目次
1. ネットワークトポロジー
1.1 クリアな IPSec セキュリティ アソシエーション
ユーザーがセキュリティ ポリシーを再構成する必要がある場合、新しく構成されたセキュリティ ポリシーを有効にするために、次の操作を実行して IPSec セキュリティ アソシエーションをクリアできます。
<USG5500A>reset ipsec sa
例証します:
- この操作では、手動の方法で確立されたセキュリティ アソシエーションと、IKE ネゴシエーションによって確立されたフェーズ 2 のセキュリティ アソシエーションのみがクリアされます。パラメータを指定しない場合、手動で確立されたフェーズ 2 セキュリティ アソシエーションと IKE ネゴシエーションを通じて確立されたすべてのセキュリティ アソシエーションがクリアされます。
- 手動ネゴシエーションによって確立されたセキュリティ アソシエーションの場合、クリアされた後、システムは手動で設定されたパラメータに基づいて新しいセキュリティ アソシエーションを直ちに作成します。
- IKE ネゴシエーションによって確立されたセキュリティ アソシエーションの場合、パケットがクリアされた後に IKE ネゴシエーションを再トリガーすると、IKE は再ネゴシエーションを行ってセキュリティ アソシエーションを確立します。
- パラメータパラメータを指定した場合、セキュリティ アソシエーションはペアで表示されるため、一方向のセキュリティ アソシエーションのパラメータがクリアされると、もう一方の方向のセキュリティ アソシエーションのパラメータもクリアされます。
1.2 IPSec 統計のクリア
IPSec のデバッグ時に、IPSec 統計が多すぎて表示しにくい場合は、次の操作を実行して IPSec 統計をクリアできます。
<USG5500A>reset ipsec statistics
1.3 IKE セキュリティ アソシエーションのクリア
ユーザーがセキュリティ ポリシーを再設定する必要がある場合、新しく設定されたセキュリティ ポリシーを有効にするために、次の操作を実行して IKE セキュリティ アソシエーションをクリアできます。
<USG5500A>reset ike sa
注:
IKE セキュリティ アソシエーションをクリアするときは、次の点に注意する必要があります。
- 指定したセキュリティ アソシエーションをクリアする場合は、接続 ID を指定する必要があります。display ike sa コマンドを使用すると、現在のセキュリティ アソシエーションの接続 ID 情報を表示できます。
- ローカル セキュリティ アソシエーションをクリアするときに、フェーズ 1 の ISAKMP SA がまだ存在する場合は、このセキュリティ アソシエーションの保護下にあるピアにクリア メッセージが送信され、セキュリティ アソシエーション データベースをクリアするようにピアに通知されます。
- connection-id が指定されていない場合、すべてのフェーズ 1 セキュリティ アソシエーションがクリアされます。
2 ドメイン間のセキュリティ ポリシーのデバッグ
他のすべての設定が正しいと仮定すると、ゾーン間セキュリティ ポリシーの設定だけが異常です。
2.1 USG A ステータスは NEG–NEGOTIATING です
2.1.1 iks sa ステータスの確認
2.1.2 PC1 が PC3 に ping を実行すると、パケット キャプチャには要求パケットのみが表示されます
2.1.3 理由
現時点では USGA のみがゾーン間セキュリティ ポリシーを構成しているため、USGC はそれを構成していません。
2.2 USG A ステータスは RD|ST です
RD – レディ ST – ステイライブ
2.2.1 iks sa ステータスの確認
2.1.2 PC1 が PC3 に ping を送信し、パケットをキャプチャして、要求パケットと応答パケットがあることを確認します。
2.1.3 理由
現時点では、ドメイン間セキュリティ ポリシーを構成しているのは USGA と USGC だけであるためです。
USGA
USGC
2.3 PC1 と PC3 を直接接続する
2.3.1 PC1 は PC3 に ping できるが、PC3 は PC1 に ping できない
2.3.2 ゾーン間のセキュリティ構成
USGA はインバウンドの信頼を構成しません
USGC は trust untrust 受信で構成されています