Cisco 7600 シリーズ ルータ モジュール ガイド
IPSec VPN アクセラレーション サービス モジュール
IPSec VPN アクセラレーション サービス モジュール
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

IPSec VPN アクセラレーション サービス モジュール

IPSec VPN アクセラレーション サービス モジュール

この章では、IPSec VPN アクセラレーション サービス モジュール(WS-SVC-IPSEC-1)について説明します。

IPSec VPN アクセラレーション サービス モジュールは、ギガビット イーサネット IPSec 暗号モジュールであり、Cisco 7600 シリーズ ルータに搭載できます(図8-1 を参照)。VPN モジュールは、VLAN を使用することによって、bump-in-the-wire(BITW)IPSec の実装を実現します。


) BITW は IPSec の実装の 1 つであり、送信時には IP スタックが出力パケットの処理を終えたあとに処理を開始し、受信時には IP スタックがパケットを受け取る前に処理を完了します。



) スーパーバイザ エンジンとモジュールの特定の組み合わせは、ご使用のシャーシでサポートされない場合があります。サポートされていないモジュールとスーパーバイザ エンジンに関する具体的な情報については、システムで稼働するソフトウェア バージョンのリリース ノートを参照してください。


図8-1 IPSec VPN アクセラレーション サービス モジュール(WS-SVC-IPSEC-1)

 

VPN モジュールを使用した VPN の設定は、Cisco IOS ソフトウェアが稼働するルータ上での VPN の設定に似ています。VPN モジュールで VPN を設定する場合、クリプトマップを(インターフェイス VLAN を使用して)VLAN に適用します。Cisco IOS ソフトウェアが稼働するルータ上で VPN を設定する場合は、インターフェイスを個別に設定します。


) VPN モジュールを使う場合でもクリプトマップを各インターフェイスに適用しますが、可能なインターフェイスは「インターフェイス VLAN」に限定されます。


シスコ ルータ上で VPN を設定した場合、パケットは IP アドレスに対応するルーテッド インターフェイスに転送されます。そのインターフェイスがクリプトマップ適用済みの場合、ソフトウェアは、クリプトマップが指定する Access Control List(ACL; アクセス コントロール リスト)上にそのパケットが存在するかどうかチェックします。マッチすればパケットは変換(暗号化)され、適切な IPSec ピアに転送されます。マッチしなければ、パケットは clear (非暗号化)状態で転送されます。

VPN モジュールを設定した場合、シスコ ルータの場合と同じ暗号化動作を実行します。VPN モジュールによる VPN の実装は一般に、インターフェイス VLAN の使用、および設定時の注意事項のうち VPN モジュールに固有な一部のものを除いて、シスコ ルータの場合と同じです。


) Cisco IOS IPSec の暗号化機能およびポリシーの詳細については、『Cisco IOS Security Configuration Guide』 Release 12.2 の「IP Security and Encryption」の項を参照してください。


Cisco 7600 シリーズ ルータ上に VPN モジュールを設定する場合、インターネットとやり取りするパケットは、すべて VPN モジュールを経由することになります。VPN モジュールには、ローカルの(信頼性のある)LAN に転送する前に、パケットを認証する様々なポリシーが用意されています。VPN モジュールは、他の Cisco 7600 シリーズ ルータ モジュール上の複数のファスト イーサネットまたはギガビット イーサネット ポートを使用して、インターネットに接続できます。WAN ルータからの受信パケットは、IPSec 処理のため、VPN モジュールを経由します。

ローカル LAN 側では、LAN ポート間のトラフィックは、複数のファスト イーサネットあるいはギガビット イーサネット ポートでルーティングまたはブリッジングされます。ローカルの LAN トラフィックは暗号化または暗号解除されないので、VPN モジュールを経由しません。

VPN モジュールは、ルーティング情報や経路を保持したり、パケットの MAC ヘッダを変更したりすることはありません(ある VLAN から他の VLAN へ転送する際の VLAN ID を除く)。

IPSec VPN アクセラレーション サービス モジュールの前面パネルの LED については、 表8-1 を参照してください。

 

表8-1 IPSec VPN アクセラレーション サービス モジュールの STATUS LED

色/状態
説明

グリーン

すべての診断テストが正常に終了し、モジュールは動作可能。

レッド

各ポートのテストを除く診断テストでエラーが発生

オレンジ

次の 3 つの状態のいずれかを示しています。

モジュールは起動中で、セルフテスト診断シーケンス中

モジュールはディセーブル状態

モジュールはシャットダウン状態

消灯

モジュールの電源はオフ

IPSec VPN アクセラレーション サービス モジュールの詳細については、『 IPSec VPN Acceleration Services Module Installation and Configuration Note 』を参照してください。