Cisco IOS ワイドエリア ネットワーキング コンフィ ギュレーション ガイド
X.25 のセキュリティ シグナリング ファシリ ティの抑制
X.25 のセキュリティ シグナリング ファシリティの抑制
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

X.25 のセキュリティ シグナリング ファシリティの抑制

マニュアルの内容

機能に関する情報

X.25 セキュリティ ファシリティ抑制のシナリオ

セキュリティ シグナリング ファシリティの抑制が必要な場合

X.25 セキュリティ シグナリング ファシリティの抑制方法

X.25 セキュリティ シグナリング ファシリティのディセーブル化

トラブルシューティングのヒント

X.25 セキュリティ シグナリング ファシリティを抑制する設定例

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

X.25 のセキュリティ シグナリング ファシリティの抑制

X.25 のセキュリティ シグナリング ファシリティの抑制機能では、X.25 クラス サービスによって送信された X.25 Call パケットおよび Call Confirm パケットの X.25 の Call Redirection/Call Deflection Notification(CRCDN)および Called Line Address Modified Notification(CLAMN)セキュリティ シグナリング ファシリティを無効(抑制)にできます。この機能は、X.25 のセキュリティ シグナリング ファシリティを受け入れない専用または非標準 X.25 サービスを実装している機器に接続する際に必要になることがあります。

X.25 のセキュリティ シグナリング ファシリティの抑制の機能仕様

機能の履歴
リリース
変更点

12.2(13)T

この機能が追加されました。

サポートされているプラットフォーム

Cisco Catalyst 4000 ゲートウェイ、Cisco 800 シリーズ、Cisco 805 ルータ、Cisco 1400 シリーズ、Cisco 1600 シリーズ、Cisco 1600R シリーズ、Cisco 1710 ルータ、Cisco 2500 シリーズ、Cisco 2610 ~ 2613 シリーズ、Cisco 2620 および 2621 ルータ、Cisco 2650 および 2651 ルータ、Cisco 2691 ルータ、Cisco 3620 ルータ、Cisco 3631 ルータ、Cisco 3640 ルータ、Cisco 3660 ルータ、Cisco 3725 ルータ、Cisco 3745 ルータ、Cisco 5300 シリーズ、Cisco 5350 ルータ、Cisco 5400 シリーズ、Cisco 5800 シリーズ、Cisco 5850 ルータ、Cisco 7100 シリーズ、Cisco 7200 シリーズ、Cisco 7400 シリーズ、Cisco 8850-RPM、IGX8400-URM、Cisco MC3810 ルータ、Cisco uBR 7200 ルータ

Cisco Feature Navigator を使用したプラットフォーム サポートの特定

Cisco IOS ソフトウェアには、特定のプラットフォームをサポートする機能セットが同梱されています。この機能のプラットフォーム サポートに関連した更新情報を取得するには、Cisco Feature Navigator にアクセスします。新しいプラットフォーム サポートが機能に追加されると、Cisco Feature Navigator によって、サポートされているプラットフォームのリストが自動的に更新されます。

Cisco Feature Navigator は Web ベースのツールであり、特定の機能セットがサポートされている Cisco IOS ソフトウェア イメージ、および、特定の Cisco IOS イメージ内でサポートされている機能を素早く特定できます。機能またはリリースごとに検索できます。リリース セクションでは、各リリースを横に並べて比較し、各ソフトウェア リリースに固有の機能と共通機能の両方を表示できます。

Cisco Feature Navigator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れたり、紛失したりした場合は、空の E メールを cco-locksmith@cisco.com に送信してください。自動チェックによって、E メール アドレスが Cisco.com に登録されているかどうかが確認されます。チェックが正常に終了したら、ランダムな新しいパスワードとともにアカウントの詳細が E メールで届きます。資格のあるユーザは、Cisco.com のアカウントを作成できます。次の URL にある指示に従ってください。

http://www.cisco.com/register

Cisco Feature Navigator は定期的に更新されています(Cisco IOS ソフトウェアの主要なリリース時およびテクノロジー リリース時)。最新情報については、次の URL から Cisco Feature Navigator ホームページにアクセスしてください。

http://www.cisco.com/go/fn

Cisco IOS ソフトウェア イメージの使用可能性

特定の Cisco IOS ソフトウェア リリースをサポートしているプラットフォームは、そのプラットフォーム用のソフトウェア イメージがあるかどうかによります。一部のプラットフォームのソフトウェア イメージは、事前の通知なしに延期、遅延、または変更される場合があります。各 Cisco IOS ソフトウェア リリースのプラットフォーム サポートおよび利用可能なソフトウェア イメージの更新情報は、オンライン リリース ノートまたは Cisco Feature Navigator(サポートされている場合)を参照してください。

X.25 のセキュリティ シグナリング ファシリティの抑制機能に関する情報

X.25 のセキュリティ シグナリング ファシリティの抑制機能を設定するには、次の項で説明する概念を理解する必要があります。

「X.25 セキュリティ ファシリティ抑制のシナリオ」

「セキュリティ シグナリング ファシリティの抑制が必要な場合」

X.25 セキュリティ ファシリティ抑制のシナリオ

X.25 ネットワークは、X.25 の Call、Call Confirm、Clear パケットでセキュリティ ファシリティを符号化して、相手先選択接続(SVC)のセットアップに参加した両方のステーションに、ステーションが予期しないパートナーと接続する可能性のあるイベントを通知します。


) このマニュアルでは、Call パケットおよび Call Confirm パケットと呼びます。これらの名前は、X.25 で標準化された名前とは異なります。標準では、DTE ステーションから送信された Call パケット(Call Request)と DCE ステーションから送信されたパケット(Incoming Call)を区別し、同様に、DTE から送信された Call Confirm パケット(Call Accepted)と DCE から送信されたパケット(Call Connected)を区別しています。

パケットは同じように符号化され、多くの場合、X.25 が行う処理も同じです。ただし、動作がパケットを受信または送信するステーション タイプに基づく場合もあります。


たとえば、X.25 コールがハント グループを通してネットワークによって再配布される場合、標準実装では、CRCDN ファシリティは転送されたコールで符号化されます。したがって、受信者には、コール パケットがハント グループを通して再配布されたことと、元の宛先アドレスが通知されます。そのようなコールが、戻された Call Confirm パケットによって受け入れられた場合も、標準ネットワークは Call Confirm パケットの転送時に CLAMN ファシリティを符号化します。この符号化により、発信者には、ハント グループを通して宛先に着信したことが通知され、受け入れステーションの宛先アドレスが符号化される場合もあります。両方のステーションには発生した内容が通知されるので、最終的な接続が許可された場合、それぞれが SVC を続けるかどうか、許可されなかった場合チャネルをクリアするかどうかを決定できます。

セキュリティ シグナリング ファシリティの抑制が必要な場合


警告 X.25 セキュリティ シグナリング ファシリティは、接続するステーションに対して、通知しなかった場合にセキュリティ上の問題が発生する可能性のあるイベントを明示的に通知するために使用されます。これらのファシリティの抑制は、接続された機器とネットワーク構成が、通知された情報を必要としない十分な安全性を備えている場合だけ設定する必要があります。


最も一般的な少数の X.25 機能またはファシリティ セットだけでなく他の機能も使用すると、X.25 実装が意図したとおりに機能しないことがよくあります。セキュリティ シグナリング ファシリティは一般的な機能ではありません。コール設定中にこれらを符号化する SVC を続行しなくなる X.25 実装が多数あります。このため、シスコ機器が X.25 ハント グループの実装に使用されている場合に接続障害が発生する可能性があります。シスコのハント グループ機能で符号化されるセキュリティ ファシリティは 2 つです。ハント グループから転送された X.25 Call パケットには CRCDN ファシリティが符号化されています。受け入れられると、戻される X.25 Call Confirm パケットには CLAMN ファシリティが符号化されています。

Call パケットの発信者とその宛先の両方が、ハント グループ イベントの通知を受けて、ステーションのセキュリティ ポリシーによって通信が許可されない場合、各サイドで SVC をクリアできるようにする必要があります。この理由から、シスコのハント グループの実装は、X.25 専用の CRCDN および CLAMN ファシリティを使用して、コール設定に参加する両方のステーションに信号を送信するように設計されています。X.25 のセキュリティ シグナリング ファシリティの抑制機能では、このシグナリングを、Call パケットの CRCDN ファシリティを使用して抑制できます。この機能で追加された no x25 security crcdn コマンドはこの機能を提供します。また、このコマンドの使用によって、プロトコルが正常に動作しなくなることはありません。

no x25 security clamn コマンドがシグナリングをディセーブルにするように設定されている場合、X.25 の Call Confirm パケットの CLAMN ファシリティを抑制するように、X.25 の動作を変更することもできます。CLAMN セキュリティ シグナリング ファシリティの抑制を設定すると、プロトコルが正常に動作しなくなることがあります。X.25 勧告は、Call Confirm パケットが、ヌル アドレスではなく、Call パケットで符号化されたアドレスとは異なる宛先アドレスを符号化している場合、そのパケットには CLAMN ファシリティを含めるよう指定しています。X.25 が CLAMN ファシリティの符号化を抑制するように設定されている場合、宛先アドレスの符号化も抑制されます。つまり、Call Confirm パケットでアドレス ブロックが符号化されている場合、宛先アドレスはヌル アドレス(ゼロの数値)として符号化されます。これは、どの宛先に到達したかを表すことができないからです。

X.25 プロファイルでも、X.25 セキュリティ シグナリング ファシリティを抑制するように設定できます。このプロファイルは、ネットワーク管理者がこれらのファシリティの抑制をローカライズする場合に便利です。たとえば、X.25 over TCP/IP(XOT)を使用して接続を切り替えるハント グループを、セキュリティ シグナリング ファシリティがコール設定に参加するどちらのホップにも転送されないように設定できます。

また、一部の電話会社のデータ通信ネットワーク(telco DCN)では、1980 年および 1984 年の国際電気通信連合電気通信標準化部門(ITU-T)の勧告の要素を融合した非標準 X.25 実装を使用しています。図 1 は、CPE とも呼ばれる X.25 デバイスが、シリアル リンクを使用して Cisco ルータと IP バックボーン ネットワークに接続されている telco DCN ネットワークの一部を示しています。

図 1 Cisco IP バックボーン ネットワークに接続された DCN ネットワーク デバイス

 

 

telco DCN の初期の機器は、ITU-T 1980 X.25 勧告に準拠し、シスコはこの標準にサポートを提供していました。しかし、それ以降、2048 および 4096 の最大パケット サイズや X.25 Annex G の動作など、ITU-T 1984 X.25 勧告の実質的な要素が DCN に組み込まれました。telco DCN にこの ITU-T 1980 および 1984 X.25 勧告が共存しているため、CPE を ITU-T 1984 X.25 勧告に従って動作できるようにする設計要件が発生しました。一方、シスコのハント グループ機能によって符号化されるセキュリティ シグナリング ファシリティを抑制できるようにする変更も必要でした。ITU-T 1980 X.25 勧告では、これらのセキュリティ シグナリング ファシリティを定義していないため、シスコの X.25 実装は、符号化されるはずのセキュリティ シグナリング ファシリティをパケットで抑制するように設定できるようになりました。

X.25 セキュリティ シグナリング ファシリティの抑制方法

ここでは、次の任意の手順について説明します。

「X.25 セキュリティ シグナリング ファシリティのディセーブル化」(任意)

X.25 セキュリティ シグナリング ファシリティのディセーブル化

X.25 CLAMN および CRCDN シグナリング ファシリティをディセーブルにするには、次の手順を実行します。

手順の概要

1. enable

2. configure { terminal | memory | network }

3. interface serial interface-number

4. encapsulation x25

5. no x25 security crcdn

6. no x25 security clamn

7. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure { terminal | memory | network }

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface serial interface-number
 

Router(config)# interface serial 0

インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

encapsulation x25

 

Router(config-if) encapsulation x25

デフォルトの X.25 DTE オペレーション モードをイネーブルにします。

ステップ 5

no x25 security crcdn

 

Router(config-if) no x25 security crcdn

送信された X.25 Call パケットで CRCDN セキュリティ シグナリング ファシリティをディセーブルにします。

ステップ 6

no x25 security clamn

 

Router(config-if) no x25 security clamn

X.25 Call Confirm パケットで CLAMN セキュリティ シグナリング ファシリティをディセーブルにして、宛先アドレスを抑制します。

ステップ 7

exit

 

Router(config-if) exit

インターフェイス コンフィギュレーション モードを終了します。

exit コマンドをもう一度入力して、グローバル コンフィギュレーション モードを終了します。

トラブルシューティングのヒント

debug x25 EXEC コマンドを使用して、いつ X.25 ファシリティを使用し、いつ設定済みの機能によってこれらを抑制するかを決定します。

X.25 セキュリティ シグナリング ファシリティを抑制する設定例

次の例では、CRCDN と CLAMN の両方のセキュリティ シグナリング ファシリティを抑制する方法を示します。

interface serial 0
no ip address
encapsulation x25
no x25 security crcdn
no x25 security clamn

参考資料

X.25 のセキュリティ シグナリング ファシリティの抑制機能に関連するその他の情報については、次の資料を参照してください。

関連資料

関連項目
参照先

X.25 コマンド

Cisco IOS Wide-Area Networking Command Reference , Release 12.2』

X.25 設定作業

Cisco IOS Wide-Area Networking Configuration Guide , Release 12.2』

規格

規格1
タイトル

ITU-T X.25

ITU-T 1980 X.25 勧告

ITU-T 1984 X.25 勧告

ITU-T 1988 X.25 勧告

ITU-T 1993 X.25 勧告

1.サポートされている規格がすべて記載されているわけではありません。

MIB

MIB
MIB リンク

なし

プラットフォームおよび Cisco IOS リリースでサポートされている MIB のリストを入手するには、Cisco.com の Cisco MIB Web サイト(次の URL)にアクセスしてください。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB の場所を検索してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://tools.cisco.com/ITDIT/MIBS/servlet/index

Cisco MIB Locator で必要な MIB 情報がサポートされていない場合、サポート対象 MIB のリストを取得し、次の URL にある Cisco MIB ページから MIB をダウンロードすることもできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Cisco MIB Locator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れたり、紛失したりした場合は、空の E メールを cco-locksmith@cisco.com に送信してください。自動チェックによって、E メール アドレスが Cisco.com に登録されているかどうかが確認されます。チェックが正常に終了したら、ランダムな新しいパスワードとともにアカウントの詳細が E メールで届きます。資格のあるユーザは、Cisco.com のアカウントを作成できます。次の URL にある指示に従ってください。

http://www.cisco.com/register

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

TAC のホームページには、3 万ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、ツール等へのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

http://www.cisco.com/public/support/tac/home.shtml

コマンド リファレンス

次に示すコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。これらのコマンドの詳細については、『 Cisco IOS Wide-Area Networking Command Reference 』( http://www.cisco.com/en/US/docs/ios/wan/command/reference/wan_book.html )を参照してください Cisco IOS の全コマンドを参照する場合は、参照先( http://tools.cisco.com/Support/CLILookup )の Command Lookup Tool を使用するか、または『 Cisco IOS Master Commands List 』にアクセスしてください。

x25 security clamn

x25 security crcdn