質問 1. 資料 P21 の IPsec VPN の種類は IPsec で接続を行う 2 台のルータ同士で同じものを選択する必要がありますか？
はい、同じ種類の VPN をご利用いただく必要があります。

質問 2. IOS-XE での crypto map は EoS とアナウンスが出ていましたが、今後のバージョンでは crypto map による IPsec はサポートされなくなるのでしょうか？
今後のバージョンでも利用可能でございますが、何か問題が発生した場合、弊社開発部署は調査に参加できかねますので、下記ドキュメントをご参照いただき、VTI（virtual tunnel interface）VPN への移行をお勧めします。
Products - Migration to IPsec Virtual Tunnel Interface – Cisco IOS XE White Paper

質問 3.  DH グループの番号はどういう意味ですか？
DH グループの番号は、鍵の長さと安全性のレベルを示しています。たとえば、DH グループ  2は、1024 ビット長の鍵を使用します。一方、DH グループ 5 は、1536 ビット長の鍵を使用します。番号が大きいほど、 暗号化はより強力になりますが、その分計算にはより多くのリソースが必要になります。

質問 4.  SVTI はどのようなダイナミックルーティング プロトコルをサポートしていますか?
SVTI は、EIGRP、OSPF、BGP などの主流のルーティングプロトコルをサポートしています。

質問 5. Tunnel Mode ESP Packet の以下のヘッダ長をお教えください。
・ESP
・ESP Trailer
・ESP Auth
Tunnel Mode ESP パケットのヘッダ長については、一般的な値を以下に示しますが、具体的な長さは使用する暗号化と認証のアルゴリズムに依存します。ESP ヘッダ: SPI の 4 バイトとシーケンス番号の 4 バイトから構成され、合計で 8 バイトです。ESP Trailer: こちらはパディング（0-255 バイト）、パディング長（1 バイト）、次のヘッダの種類（1 バイト）から構成されます。最小長さは 2 バイトで、パディングによって長さが増えます。ESP Auth: 通常は ICV（Integrity Check Value）フィールドから構成され、その長さは使用する認証アルゴリズムによります。例えば、HMAC-SHA1 の場合、ICV は 160 ビット（20 バイト）で、HMAC-SHA-256 の場合、256 ビット（32 バイト）です。したがって、具体的なヘッダ長は使用する暗号化と認証のアルゴリズムによって異なります。

質問 6. Hardware として IPsec セッション数の上限が定められているという事ですが、こちらの上限値を超過することでH/W 処理から S/W 処理となり CPU 負荷などがかかるという理解で間違いないでしょうか？
ハードウェアがサポートする IPsec セッション数の上限を超えると、新たなセッションの確立は拒否される可能性があります。また、上限を超える運用は想定されておりませんので、具体的にどのような事象が発生するか予測できかねますが、CPU に更に負荷がかかる事象やパフォーマンスに影響を及ぼす可能性は考えられます。

質問 7. 最近はルータだけでなく L3SW などでも IPsec が利用できるようになったとお聞きしておりますが、ルータと比べてデメリットなどはございますでしょうか？
L3SW で IPsec を使用する際のデメリットについては以下のとおりです。
パフォーマンス：L3SW は一般的に高速なスイッチング能力を持っていますが、暗号化エンジンのようなハードウェアがない場合があり、結果として IPsec のパフォーマンスが低下する可能性があります。
機能と柔軟性：ルータは通常、より広範なネットワーキング機能とプロトコルをサポートしています。これには、さまざまな種類の VPN、ダイナミックルーティングプロトコル、QoS、トラフィック管理、セキュリティ機能などが含まれます。一方、L3SW は主にスイッチングに焦点を当てており、これらの高度な機能をすべてサポートしていない場合があります。

質問 8. 頻繁に tunnel interfaceがdown/（即時）up する原因は何が考えられるでしょうか？
tunnel interfaceがdown/（即時）up する原因は様々であり、ネットワーク接続が不安定、CPU、メモリなどのリソース問題や、デバイス自体の問題による可能性がありますが、これらの問題を診断するためには、ログやパケットキャプチャなどを確認する必要があります。必要に応じて TAC SR をオープンしてください。

質問 9. IPsec を利用するライセンスによりトンネル数の制限がありますが、利用中のトンネル数がわかるコマンドはありますか？
Cisco IOS (XE) では、「show crypto ipsec sa」や「show crypto session」コマンドで現在アクティブ（利用中）なトンネル数が確認できます。

質問 10. 現在、Cisco ルータ間にて IPsec VPN を使用中のエンドユーザ様において、低セキュリティ暗号化方式から高セキュリティ暗号化方式への変更を計画されています。 エンドユーザ様としては少しでもセキュリティ強度の高い暗号化アルゴリズム/ハッシュアルゴリズム/DH グループを選択したいとお考えのようですが、機器へ VPN 処理負荷やパフォーマンス低下を懸念されており、エンドユーザからアドバイスを求められています。 暗号化アルゴリズム/ハッシュアルゴリズム/DH グループ毎に、CPU 使用率や通信パフォーマンス低下等の計測結果は提供されていないでしょうか？
具体的な暗号化アルゴリズム、ハッシュアルゴリズム、または DH グループごとのパフォーマンス影響の計測結果を提供する公式な文書はございません。これは、パフォーマンス影響が使用している具体的なハードウェア、デバイスのモデル、OS バージョン、ネットワークの帯域幅、トラフィックのパターンなど、多くの要因に依存するためです。したがって、パフォーマンスとのバランスを考慮した上で、新しい設定を実装する前に、テスト環境でパフォーマンステストを実施し、実際のパフォーマンス影響を確認することをお勧めします。

質問 11. IPSec VPN の種類について 5 つ上げられていましたが、Cisco の推奨/非推奨はございますでしょうか？
こちらにつきましては、組織の特定の要件、ネットワーク環境、セキュリティポリシーなどに大きく依存します。そのため、一概にどの種類が推奨されるかとは言えませんが、Crypto map のメンテナンス終了がアナウンスされていますので非推奨です。

質問 12. DPD の送信方法が initiator と  responderで一致していない場合、IPSec は接続できますか?接続できる場合はどちらの送信方法になるのでしょうか？
DPD はネゴシエーションせず、自己管理となります。そのため、initiator と responder で一致していない場合でも IPSec の接続に影響がなく、それぞれが独自の DPD 送信方法を使用します。

質問 13. Crypto Map 方式の IPsec 接続はメンテナンス終了となるとのご説明がありますが、こちらの対象 OS は IOS XE のバージョン 17.6 までとなるでしょうか。それとも、IOS XE のバージョン 17.6 以降の OS もすべてメンテナンス終了となるでしょうか。例えば 17.9.4a の OS で Crypto-map 方式を採用した場合はメンテナンス対象外となるのでしょうか。
今後、Cisco IOS XE で Crypto-map 方式の IPsec をサポートしなくなる予定はありますので、お客様には VTI への移行をお勧めしますが、お客様の導入ニーズに基づいて移行に関する問題が発生する可能性があるため、IOS XE 17.9.x でのメンテナンスを 2025 年 3 月まで延長しました。

公開の難しい情報などは掲載を見送らせていただくこともございます。ご容赦いただけますと幸いです。
当オンラインセミナーのご参加、誠にありがとうございました。 またのご参加をお待ちしております。