 |
||
|
  |
Cisco 1700、2600、3600、3700 シリーズ
VPN セキュリティ ルータ バンドル
[目次]
| 概要 |
Cisco VPN セキュリティ ルータ バンドルは、Cisco 1700、2600XM、2691、3600、3700 モジュラー マルチサービス ルータ プラットフォームをベースにした製品群です。これらの Virtual Private Network(VPN; 仮想プライベート ネットワーク)バンドルですと、お客様がシスコのルータを注文される際に、1 つの部品番号で、必要な VPN およびセキュリティ コンポーネントをすべて一括して、しかも各コンポーネントを個別に注文するよりも低価格でお求めいただけます。各 VPN バンドルには必要に応じてオプションのモジュールを追加することもできます。すべてのバンドルには、お選びのルータ プラットフォーム、VPN ハードウェア カード、追加メモリに加えて、IP SEC 3DES 暗号化、Cisco IOS ファイアウォールおよび Intrusion Detection System(IDS; 侵入検知システム)を動作させるための Cisco IOS(R) が含まれています。
これらのバンドルをご利用になれば、セキュア VPN、IDS、ファイアウォールなどの優れた実績のあるセキュリティ機能が導入でき、さらに、高速インターネット アクセス、およびエクストラネットまたは Demilitarized Zone(DMZ; 非武装地帯)の構築なども可能となります。また、これらの VPN バンドルでは、イントラネット、エクストラネット、リモート アクセス VPN の導入もサポートしています。
リモート アクセスにも対応できるよう、VPN バンドルには Cisco VPN クライアント 3.0 が含まれています。また、Cisco VPN セキュリティ ルータ バンドルはサイト間の VPN にも最適です。これらの製品では、ルーティング、ファイアウォール、ダイヤル、およびパケット音声ゲートウェイの豊富な機能を統合したパッケージや、マルチサービス VPN アプリケーションの動作に必要な VPN 機能を提供しています。VPN モジュール を装備した Cisco 1700、2600、3600、3700 シリーズは、さまざまな規模のオフィスを他のリモート サイト、本社、セントラル オフィスのイントラネット、代理店のエクストラネットと接続するための完璧な IPSec VPN ソリューションを提供しています。
VPN の導入は、セキュアなエクストラネット通信などの機能を実現しながら、WAN コストの劇的な削減、グローバルな接続性の向上、信頼性の向上など、多くの利益を企業にもたらします。リモート ダイヤル、インターネット、イントラネット、エクストラネット アクセスなどをすべて、インターネットに接続された 1 つの WAN に統合することができます。すべてのバンドル製品を網羅した部品番号リストについては表 2 をご覧ください。
| VPN セキュリティ バンドルの機能とメリット |
すべての Cisco VPN セキュリティ ルータ バンドルでは、音声とビデオ機能を備えた IPSec VPN をすぐにお使いいただけます。シスコでは、1 つの IPSec ネットワーク上に音声、ビデオ、データのすべてのトラフィックを統合して伝送できる VPN インフラを提供しています。市場に出回っている他の多くの VPN 装置とは異なり、Cisco VPN プラットフォームでは、マルチサービス IPSec VPN の特徴である多様なネットワーク トポロジやトラフィック タイプをサポートしており、現在または将来に導入されるマルチサービス アプリケーションにも対応できる VPN インフラを確約します。
シスコが提供する VPN セキュリティ ルータ バンドルは、マルチサービス VPN のあらゆる面に対応できる製品です。Cisco Voice and Video-Enabled IPSec VPN(V3 PN; 音声とビデオ機能を備えた IPSec VPN)ソリューションのネットワーク アーキテクチャは、Cisco IOS ソフトウェアを装備した Cisco VPN ルータ、Cisco CallManager、IP 電話の機能を最大限に活用します。さらに、コンバージド ネットワーク用の Cisco Architecture for Voice, Video and Integrated Data(AVVID)および VPN 用の SAFE Blueprint で、これらの製品の包括的な導入モデルも提供しています。これらの導入モデルでは、エンド ツー エンドの製品サポートとともに、セキュアで相互運用性と信頼性の高いネットワーク ソリューションを確実にお届けしています(図 1 をご覧ください)。
図 1
Cisco Voice and Video-Enabled IPSec VPN(V3 PN; 音声とビデオ機能を備えた IPSec VPN)
シスコは、Cisco IOS バージョン 12.2(13)T で IPSec の動的マルチポイントを実現します。現在のメッシュ ネットワークでは、すべてのポイント ツー ポイント IPSec(つまり IPSec と Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネル)を、すべてのデバイス上に定義する必要があります。トンネルのいくつかあるいはほとんどが常に必要ではない場合でも、この定義は必要です。Cisco ルータの動的マルチポイント VPN 機能を使用して、1 つのルータを「ハブ」に指定し、他のすべてのルータ(「スポーク」)にハブへのトンネルを設定します。スポークからハブへのトンネルは常に動作しています。スポークから他のスポークへのトンネルの設定はありませんが、これは不要です。その代わり、スポークが別のスポークに(つまり、他のスポークの背後にあるサブネットに)パケットを送信する場合は、Next Hop Resolution Protocol(NHRP)を使用して、目的とするスポークに必要な宛先アドレスを動的に決定します。ハブのルータは、NHRP サーバとして動作し、送信元のスポークのためにこの要求を処理します。その後、2 つのスポークがお互いの間に IPSec トンネルを(1 つの mGRE インターフェイスを経由して)動的に作成し、データを直接伝送できるようになります。一定期間アクティブでなくなると、タイムアウト機能によりトンネルは自動的になくなります(図 2 をご覧ください)。
図 2
Dynamic Multipoint VPN(動的マルチポイント VPN)
Cisco Easy VPN は、Cisco ルータおよびセキュリティ装置に対するソフトウェアの拡張機能で、リモート オフィスおよび在宅勤務者に対する VPN の導入を大幅に簡素化します。 Cisco Easy VPN ではシスコのユニファイド クライアント フレームワークを利用し、すべてのキーとポリシーを集中管理して、VPN の導入に伴う煩雑な作業を削減します。
Cisco Easy VPN には Cisco Easy VPN リモートと Cisco Easy VPN サーバの 2 つのコンポーネントがあります。Cisco Easy VPN リモートは、煩雑なリモート設定をしなくても、Cisco ルータとセキュリティ アプライアンスが Cisco Easy VPN サーバを搭載したデバイスと自動的に VPN トンネルを確立し維持できるようにします。Cisco Easy VPN サーバは、Cisco Easy VPN リモートを搭載したデバイスや VPN ソフトウェア クライアントからの着信コールを受け付けて、接続が確立される前に最新のポリシーに従っていることを確認します。
Cisco Easy VPN を使用すれば、一貫した方法で接続管理、ポリシー管理、キー管理を行うことができ、これにより、VPN リモート(シスコのルータ、アプライアンスまたはソフトウェア クライアント)の選択は、Cisco Easy VPN サーバを搭載した任意のデバイスへの 1 度の導入作業で行えるようになります。
AES(Advanced Encryption Standard)シスコでは、Cisco IOS IPSec を搭載した Cisco IOS バージョン12.2(13)T で DES、3DES、AES をサポートしています。さらに Cipher Block Chaining(CBC; 暗号ブロック連鎖)モードを装備した AES もサポートしています。
AES のキーは可変長で、128 ビット キー(デフォルト)、192 ビット キー、256 ビット キーのいずれかをアルゴリズムに指定できます。すべての Cisco VPN バンドルでは AES はソフトウェアでサポートされていますが、Cisco 2691、3725、3745 ルータはハードウェアによる AES アクセラレータを提供しています。
National Institute of Standards and Technology(NIST; 国立標準技術研究所)は、新しい Federal Information Processing Standard(FIPS; 連邦情報処理規格)の出版物として AES を作成しました。AES の詳細を調べるには、NIST の Web サイトをご覧ください。
http://csrc.nist.gov/encryption/aes/
Cisco VPN クライアント(Easy VPN リモートをサポート)Cisco VPN クライアントを利用すれば、簡単な導入作業でセキュアなエンド ツー エンドの暗号化トンネルを任意の Cisco VPN サーバに構築できるようになります。この軽量デザインの IPSec 機能は、Cisco.com からご利用いただけますが、それぞれの VPN ルータ バンドルでは CD でも提供されています。大量に導入する場合は、クライアントを事前に設定しておけば、最初にログインするときに必要なユーザの入力も非常に少なくて済みます。VPN のアクセス ポリシーと設定は、中央のゲートウェイからダウンロードされ、接続が確立されるとクライアントにプッシュされます。そのため、導入と管理が簡単で、スケーラビリティにも優れています。Cisco VPN クライアントは、Windows 95(OSR2 以降)、98、ME、NT 4.0、2000、XP、Linux(Intel)、Solaris(UltraSPARC― 32 および 64 ビット)、MacOS X 10.1、10.2(Jaguar)をサポートしています。図 3 をご覧ください。
図 3
Cisco VPN クライアント
Cisco VPN ルータ バンドルで提供する VPN モジュールは、DES および 3DES アルゴリズムを使用してデータの暗号化を行うので、複数の全二重 T1/E1 シリアル接続に対応可能な高速処理が行えます。暗号化、ハッシング、キーの交換、セキュリティ アソシエーションの保存など、IPSec に関連した処理は VPN 暗号化モジュールで行います。そのため、メイン プロセッサとメモリの負荷を軽減して、他のルータ機能、音声機能、ファイアウォール機能の処理に振り向けることができます。
Cisco 2691、3725、3745 VPN バンドルは、DES と 3DES に加えて AES とハードウェアを利用した圧縮処理も行える VPN モジュールを含んでいます。
侵入検知機能 を備えた Cisco IOS ファイアウォールCisco IOS ファイアウォール(バンドルには IDS も含まれる)が、LAN をネットワーク攻撃から守ります(図 4 をご覧ください)。
Context-Based Access Control(CBAC; コンテキスト ベース アクセス制御)により、アプリケーションごとに動的フィルタリングまたはステートフル フィルタリングを行って、セッションがアクティブな間だけ正当なトラフィックが LAN に入るのを許可することができます。今では CBAC 機能はファイアウォールが効果的に機能するために不可欠な機能と考えられています。Cisco IOS ファイアウォールでは、Java ブロッキング、サービス拒否攻撃の検知と予防、監査追跡、リアルタイム アラートなど、他の重要な機能もサポートしています。
Cisco IOS ファイアウォールの、認証、許可、アカウンティング(AAA)機能により、リモート ユーザの認証、特定のネットワーク リソースへのアクセス許可、アクティビティに対するアカウンティング(課金)機能が提供されます。Cisco IOS ファイアウォールの IDS は、シグネチャを使用してネットワーク トラフィックの悪用パターンを検出することにより、最も発生頻度の高い 59 の攻撃を発見できます。
Cisco IOS ファイアウォールの新リリースに含まれる侵入検知シグネチャは、広範な分野の侵入検知シグネチャから選び抜かれたものです。シグネチャには重大なセキュリティ侵害と最も頻繁に行われるネットワーク攻撃およひ情報収集スキャンが記録されています。
図 4侵入検知機能を備えた Cisco IOS ファイアウォール トンネリングと暗号化
IPSec では、次のネットワーク セキュリティ サービスを提供しています。
Cisco IOS IPSec の機能セットでは、DES(56 ビット)および 3DES(168 ビット)の暗号化をサポートしています。Cisco IOS バージョン 12.2(13)T の Cisco IOS IPSec の機能セットでは AES もサポートしています。このアルゴリズムには、128 ビット キー(デフォルト)、192 ビット キー、256 ビット キーのいずれかを指定できます。すべての Cisco VPN バンドルでは AES をソフトウェアでサポートしていますが、ハードウェアで AES をサポートしているバンドル(Cisco 2691、3725、3745)もあります。
GRE を IPSec と組み合わせるシスコ独自のソリューションを利用すれば、ルーティング情報の更新を VPN で送信できるようになります。そのため、IPSec のみのソリューションよりもネットワークの障害回復性がはるかに向上します。GRE トンネルは、フェイルオーバー メカニズムの提供だけではなく、マルチキャスト パケットやブロードキャスト パケットおよび IP 以外のプロトコルの暗号化機能も提供します。このように IPSec と GRE を一緒に使用することにより、シスコでは、サイト ツー サイトの VPN ソリューションで AppleTalk と Novell Internetwork Packet Exchange(IPX)をサポートできます。
Cisco IOS ソフトウェアの機能として提供される Cisco Tunnel Endpoint Discovery では、トンネルを使用した接続をネットワークのセキュリティ ポリシーに従って動的に自己設定できるようにすることにより、完全メッシュ型のサイト ツー サイト VPN 環境にとって非常に重要なトンネルのスケーラビリティとサバイバビリティ(存続可能性)を確保しています。この機能を利用すれば、VPN 上のすべてのポイント ツー ポイント トンネルを手動設定する作業を軽減できます。
VPN のスポークの接続のための Cisco IOS ソフトウェアの機能の一部として提供される IPSec の動的マルチポイント機能は、NHRP を使用して動的に接続関係を決定することにより、任意のルータ間での動的な接続設定を可能にしています。
| 詳細技術情報およびパフォーマンス情報 |
このパフォーマンス テストは、全二重のファースト イーサネットとイーサネット経由で Spirent Communications 社の SmartBits SMB2000 に接続して行いました。この装置は全二重トラフィック ジェネレータでカウンタ機能も備えています。SmartBits がイーサネット経由で Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)パケットをテスト対象の装置に対して生成する形態をとりました。SmartBits のテスト ツールはデフォルトで IMIX パターンというさまざまなパケットが混在した定義をサポートしています。IMIX トラフィックは、Smart Windows アプリケーションで次のようなストリームとして定義されています。
詳細は表 1 を、発注情報は表 2 を、シャーシの機能は表 3 をそれぞれご覧ください。
| バンドル | IDS 付きファイアウォール | GRE および IPSec | *IP Payload Compression Protocol(IPPCP) | **高可用性またはフェイルオーバー | *** MPLS VPN |
VPN QoS | ハードウェアによる AES | 最大 トンネル数 |
IMIX 3DES パケット | 3DES Mbps パケット 1400 |
|---|---|---|---|---|---|---|---|---|---|---|
| Cisco 1700 バンドル | ||||||||||
| Cisco 2600XM バンドル | ||||||||||
| Cisco 2691 VPN | ||||||||||
| Cisco 3640A VPN | ||||||||||
| Cisco 3662 VPN | ||||||||||
| Cisco 3725 VPN | ||||||||||
| Cisco 3745 VPN |
注: Mbps 3DES の速度は、バック ツー バックのファースト イーサネット ルータ テストに基づく値です。WAN の速度、メモリ、Cisco IOS ソフトウェア上で実行している他のアプリケーションなどの影響で速度が変動する場合があります。
* 現在の VPN モジュールでは、ソフトウェア ベースの レイヤ 3 IPPCP が使用可能です。そのため、IPPCP はルータの CPU で実行できるようになりました(Cisco IOS バージョン 12.2(13) T 以降が必要)。
** 高可用性またはフェイルオーバー: Cisco IOS では、IPSec で Reverse Route Injection(RRI)および Hot Standby Router Protocol(HSRP)をサポートしています。
*** MPLS: すべての VPN セキュリティ ルータ バンドルで、カスタマー エッジ ルータ用の MPLS 拡張機能をサポートしています。マルチ VPN Routing and Forwarding(VRF; VPN ルーティング/転送)を利用するカスタマー エッジでは、プロバイダー エッジの機能の一部が MPLS-VPN モデルのカスタマー エッジ ルータにまで拡張されます。これにより、カスタマー エッジ ルータに別の VRF テーブルを持つことができるようになりました。
表 2 に Cisco VPN ルータ バンドルの発注情報を示します。
注: いずれの場合も、バンドル製品はそのプラットフォームで使用可能な最新のイメージ セットとともに出荷されます。
| 要約 |
Cisco IOS ソフトウェアにより、Cisco VPN ルータは、業界最高水準のワイドエリア ネットワーク サービスを駆使し、サイトツーサイト VPN ソリューションの標準となることが可能です。
Cisco 1700、2600、3600、3700 シリーズ セキュア VPN バンドルを利用すれば、企業でもサービス プロバイダーでも簡単にシスコのルータを使用した VPN を構築し、新しい強力なサービスを利用することができます。これらのバンドルは、同じくシスコが提供する Cisco 7100 および 7200 VPN バンドルを強力に補完するものとして、VPN を導入されるお客様により幅広い性能、機能、価格の選択肢を提供しています。
| VPN ルータ バンドル | ファーストイーサネット ポート | WIC または Voice WIC(VWIC; 音声 WIC)用コンビネーション スロット | Voice Interface Card(VIC; 音声インターフェイス カード)、WIC、VWIC 用コンビネーション スロット | VIC 専用スロット |
ネットワーク モジュール スロット | Cisco IOS ソフトウェア | フラッシュ メモリ(MB)* | DRAM メモリ(MB)* | VPN カード | その他のモジュール |
|---|---|---|---|---|---|---|---|---|---|---|
| c1721-VPN/K9 | ||||||||||
| c1751-VPN/K9 | ||||||||||
| c1760-VPN/K9 | ||||||||||
| C1760-V3PN/K9 | ||||||||||
| c2611XM-VPN/K9 c2621XM-VPN/K9 c2651XM-VPN/K9 | ||||||||||
| c2691-VPN/K9 | ||||||||||
| 3640A-VPN/K9 | ||||||||||
| 3662-VPN/K9 | ||||||||||
| 3725-VPN/K9 | ||||||||||
| 3745-VPN/K9 |
* すべての Cisco 1700、2600、3600 バンドルには、フラッシュ メモリと DRAM メモリのアップグレードが含まれています。
** Cisco 2691、3725、3745 VPN モジュールは、DES、3DES、AES および圧縮機能をサポートしています。
| 更新日: 2003 年 10 月 24 日 |