Cisco VPN Solutions Center: IPsec ソリューション プロビジョニング ガイド
IPsec VPN サービス要求の監査
IPsec VPN サービス要求の監査
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

IPsec VPN サービス要求の監査

VPNSC における監査について

VPNSC におけるサービス要求の監査

監査レポートの表示

サービス要求の説明と状態遷移のサマリー

VPN Solutions Center サービス要求状態の定義

サービス要求の状態遷移順序

IPsec VPN サービス要求の監査

VPN Solutions Center サービス要求監査を起動すると、監査によっては VPN の各トンネルがテストされます。サービス要求は、すべてのトンネルが監査をパスした場合にだけ、Deployed 状態に進みます。

VPNSC における監査について

VPN Solutions Center ソフトウェアは、サービス要求を展開するたびに、基本的な監査を実行します。実行回数を増やす場合、または監査をカスタマイズする場合は、この項の説明に従って個別に監査のスケジュール設定を行います。

VPN Solution Center 監査がチェックする要素は、次のとおりです。

ループバック インターフェイス

GRE トンネル インターフェイス

暗号アクセス制御リスト(ACL)

トランスフォーム セット

暗号マップ(トンネル レベルの監査)

暗号ローカル ID

IKE ポリシー

事前共有キー

ルーティング プロトコル

入力トラフィック フィルタ

サービス要求がプロビジョニング システムの制御を越えて移動する場合は、VPN Solutions Center の「オーディタ」が制御を行います。オーディタは、VPN サービス要求の現在の状態を、ライフタイムを通じて監視および報告するメカニズムです。VPN サービス要求のライフタイムは、Requested 状態から Closed 状態に渡ります(「サービス要求の説明と状態遷移のサマリー」を参照)。またオーディタは、サービス要求が現在の状態にある理由を提供します。オーディタは状態遷移(存在する場合)を、VPN インベントリ リポジトリに保存します。

VPNSC におけるサービス要求の監査

IPsec VPN のサービス要求を監査するには、次の手順を実行します。


ステップ 1 VPN コンソールの階層ペインから、 VPNs タブを選択します。

ステップ 2 VPNs タブから監査する VPN を見つけるまで VPN 階層を展開します。

ステップ 3 VPN の名前を選択し、 右クリック します。図 6-1に示すメニューが、表示されます。

図 6-1 VPN メニュー

 

ステップ 4 メニューから、 Audit Service Requests を選択します。

図 6-2に示すダイアログボックスが、表示されます。

図 6-2 監査するサービス要求の選択

 

ステップ 5 監査するサービス要求を選択します。

選択された VPN のすべてのサービス要求

自身のサービス要求だけ

選択したサービス要求

ステップ 6 選択したサービス要求だけを監査する場合は、 Selective service requests オプションを選択し、 Select をクリックします。

選択可能なサービス要求を示すテーブルが表示されます(図 6-3を参照)。

図 6-3 選択可能なサービス要求のリスト

 

a. リストから 1 つまたは複数のサービス要求を選択します。

b. OK をクリックします。

図 6-2に示す Audit Options ダイアログボックスに戻ります。

ステップ 7 just-in-time collection プロンプトに対して適切な応答( Yes または No )を選択します。

Do you want to perform a just-in-time (jit) collection of router configurations before audit?

a. VPN Solutions Center が監査を実行する前に、選択したサービス要求の影響を受けるルータから最新のルータ コンフィギュレーション ファイルを収集する場合は、 Yes オプション(デフォルト)を選択します。

b. リポジトリ内のルータのコンフィギュレーション ファイル(最新版でない可能性もあります)を使用して VPN Solutions Center による監査を実行する場合は、 No を選択します。

ステップ 8 必要な監査オプションを設定したら、 Schedule タブを選択します。

Audit Schedule ダイアログボックスが表示されます(図 6-4を参照)。

図 6-4 監査のスケジューリング

 

ステップ 9 ダイアログボックスのフィールドにデータを入力し、必要に応じて監査をスケジュールします。

a. Task Name :この監査タスクに付ける一意のタスク名を入力します。

b. Frequency Frequency リストから、使用する頻度を選択します。 Once Hourly Daily , Weekly Monthly 、または Yearly です。

c. Start Time :開始時刻を Now または Later に設定します。

Once 以外のオプションを選択すると、新しいフィールドが Schedule ダイアログボックスに表示されます。

d. Later Start Time フィールドで Later を選択した場合、日付と時刻を指定してタスクを開始します。

e. Every Every ドロップダウン リストから、タスクが実行される間隔を指定します。

f. End Time End Time ドロップダウン リストから、次のいずれかを選択します。

No End :終了の時刻と日付がないタスク。

End On :特定の時刻と日付で終了するタスク。

g. End On を選択した場合は、タスクが終了する日付と時刻を指定します。

ステップ 10 監査に使用するスケジュールを設定したら、 Add をクリックします。

監査が Schedule List に追加され、ダイアログボックスの上部に表示されます(図 6-4を参照)。

ステップ 11 OK をクリックします。

VPN コンソールに戻ります。


 

監査レポートの表示

監査レポートを表示するには、次の手順を実行します。


ステップ 1 VPN コンソールのメニュー バーから Provisioning > List All Service Requests を選択します。

AllIPsec Service Requests Report が表示されます(図 6-5を参照)。

図 6-5 All IPsec Service Requests Report

 


) 展開に関して問題が報告されているサービス要求は、黄色で表示されます。


ステップ 2 情報を監査するサービス要求を選択します。

ステップ 3 Tunnel List Report ボタン(All IPsec Service Requests Report ウィンドウの最下部にある)をクリックします。

Tunnel List Report が表示されます。

ステップ 4 Tunnel Details ボタン(Tunnel List Report の最下部にある)をクリックします。

Tunnel Details Report が表示されます(図 6-6を参照)。

図 6-6 Tunnel Details Report

 

ステップ 5 Audit Details Report(図 6-7を参照)を表示するには Audit Detail ボタン(Tunnel Details Report の最下部にある)をクリックします。

図 6-7 Audit Details Report

 

IPsec Tunnel Audit Details Report では、監査で発見された問題が、黄色で強調表示されます。

前のウィンドウに戻るには、 Back をクリックします。


 

サービス要求の説明と状態遷移のサマリー

サービス モデルは、サービス プロビジョニングの最も重要な部分です。VPN Solutions Center:IPsec Solution ソフトウェアは、サービス モデルを使用することで、指定された VPN サービス プロビジョニング要求の取り込み、要求の有効性の分析、およびプロビジョニング要求の監査を行うことができます。

サービス プロバイダーのオペレータは、すべてのサービス要求情報をカスタマーから取得します。VPN Solutions Center:IPsec Solution は、VPN 情報や、割り当てられたエッジ ルータのリストなどのカスタマー情報を保有するため、オペレータのエントリ作成に役立ちます。

VPN コンソールによってオペレータは容易にプロセスを実行でき、IPsec VPN のセットアップに必要な多くのタスクの自動化により、エッジ ルータのプロビジョニング タスクが簡素化されます。

VPN Solutions Center サービス要求状態の定義

表 6-1 は、各 VPN Solutions Center サービス要求状態の説明です。アルファベット順に並んでいます。

 

表 6-1 VPN Solutions Center サービス要求状態のサマリー

サービス要求のタイプ
説明

Closed

サービス要求がプロビジョニング プロセスまたは監査プロセスで使用されなくなると、サービス要求は Closed に移行します。削除要求が正常に監査された場合にだけ、サービス要求が Closed 状態に移行します。VPNSC:IPsec Solution は、拡張監査を可能にするため、サービス要求をデータベースから削除しません。サービス要求の削除は、特定の管理者アクションだけが実行できます。

Deployed

コンフィギュレーションのアップデート コマンドが、ルータ コンフィギュレーション ファイルに記述されている通りに確認されると、サービス要求は Deployed に移行します。Deployed はコンフィギュレーション ファイルがルータにダウンロードされたこと、また要求の内容がコンフィギュレーション レベルで確認されたことを示します。

Failed Audit

VPNSC がコンフィグレットをルータに正常にダウンロードしたにもかかわらず、サービス要求が監査をパスしなかった場合は、Failed Audit 状態になります。したがって、サービスは Deployed 状態には移行しません。Failed Audit 状態は、Pending 状態から発生します。サービス要求が正常に展開れると、Failed Audit 状態に再び入ることはありません(サービス要求が、再展開された場合を除く)。

Failed Deploy

プロビジョニングが行われた後で、サービス要求がコンフィギュレーションのアップデートをルータにダウンロードできなかった状態です。Telnet Gateway Server(TGS)が、展開プロセス中にエラーを検出すると、サービス要求は Failed Deploy に移行します。コンフィギュレーションのアップデートをダウンロードするときに TGS が使用されず、VPNSC によってコンフィギュレーションのアップデートがディレクトリにエクスポートされた場合は、サービス要求の Failed Deploy 状態と Pending 状態を区別する方法はありません。

初期コンフィギュレーション ファイルをルータからアップロードするときに失敗したか、コンフィギュレーションのアップデートをルータにダウンロードするときに失敗(接続の切断、パスワードの誤りなどによる)したかのいずれかを TGS が通知した場合に Failed Deploy 状態になります。

コンフィギュレーションのアップデートがディレクトリにエクスポートされた場合、サービス要求が Failed Deploy 状態に移行することはありません。

Invalid

サービス要求情報における、何らかの誤りを示します。サービス要求が Invalid に移行するのは、要求が内部的に矛盾している場合、または既存のネットワーク/ルータのコンフィギュレーションの他の部分(たとえば、これ以上ルータで利用可能なインターフェイスがないなど)に対して矛盾している場合です。Provisioning Driver は、この要求に対するサービスを実行するためのコンフィギュレーションのアップデートを生成できません。

Lost

オーディタが、目的のコンフィギュレーション レベルをルータのコンフィギュレーション ファイルで確認できない場合、サービス要求は Lost に移行します。サービス要求は展開されていますが、一部またはすべてのルータ コンフィギュレーション情報は失われています。サービス要求が Lost 状態に移行するのは、それまでサービス要求が Deployed であった場合 だけ です。

Pending

要求に一貫性があり、必要なコンフィギュレーションのアップデートが生成可能であると Provisioning Driver が判別すると、サービス要求は Pending に移行します。Pending は、サービス要求がコンフィギュレーションのアップデートを生成しており、また生成されたコンフィギュレーションのアップデートが正常にルータにダウンロードされたことを示します。

オーディタは、Pending のサービス要求を新しい要求と判断し、監査を開始します。サービスが新規に設定され、まだ監査されていない場合はエラーではありません(監査の Pending)。ただし、監査が完了しているにもかかわらずサービスが Pending である場合はエラー状態です。

Requested

サービスが新しく登録され、展開されていない場合は、エラーではありません。ただし、Deploy が完了しても Requested 状態が継続する場合、そのサービスはエラー状態です。

サービス要求の状態遷移順序

表 6-2 および表 6-3は、VPN Solutions Center のサービス要求について、状態の遷移順序を示します。リストの最初のカラムには、サービス要求の開始時の状態が示されています。見出しの行には、サービス要求が遷移可能な状態が示されています。

たとえば、表 6-2を使用して Pending のサービス要求を Deployed までトレースするには、「 Pending 」を左端の Service Request States カラムで見つけ、見出しの「 Deployed 」を検出するまで、右に移動します。Pending から Deployed に移行するサービス要求について、実行が必要である正常なルーティング監査を確認できます。

表 6-2 は、 Requested から Lost までの、サービス要求の遷移を示します。

 

表 6-2 VPNSC サービス要求の状態遷移パス(パート 1)

Service Request States
Requested
Pending
Failed Audit
Deployed
Lost
Requested

Requested への遷移はなし

サービス要求の展開に成功

Failed Audit への遷移は
なし

Deployed への遷移はなし

Lost への遷移はなし

Pending

Requested への遷移はなし

--サービス要求の再展開に成功

--監査エラー

監査の失敗

コンフィギュレーションの監査に成功

Lost への遷移はなし

Failed Audit

Requested への遷移はなし

サービス要求の再展開に成功

Failed Audit への遷移は
なし

コンフィギュレーションの監査に成功

Lost への遷移はなし

Deployed

Requested への遷移はなし

サービス要求の再展開に成功

Failed Audit への遷移は
なし

コンフィギュレーションの監査に成功

監査でエラーを発見

Lost

Requested への遷移はなし

サービス要求の再展開に成功

Failed Audit への遷移は
なし

コンフィギュレーションの監査に成功

監査でエラーを発見

Invalid

Requested への遷移はなし

サービス要求の再展開に成功

再展開が原因のサービス要求エラー

Deployed への遷移はなし

Lost への遷移はなし

Failed Deploy

Requested への遷移はなし

サービス要求の再展開に成功

サービス要求の再展開が失敗した。コンフィギュレーションのアップデートがダウンロードできない。

Deployed への遷移はなし

Lost への遷移はなし

Closed

Requested への遷移はなし

Pending への遷移はなし

Failed Audit への遷移は
なし

Deployed への遷移はなし

Lost への遷移はなし

表 6-3 は、 Invalid から Closed までの、サービス要求の遷移を示します。

 

表 6-3 VPNSC サービス要求の状態遷移パス(パート 2)

Service Request States
Invalid
Failed Deploy
Closed
Requested

サービス要求の展開エラー

展開の失敗

Closed への遷移はなし

Pending

再展開が原因のサービス要求エラー

サービス要求の再展開が失敗した。コンフィギュレーションのアップデートがダウンロードできない。

サービス要求の削除に成功。

Failed Audit

再展開が原因のサービス要求エラー

サービス要求の再展開が失敗した。コンフィギュレーションのアップデートがダウンロードできない。

Closed への遷移はなし

Deployed

再展開が原因のサービス要求エラー

サービス要求の再展開が失敗した。コンフィギュレーションのアップデートがダウンロードできない。

Closed への遷移はなし

Lost

再展開が原因のサービス要求エラー

サービス要求の再展開が失敗した。コンフィギュレーションのアップデートがダウンロードできない。

Closed への遷移はなし

Invalid

再展開が原因のサービス要求エラー

サービス要求の再展開が失敗した。コンフィギュレーションのアップデートがダウンロードできない。

Closed への遷移はなし

Failed Deploy

サービス要求の再展開エラー

サービス要求の再展開が失敗した。コンフィギュレーションのアップデートがダウンロードできない。

Closed への遷移はなし

Closed

Invalid への遷移はなし

Failed Deploy への遷移はなし

Closed への遷移はなし