  |
データシート |
- [目次]
- ◆[概要]
- ◆[機能一覧]
- ◆[ISAの機能と利点]
- ◆[ISAの使用]
- ◆[Cisco 7100および7200シリーズルータに対する暗号化エンジンの選択]
- ◆[発注情報 --- Cisco 7100および7200ソフトウェアサポート]
- ◆[エクスポートについて]
Cisco 7100および7200シリーズルータの統合サービスアダプタ(ISA)は、WANおよびVPN(仮想プライベートネットワーク)アプリケーションに適した高パフォーマンス、ハードウェア支援トンネリング、暗号化サービスを提供します。ISAはシスコセキュリティソリューションの統合コンポーネントであり、QoSなどの拡張WANおよびVPNサービス、ファイアウォールおよび不正侵入検出、サービスレベル検証をシームレスに行うと同時に、暗号化スケーラビリティを提供します。ISAでは、広範なLAN/WANメディアおよびサービスをサポートしており、あらゆる企業またはサービスプロバイダーネットワーク環境でスムーズに暗号化テクノロジを統合できるようにします。
また、ISAによって提供されるCisco IPSec(IP Security)によって、急速に発生するVPN展開に対するプライバシ、完全性、確実性が提供されます。これは、インターネット上の機密情報の伝送にとって非常に重要な要件です。ISAは、サイトツーサイトVPNに対して全二重DS-3回線速度(90 Mbps)でDES(データ暗号規格)または3DES(Triple DES)IPSec暗号化をサポートします。サイトツーサイトおよびリモートアクセスの両方のVPN要件による混合VPN環境の場合、ISAは最大2000の暗号化トンネルをサポートします。ISAのコプロセッサアーキテクチャによって、これらの機能の負担をプロセッサから取り除くため、システムリソースへの影響を最小限におさえることができ、最も要求の厳しい暗号化展開に対してトンネリングや暗号化のスケーラビリティがもたらされます。さらに、シスコのTED(Tunnel Endpoint Discovery)プロトコルなどの拡張IPSecシステム機能をサポートしているので、時間のかかる暗号マップ管理を必要とせず、個々のワークステーションやPCに影響を与えることなく、透過的にIPSecをネットワークインフラストラクチャに導入できます。
さらにISAは、マイクロソフト社のPPTP(Point-to-Point Tunneling Protocol)やMPPE(Microsoft Pointo-to-Point Encryption)もサポートし、Microsoft Windows 95/98/NTシステムに高度なリモートアクセスVPN機能を提供します。ISAは、強力な128ビットRC-4暗号化によって保護された最高2000のPPTP/MPPEリモートユーザーを同時にサポートします。IPSecまたはPPTP/MPPEをサポートしているため、ISAはリモートアクセス展開モデルに柔軟性のあるオプションを提供します。これによって企業は、Microsoft Windows 95/98/NTに常駐するソフトウェア、Microsoft Windows 2000に常駐するL2TP/IPSecソフトウェア、またはIPSecに基づくCisco Secure VPNクライアントソフトウェア(または他の認定されたサードパーティのIPSecクライアント)を利用できるようになります。1つのCisco 7200システムでIPSecとMPPEの両方を並行してサポートする必要があるVPN環境の場合には、空いている任意のポートアダプタスロットに複数ISAカードをインストールすることができます。Cisco 7100シリーズシステムでは、統合サービスモジュール(ISM)によってプライマリ暗号化サービスが提供されます。ただし、Cisco
7100シリーズシステムの空いているポートアダプタスロットにISAをインストールすれば、並行してIPSecとMPPEを提供することが可能です。
| 機能 |
説明 |
| 物理仕様 |
サービスアダプタ --- ポートアダプタスロットにインストールします
|
| プラットフォームサポート |
Cisco 7100および7200
|
| ハードウェア要件 |
なし(ISAはあらゆるCisco 7200VXR互換ポートアダプタで使用できます)
|
| スループット |
3DESを使用する全二重DS3 (90 Mbps)まで
|
| トンネル数 |
最大2000のIPSec保護トンネル
最大2000のPPTPMPPE保護トンネル
|
| 暗号化 |
データ保護:IPSec DESおよび3 DES、40および128ビットRC4 MPPE(ステートフルまたはステートレス)
認証:RSAおよびDiffie Hellman、MS Chap
データ完全性:SHA-1およびMD5
|
| VPNトンネリング |
IPSecトンネルモード、IPSecによって保護されるGRE、LT2PおよびL、MPPEによって保護されるPPTP
|
| ルータあたりのISA数 |
最大2つ:1つはIPSec用、もう1つはMPPE用
|
| サポートする最低Cisco IOS®リリース |
出荷時に利用できる12.1Eリリースを使用してください。
|
| サポートする規格 |
IPSec/IKE:RFCs 2401-2410、2411、2451
MPPE:draft-ietf-pppext-mppe-*
|
暗号化ソリューションのための主要コンポーネントとして、ISAは以下の機能を提供します。
IPSec --- IPSecは暗号化テクノロジを使用して、プライベートネットワーク内のピア間でデータ機密性、完全性、および認証を提供します。シスコでは、ESP(カプセル化セキュリティペイロード)およびAH(認証ヘッダ)をサポートしています。
- DESおよび3DES --- DESおよび3DES暗号化の処理はCPUの負担が大きく、高スループットが必要なルータパフォーマンスに影響を与える恐れがあります。ISAを利用することによって、Cisco 7100および7200シリーズのルータに必要なすべての拡張サービスを提供すると同時に、最大90Mbpsの速度でDESまたは3DES暗号化データを転送することができます。
IKE --- IKE(インターネットキー交換)により、セキュリティ統合管理が提供されます。IKEは、IPSecトランザクション内のそれぞれのピアを認証し、セキュリティ方針を取り決め、セッションキーのやり取りを処理します。
- RSAおよびDiffie-Hellman --- これらのプロトコルは、新しくIPSecトンネルが確立されるたびに使用されます。RSAがリモートデバイスを認証するのに対し、Diffie-HellmanはDESまたは3DES暗号化に使用されるキーを交換します。ISAは、高速トンネルセットアップと高度な全暗号化スループットを保証しながら、これらのプロトコルを専用のハードウェアで処理します。
- IKEキープアライブ --- IKEキープアライブメカニズムは、自動的に“キープアライブ”メッセージを送信し、ピアにトンネルエンドポイントのアベイラビリティを認識できるようにさせて、IPSec構成に対する拡張アベイラビリティを提供します。このセットアップは、ネットワークが活動しない期間中のトンネルアベイラビリティを保証します。
- TED(Tunnel Endpoint Discovery) --- このプロトコルは、イントラネットおよびエクストラネット構成におけるVPNのスケーラビリティとアベイラビリティを向上します。ネットワーク管理者は、構成内の保護されたトラフィックに対する各トンネルエンドポイントを定義するのではなく、単にどのトラフィックを保護するのか設定し、TEDにリアルタイムで他のエンドポイントを自動的に決定させることができます。
- MPPE --- この機能は、PPTPトンネリングに対して強力な128ビットRC-4暗号化を提供します。MPPEは、高スループットが必要なルータパフォーマンスに影響を与えることがあります。ISAは、PPTP/MPPEを使用して、リモートアクセスVPNに対して高度な暗号化スループットを保証します。
VPNトンネリング --- ISAは、さまざまなトンネリングオプションに対する暗号化を提供し、リモートアクセスやサイトツーサイトVPNを非常に柔軟に設計できるようにします。
- L2TP/L2F(レイヤ2トンネリングプロトコル/レイヤ2フォワーディング) --- L2TP/L2Fトンネルは、Cisco IOS AAA(認証、許可、アカウンティング)サービスのフルサポート(TACACS+およびRADIUSによる認証サービス、ユーザーごと許可、およびVPN使用を追跡するアカウンティング機能を含む)により、リモートアクセスVPNを提供します。L2TP+IPSecに対するスケーラブルなサポートにより、Microsoft Windows 2000に常駐するVPNクライアントソフトウェアが使用できます。IPSecはトンネル自体を暗号化することでL2TP/L2Fトンネルを保護します。L2TP/L2FとIPSecとの組み合わせによって、安全なリモートアクセスVPNソリューションが提供されます。
- GRE(Generic Routing Encapsulation) --- GREトンネルは、サイトツーサイトのイントラネットまたはエクストラネットVPNに、マルチプロトコルサポート、ルーティングサポート、およびトンネリング信頼性を提供します。GREトンネルをIPSecと一緒に使用して、安全なサイトツーサイトVPNソリューションを提供することができます。
- PPTP --- PPTPトンネルは、Microsoft Windows 95/98/NTクライアントを使用するユーザーに、対応しやすいリモートアクセスVPNを提供します。PPTP トンネルでは、安全なリモートアクセスVPN ソリューションのために、MPPEを使った暗号化が実行されます。
- IPSec --- IPSecトンネリングは、L2TP/L2FまたはGREトンネリングの追加機能が必要ない場合に、単独でリモートアクセスまたはサイトツーサイトVPNに適します。IPSecのパケットオーバヘッドは、他のシステムより少なく、IP パケットだけをサポートします。
認証管理 --- ISAでは、デバイス認証にはX509.V3認証システムを、認証権限者との通信にはCEP(Certificate Enrollment Protocol)をサポートします。このセットアップにより、多くのロケーション間およびデバイス間で認証が必要となる大規模なVPN展開の使用が可能になります。ベリサイン社やエントラストテクノロジーズ社などの複数ベンダーがCisco CEPをサポートしており、シスコデバイスと相互運用が可能です。
拡張セキュリティ --- ISAなどのハードウェアベースの暗号化ソリューションは、キーの拡張保護、また他の機密資料や不正防止チップベース暗号化アルゴリズムなど、複数のセキュリティ上の利点をソフトウェアベースの導入に対して提供します。
| 機能 |
利点 |
| ハードウェアベースのDESおよび3 DES暗号化を提供します。 |
複雑で高度なサービスのネットワークにおける高度な暗号化スループットを保証し、ソフトウェア暗号化メソッドに対する全体的な暗号化機能を向上します。
|
| メインプロセッサのオーバヘッドとなるIPSecやMPPE処理負担を軽減します。 |
他のWANおよびVPNサービス(QoSやファイアウォールなど)に対して、非常に重要なプロセッシングリソースを確保します。
|
| 最大2000のIPSecまたはPPTPトンネルをサポートします。 |
単一ルータ内でサポートされる暗号化リンクの数を増加することにより、大規模なリモートアクセスVPNの展開ができます。
|
| Cisco 7100および7200シリーズルータに統合されます。 |
システム費用、管理の複雑性、複数ボックスソリューションに必要な労力を大幅に削減します。
|
| IPSecは機密性、データ完全性、およびデータオリジン認証を提供します。 |
広域ネットワークのための、公衆交換網およびインターネットの安全な使用を可能にします。
|
| 認証サポートは、ディジタル認証を使用して自動認証を行うことができます。 |
複数ロケーション間の安全な接続を必要とする大規模ネットワークに対する暗号化使用を基準化します。
|
| 自動的にセキュリティ結合と交渉します。 |
費用がかかる手動の事前設定をしなくても、特別に安全な通信が可能です。
|
| 自動的にリアルタイムでIPSecトンネルエンドポイントを決定します。 |
各トンネルエンドポイントを手動で定義する必要をなくし、IPSecが非常に大規模なメッシュネットワークを基準化できるようにします。
|
| IKEキープアライブは、ピアがトンネルエンドポイントのアベイラビリティを認識できるようにするため、“キープアライブ”を送信します。 |
IPSec構成の拡張アベイラビリティを提供します。
|
| 拡張アクセスリストに基づいて暗号化するトラフィックを選択でき、柔軟なセキュリティポリシーを定義できます。 |
トラフィックに対する暗号化が必要かどうかを制御でき、パフォーマンスが向上します。さらに、トラフィックを分類してそれぞれに異なる暗号化を適用できるため、アプリケーションレベルの保護機能が提供されます。
|
| 標準ベースのソリューションです。 |
ネットワークデバイス間、クライアントソフトウェア間、その他のコンピューティングシステム間でマルチベンダ相互運用性を保証します。
|
ISAは、Cisco IOSソフトウェアで確立されたネットワークレイヤIPSecおよびレイヤ3暗号化ソフトウェアサービスと完全に互換性があります。スループットは、単にキーの生成、デバイスの認証、パケットの認証、およびデータの暗号化/復号化に必要な複雑な数学的変換を実行する特殊なハードウェアを使用することで強化されます。
| Cisco 7100および7200シリーズルータに対する暗号化エンジンの選択 |
Cisco 7200シリーズルータは、メインプロセッサまたはISA(統合サービスアダプタ)によってデータを暗号化するように構成できます。さらに、Cisco 7200シリーズルータは、2つのISAカードを使用して、並行IPSecおよびMPPEアクセラレータを提供することができます。Cisco 7100シリーズVPNルータは、メインプロセッサまたはISM(統合サービスモジュール)を使用して、データを暗号化するように構成できます。ISAカードをCisco 7100システムにインストールすることで、ISMを補完し、IPSecとMPPEの両方を同時に高速化します。この柔軟性により、システム費用全体を削減しながら、適度の暗号化要件に対するルータのメインCPUの使用が可能になります。したがって、ISAを利用することによって、最も高度な暗号化パフォーマンスを実現します。Cisco IOSソフトウェアは、自動的にISA暗号化エンジンの存在を検出し、すべての暗号化アクティビティを構成変更せずにハードウェアアクセラレータに転送します。リソース利用要件に応じてパフォーマンスニーズを適合させるという機能によって、Cisco 7100および7200シリーズは、あらゆる暗号化環境に対して最適な値、パフォーマンスおよびコストの組み合わせを提供できます。図1は、一般的なVPN環境におけるCisco 7200シリーズルータ上のISA展開を示しています。
図1:一般的なVPN展開におけるISAの使用
NPE-300およびISAカードを備えたCisco 7200VXRルータは、リモートオフィス、エクストラネットパートナーおよびリモートユーザーから、VPNトンネルを終端するT3回線で会社本部をインターネットに接続します。NPE-175およびISAを備えたCisco 7200VXRは、地方オフィスのVPN環境に適した最大50Mbpsのn×T1/E1暗号化スケーラビリティを提供します。ISAの使用により、ルーティングやプラットフォームのサービス機能に影響を与えないで、高度な暗号化パフォーマンスが保証されます。サプライヤはエクストラネットVPNを可能にして、Cisco 1700、2600、または3600などのローカルな支店や地方オフィスのルータを使用してVPNに接続します。Cisco 800シリーズルータまたはCisco Secure VPNクライアントソフトウェアは、在宅勤務者やモバイルユーザーにリモートアクセスを提供します。Cisco IOSソフトウェアは、Cisco IOS Firewallに組み込まれたファイヤウォールサービスやコンテンツ対応QoS機能など、VPNに必要な機能を提供します。
| 発注情報 --- Cisco 7100および7200ソフトウェアサポート |
56ビットDES/40ビットMPPEまたは168ビットDES/128ビットMPPEのどちらかの暗号化サービスを利用できるようにするには、適切なソフトウェアイメージを選択する必要があります。IPSecおよびPPTP/MPPEに対するISAサポートは、リリース12.1(1)Eから始まるCisco IOS 12.1Eソフトウェアイメージで利用できます。
Cisco Secure VPN Clientの非制限ライセンスは、発注時に選択された場合、追加費用なしですべてのISAカードに含まれます。ただし、別個のサポート契約が必要です。Cisco Secure VPN Clientは、DESまたは3DESバージョンで利用できます。Cisco Secure VPN Clientについては、以下のサイトを参照してください。
http://www.cisco.com/jp/product/product/security/vpncli/
ISAおよび関連ソフトウェアはエクスポートに制限がある場合があります。これについては、以下のエクスポート規則についてのWebサイトを参照してください。
http://www.cisco.com/wwl/export/encrypt.html
特定のエクスポートに関する質問は、詳しくは、シスコ製品販売代理店までお問い合わせください。
表1:ISA発注情報
| 部品番号 |
説明 |
| SA-ISA |
統合サービスアダプタ
|
|
更新日:2000年9月6日 |
