/public/countries_languages.shtml

Documentation CD-ROM

シスコ製品のマニュアルおよびその他の資料は、製品に付属の Cisco Documentation CD-ROM パッケージでご利用いただけます。Documentation CD-ROM は毎月更新されるので、印刷資料よりも新しい情報が得られます。この CD-ROM パッケージは、単独または年間契約で入手できます。

Cisco.com 登録ユーザの場合、Subscription Store からオンラインで Documentation CD-ROM（Customer Order Number DOC-CONDOCCD=）を発注できます。次の URL にアクセスしてください。

http://www.cisco.com/go/subscription

マニュアルの発注方法

マニュアルの発注方法については、次の URL にアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm

シスコ製品のマニュアルは、次の方法でご発注いただけます。

• Cisco.com（Cisco Direct Customer）に登録されている場合、Networking Products MarketPlace からシスコ製品のマニュアルを発注できます。次の URL にアクセスしてください。http://www.cisco.com/en/US/partner/ordering/index.shtml

• Cisco.com 登録ユーザの場合、Subscription Store からオンラインで Documentation CD-ROM （Customer Order Number DOC-CONDOCCD=）を発注できます。次の URL にアクセスしてください。

http://www.cisco.com/go/marketplace

• Cisco.com に登録されていない場合、製品を購入された代理店へお問い合わせください。

http://www.cisco.com/univercd/home/home.htmhttp://www.cisco.comhttp://www.cisco.com/public/countries_languages.shtmlhttp://www.cisco.com/go/subscriptionhttp://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htmhttp://www.cisco.com/en/US/partner/ordering/index.shtmlhttp://www.cisco.com/go/subscriptionhttp://www.cisco.com/jp

はじめに

テクニカルサポート

xiVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

テクニカルサポートシスコシステムズでは、技術上のあらゆる問題の支援窓口として、TAC Web サイトを含む Cisco.com を運営しています。お客様およびパートナーは TAC Web サイトからマニュアル、トラブルシューティングに関するヒント、およびコンフィギュレーション例を入手できます。Cisco.com にご登録済みのお客様は、TAC ツール、ユーティリティなど、TAC Web サイトで提供するすべてのテクニカルサポートリソースをご利用いただけます。Cisco.com へのご登録については、製品を購入された代理店へお問い合わせください。

Cisco.com

Cisco.com は、いつでもどこからでも、シスコシステムズの情報、ネットワーキングソリューション、サービス、プログラム、およびリソースにアクセスできる対話形式のネットワークサービスを提供しています。

Cisco.com では、次の目的に役立つ機能およびサービスを豊富に用意しています。

• 業務の円滑化と生産性の向上

• オンラインサポートによる技術上の問題の解決

• ソフトウェアパッケージのダウンロードおよびテスト

• シスコのトレーニング資料および製品の発注

• スキル査定、トレーニング、認定プログラムへのオンライン登録

次の URL から、Cisco.com に登録されると、各ユーザに合った情報やサービスが得られます。

http://www.cisco.com

http://www.cisco.com/jp

TAC

シスコの製品、テクノロジー、またはソリューションについて技術的な支援が必要な場合には、TACをご利用いただくことができます。TAC では、2 種類のサポートを提供しています。TAC Web サイトと TAC Escalation Center です。問題のプライオリティおよびサービス契約の内容に応じて、適切な TAC サービスを選択してください。

TAC へのお問い合わせは、問題の緊急性に応じて分類されます。

• プライオリティレベル 4（P4） — シスコ製品の機能、インストレーション、基本的なコンフィギュレーションについて、情報または支援が必要な場合。

• プライオリティレベル 3（P3） — ネットワークのパフォーマンスが低下している。ネットワークが十分に機能していないが、ほとんどの業務運用を継続できる場合。

• プライオリティレベル 2（P2） — ネットワークのパフォーマンスが著しく低下したため業務に重大な影響があるにもかかわらず、対応策が見つからない場合。

• プライオリティレベル 1（P1） — ネットワークがダウンし、すぐにサービスを回復しなければ業務に致命的な損害が発生するにもかかわらず、対応策が見つからない場合。

http://www.cisco.comhttp://www.cisco.com/jp

はじめに

テクニカルサポート

xiiVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

TAC Web サイト

P3 および P4 レベルの問題については、TAC Web サイトを利用して、お客様ご自身で問題を解決し、コストと時間を節約することができます。このサイトでは各種のオンラインツール、ナレッジベース、およびソフトウェアを、いつでも必要なときに利用できます。TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/tac

シスコシステムズとサービス契約を結んでいるお客様、パートナー、リセラーは、TAC Web サイトのすべてのテクニカルサポートリソースをご利用いただけます。Cisco TAC Web サイトの一部のサービスには、Cisco.com のログイン ID とパスワードが必要です。サービス契約が有効で、ログイン ID またはパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do

Cisco.com 登録ユーザは、TAC Web サイトで技術上の問題を解決できなかった場合、次の URL から TAC Case Open ツールのオンラインサービスを利用できます。

http://www.cisco.com/en/US/support/index.html

インターネットを利用する場合、P3 および P4 の問題については、お客様ご自身の言葉で状況を説明し、必要なファイルを添付できるよう、TAC Web サイトで Case Open ツールを利用することを推奨します。

Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト（http://www.cisco.com/tac）のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。

Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register/

TAC Escalation Center

TAC Escalation Center では P1 および P2 レベルの問題に対応しています。このレベルに分類されるのは、ネットワークの機能が著しく低下し、業務の運用に重大な影響がある場合です。TAC Escalation Center にお問い合わせいただいた P1 または P2 の問題には、TAC エンジニアが対応します。

TAC フリーダイヤルの国別電話番号は、次の URL を参照してください。

http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml

ご連絡に先立って、お客様が契約しているシスコサポートサービスがどのレベルの契約となっているか（たとえば、SMARTnet、SMARTnet Onsite、または Network Supported Accounts［NSA; ネットワークサポートアカウント］など）、お客様のネットワーク管理部門にご確認ください。また、お客様のサービス契約番号およびご使用の製品のシリアル番号をお手元にご用意ください。

http://www.cisco.com/tachttp://tools.cisco.com/RPF/register/register.dohttp://www.cisco.com/en/US/support/index.htmlhttp://www.cisco.com/warp/public/687/Directory/DirTAC.shtmlhttp://www.cisco.com/tachttp://www.cisco.com/jp/go/tachttp://www.cisco.com/jp/register/

はじめに

その他の資料および情報の入手方法

xiiiVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

その他の資料および情報の入手方法シスコの製品、テクノロジー、およびネットワークソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手できます。

• 『Cisco Product Catalog』には、シスコシステムズが提供するネットワーク製品のほか、発注方法やカスタマーサポートサービスについての情報が記載されています。『Cisco Product Catalog』には、次の URL からアクセスしてください。http://www.cisco.com/en/US/products/products_catalog_links_launch.html

• Cisco Press では、ネットワーク関連の出版物を幅広く発行しています。初心者から上級者まで、さまざまな読者向けの出版物があります。『Internetworking Terms and Acronyms Dictionary』、『Internetworking Technology Handbook』、『Internetworking Troubleshooting Guide』、『Internetworking Design Guide』などです。Cisco Press の最新の出版情報などについては、次の URL からアクセスしてください。

http://www.ciscopress.com

• 『Packet』は、業界の専門家向けにネットワーキング分野の最新情報を提供するシスコの月刊誌です。『Packet』には、次の URL からアクセスしてください。http://www.cisco.com/en/US/about/ac123/ac114/about_cisco_packet_magazine.html

• 『iQ Magazine』は、企業の経営者や意思決定者向けにネットワーキング分野の最新情報を提供するシスコの月刊誌です。『iQ Magazine』には、次の URL からアクセスしてください。http://business.cisco.com/prod/tree.taf%3fasset_id=44699&public_view=true&kbns=1.html

• 『Internet Protocol Journal』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコシステムズが発行する季刊誌です。『Internet Protocol Journal』には、次の URL からアクセスしてください。http://www.cisco.com/en/US/about/ac123/ac147/about_cisco_the_internet_protocol_journal.html

• シスコシステムズは最高水準のネットワーク関連のトレーニングを実施しています。トレーニングの最新情報については、次の URL からアクセスしてください。http://www.cisco.com/en/US/learning/le31/learning_recommended_training_list.html

http://www.cisco.com/en/US/products/products_catalog_links_launch.htmlhttp://www.ciscopress.comhttp://www.cisco.com/en/US/about/ac123/ac114/about_cisco_packet_magazine.htmlhttp://business.cisco.com/prod/tree.taf%3fasset_id=44699&public_view=true&kbns=1.htmlhttp://www.cisco.com/en/US/about/ac123/ac147/about_cisco_the_internet_protocol_journal.html http://www.cisco.com/en/US/learning/le31/learning_recommended_training_list.html

はじめに

その他の資料および情報の入手方法

xivVPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

C H A P T E R

1-1VPN Acceleration Module（VAM）インストレーションコンフィギュレーションガイド

OL-3576-02-J

1

概要

この章では、VPN Acceleration Module について説明します。内容は次のとおりです。

• VAM の概要（p.1-2）

• データ暗号化の概要（p.1-3）

• 機能（p.1-4）

• サポート対象の規格、MIB、および RFC（p.1-5）

• LED（p.1-6）

• ケーブル、コネクタ、およびピン割り当て（p.1-7）

• VAM のスロット位置（p.1-8）

第 1 章概要 VAM の概要


OL-3576-02-J

VAM の概要VPN Acceleration Module（VAM）は、Cisco 7200 シリーズルータでサポートされる、シングル幅のアクセラレーションモジュールです。

（注） Cisco 7100 シリーズおよび Cisco 7401ASR ルータの販売は終了しました。

VAM は、LAN/WAN メディアおよびすべてのレイヤ 3 ルーティングサービスをサポートします。 VAM は、セキュリティ、Quality of Service（QoS; サービス品質）、ファイアウォール、侵入検知、サービスレベル検証 /管理など、Virtual Private Network（VPN; 仮想私設網）リモートアクセスおよびサイト間イントラネット /エクストラネットアプリケーションに必要な、ハードウェア支援トンネリングおよび暗号化サービスを提供します。VAM は IPSec 処理の負担をメインプロセッサから解放し、プロセッサエンジンのリソースを他の作業に使用できるようにします。

VAM はさまざまな暗号化機能にハードウェアアクセラレーションサポートを提供します。

• 56 ビット Data Encryption Standard（DES; データ暗号化規格）標準モード：Cipher Block Chaining （CBC）

• 3 キートリプル DES（168 ビット）

• Secure Hash Algorithm（SHA）-1 および Message Digest 5（MD5）ハッシュアルゴリズム

• Rivest, Shamir, Adelman（RSA）公開鍵アルゴリズム

• Diffie-Hellman 鍵交換 RC4-40

VAM はサービスアダプタ（SA-VAM）として、またはサービスモジュール（SM-VAM）としてご利用いただけます。SA-VAM は Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータでサポートされます。SM-VAM は Cisco 7100 シリーズルータ上でサポートされます。

第 1 章概要データ暗号化の概要


OL-3576-02-J

データ暗号化の概要ここでは、IPSec、IKE、および CA インターオペラビリティ機能を含め、データ暗号化について説明します。

（注）各機能の詳細については、『Security Configuration Guide』の「IP Security and Encryption」および『Security Command Reference』を参照してください。

IPSec は、Internet Engineering Task Force（IETF）が策定したネットワークレベルのオープンスタンダードな枠組みで、インターネットのように保護されていないネットワーク上で機密情報を安全に

伝送できるようにします。IPSec には、データの認証、リプレイ攻撃防止サービス、および機密保護サービスがあります。

シスコでは、次のデータ暗号化規格に準拠しています。

• IPSec — IPSec は、関係するピア間でデータの機密性およびデータの整合性を保証し、データを認証する IP レイヤのオープンスタンダードなフレームワークです。IKE がローカルポリシーに基づいてプロトコルおよびアルゴリズムのネゴシエーションを処理し、IPSec の使用する暗号鍵および認証鍵を生成します。IPSec により、ホスト間、セキュリティルータ間、またはセキュリティルータとホスト間の 1 つまたは複数のデータフローが保護されます。

• IKE — Internet Key Exchange（IKE）は、Internet Security Association & Key Management Protocol （ISAKMP）フレームワーク内で、Oakley および Skeme 鍵交換を実行するハイブリッドセキュリティプロトコルです。IKE は IPSec およびその他のプロトコルと組み合わせて使用できます。 IKE は IPSec ピアを認証し、IPSec セキュリティアソシエーションのネゴシエーションを行い、 IPSec 鍵を設定します。IPSec は、IKE とともに設定することも、IKE なしで設定することもできます。

• CA — Certificate Authority（CA; 認証局）インターオペラビリティは、Simple Certificate Enrollment Protocol（SCEP）および Certificate Enrollment Protocol（CEP）を使用して、IPSec 規格をサポートします。CEP によって、Cisco IOS デバイスと CA 間の通信が可能になり、Cisco IOS 装置は CA からデジタル証明書を取得して使用できるようになります。IPSec は、CA とともに設定することも、CA なしで設定することもできます。CA は、証明書を発行できるように正しく設定されていなければなりません。詳細については、『Security Configuration Guide』の「Configuring Certification Authority Interoperability」（http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter091

86a00800ca7b2.html）を参照してください。

IPSec に関して実装されているコンポーネントテクノロジーは、次のとおりです。

• DES およびトリプル DES — DES および Triple DES（3DES; トリプル DES）暗号化パケットデータ。Cisco IOS は 3 キートリプル DES および DES-CBC を Explicit IV とともに実装します。CBC は、暗号化の開始に Initialization Vector（IV; 初期化ベクター）が必要です。IV は IPSec パケット内に明示的に指定されます。

• MD5（HMAC 系） — MD5 はハッシュアルゴリズムです。HMAC はデータの認証に使用するキー付きハッシュバリアントです。

• SHA（HMAC 系） — SHA はハッシュアルゴリズムです。HMAC はデータの認証に使用するキー付きハッシュバリアントです。

• RSA シグニチャおよび RSA 暗号化ナンス — RSA は公開鍵暗号システムで、Ron Rivest、Adi Shamir、および Leonard Adleman によって開発されたため RSA と呼ばれています。RSA シグニチャによって否認防止機能が提供され、RSA 暗号化ナンスによって否認機能が提供されます。詳細については、『Exporting and Importing RSA Keys』フィーチャモジュール（http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1839/products_feature_guide09186a008

01541cf.html）を参照してください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7b2.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7b2.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7b2.htmlhttp://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1839/products_feature_guide09186a00801541cf.htmlhttp://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1839/products_feature_guide09186a00801541cf.htmlhttp://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1839/products_feature_guide09186a00801541cf.html

第 1 章概要機能


OL-3576-02-J

IPSec は Cisco IOS ソフトウェア上で、他の規格もサポートします。

• AH — 認証ヘッダーは、データ認証およびオプションのリプレイ攻撃防止サービスを行うセキュリティプロトコルです。

AH プロトコルはさまざまな認証アルゴリズムを使用しますが、Cisco IOS で実装している認証アルゴリズムは、必須の MD5 および SHA（HMAC 系）です。AH プロトコルはリプレイ攻撃防止サービスを提供します。

• ESP — Encapsulating Security Payload は、データプライバシサービス、オプションのデータ認証、およびリプレイ攻撃防止サービスを提供するセキュリティプロトコルです。ESP は保護対象のデータをカプセル化します。ESP プロトコルは、さまざまな暗号化アルゴリズムと（オプションで）さまざまな認証アルゴリズムを使用します。Cisco IOS ソフトウェアは、暗号化アルゴリズムとして必須の 56 ビット DES-CBC および Explicit IV またはトリプル DES を実装します。また、認証アルゴリズムとして MD5 または SHA（HMAC 系）を実装します。最新の ESP プロトコルでは、リプレイ攻撃防止サービスを提供します。

• IPPCP — レイヤ 3 の暗号化を使用すると下位レイヤ（レイヤ 2 の PPP など）は圧縮ができなくなります。すでに暗号化されているパケットを圧縮すると、通常は展開されます。IPPCP は IPSec などの暗号化サービスと組み合わせて使用できる、ステートレスの圧縮を提供します。

機能ここでは、VAM の機能について説明します。

機能説明 /利点

スループット1

1. IPSec 3DES HMAC-SHA1 を使用し、1,400 バイトパケットで測定

3DES で最大 145 Mbps

IPSec で保護されるトンネル数2

2. サポートされるトンネル数は、搭載メモリの合計によって異なります。

Cisco 7401ASR ルータで最大 5,0003

Cisco 7200 シリーズルータで最大 5,000 Cisco 7100 シリーズルータで最大 3,0003

3. Cisco 7100 シリーズおよび Cisco 7401ASR ルータの販売は終了しました。

ハードウェアベースの暗号化データ保護：IPsec DES および 3DES 認証：RSA および Diffie-Hellman データ整合性：SHA-1 および Message Digest 5（MD5）

VPN トンネリング IPSec トンネルモード：IPSec による Generic Routing Encapsulation（GRE）および Layer 2 Tunneling Protocol（L2TP）保護

ハードウェアベースの圧縮レイヤ 3 IPPCP LZS

サポートする規格 IPsec/IKE：RFC 2401 ～ 2411、2451 IPPCP：RFC 2393、2395

第 1 章概要サポート対象の規格、MIB、および RFC


OL-3576-02-J

サポート対象の規格、MIB、および RFCここでは、VAM でサポートされる規格、Management Information Base（MIB）、および Request for Comment（RFC）について説明します。RFC にはサポートされるインターネットプロトコルスイートについての情報が記載されています。

規格

• IPPCP：RFC 2393、2395

• IPsec/IKE：RFC 2401 ～ 2411、2451

MIB • CISCO-IPSEC-FLOW-MONITOR-MIB

• CISCO-IPSEC-MIB

• CISCO-IPSEC-POLICY-MAP-MIB

サポート対象 MIB のプラットフォーム別リストおよび Cisco IOS リリース別リストを入手する場合、または MIB モジュールをダウンロードする場合には、次の URL から Cisco.com の Cisco MIB Web サイトにアクセスしてください。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

RFC

• IPPCP：RFC 2393、2395

• IPsec/IKE：RFC 2401 ～ 2411、2451

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

第 1 章概要 LED


OL-3576-02-J

LEDここでは、SA-VAM および SM-VAM の LED について説明します。

SA-VAM

SA-VAM は Cisco 7200 シリーズルータ上でサポートされます。

（注） Cisco 7100 シリーズルータおよび Cisco 7401ASR ルータの販売は終了しました。

SA-VAM には 3 つの LED があります（図 1-1を参照）。表 1-1に、SA-VAM LED のカラーと機能を示します。

図 1-1 SA-VAM の LED

ENABLE LED は、次の条件が満たされた場合に点灯します。

• SA-VAM がバックプレーンに正しく接続されていて、電力が供給されている

• システムバスが SA-VAM を認識している

どちらかの条件が満たされていない場合、またはルータを初期化できなかった場合、ENABLE LED は点灯しません。

表 1-1 SA-VAM の LED

LED のラベルカラー状態機能

ENABLE グリーン点灯 VAM は通電状態で動作可能です。BOOT オレンジパルス1

点灯

1. 正常に起動すると、BOOT LED が［心拍］パターンで点滅し、VAM が動作していることを表します。暗号トラフィックが増えると、トラフィックレベルに比例してこの LED の表示レベルが上がります。

VAM は稼働しています。

VAM の起動中またはパケットが暗号化 /復号化されています。ERROR オレンジ点灯暗号化エラーが発生しました。この LED は通常、消灯しています。

ENCRYPT/COMPSA-VAM

ENAB

LE

BOOT

ERRO

R

61

17

7

第 1 章概要ケーブル、コネクタ、およびピン割り当て


OL-3576-02-J

SM-VAM

SM-VAM は Cisco 7100 シリーズルータ上でサポートされます。

SM-VAM には 3 つの LED があります（図 1-2を参照）。表 1-2に、SM-VAM LED のカラーと機能を示します。

図 1-2 SM-VAM の LED

ENABLE LED は、次の条件が満たされた場合に点灯します。

• SM-VAM がバックプレーンに正しく接続されていて、電力が供給されている

• システムバスが SM-VAM を認識している

どちらかの条件が満たされていない場合、またはなんらかの理由でルータを初期化できなかった場

合、ENABLE LED は点灯しません。

ケーブル、コネクタ、およびピン割り当てVAM にはインターフェイスがないので、ケーブル、コネクタ、およびピン割り当てはありません。

表 1-2 SM-VAM の LED

LED のラベルカラー状態機能

ERROR オレンジ点灯暗号化エラーが発生しました。この LED は通常、消灯しています。BOOT オレンジパルス1

点灯

1. 正常に起動すると、BOOT LED が［心拍］パターンで点滅し、VAM が動作していることを表します。暗号トラフィックが増えると、トラフィックレベルに比例してこの LED の表示レベルが上がります。

SM-VAM は稼働しています。

SM-VAM の起動中またはパケットが暗号化 /復号化されています。ENABLE グリーン点灯 SM-VAM は通電状態で動作可能です。

SM-VAM RESET

ERRO

R

BOOT

ENAB

LE

6052

0

第 1 章概要 VAM のスロット位置


OL-3576-02-J

VAM のスロット位置ここではサポート対象プラットフォームでの VAM およびポートアダプタのスロット位置について説明します。

VAM はサービスアダプタ（SA-VAM）として、またはサービスモジュール（SM-VAM）としてご利用いただけます。SA-VAM は、Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータのポートアダプタスロットに搭載します。SM-VAM は、Cisco 7100 シリーズルータのサービスモジュールスロットに搭載します。

各プラットフォームにおけるスロット位置の規定を図に示します。

• Cisco 7100 シリーズルータのスロット番号（p.1-8）

• Cisco 7200 シリーズルータのスロット番号（p.1-9）

• Cisco 7401ASR ルータのスロット番号（p.1-10）

Cisco 7100 シリーズルータのスロット番号 SM-VAM は、Cisco 7120 および Cisco 7140 ルータのサービスモジュールスロット 5 に搭載します（図 1-3 を参照）。SA-VAM は、Cisco 7120 ルータのポートアダプタスロット 3、または Cisco 7140 ルータのポートアダプタスロット 4 に搭載します（図 1-4を参照）。

図 1-3 Cisco 7120 ルータのサービスモジュールスロット 5 に搭載した SM-VAM

SLOT 0 SLOT 1

AC OK

DC OK

OTF

AC OK

DC OK

OTF

RX TXE3 RX

5

TXE3RXEN

CEL CAR ALM

I

CONSFE 0 / 0 FE

ACT

0 / 1 AUX

0

2

7140 - 2AE3

RXEN

CEL CAR ALM

ACT

LNK0

LNK1

PWR

SYSRDY

LAN LED

1849

6

ATM E3 WAN ATM 1/0

ATM E3 WAN ATM 2/0

0/1

0/0

PC Card

第 1 章概要VAM のスロット位置


OL-3576-02-J

図 1-4 Cisco 7140 ルータのポートアダプタスロット 4 に SA-VAM を搭載可能

Cisco 7200 シリーズルータのスロット番号Cisco 7204 ルータ（図 1-5）および Cisco 7206 ルータ（図 1-6）の場合、シングル幅の任意のポートアダプタスロットに SA-VAM を搭載できます。

（注） Cisco 7200 シリーズルータの奇数スロットに PA-T3 または PA-FE を搭載している場合は、偶数スロットに VAM を搭載し、バスのロードバランスを図ってください。

図 1-5 Cisco 7204 ルータのポートアダプタスロット

SLOT 0 SLOT 1

AC OK

DC OK

OTF

AC OK

DC OK

OTF

5

155 - MMRXRXEN

CEL CAR ALM

TXI155 - MM CONSFE 0 / 0 FE

ACT

0 / 1 AUX

0

2RX

7140 - 2MM3

RXEN

CEL CAR ALM

TX

ACT

LNK0

LNK1

PWR

SYSRDY

ENERROR

BOOTRESETSM-ISM

1849

9

1 0 2

4 5 3

H73

99

2

ENAB

LED

0 2

1 3

LINK

0 1 2 3

ENTD TC RD R

C LB CD TD TC RD RC LB CD TD TC RD RC LB CD TD TC RD RC LB CD

ENAB

LED

MII

LIN

K

RJ4

5

FAST ETHERNET

0

0

4

1

3

3

1

4

2

ETHERNET-10BFL

EN

RX

0 12 3 4

TX RX TX R

X TX RX TX R

X TX

Cisco 7200 SERIES

MII

EN R

J45

EN R

J45

LINK

1O P

WR

OK

RJ-4

5

CPU

RESE

T

FAST ETHERNET INPUT/OUTPUT CONTROLLER

ENAB

LED

PCM

CIA

EJEC

T

SLOT

0

SLOT

1

FE M

II

0

ETHERNET 10BT

FAST SERIAL

第 1 章概要 VAM のスロット位置


OL-3576-02-J

図 1-6 Cisco 7206 ルータのポートアダプタスロット

Cisco 7401ASR ルータのスロット番号Cisco 7401ASR ルータの場合、SA-VAM を搭載できるスロットは 1 つだけです（図 1-7を参照）。

図 1-7 Cisco 7401ASR ルータのポートアダプタスロット

（注）インターフェイスポートには、左から右へ、0 から始まる番号が割り振られています。

2832

9

2ETHERNET-10BFL

EN

RX

0 12 3 4

TX RX TX R

X TX RX TX R

X TX

0

4

1

3

56

TOKEN RING

0 1 2

3

Cisco 7200Series


ENAB

LED

PCM

CIA

EJEC

T

SLOT

0

SLOT

1

FE M

II

EN

0 71 2 3 4 5 6SERIAL-V.35

ETHERNET 10BT

ENAB

LED

0 2

1 3

LINK

0 1 2 3

MII

EN RJ-

45

EN

RJ-4

5

RJ-4

5

LINK 1O

PW

R

OK

ENAB

LED

MII

LIN

K

RJ4

5

FAST ETHERNET

0

5

3

1

6

4

2

0

1 ポートアダプタスロット

7556

9EN

ABLE

D

RX CE

LLS

RX CA

RRIER

RX AL

ARM

TX

RX ENHANCED ATM

1

C H A P T E R


OL-3576-02-J

2

インストレーションの準備

この章では、VPN Acceleration Module（VAM）を取り付けるために必要な工具、安全上の注意事項、および設置場所の準備について説明します。具体的な内容は、次のとおりです。

• 必要な工具および備品（p.2-1）

• 最小限のハードウェアおよびソフトウェア要件（p.2-2）

• ハードウェアおよびソフトウェアの互換性の確認（p.2-4）

• 安全に関する注意事項（p.2-5）

• FCC クラス A 規格との適合（p.2-6）

• 暗号化に関する米国輸出規制法の遵守（p.2-6）

必要な工具および備品VAM を取り付けるには、次の工具および部品が必要です。他の機器が必要な場合には、購入された代理店に発注方法をお問い合わせください。

• VAM

• No. 2 プラスドライバ

• 静電気防止用器具、またはあらゆるアップグレードキット、Field-Replaceable Unit（FRU）、およびスペアに付属している使い捨てアースリストストラップ

• 静電気防止用マット

• 静電気防止用容器

第 2 章インストレーションの準備最小限のハードウェアおよびソフトウェア要件


OL-3576-02-J

最小限のハードウェアおよびソフトウェア要件ここでは、VAM を使用するために最小限必要なハードウェアおよびソフトウェアについて説明します。

ハードウェア要件

VAM の正常な動作を保証するために満たさなければならない、具体的なハードウェア要件は次のとおりです。

• Cisco 7100 シリーズルータは、サービスモジュールスロット 5 に SM-VAM を 1 つ搭載できます。または任意のシングル幅ポートアダプタスロットに SA-VAM を 1 つ搭載できます。

• Cisco 7200 シリーズルータの場合、任意のシングル幅ポートアダプタスロットに SA-VAM を 1 つだけ搭載できます。

（注） Cisco 7200 シリーズルータで VAM を使用するには、ネットワーク処理エンジン 225 （NPE-225）以上が必要です。最適なパフォーマンスが得られるのは、NPE-400 です。

• Cisco 7401ASR ルータは、唯一のポートアダプタスロットに SA-VAM を 1 つ搭載できます。

ソフトウェア要件

表 2-1に、サポートするルータまたはスイッチプラットフォームで VAM を使用するために、最小限必要とされる、推奨する Cisco IOS ソフトウェアリリースを示します。show versionコマンドを使用すると、現在ロードされて稼働しているシステムソフトウェアバージョンが表示されます。

Cisco 7200 シリーズルータのメモリ要件次に示す Cisco 7200 シリーズルータの NPE メモリ要件は、最大構成のトンネルの場合のものです。

表 2-1 VAM のソフトウェア要件

プラットフォーム推奨する最小限の Cisco IOS リリース

Cisco 7100 シリーズルータ1

1. Cisco 7100 シリーズおよび Cisco 7401ASR ルータの販売は終了しました。

Cisco IOS Release 12.1(9)E 以上のリリースの Cisco IOS Release 12.1 E

Cisco 7200 シリーズルータ Cisco IOS Release 12.1(9)E2 以上のリリースの Cisco IOS Release 12.1 E

Cisco IOS Release 12.2(13)T 以上のリリースの Cisco IOS Release 12.2(13)T

Cisco IOS Release 12.2(14)SU 以上のリリースの Cisco IOS Release 12.2(14)SU

2. デュアル VAM と NPE-G1 の併用は、Cisco IOS Release 12.2(15)T、12.1(14)E、および 12.3 メインラインのみでサポートされます。

Cisco 7401ASR ルータ 1 Cisco IOS Release 12.2(9)YE以上のリリースの Cisco IOS Release 12.2 YE

NPE メモリ最大構成のトンネル数

64 MB 800

128 MB 1500

256 MB 3000

512 MB 5000

第 2 章インストレーションの準備最小限のハードウェアおよびソフトウェア要件


OL-3576-02-J

VAM と ISA/ISM の相互運用性

（注） Integrated Services Adapter（ISA; 統合サービスアダプタ）は SA-VAM の旧モデルで、Integrated Services Module（ISM; 統合サービスモジュール）は SM-VAM の旧モデルです。

Cisco 7100 シリーズルータは ISA/ISM および SA-VAM/SM-VAM をサポートし、Cisco 7200 シリーズルータは ISA および SA-VAM をサポートしていますが、Cisco 7401ASR ルータは 1 台のポートアダプタまたはサービスアダプタしかサポートしていません。

（注） Cisco 7100 シリーズおよび Cisco 7401ASR ルータの販売は終了しました。

表 2-2 に、ISA/ISM と VAM の相互運用性について示します。VAM と ISA/ISM を併用するには、以下の条件に従う必要があります。

• システムは、同一シャーシ内で 2 台の VAM をサポートします。1 台の VAM がシステムの起動時に有効で、2 台目の VAM をあとで追加した場合、2 台目の VAM が即座にアクティブになり、設定に応じてシステムは 2 台の VAM 間でロードバランスを行います。

• システムの起動時に VAM と ISA/ISM が同一のシャーシに搭載されていて、ルータの実行コンフィギュレーションで encryption mppe コマンドが設定されていない場合、ルータは新しい方のバージョン（この場合 VAM）をサポートし、ISA/ISM は非アクティブのままです。

• システムの起動時に ISA/ISM と VAM が同一のシャーシに搭載されていて、ルータの実行コンフィギュレーションで encryption mppe コマンドが設定されている場合、ISA/ISM と VAM は両方ともシステムの起動時に有効になります。ISA/ISM カードは MPPE をサポートし、VAM は ISAKMP/IPSec をサポートします。encryption mppe を有効にするには、「IPSec の設定」（p.4-6）の手順に従ってください。ISA/ISM カードで MPPE を無効にするには、no encryption mppe コマンドを使用します。このコマンドを使用すると、ISA/ISM が無効になります。

• カードを無効にするには、no crypto engine accelerator type slot/port（ポートアダプタスロット番号 /インターフェイスポート番号）コマンドを使用します。

表 2-2 VAM と ISA/ISM の相互運用性

VAM と ISA/ISM VAM と VAM

• MPPE をサポート • MPPE を非サポート

• ISAKMP/IPSec をサポート • ISAKMP/IPSec をサポート

• シャーシの電源投入時に ISA/ISM と VAM が有効な場合、ISA/ISM が MPPE に使用され、VAM が ISAKMP/IPSec に使用されます（ルータの実行コンフィギュレーションで

encryption mppe が設定されている場合）。

• 電源投入時にシャーシ内の 2 台の VAM が有効な場合、両モジュールで ISAKMP/IPSec がサポートされます。

• 起動時にシャーシ内の ISA/ISM が有効で、 VAM があとから追加された場合、VAM は次回の再起動時、または VAM を有効にするよう設定を変更するまで非アクティブのまま

です。

• 起動時にシャーシ内の 1 台の VAM が有効で、2 台目の VAM をあとで追加した場合、 2 台目の VAM が即座にアクティブになり、設定に応じてシステムは 2 台の VAM 間でロードバランスを行います。

第 2 章インストレーションの準備ハードウェアおよびソフトウェアの互換性の確認


OL-3576-02-J

ハードウェアおよびソフトウェアの互換性の確認

ハードウェアの互換性

Cisco 7100 シリーズ、Cisco 7200 シリーズ、および Cisco 7401ASR ルータは、VAM カードを 2 台までサポートします。VAM カードは、ポートアダプタやサービスアダプタ、Cisco 7100 シリーズ、 Cisco 7200 シリーズ、Cisco 7401ASR ルータでサポートされるサービスモジュールと相互運用が可能です。

ソフトウェアの互換性

ルータに搭載するハードウェアに最低限必要な Cisco IOS ソフトウェアを確認できるように、シスコでは Cisco.com に Software Advisor ツールを用意しています。Cisco Direct Customers に登録されている場合、Software Advisor にアクセスできます。これは、システム内のモジュールの互換性を調べるためではなく、個々のハードウェアモジュールまたはコンポーネントに最低限必要な Cisco IOS ソフトウェア要件を調べるためのツールです。

（注）このツールを利用するには、Cisco.com のログインアカウントが必要です。

http://www.cisco.com/cgi-bin/Support/CompNav/Index.pl

第 2 章インストレーションの準備安全に関する注意事項


OL-3576-02-J

安全に関する注意事項ここでは、電源または電話配線に接続する機器を取り扱う際に従うべき安全上の注意事項を示しま

す。

安全上の警告

誤って行うと危険が生じる可能性のある操作については、安全上の警告が記載されています。各警

告文に、警告を表す記号が記されています。

警告「危険」の意味です。人身事故を予防するための注意事項が記述されています。機器の取り扱い作

業を行うときは、電気回路の危険性に注意し、一般的な事故防止対策に留意してください。このマ

ニュアルに記載されている警告の各国語版については、装置に付属の『Regulatory Compliance and Safety Information』を参照してください。

電気を扱う際の注意事項

電気機器を取り扱う際には、次の基本的な注意事項に従ってください。

• シャーシ内部の作業を行う前に、室内の緊急電源遮断スイッチがどこにあるかを確認しておきます。

• シャーシを動かす前に、すべての電源コードおよび外付けケーブルを外してください。

• 危険を伴う作業は、一人では行わないでください。

• 回路の電源が切断されていると思い込まず、必ず確認してください。

• 人身事故や装置障害を引き起こす可能性のある作業は行わないでください。床が濡れていないか、アースされていない電源延長コードや保護アースの不備がないかどうか、作業場所の安全

を十分に確認してください。

静電破壊の防止

ESD により、装置や電子回路が損傷を受けることがあります（静電破壊）。静電破壊は電子部品の取り扱いが不適切な場合に発生し、故障または間欠的な障害をもたらします。ポートアダプタおよびプロセッサモジュールには、金属フレームに固定されたプリント基板があります。EMI（電磁波干渉）シールドおよびコネクタは、フレームを構成する部品です。基板は金属フレームによって

ESD から保護されていますが、取り扱いの際には、必ず静電気防止用リストストラップを着用してください。

静電破壊を防ぐために、次の注意事項に従ってください。

• 静電気防止用リストまたはアンクルストラップを肌に密着させて着用してください。

• シャーシフレームの塗装されていない面にストラップのクリップを取り付けてください。

• コンポーネントを取り付けるときは、イジェクトレバーまたは非脱落型ネジを使用して、バックプレーンまたはミッドプレーンにバスコネクタを適切に固定してください。イジェクトレバーや非脱落型ネジは、基板の脱落を防ぐだけでなく、システムに適切なアースを提供し、バ

スコネクタを確実に固定させるために必要です。

• コンポーネントを取り外すときは、イジェクトレバーまたは非脱落型ネジを使用して、バックプレーンまたはミッドプレーンからバスコネクタを取り外してください。

• フレームを取り扱うときは、ハンドルまたは端の部分だけを持ち、プリント基板またはコネクタには触れないでください。

第 2 章インストレーションの準備 FCC クラス A 規格との適合


OL-3576-02-J

• 取り外した基板はコンポーネント面を上向きにして、静電気防止用シートに置くか、静電気防止用容器に保管します。コンポーネントを返却する場合には、取り外した基板をすぐに静電気

防止用容器に収めてください。

• プリント基板と衣服が接触しないように注意してください。リストストラップは身体の静電気からコンポーネントを保護するだけです。衣服の静電気が、静電破壊の原因になることがあり

ます。

• プリント基板は、金属フレームから絶対に取り外さないでください。

• 安全のために、静電気防止用ストラップの抵抗値を定期的にチェックしてください。抵抗値は1 ～ 10 Mohm でなければなりません。

FCC クラス A 規格との適合この装置はテスト済みであり、FCC ルール Part 15 に規定された仕様のクラス A デジタル装置の制限に準拠していることが確認済みです。これらの制限は、商業環境で装置を使用したときに、干渉

を防止する適切な保護を規定しています。この装置は、無線周波エネルギーを生成、使用、または

放射する可能性があり、この装置のマニュアルに記載された指示に従って設置および使用しなかっ

た場合、ラジオおよびテレビの受信障害が起こることがあります。住宅地でこの装置を使用すると、

干渉を引き起こす可能性があります。その場合には、ユーザ側の負担で干渉防止措置を講じる必要

があります。

装置の電源を切ることによって、この装置が干渉の原因であるかどうかを判断できます。干渉がな

くなれば、シスコシステムズの装置またはその周辺機器が干渉の原因になっていると考えられま

す。装置がラジオまたはテレビ受信に干渉する場合には、次の方法で干渉が起きないようにしてく

ださい。

• 干渉がなくなるまで、テレビまたはラジオのアンテナの向きを変えます。

• テレビまたはラジオの左右どちらかの側に装置を移動させます。

• テレビまたはラジオから離れたところに装置を移動させます。

• テレビまたはラジオとは別の回路にあるコンセントに装置を接続します（装置とテレビまたはラジオがそれぞれ別個のブレーカーまたはヒューズで制御されるようにします）。

警告この製品は、これらの要件を満たすように設計されています。この製品に対してシスコシステムズ

が認めていない改造を行った場合には、各種認定が無効になり、さらに製品を操作する権限を失うこ

とになります。

暗号化に関する米国輸出規制法の遵守この製品は暗号化を実行し、米国政府の輸出規制を受けます。物理的または電子的手段によってこ

の製品を米国から輸出する場合は、米国商務省輸出管理局の管轄である輸出管理規制を遵守する必

要があります。詳細については、http://www.bxa.doc.gov/を参照してください。

一部の「強力」な暗号化機能を米国外部に輸出できるかどうかは、輸出先、エンドユーザ、および

最終利用目的によって決まります。シスコの適格製品、輸出先、エンドユーザ、および最終利用目

的の詳細については、http://www.cisco.com/wwl/export/encrypt.htmlを参照してください。

輸出に先立ち、現地の法律を確認し、必要に応じて輸入および利用条件を調べてください。各国の

暗号化関連の法律については、非公式な情報源として、

http://cwis.kub.nl/~frw/people/koops/lawsurvy.htmを参照してください。

http://www.bxa.doc.gov/http://www.cisco.com/wwl/export/encrypt.htmlhttp://cwis.kub.nl/~frw/people/koops/lawsurvy.htm

C H A P T E R


OL-3576-02-J

3

VAM の取り外しおよび取り付け

この章では、サポート対象プラットフォームから VPN Acceleration Module（VAM）を取り外し、新しい VAM または交換用 VAM を取り付ける方法について説明します。

取り付け作業を始める前に、第 2 章「インストレーションの準備」を参照し、取り付けに必要な部品および工具の一覧を確認してください。

具体的な内容は、次のとおりです。

• VAM の取り扱い（p.3-2）

• 活性挿抜（p.3-3）

• 警告および注意（p.3-4）

• VAM の取り外しおよび取り付け（p.3-5）

VAM は金属フレームにマウントされたシングル幅の基板です。SA-VAM の場合、プリント基板は金属フレームの底面にマウントされています（図 3-1 を参照）。SM-VAM の場合は、金属フレームの上面にプリント基板がマウントされています（図 3-2を参照）。

（注）ルータ内部で十分なエアフローを確保し、EMI 防止規格に適合させるために、空のポートアダプタスロットにはブランクポートアダプタを取り付ける必要があります。

（注） VAM の基板は ESD 破壊を受けやすいので、注意してください。

注意ルータの電源切断後、再投入する場合は、30 秒以上経過してからにしてください。

第 3 章 VAM の取り外しおよび取り付け VAM の取り扱い


OL-3576-02-J

VAM の取り扱い

注意 VAM は必ず、フレームの端とハンドルを持ちます。VAM コンポーネントまたはコネクタピンには決して触れないでください（図 3-1 および図 3-2 を参照）。

図 3-1 SA-VAM の取り扱い

図 3-2 SM-VAM の取り扱い

H64

2023

778

第 3 章 VAM の取り外しおよび取り付け活性挿抜


OL-3576-02-J

活性挿抜SA-VAM は、Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータ上で活性挿抜（Online Insertion and Removal; OIR）可能です。ルータの電源を切断することなく、 SA-VAM の取り外しおよび取り付けを行うことができます。

ただし、Cisco 7100 シリーズルータ上の SM-VAM は活性挿抜をサポートしていません。SM-VAM の取り外しおよび取り付けを行うときには、Cisco 7100 シリーズルータの電源を切断する必要があります。

通過するトラフィックの状態がアクティブであれば、先にシステムをシャットダウンしてからポー

トアダプタを取り外すことをお勧めします。ポート内部をトラフィックが通過しているモジュールを取り外すことは、システム障害を引き起こす可能性があります。モジュールが挿入されれば、ポー

トは復旧します。

（注）ルータまたはスイッチからモジュールを取り外す際に、活性挿抜の管理機能は、モジュールのアク

ティブなインターフェイスをすべてシャットダウンします。

活性挿抜は、ルータが稼働中でも、モジュールの取り付けおよび取り外しを可能にします。ソフト

ウェアに通知したり、またはシステム電源をシャットダウンしたりする必要はありませんが、モ

ジュールを取り外すときに、そのモジュールをトラフィックが通過しないようにする必要がありま

す。活性挿抜はネットワーク上のエンドユーザに対してシームレスで、すべてのルーティング情報を維持管理し、セッションを保護します。

次に、バックグラウンド情報に限定した活性挿抜機能を説明します。サポート対象のプラット

フォームにモジュールを取り付け /取り外しする詳細な手順は、「VAM の取り外しおよび取り付け」（p.3-5）を参照してください。

各モジュールには、ルータに接続するためのバスコネクタが搭載されています。バスコネクタには 3 段階のピンのセットが付属しており、モジュールに接触すると、システムに特殊信号を送信します。システムは受信した信号の順序を認識し、モジュールがシステムから取り外されたのか、取

り付けられたのかを判別します。さらに、これらの信号から、新しいインターフェイスを再初期化

するのか、または取り外されたインターフェイスをシャットダウンするのかを判断します。

具体的には、モジュールを取り付けると、最も長いピンが最初にモジュールと接触し、最も短いピ

ンが最後に接触します。システムは、これらの信号と受信した順序を認識します。

モジュールの取り付け /取り外しが行われる際に、ピンはシステムを変更する通知信号を送信します。その後、ルータは次の処理を行います。

1. システムを高速にスキャンし、コンフィギュレーションの変更を確認します。

2. 新しく取り付けられたポートアダプタを初期化、または空のインターフェイスを管理上のシャットダウンステートに変更します。

3. モジュールに、それまで設定されていたすべてのインターフェイスを復旧し、前回のステートに戻します。新しく搭載されたインターフェイスは、ブート時に存在していた（ただし設定さ

れていない）インターフェイスであるかのように、管理上のシャットダウンステートになります。同タイプのモジュールをスロットに再挿入した場合には、はじめに搭載されていた同タイ

プのモジュールのポート数だけ、ポートが設定されてオンラインになります。

注意オンライン状態で取り外すと、既存のトンネルが途切れます。その場合、トンネルを設定し直す必

要があります。トンネル設定の詳細については、『Site-to-Site and Extranet VPN Business Scenarios』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/core/7100/swcg/6342gre.htm#xtocid247834

第 3 章 VAM の取り外しおよび取り付け警告および注意


OL-3576-02-J

警告および注意VPN Acceleration Module の取り付けまたは取り外しを行うときには、次の警告および注意事項に従ってください。

警告ブランクの前面プレートおよびカバーパネルには、3 つの重要な機能があります。シャーシ内の危険な電圧および電流による感電を防ぐこと、他の装置への EMI の影響を防ぐこと、およびシャーシ内の空気の流れを適切な状態に保つことです。必ずすべてのカード、前面プレート、前面カバー、

および背面カバーをスロットに正しく取り付けた状態で、システムを運用してください。

警告保護カバーは製品に不可欠な部品です。保護カバーを取り付けない状態で装置を稼働させないでく

ださい。カバーを取り付けずに装置を稼働させると、安全性の認定が無効になり、発火または感電

の危険が生じます。

警告電源に接続されている装置を扱う場合は、事前に指輪、ネックレス、腕時計などの装身具を外して

おいてください。これらの金属が電源やアースに接触すると、金属が過熱して重度のやけどを負っ

たり、金属類が端子に焼き付くことがあります。

警告手または指で電源装置ベイに触れないでください。システムの稼働中は、電源バックプレーンに高

電圧がかかっています。

注意 VAM スロットの上端と下端の間でフレームが引っかからないように、また、VAM 背面のエッジコネクタが VAM スロット背面のコネクタときちんとかみ合うように、「Cisco 7100 シリーズ — VAM の取り外し /取り付け」（p.3-6）の断面図を参照し、フレームが正しい位置にあるかどうかを確認してください。

第 3 章 VAM の取り外しおよび取り付けVAM の取り外しおよび取り付け


OL-3576-02-J

VAM の取り外しおよび取り付けここでは、VAM の取り外しおよび取り付け手順を一連の図で説明します。説明する内容は、次のとおりです。

• Cisco 7100 シリーズ— VAM の取り外し /取り付け（p.3-6）

• Cisco 7200 シリーズ— SA-VAM の取り外し /取り付け（p.3-7）

• Cisco 7401ASR ルータ— SA-VAM の取り外し /取り付け（p.3-8）

警告作業中は、カードの静電破壊を防ぐため、必ず静電気防止用リストストラップを着用してください。プラットフォームによっては、リストストラップを接続するための ESD コネクタが備わっています。手または金属製の工具でミッドプレーンまたはバックプレーンに直接触れないでくださ

い。感電する可能性があります。

（注） VAM のレバーまたはその他の固定機構がロック位置にならない場合は、モジュールがミッドプレーンにきちんと装着されていません。スロットからモジュールを静かに引き出して、改めて挿入

し、VAM のレバーまたは他の固定機構をロック位置に合わせてください。

第 3 章 VAM の取り外しおよび取り付け VAM の取り外しおよび取り付け


OL-3576-02-J

Cisco 7100 シリーズ— VAM の取り外し /取り付け

6118

1

TD TC RD RC LB CDTD TC RD RC LB CD

TDEN TC RD RC LB CD

5

ITC RD RC LB CDT

D

EN

ERRORBOOT

RESETSM-VAM

5 VAM

SLOT 0 SLOT 1

FE 0 / 0 FERXTXE3

RXEN

CEL CAR ALM

5

I

ACT

0 / 1

ACT

LNK0

LNK1

3 5

5

I FE 0 /XMTRRCVREN RCLK FERF RL

AIS OOF LL

SM-VAM

5

SM-VAM

4

SM-VAM

3

5SM-VAM

2

SM-VAM SM-VAM

1

SM-VAM No. 2

1

No. 2

3

SA-VAM SA-VAM

5

SA-VAM

4

SA-VAM SA-VAM

2

SA-VAM

SA-VAM

SM-VAM SM-VAM

第 3 章 VAM の取り外しおよび取り付けVAM の取り外しおよび取り付け


OL-3576-02-J

Cisco 7200 シリーズ— SA-VAM の取り外し /取り付け

6118

0

2

0

4

1

3

56

FAST SERIAL

ENTD TC RD R

C LB CD TD TC RD RC LB CD TD TC RD RC LB CD TD TC RD RC LB CD

TOKEN RING

0 1 2

3

Cisco 7200Series

CPU

RESE

T

ENAB

LED

MII

EN R

J45

EN R

J45

LINK

1O P

WR

OK

RJ-4

5


PCM

CIA

EJEC

T

SLOT

0

SLOT

1

FE M

II

ENAB

LED

MII

LIN

K

RJ4

5

FAST ETHERNET

0

ETHERNET 10BT

ENAB

LED

0 2

1 3

LINK

0 1 2 3

)

)

A

BM

II

EN R

J45

EN R

J45

LINK

1O P

WR

OK

RJ-4

5

CPU

RESE

T


ENAB

LED

PCM

CIA

EJEC

T

SLOT

0

SLOT

1

FE M

II

2

4

6

Cisco 7200Series

1

3

5

ETHERNET 10BT

ENAB

LED

0 2

1 3

LINK

0 1 2 3

ENAB

LED

MII

LIN

K

RJ4

5

FAST ETHERNET

0

TOKEN RING

0 1 2

3

SA-VAM

A )

1

SA-VAM

4

SA-VAM

A )

5

SA-VAM

SA-VAM B )

3

SA-VAM SA-VAM

2

第 3 章 VAM の取り外しおよび取り付け VAM の取り外しおよび取り付け


OL-3576-02-J

Cisco 7401ASR ルータ— SA-VAM の取り外し /取り付け

7566

9

AB

C

1

SA-VAM A ) 360

2

SA-VAM B )

3

0.5

4

SA-VAM C

5

SA-VAM SA-VAM

6

SA-VAM SA-VAM

SA-VAM SA-VAM

SA-VAM

C H A P T E R


OL-3576-02-J

4

VAM の設定

この章では、Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータに搭載した VPN Acceleration Module（VAM）を設定するための情報および手順について説明します。具体的な内容は、次のとおりです。

• 概要（p.4-1）

• 設定作業（p.4-2）

• 設定例（p.4-12）

• 設定の確認（p.4-9）

• IPSec の基本的な設定例（p.4-14）

• VAM のモニタリングおよびメンテナンス（p.4-18）

概要VAM は Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータのあらゆるインターフェイスに暗号化サービスを提供します。IPSec が設定済みのルータに VAM を搭載すると、VAM は暗号化サービスを自動的に実行します。

（注） VAM に設定すべきインターフェイスはありません。

ここでは、暗号化および IPSecトンネリングサービスを実施するための基本的な設定に限定して説明します。IPSec、IKE、および CA の設定に関する詳細は、『Security Configuration Guide』の「IP Security and Encryption」および『Security Command Reference』の適切な IOS Release バージョンを参照してください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7b0.html

第 4 章 VAM の設定

Documents

VPN Acceleration Module VAM コンフィギュレーション...VAM は、Cisco 7100 シリーズ ルータ、Cisco 7200 シリーズ ルータ、および Cisco 7401ASR ルータ

VPN Acceleration Module VAM コンフィギュレーション...VAM は、Cisco 7100 シリーズルータ、Cisco 7200 シリーズルータ、および Cisco 7401ASR ルータ