Catalyst 2960-XR スイッチ セキュリティ コンフィギュレーション ガイド、Cisco IOS Release 15.0(2)EX1
Cisco TrustSec の設定
Cisco TrustSec の設定
発行日;2014/01/09   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

Cisco TrustSec の設定

Cisco TrustSec の設定

Cisco TrustSec は、ネットワーク内のユーザ、ホスト、およびネットワーク デバイスを強力に識別する機能に基づいた、シスコ ネットワーク デバイスのセキュリティを改善します。 TrustSec は、特定のロールについてデータ トラフィックを一意に分類することで、トポロジに依存しない、スケーラブルなアクセス コントロールを実現します。 TrustSec は、認証されたピアおよびこれらのピアとの暗号化リンク間で信頼を確立することで、データの機密保持および整合性を保証します。

Cisco TrustSec の主要コンポーネントは、Cisco Identity Services Engine(ISE)です。 スイッチ上で手動で設定することもできますが、Cisco ISE は TrustSec ID およびセキュリティ グループ ACL(SGACL)でスイッチをプロビジョニングできます。

機能情報の確認

スイッチ上で Cisco TrustSec を設定するには、次の URL にある『Cisco TrustSec Switch Configuration Guide』を参照してください。

www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html

Cisco TrustSec General Availability リリースのリリース ノートについては、次の URL を参照してください。

www.cisco.com/en/US/docs/switches/lan/trustsec/release/notes/rn_cts_crossplat.html

Cisco TrustSec ソリューションの詳細(概要、データシート、およびケース スタディなど)については、次の URL を参照してください。

www.cisco.com/en/US/netsol/ns1051/index.html

Cisco TrustSec の概要

次の表に、TrustSec がイネーブルになった Cisco スイッチで実装される TrustSec 機能を示します。 継続的な TrustSec の General Availability リリースによって、サポートされるスイッチの数および各スイッチでサポートされる TrustSec 機能の数は増加しています。

Cisco TrustSec の機能 説明
802.1AE タギング(MACSec)

IEEE 802.1AE に基づくワイヤレート ホップ単位レイヤ 2 暗号化のプロトコル。

MACSec 対応デバイス間において、パケットは送信デバイスからの出力で暗号化され、受信デバイスへの入力で復号化されます。デバイス内では平文です。

この機能は、TrustSec ハードウェア対応デバイス間だけで利用できます。

エンドポイント アドミッション コントロール(EAC)

EAC は、TrustSec ドメインに接続しているエンドポイント ユーザまたはデバイスの認証プロセスです。 通常、EAC はアクセス レベル スイッチで実行されます。 EAC プロセスの認証および許可に成功すると、ユーザまたはデバイスに対してセキュリティ グループ タグが割り当てられます。 現在、EAC は 802.1X、MAC 認証バイパス(MAB)、および Web 認証プロキシ(WebAuth)とすることができます。

ネットワーク デバイス アドミッション コントロール(NDAC)

NDAC は、TrustSec ドメイン内の各ネットワーク デバイスがピア デバイスのクレデンシャルおよび信頼性を確認できる認証プロセスです。 NDAC は、IEEE 802.1X ポート ベースの認証に基づく認証フレームワークを利用し、EAP 方式として EAP-FAST を使用します。 NDAC プロセスの認証および許可に成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションとなります。

セキュリティ グループ アクセス コントロール リスト(SGACL)

セキュリティ グループ アクセス コントロール リスト(SGACL)は、セキュリティ グループ タグをポリシーと関連付けます。 ポリシーは、TrustSec ドメインから出力される SGT タグ付きトラフィックに対して適用されます。

セキュリティ アソシエーション プロトコル(SAP)

NDAC 認証のあと、セキュリティ アソシエーション プロトコル(SAP)は、その後の TrustSec ピア間の MACSec リンク暗号化のキーおよび暗号スイートについて、自動的にネゴシエーションを行います。 SAP は IEEE 802.11i で定義されます。

セキュリティ グループ タグ(SGT)

SGT は、TrustSec ドメイン内の送信元のセキュリティ分類を示す 16 ビットの単一ラベルです。 イーサネット フレームまたは IP パケットに追加されます。

SGT 交換プロトコル(SXP)

Security Group Tag Exchange Protocol(SXP)。 SXP を使用すると、TrustSec にハードウェアで対応していないデバイスが Cisco Identity Services Engine(ISE)または Cisco Secure アクセス コントロール システム(ACS)から認証されたユーザとデバイスの SGT 属性を受信できます。 デバイスは、次にセキュリティ グループ アクセス コントロール リスト(SGACL)強制のために、送信元トラフィックをタグ付けする TrustSec にハードウェアで対応しているデバイスに、sourceIP-to-SGT バインディングを転送できます。

Cisco TrustSec の機能情報

次の表に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

表 1 Cisco TrustSec の機能情報

機能名

リリース

機能情報

Cisco TrustSec

15.0(2)EX

SXP は Catalyst 2960-X スイッチで追加されています。

15.0(2)EX1

SXP は Catalyst 2960-XR スイッチで追加されています。