Cisco Nexus 5000 シリーズ スイッチ CLI ソフト ウェア コンフィギュレーション ガイド
FC-SP および DHCHAP の設定
FC-SP および DHCHAP の設定
発行日;2012/02/01 | 英語版ドキュメント(2009/08/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

FC-SP および DHCHAP の設定

ファブリック認証に関する情報

DHCHAP

ファイバ チャネル機能と DHCHAP の互換性

DHCHAP のイネーブル化の概要

DHCHAP のイネーブル化

DHCHAP 認証モードの概要

DHCHAP モードの設定

DHCHAP ハッシュ アルゴリズムの概要

DHCHAP ハッシュ アルゴリズムの設定

DHCHAP グループ設定の概要

DHCHAP グループの設定

DHCHAP パスワードの概要

ローカル スイッチの DHCHAP パスワードの設定

リモート デバイスのパスワード設定の概要

リモート デバイスの DHCHAP パスワードの設定

DHCHAP タイムアウト値の概要

DHCHAP タイムアウト値の設定

DHCHAP AAA 認証の設定

プロトコル セキュリティ情報の表示

設定例

デフォルト設定値

FC-SP および DHCHAP の設定

Fibre Channel Security Protocol(FC-SP)機能は、スイッチとスイッチ間およびホストとスイッチ間で認証を実行して、企業全体のファブリックに関するセキュリティ問題を解決します。Diffie-Hellman Challenge Handshake Authentication Protocol(DHCHAP)は、Cisco Nexus 5000 シリーズ スイッチとその他のデバイス間で認証を行う FC-SP プロトコルです。DHCHAP は、CHAP プロトコルと Diffie-Hellman(D-H; ディッフィー ヘルマン)交換を組み合せて構成されています。

この章の内容は、次のとおりです。

「ファブリック認証に関する情報」

「DHCHAP」

「設定例」

「デフォルト設定値」

ファブリック認証に関する情報

Cisco Nexus 5000 シリーズ の全スイッチで、1 台のスイッチから他のスイッチへ、またはスイッチからホストへ、ファブリック規模の認証を実行できます。これらのスイッチおよびホスト認証は、各ファブリックでローカルまたはリモートで実行できます。ストレージ アイランドを企業全体のファブリックに統合して、移行すると、新しいセキュリティ問題が発生します。ストレージ アイランドを保護する方法が、企業全体のファブリックで必ずしも保証されなくなります。たとえば、スイッチが地理的に分散しているキャンパス環境では、他のユーザが故意に、またはユーザ自身が誤って、互換性のないスイッチに故意に相互接続すると、ISL(スイッチ間リンク)分離やリンク切断が発生することがあります。

Cisco Nexus 5000 シリーズ スイッチでは、物理セキュリティに対処する認証機能をサポートしています(図 44-1 を参照)。

図 44-1 スイッチおよびホストの認証

 

 


) ホスト スイッチ認証には、適切なファームウェアおよびドライバを備えたファイバ チャネル Host Bus Adapter(HBA)が必要です。


DHCHAP

DHCHAP は、スイッチに接続しているデバイスを認証する認証プロトコルです。ファイバ チャネル認証を使用すると、信頼できるデバイスだけをファブリックに追加できるので、不正なデバイスのスイッチへのアクセスを防止できます。


) この章では、FC-SP および DHCHAP という用語を共通の意味で使用しています。


DHCHAP は、必須のパスワードに基づくキー交換による認証プロトコルであり、スイッチ間およびホスト スイッチ間の認証をサポートします。DHCHAP はハッシュ アルゴリズムおよび DH グループをネゴシエートしてから、認証を実行します。また、Message Digest 5 (MD5)および Secure Hash Algorithm (SHA-1)アルゴリズムベース認証をサポートします。

ローカル パスワード データベースを使用する DHCHAP 認証の設定手順は、次のとおりです。


ステップ 1 DHCHAP をイネーブルにします。

ステップ 2 DHCHAP 認証モードを識別して設定します。

ステップ 3 ハッシュ アルゴリズムおよび DH グループを設定します。

ステップ 4 ローカル スイッチおよびファブリックの他のスイッチの DHCHAP パスワードを設定します。

ステップ 5 再認証の DHCHAP タイムアウト値を設定します。

ステップ 6 DHCHAP の設定を確認します。


 

ここで説明する内容は、次のとおりです。

「ファイバ チャネル機能と DHCHAP の互換性」

「DHCHAP のイネーブル化の概要」

「DHCHAP のイネーブル化」

「DHCHAP 認証モードの概要」

「DHCHAP モードの設定」

「DHCHAP ハッシュ アルゴリズムの概要」

「DHCHAP ハッシュ アルゴリズムの設定」

「DHCHAP グループ設定の概要」

「DHCHAP グループの設定」

「DHCHAP パスワードの概要」

「ローカル スイッチの DHCHAP パスワードの設定」

「リモート デバイスのパスワード設定の概要」

「リモート デバイスの DHCHAP パスワードの設定」

「DHCHAP タイムアウト値の概要」

「DHCHAP タイムアウト値の設定」

「DHCHAP AAA 認証の設定」

「プロトコル セキュリティ情報の表示」

ファイバ チャネル機能と DHCHAP の互換性

ここでは、DHCHAP 機能を既存の Cisco NX-OS 機能と一緒に設定した場合の影響について説明します。

SAN ポートチャネル インターフェイス:SAN ポートチャネルに属しているポートに対して DHCHAP がイネーブルの場合、DHCHAP 認証はポートチャネル レベルではなく、物理インターフェイス レベルで実行されます。

ポート セキュリティまたはファブリック バインディング:ファブリック バインディング ポリシーは、DHCHAP によって認証される ID に基づいて実行されます。

VSAN:DHCHAP 認証は、VSAN 単位では実行されません。

DHCHAP のイネーブル化の概要

デフォルトでは、DHCHAP 機能はすべての Cisco Nexus 5000 シリーズ スイッチでディセーブルです。

ファブリック認証用の設定コマンドおよび確認コマンドにアクセスするには、DHCHAP 機能をイネーブルにする必要があります。この機能をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。

DHCHAP のイネーブル化

Cisco Nexus 5000 シリーズ スイッチ用の DHCHAP をイネーブルにする手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# configuration terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# fcsp enable

このスイッチ上で DHCHAP をイネーブルにします。

switch(config)# no fcsp enable

このスイッチ上で DHCHAP をディセーブル(デフォルト)にします。

DHCHAP 認証モードの概要

各インターフェイスの DHCHAP 認証ステータスは、DHCHAP ポート モードの設定によって変化します。

スイッチ内で DHCHAP 機能がイネーブルの場合には、各ファイバ チャネル インターフェイスまたは FCIP インターフェイスを次の 4 つの DHCHAP ポート モードのいずれかに設定できます。

On:接続元デバイスが DHCHAP 認証をサポートしている場合、スイッチ初期化中に認証シーケンスが実行されます。接続元デバイスが DHCHAP 認証をサポートしていない場合には、リンクが分離状態になります。

auto-Active:接続元デバイスが DHCHAP 認証をサポートしている場合、スイッチ初期化中に認証シーケンスが実行されます。接続元デバイスが DHCHAP 認証をサポートしていない場合には、ソフトウェアにより、初期化シーケンスの残りが実行されます。

Auto-Passive (デフォルト):スイッチは DHCHAP 認証を開始しませんが、接続元デバイスが DHCHAP 認証を開始すれば、DHCHAP 認証に参加します。

Off:スイッチは DHCHAP 認証をサポートしません。このモードでポートに認証メッセージが送信された場合、開始元スイッチにエラー メッセージが戻されます。


) DHCHAP ポート モードを off モード以外のモードに変更すると、再認証が実行されます。


表 44-1 で、さまざまなモードに設定した 2 台のシスコ スイッチ間での認証について説明します。

 

表 44-1 2 台の MDS スイッチ間の DHCHAP 認証ステータス

スイッチ番号
DHCHAP モード
スイッチ 1 の DHCHAP モード
on
auto-active
auto-passive
off
on

FC-SP 認証が実行されます。

FC-SP 認証が実行されます。

FC-SP 認証が実行されます。

リンクがダウンになります。

auto-Active

FC-SP 認証は実行 されません

auto-Passive

FC-SP 認証は実行 されません

off

リンクがダウンになります。

FC-SP 認証は 実行されません

DHCHAP モードの設定

特定のインターフェイスの DHCHAP モードを設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# configuration terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface fc slot/port - slot/port

switch(config-if)#

インターフェイスの範囲を選択し、インターフェイス設定モードに入ります。

ステップ 3

switch(config-if)# fcsp on

選択したインターフェイスの DHCHAP モードを on ステートに設定します。

switch(config-if)# no fcsp on

これら 3 つのインターフェイスを出荷時デフォルトの auto-passive に戻します。

ステップ 4

switch(config-if)# fcsp auto-active 0

選択したインターフェイスの DHCHAP 認証モードを auto-active に変更します。0 は、ポートが再認証を実行しないことを表します。

(注) 再許可インターバル設定は、デフォルトの動作と同じです。

switch(config-if)# fcsp auto-active timeout-period

選択したインターフェイスの DHCHAP 認証モードを auto-active に変更します。タイムアウト期間の値(分)では、最初の認証後の再認証の頻度を設定します。

switch(config-if)# fcsp auto-active

選択したインターフェイスの DHCHAP 認証モードを auto-active に変更します。再認証はディセーブルになります(デフォルト)。

(注) 再許可インターバル設定は、0 に設定した場合と同じです。

DHCHAP ハッシュ アルゴリズムの概要

Cisco SAN スイッチは、DHCHAP 認証のためのデフォルトのハッシュ アルゴリズムのプライオリティ リストとして、最初に MD5、次に SHA-1 をサポートします。


ヒント ハッシュ アルゴリズムの設定を変更する場合は、ファブリック上の全スイッチに対して設定をグローバルに変更してください。



注意 RADIUS および TACACS+ プロトコルは、CHAP 認証で常に MD5 を使用します。SHA-1 をハッシュ アルゴリズムとして使用すると、DHCHAP 認証用に RADIUS および TACACS+ がイネーブルになっていても、これらの Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)プロトコルが使用できなくなる可能性があります。

DHCHAP ハッシュ アルゴリズムの設定

ハッシュ アルゴリズムを設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# configuration terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# fcsp dhchap hash [md5] [sha1]

MD5 または SHA-1 ハッシュ アルゴリズムを使用するように設定します。

switch(config)# no fcsp dhchap hash sha1

出荷時デフォルトのハッシュ アルゴリズム プライオリティ リスト(最初に MD5、次に SHA-1)に戻します。

DHCHAP グループ設定の概要

すべての Cisco Nexus 5000 シリーズ スイッチは、規格 0(DH 交換を実行しないヌルの DH グループ)、1、2、3、または 4 で指定されたすべての DHCHAP グループをサポートします。


ヒント DH グループの設定を変更する場合は、ファブリック上の全スイッチに対して設定をグローバルに変更してください。


DHCHAP グループの設定

DH グループの設定を変更する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# configuration terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# fcsp dhchap dhgroup [ 0 | 1 | 2 | 3 | 4 ]

DH グループを設定された順序で使用するようにプライオリティ リスト化します。

switch(config)# no fcsp dhchap dhgroup [ 0 | 1 | 2 | 3 | 4 ]

DHCHAP の出荷時デフォルトの順序(0、4、1、2、3)に戻します。

DHCHAP パスワードの概要

DHCHAP 認証を実行する方向ごとに、接続デバイス間の共有シークレット パスワードが必要です。このパスワードを使用するために、次の 3 つの設定例のいずれかを使用してDHCHAP に参加するファブリック内のすべてのスイッチのパスワードを管理します。

設定例 1:ファブリック内の全スイッチに同じパスワードを使用します。これは最も単純な設定例です。新しいスイッチを追加する場合、このファブリック内では同じパスワードを使用してそのスイッチを認証します。したがってこれは、ファブリック内のいずれかのスイッチに外部から不正アクセスが試みられた場合に最も脆弱な設定例です。

設定例 2:スイッチごとに異なるパスワードを使用して、ファブリック内のスイッチごとにパスワード リストを保持します。新しいスイッチを追加する場合は、新規パスワード リストを作成して、この新規リストを使用してすべてのスイッチを更新します。いずれかのスイッチにアクセスすると、このファブリック上のすべてのスイッチに関するパスワード リストが生成されます。

設定例 3:ファブリック内のスイッチごとに、異なるパスワードを使用します。新しいスイッチを追加する場合は、ファブリック内の各スイッチに対応する複数の新規パスワードを生成して、各スイッチに設定する必要があります。いずれかのスイッチが被害にあっても、他のスイッチのパスワードは引き続き保護されます。この設定例では、ユーザ側で大量のパスワード メンテナンス作業が必要になります。


) パスワードはすべて 64 文字以内の英数字に制限されます。パスワードは変更できますが、削除はできません。



ヒント スイッチが 6 台以上のファブリックでは、RADIUS または TACACS+ の使用をお勧めします。ローカル パスワード データベースを使用する必要がある場合には、設定例 3 を使用し、Cisco MDS 9000 ファミリ Fabric Manager を使用して、パスワード データベースを管理します。


ローカル スイッチの DHCHAP パスワードの設定

ローカル スイッチの DHCHAP パスワードを設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# configuration terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# fcsp dhchap password [ 0 | 7 ] password [ wwn wwn-id ]

ローカル スイッチのクリアテキスト パスワードを設定します。

次に、指定した WWN を持つデバイスに使用されるローカル スイッチのクリアテキスト パスワードを設定する例を示します。

switch(config)# fcsp dhchap password 0 mypassword 30:11:bb:cc:dd:33:11:22
 

次に、指定した WWN を持つデバイスに使用されるローカル スイッチのクリアテキスト パスワードを削除する例を示します。

switch(config)# no fcsp dhchap password 0 mypassword 30:11:bb:cc:dd:33:11:22
 

次に、ローカル スイッチの暗号化パスワードを設定する例を示します。

switch(config)# fcsp dhchap password 7 sfsfdf
 

リモート デバイスのパスワード設定の概要

ファブリック内の他のデバイスのパスワードを、ローカル認証データベースに設定できます。他のデバイスは、スイッチ WWN やデバイス WWN といったデバイス名で表されます。パスワードは 64 文字に制限され、クリア テキスト(0)または暗号化テキスト(7)で指定できます。


) スイッチ WWN は、物理スイッチを識別します。この WWN はスイッチの認証に使用されます。また、VSAN ノード WWN とは異なります。


リモート デバイスの DHCHAP パスワードの設定

ファブリック内の他のスイッチのリモート DHCHAP パスワードをローカル側で設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# configuration terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# fcsp dhchap devicename switch-wwn password password

スイッチ WWN デバイス名で表される、ファブリック上の他のスイッチのパスワードを設定します。

switch(config)# no fcsp dhchap devicename switch-wwn password password

ローカル認証データベースから、このスイッチのパスワード エントリを削除します。

次に、スイッチ WWN デバイス名で表される、ファブリック内の他のスイッチのクリアテキスト パスワードを設定する例を示します。

switch(config)# fcsp dhchap devicename 00:11:55:66:00:aa:bb:cc password 0 NewPassword
 

次に、スイッチ WWN デバイス名で表される、ファブリック内の他のスイッチの暗号化パスワードを設定する例を示します。

switch(config)# fcsp dhchap devicename 00:11:22:33:55:aa:bb:cc password 7 asdflkjh
 

DHCHAP タイムアウト値の概要

DHCHAP プロトコル交換を実行するとき、Cisco Nexus 5000 シリーズ スイッチが指定時間内に DHCHAP メッセージを受信しない場合、認証は失敗したと見なされます。この(認証が失敗したと見なされるまでの)時間は、20 ~ 1000 秒の範囲で設定できます。デフォルトは 30 秒です。

タイムアウト値を変更する場合には、次の要因について考慮してください。

既存の RADIUS および TACACS+ タイムアウト値

ファブリック内の全スイッチにも同じ値を設定する必要があります。

DHCHAP タイムアウト値の設定

DHCHAP タイムアウト値を設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# configuration terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# fcsp timeout timeout

再認証タイムアウトを指定された値に設定します。単位は秒です。

switch(config)# no fcsp timeout timeout

出荷時デフォルトの 30 秒に戻します。

DHCHAP AAA 認証の設定

AAA 認証で RADIUS または TACACS+ サーバ グループを使用するように設定できます。AAA 認証を設定しない場合、デフォルトでローカル認証が使用されます。

AAA 認証を設定する手順については、「AAA の設定」 を参照してください。

プロトコル セキュリティ情報の表示

ローカル データベースの設定を表示するには、 show fcsp コマンドを使用します。

次に、指定されたインターフェイスに関する DHCHAP 設定を表示する例を示します。

switch# show fcsp interface fc2/4
 
fc2/4:
fcsp authentication mode:SEC_MODE_ON
Status: Successfully authenticated
 

次に、指定されたインターフェイスに関する DHCHAP 統計情報を表示する例を示します。

switch# show fcsp interface fc2/4 statistics
 

次に、指定されたインターフェイスに接続されたデバイスの FC-SP WWN を表示する例を示します。

switch# show fcsp interface fc2/1 wwn
 

次に、スイッチに設定済みのハッシュ アルゴリズムおよび DHCHAP グループを表示する例を示します。

switch# show fcsp dhchap
 

次に、DHCHAP ローカル パスワード データベースを表示する例を示します。

switch# show fcsp dhchap database
 

ヒント RADIUS サーバおよび TACACS+ サーバにスイッチ情報を設定する場合、デバイス WWN の ASCII 表記を使用してください。


設定例

ここでは、図 44-2 に示した例を設定する手順を示します。

図 44-2 DHCHAP 認証の例

 

図 44-2 に表示されているように認証設定を設定する手順は、次のとおりです。


ステップ 1 ファブリック内の Cisco Nexus 5000 シリーズ スイッチのデバイス名を取得します。ファブリック内の Cisco Nexus 5000 シリーズ スイッチは、スイッチ WWN によって識別されます。

switch# show wwn switch
Switch WWN is 20:00:00:05:30:00:54:de
 

ステップ 2 このスイッチで DHCHAP を明示的にイネーブルにします。


) DHCHAP をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。


switch(config)# fcsp enable
 

ステップ 3 このスイッチのクリア テキスト パスワードを設定します。このパスワードは、接続先デバイスで使用されます。

switch(config)# fcsp dhchap password rtp9216
 

ステップ 4 スイッチ WWN デバイス名で表される、ファブリック上の他のスイッチのパスワードを設定します。

switch(config)# fcsp dhchap devicename 20:00:00:05:30:00:38:5e password rtp9509
 

ステップ 5 目的のファイバ チャネル インターフェイスの DHCHAP モードをイネーブルにします。


) DHCHAP ポート モードを off モード以外のモードに変更すると、再認証が実行されます。


switch(config)# interface fc2/4
switch(config-if)# fcsp on
 

ステップ 6 DHCHAP ローカル パスワード データベースを表示して、このスイッチに設定されたプロトコル セキュリティ情報を確認します。

switch# show fcsp dhchap database
DHCHAP Local Password:
Non-device specific password:*******
Other Devices' Passwords:
Password for device with WWN:20:00:00:05:30:00:38:5e is *******
 

ステップ 7 ファイバ チャネル インターフェイスの DHCHAP 設定を表示します。

switch# show fcsp interface fc2/4
fc2/4
fcsp authentication mode:SEC_MODE_ON
Status:Successfully authenticated
 

ステップ 8 接続先の MDS 9509 スイッチでこれらの手順を繰り返します。

MDS-9509# show wwn switch
Switch WWN is 20:00:00:05:30:00:38:5e
MDS-9509(config)# fcsp enable
MDS-9509(config)# fcsp dhchap password rtp9509
MDS-9509(config)# fcsp dhchap devicename 20:00:00:05:30:00:54:de password rtp9216
MDS-9509(config)# interface fc 4/5
MDS-9509(config-if)# fcsp on
MDS-9509# show fcsp dhchap database
DHCHAP Local Password:
Non-device specific password:*******
Other Devices' Passwords:
Password for device with WWN:20:00:00:05:30:00:54:de is *******
MDS-9509# show fcsp interface fc2/4
Fc2/4
fcsp authentication mode:SEC_MODE_ON
Status:Successfully authenticated
 

これで、図 44-2 に示す設定例の DHCHAP 認証のイネーブル化と設定の作業が終わります。


 

デフォルト設定値

表 44-2 に、スイッチのすべてのファブリック セキュリティ機能のデフォルト設定値を示します。

 

表 44-2 デフォルトのファブリック セキュリティ設定値

パラメータ
デフォルト

DHCHAP 機能

ディセーブル

DHCHAP ハッシュ アルゴリズム

最初に MD5、次に SHA-1 というプライオリティ リストで、DHCHAP 認証を実行します。

DHCHAP 認証モード

auto-passive

DHCHAP グループのデフォルトの交換プライオリティ

0、4、1、2、3 の順

DHCHAP タイムアウト値

30 秒