Cisco IPsec VPNが繋がらない原因と対処法|debug crypto isakmp・Phase1/Phase2エラー・設定確認コマンド【トラブルシュート】

CiscoルータのIPsec VPNトラブルシューティング

Cisco IOS show interfaces status admin down err-disabled トラブルシューティング
目次 [ close ]
  1. よくある質問(FAQ)
    1. Q. IPsecのPhase1が確立しない主な原因は?
    2. Q. IPsecのデバッグコマンドは?
    3. Q. IPsec SAをクリアして再接続するには?

あわせて読みたい関連記事

Cisco IPsec VPNが繋がらない時の切り分け手順

Cisco機器でポートの状態を一覧で確認する際によく使うのがshow interfaces statusコマンドです。この出力でadmin downと表示されることがありますが、これは物理的な故障ではなく、設定上ポートが管理的に停止されている状態を示します。

本記事では、show interfaces statusの各Status値の意味・admin downになる原因と対処方法・err-disabledの回復手順・show interfacesとの使い分けまで体系的に解説します。

👷 現場での体験談

新しいPCをスイッチに接続したところ通信できないという問い合わせがありました。スイッチのポートを確認するとadmin downになっていました。

そのポートは以前は別の機器が接続されており、機器撤去時にセキュリティポリシーに従ってshutdownされたままになっていました。「ケーブルをつないだのに通信できない=物理障害」と思い込みがちですが、admin downはケーブルや機器の問題ではなく設定の問題です。no shutdownの一行で解決しました。Statusの意味を正確に知っているかどうかで、問い合わせ対応の速度が大きく変わります。

IPsecトラブルシューティングフロー図
IPsecトラブルシュート:Phase1/Phase2確認→パラメータ照合→デバッグの手順

show interfaces statusの出力例

Switch# show interfaces status

Port      Name               Status       Vlan       Duplex  Speed Type
Gi0/1                        connected    10         a-full  a-100 10/100/1000BaseTX
Gi0/2                        notconnect   1          auto    auto  10/100/1000BaseTX
Gi0/3                        err-disabled 20         a-full  a-100 10/100/1000BaseTX
Gi0/4                        disabled     1          auto    auto  10/100/1000BaseTX
Gi0/5                        admin down   1          auto    auto  10/100/1000BaseTX
Gi0/6                        connected    30         a-full  a-1000 10/100/1000BaseTX
フィールド意味確認ポイント
Statusポートの状態(最重要)connected / notconnect / admin down / err-disabled
Vlan割り当てVLANtrunkの場合は「trunk」と表示
Duplex全二重/半二重a-full = オートネゴで全二重確立。halfは要注意
Speedリンク速度a-100 = オートネゴで100Mbps確立

各Statusの意味と原因・対処

図1:ポートが「通信できない」状態の原因内訳(現場経験ベース)
connected ✅ 正常にリンクアップして通信中

ケーブル接続・リンク確立・通信可能な正常状態です。Duplex・Speed欄のa-プレフィックスはオートネゴシエーションで確立されたことを示します。

notconnect ケーブル未接続・物理リンク未確立

ポートにケーブルが刺さっていない、または対向機器の電源OFFやポートダウンの状態です。

確認手順:ケーブル接続確認 → 対向機器の電源確認 → ケーブル差し替えで改善するか確認
admin down / disabled shutdownコマンドで管理的に停止中

物理障害ではありません。管理者がshutdownコマンドを実行して意図的に停止している状態です。

主な原因:未使用ポートのセキュリティ対策・機器撤去後の停止・VLAN設定前の一時停止
err-disabled スイッチが問題を検知して自動無効化

ポートセキュリティ違反・BPDUガード・ループ検知などをスイッチが検知して自動でポートを無効化した状態です。単純にno shutdownするだけでは根本解決になりません。

確認コマンド:show errdisable recoveryshow logging

admin downの対処方法

ポートを有効化する

Switch# configure terminal
Switch(config)# interface GigabitEthernet0/5
Switch(config-if)# no shutdown
Switch(config-if)# end

! 有効化を確認
Switch# show interfaces status | include Gi0/5
⚠ 有効化前に確認すること
  1. そのポートの用途・接続先を台帳で確認
  2. 割り当てVLANが正しいか確認(show running-config interface Gi0/5
  3. 意図しない機器が接続されていないか物理確認

VLANの確認と割り当て

! VLANの存在確認
Switch# show vlan brief

! VLANを作成して名前を設定
Switch(config)# vlan 10
Switch(config-vlan)# name DATA
Switch(config-vlan)# exit

! ポートをVLANに割り当て
Switch(config)# interface GigabitEthernet0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# no shutdown

err-disabledの原因特定と回復手順

! err-disabledになった理由を確認
Switch# show errdisable recovery

! syslogで詳細確認
Switch# show logging | include Gi0/3

! 原因を解消してから手動復旧
Switch(config)# interface GigabitEthernet0/3
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
err-disabledの原因意味対処
bpduguardスイッチが接続されてBPDUを受信した接続機器を確認・撤去またはBPDU Guard設定を見直す
psecure-violationポートセキュリティで未登録MACが検出されたMACを登録するかポートセキュリティ設定を見直す
storm-controlブロードキャストストーム閾値を超えたループの有無を確認してから復旧
loopbackループを検知した物理配線を確認してループを除去してから復旧
🚨 errdisable recovery(自動復旧)は慎重に errdisable recoveryを有効にすると一定時間後に自動でポートが復旧します。原因が解消されていないと繰り返しerr-disabledになるループが発生します。原因を確認・解消してから手動復旧するのが原則です。

show interfaces statusと他コマンドの使い分け

コマンド特徴使う場面
show interfaces status全ポートを一覧表示。状態・VLAN・速度が一目でわかる障害調査の最初の一手。全体把握
show interfaces [IF]特定ポートの詳細。CRC・input errorsなどエラーカウンタも確認できる通信エラーやパケットロスを詳しく調査
show ip interface briefL3インターフェース(SVI等)のIP・Up/Downを一覧表示L3スイッチのSVIやルータのIF確認

運用上の注意点

🔒
未使用ポートはshutdown
使用していないポートはshutdownしておくことで不正接続を抑止しセキュリティリスクを低減できる
📋
有効化前に台帳確認
admin downのポートを有効化する前に、用途・接続先・VLAN割り当てを台帳で必ず確認する
🔍
err-disabledは原因を先に解消
no shutdownで無理やり復旧するとすぐ再発する。原因を特定してから対処する
halfデュプレックスに注意
Duplex欄がhalf(半二重)になっているとパフォーマンスが大幅低下する。古い機器との接続時に多い

まとめ

show interfaces statusはポート状態を一覧で把握できる、障害調査の起点となるコマンドです。

  • connected:正常 notconnect:ケーブル・物理問題
  • admin down/disabled:shutdownによる管理的停止。物理障害ではない。no shutdownで復旧可能
  • err-disabled:スイッチが自動検知した問題による停止。まず原因を確認・解消してからshutdown→no shutdownで復旧
  • err-disabledの原因はshow errdisable recoveryshow loggingで特定する
  • 未使用ポートはshutdownでセキュリティリスクを低減する

Statusの意味を正確に理解しておくだけで、問い合わせ対応の速度と精度が大きく変わります。

よくある質問(FAQ)

Q. IPsecのPhase1が確立しない主な原因は?

事前共有鍵(Pre-Shared Key)の不一致、暗号化アルゴリズム/ハッシュアルゴリズムの不一致、ISAKMPポリシーのライフタイム不一致、対向ピアIPアドレスの誤り、UDP 500/4500がファイアウォールでブロックされているケースが主な原因です。debug crypto isakmp で詳細なエラーメッセージを確認できます。

Q. IPsecのデバッグコマンドは?

debug crypto isakmp でPhase1(IKE)のネゴシエーションを、debug crypto ipsec でPhase2(IPsec SA)のネゴシエーションをデバッグできます。show crypto isakmp sa でPhase1の状態、show crypto ipsec sa でPhase2の状態を確認します。デバッグ後は必ず undebug all で無効化してください。

Q. IPsec SAをクリアして再接続するには?

clear crypto sa で全IPsec SAをクリアし、clear crypto isakmp でIKE SAもクリアできます。設定変更後はSAをクリアしないと新しい設定が反映されないため、パラメータ変更後は必ずクリアを実行してください。対向側にも同様の操作を依頼するとスムーズです。