テレワーカー

Cisco Virtual Office 導入ガイド

導入ガイド





Cisco Virtual Office 導入ガイド



Cisco® Virtual Office は、テレワーカー、小規模オフィス、およびモバイル ユーザがオフィスにいるのと変わらないレベルでビデオ、音声、ワイヤレス、およびデータ サービスを安全に利用できるようにする、中堅および大企業向けの拡張性の高いソリューションです。

Cisco Virtual Office はゼロタッチ展開機能を備えており、社内 IT スタッフは大規模な展開のプロビジョニングと管理をより効率的に行うことができます。テレワーカー、リモート オフィスの従業員、またはモバイル ワーカー向けの複数のアクセス方法を統合型 VPN に集約できるので、個別の集約モデルや管理モデルは不要です。このソリューションにはレイヤ化されたアイデンティティ管理サービスが組み込まれており、ネットワークを使用するデバイスおよびユーザに対する制御を行うと共に、ドメインが信頼されているかどうか、およびユーザの種類に応じて、ユーザがドメイン内のリソースにアクセスできる範囲を制御することができます。

IT スタッフは Cisco Virtual Office を使用することにより、Cisco IOS® ソフトウェア ベースの CPE(顧客宅内機器)ルータ内に組み込まれた強力なテクノロジーの価値を最大限に利用することができます。このソリューションでは、音声、ビデオ、ワイヤレス、およびセキュリティのテクノロジーをサービスとして展開し、展開したサービスをビジネス要件の変化に応じて CPE で段階的に有効にしていくことができます。さらに、データセンターの仮想ファームに集約装置を追加することで、優れたスケーラビリティが実現します。集約装置を使用すると、トラック ロールの増加や、コストのかかるネットワークのアップグレード、再設計を回避することができるため、総所有コスト(TCO)が削減されます。

Cisco Virtual Office は設計のひな型と実装ガイドが付属しており、展開のすべてを顧客が行うことが可能なソリューションです。これらのベスト プラクティスは有用性が実証されており、シスコ社内のテレワーカー環境として数年かけて改善してきました。また、計画、設計、実装、リモート管理、および最適化のライフサイクル サービスを提供する、シスコおよびパートナーの高度なサービスが用意されています。

目的と範囲

このドキュメントでは、Cisco Virtual Office ソリューションのコンポーネントと機能の概要を説明し、構成およびイメージ プラットフォームに関する推奨事項が記載されている導入ガイドへのリンクを示します。

対応要件

Cisco Virtual Office は、中規模から大規模の企業が一般的に抱えている次の課題に対処できるように設計されています。

  • スケーラビリティ:企業の新しい拠点(国内および国外)が増えるに伴い、従業員が利用する IP ネットワーク サービスには一貫性のある安全なアクセスが求められます。本社、リモート サイト、ホーム オフィス、公共のホットスポットなど、ユーザがどこにいても一貫した安全なアクセスを提供できる必要があります。
  • IT スタッフがいなくても CPE 展開をリモート サイトにまで迅速に拡大できるようにするため、安全なゼロタッチ展開モデルが必要です。管理を簡素化し、コストを低く抑えるために、プッシュ テクノロジーを使用したネットワーク集中管理を通じて継続的な運用の自動化が求められます。
  • 遅延と帯域幅の影響を受けやすい音声、ビデオ、およびリアルタイム データ アプリケーションに必要なアプリケーション パフォーマンスを実現する:そのためには、VPN テクノロジーと、QoS(Quality of Service)、IP マルチキャスト、音声、およびビデオの各サービスとの高度な統合が必要になります。また、VPN アーキテクチャは、IPsec(IP Security)と SSL(Secure Socket Layer)VPN のいずれを使用していても、CPE ベースのアクセスの要求とソフトウェアのみのアクセスの両方を満たす必要があります。
  • ファイアウォールや侵入防御システム(IPS)などのプロアクティブなセキュリティと、新しい未知の脅威に対応する適応型セキュリティの両方を確立する高度な脅威防御ソリューション
  • 物理的なアイデンティティの確認が不可能な、遠隔地にある社外の場所からネットワークへのアクセスを試みるエンティティに対する完全な制御:特定のデバイスまたはユーザに対してアクセス制限を設定する機能、従業員用とゲストおよび家族用にドメインを分ける機能、およびセキュリティを損なうことなく、信頼されていないドメインにあるリソースを従業員が使用できるようにする機能が含まれます。

Cisco Virtual Office ソリューションのコンポーネント

Cisco Virtual Office ソリューションを構成するテクノロジーおよびサービスのコンポーネントは、次のとおりです。

  • ゼロタッチ展開(ZTD)と管理:IT スタッフとエンド ユーザの両方にとって役立つ ZTD、Cisco IOS Secure Device Provisioning(SDP)サーバ、Cisco Configuration Engine、Cisco Security Manager、管理用のセキュア トンネル、変更に対応して中央で適用するポリシーのプッシュとプル
  • 統合型 VPN:ダイナミック マルチポイント VPN(DMVPN)ハブアンドスポークおよびスポークツースポーク、spouse and kids、Easy VPN(IPsec VPN クライアントと適応型セキュリティ アプライアンス [ASA] の相互運用)、トンネルごとに QoS(Quality of Service)を実現する Enhanced Easy VPN、Cisco Secure Desktop を含む SSL VPN フルトンネル
  • レイヤ化されたアイデンティティ:802.1x、認証プロキシ(Auth-Proxy)、および公開鍵インフラストラクチャ(PKI):ルータ、電話機、および PC 証明書、eToken、デバイス盗難時およびハッカーに対するロックアウト、Cisco Secure Access Control Server(ACS)(認証、許可、アカウンティング [AAA])、Cisco IOS 認証局サーバ
  • 音声およびビデオ:SIP(Session Initiation Protocol)または SCCP(Skinny Client Control Protocol)クライアントを搭載した IP フォン、ソフトフォン、デュアルモードの携帯電話、Cisco Unified Video Advantage(UVA)、Cisco Unified IP Phone 7985、Cisco IP/TV、SCCP ビデオ、H.323、QoS、IP マルチキャスト
  • ワイヤレス:ワイヤレス アクセス ポイント、802.11a/b/g、企業および個人向けの Wireless Equivalent Privacy(WEP)、Wi-Fi Protected Access(WPA)、および WPA2、802.1x を使用する Cisco Secure Services Client
  • 脅威管理:高度なファイアウォール、IPS、コンテンツ フィルタリング、Cisco IOS Flexible Packet Matching(FPM)、適応型制御テクノロジー(ACT)、トランジット メッセージング サービス(TMS)、攻撃軽減ルール

これらのコンポーネントの詳細について、以下のセクションで説明します。

ゼロタッチ展開と管理

Cisco Virtual Office 管理ソリューションを使用することで、ゼロタッチ展開、継続的な管理、およびサーバ リソースの効率的な利用のための「仮想化」が実現されます。

Cisco Security Manager および Cisco Configuration Engine ソリューション

中規模および大規模な展開では、Cisco Security Manager を使用して Cisco Virtual Office ソリューションをプロビジョニングします。Cisco Security Manager は、シスコのファイアウォール、VPN、IPS、および Cisco IOS ソフトウェアのほぼすべての機能について、柔軟性の高い構成テンプレートを使用してデバイス構成とセキュリティ ポリシーのすべての面について中央からプロビジョニングできる、エンタープライズ VPN ツールです。

Cisco Security Manager では、事前に定義されたグローバル ポリシーまたは個別のポリシーに基づいて、Cisco Virtual Office のスポークとハブが自動的に設定されます。また、許可されないポリシー変更がないか、デバイス構成が監査されます。数千台のデバイスをプロビジョニングすることができます。Cisco Security Manager では遅延プロビジョニングを行うことができます。具体的には、すべてのポリシーを Cisco Virtual Office ルータ用に準備しておき、リスニング モードに設定します。スポークが初めてハブに接続されたときに、ルータが自動的にポリシーをプッシュします。

Cisco Configuration Engine を使用すると、イベント ドリブンで、自動的に事前に定義された構成ファイル(または更新情報)をリモート デバイスにプッシュすることができます。Cisco Configuration Engine は、Cisco Networking Services 言語を解釈し、スポーク ルータと通信します。企業ネットワークに接続されているすべてのスポークを追跡し、Cisco Security Manager にすべてのイベントを通知します。また、デバイス グループのイメージを自動的に更新するタスクを実行できます。

セキュア デバイス プロビジョニング ソリューション

セキュア デバイス プロビジョニングは、Cisco Virtual Office ソリューションでゼロタッチ展開を実現するための重要なコンポーネントです。このコンポーネントがあるため、エンド ユーザはルータの工場出荷時のデフォルト設定を使用して、リモート サイトからデバイスのプロビジョニングを開始できます。Cisco Virtual Office 管理者がスポークを設定する必要はありません。

セキュア デバイス プロビジョニングを使用すると、安全な方法で初期ブートストラップ設定をリモートサイトのルータにプッシュし、新しい証明書をインストールして PKI 信頼ポイント登録および IPsec VPN 接続を設定し、システム属性などの必要な情報を新しいスポーク ルータにプロビジョニングすることができます。プロビジョニングとブートストラップ設定によって管理トンネルが確立され、スポークを構成エンジンに接続して構成エンジンから完全な構成を取得できるようになります。

セキュア デバイス プロビジョニングは、簡単な Web ベースの登録および設定とブートストラップの間のインターフェイスを使用することで、セキュア ネットワーク インフラストラクチャの導入にかかる時間とコストを削減します。ユーザの介入が少ないので、プロビジョニング時間の短縮と TCO の削減が可能です。

ゼロタッチ展開および管理の詳細については、以下を参照してください。

  • Cisco Virtual Office - IT 管理者用のゼロタッチ展開の導入ガイド
  • Cisco Virtual Office - IT 管理者用の継続的な管理のガイド

統合型 VPN

統合型 VPN ソリューションの下では、VPN テクノロジーの透過的な統合が促進されることで、ネットワークの標準化と拡張が進みます。DMVPN、Easy VPN、SSL VPN を統合して、VPN 展開における単一の統合ハブを実現することができます。この統合により、テレワーカー、モバイル ワーカー、ブランチ オフィス サイトのワーカーといったすべてのタイプのユーザに対して、標準化されたスケーラブルなサポートが提供されます。

テレワーカーおよび小規模オフィスの従業員向けのこのベースライン ソリューションは、Cisco DMVPN をベースにしています。Cisco DMVPN は、パフォーマンスを最適化し、リアルタイム アプリケーションの遅延を削減すると共に、動的な設定を促進します。また、ハブにおけるメンテナンスと設定が軽減され、QoS を使用することにより、指定したネットワーク アプリケーションやリアルタイム性が重要なアプリケーションを優先することができます。

組み合わせが可能なその他の VPN 設計は次のとおりです。

  • 高集約度 DMVPN ハブ:統合型または分散型の暗号化を実行する Cisco IOS サーバ ロード バランシング(SLB)
  • モバイル ユーザを対象にした IPsec ベース アクセス向けの Cisco Easy VPN
  • モバイル ユーザを対象にした SSL ベース アクセス向けの Cisco IOS SSL VPN
  • データ VPN に対応した携帯電話向けのレイヤ 2 トンネリング プロトコル(L2TP)および IPsec
  • DMVPN ダイヤル バックアップおよび IPsec ハイアベイラビリティ

統合型 VPN ソリューションの展開の詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6808/prod_white_paper0900aecd8051bf3b_ns855_Networking_Solutions_White_Paper.html [英語] を参照してください。

次に、サブコンポーネントについて説明します。

高集約度 DMVPN ハブ ソリューション

大規模ネットワーク(スポーク数 3,000 以上)または高帯域幅を必要とするネットワークで Cisco Virtual Office ソリューションを使用する場合は、高集約度のハブ サービスをお勧めします。大規模なネットワークにおいて、ネットワークを複数の小さいセグメントに分割するのではなく、複数のスポークが 1 つの DMVPN ドメインに属することができるように単一のネットワークを維持するには、SLB 対応のハブ スタック サポートをお勧めします。

  • 分散型の暗号化を使用する SLB:このタイプの暗号化では、Cisco IOS SLB を実行している Cisco Catalyst® 6500 を Cisco 7200 ルータ ファームの前に接続し、このルータ ファームでインターネット キー エクスチェンジ(IKE)、IPsec、DMVPN、NHRP(Next Hop Resolution Protocol)、IP マルチキャスト、およびルーティング プロトコルのターミネーションを実行するという設計を行います。このモデルは、Cisco 7200 ルータを追加することによって、N+1 の冗長性を維持しながらスムーズに拡張できます。
  • 統合型の暗号化を使用する SLB:顧客が階層型のネットワーク設計(たとえば、銀行サービスにおいて特定のブランチ オフィスが地方オフィスでターミネーションされ、地方オフィスが国別オフィスでターミネーションされる場合など)の統合を希望する場合、望ましいのは、少ない容量で(処理可能なスポーク数に関して)少しでも大きい帯域幅を提供できるハブです。この場合は、暗号化用の IPsec VPN 共有ポート アダプタ(SPA)を備えた Cisco Catalyst 6500 スイッチまたは Cisco 7600 シリーズ ルータと、ルーティング、NHRP、およびマルチキャスト用の Cisco 7200 サーバ ファームの組み合わせをお勧めします。

Cisco Catalyst 6500 シリーズ ファイアウォール サービス モジュール(FWSM)や侵入検知システム モジュール 2(IDSM-2)などのモジュールを追加して、セキュリティをさらに強化できます。

DMVPN ソリューションの詳細については、前に示した統合型 VPN 導入ガイドを参照してください。IPv6 の展開については、http://www.cisco.com/en/US/solutions/collateral/ns340/ns517/ns430/ns855/white_paper_c11-490986.html [英語] を参照してください。

Easy VPN ソリューション

Easy VPN は、ソフトウェア クライアントとハードウェア クライアントの両方にアクセスを提供し、他の VPN 展開を補完します。Easy VPN と DMVPN を組み合わせることで、Cisco Virtual Office ソリューションの展開に使用できます。Easy VPN は、ソフトウェア クライアントとハードウェア クライアントの両方にアクセスを提供し、標準の DMVPN 展開を補完します。

既存の Easy VPN 展開が Cisco IOS ソフトウェアに基づいており、同じハブに DMVPN を追加する場合は、既存の Easy VPN セットアップに影響を与えることなく DMVPN 設定を同じハブに追加できます。また、この逆も成立します。

スモール オフィス/ホーム オフィス(SOHO)のテレワーカーとモバイル ユーザの両方に対して同じエンドツーエンドの安全なソリューションのセットアップを使用し、完全な統合アクセスを提供するには、Easy VPN および DMVPN Cisco Virtual Office ソリューションが有効です。SOHO ユーザの場合は、Easy VPN または DMVPN をホーム ルータで実行し、ホーム ネットワークに接続されたコンピュータおよび IP フォンから企業ネットワークにアクセスできます。モバイル ユーザの場合は、どこにいてもノート PC にインストールした Easy VPN クライアント(ソフトウェア VPN クライアント)を実行して、同じソリューションと問題なく統合できるため、必要な接続が得られます。

IPsec 動的仮想トンネル インターフェイス(DVTI)の追加により、Enhanced Easy VPN は IP マルチキャストと QoS もサポートするようになりました。

Easy VPN ソリューションの詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6808/deployment_guide_c07_458259_ns855_Networking_Solutions_White_Paper.html [英語] を参照してください。

SSL VPN ソリューション

Cisco IOS SSL VPN は、企業ネットワークおよび企業リソースに対して完全トンネル型でクライアント ベースの安全なアクセスを提供します。モバイル ユーザ、小売仲介業者、およびエクストラネット パートナーは、ホットスポットからアクセスすることができます。このソリューションには Cisco Secure Desktop も含まれています。Cisco Secure Desktop は、仮想デスクトップまたは「サンドボックス」を作成することによってエンドポイント セキュリティを提供し、エンド ユーザはその仮想デスクトップ内で作業します。

公共の場所からインターネット アクセスによって企業イントラネットにモバイルでアクセスすることが必要なユーザがいる場合は、DMVPN ソリューションを補完する SSL VPN を展開することができます。完全トンネル型クライアントは、ユーザの介入なしで自動的にダウンロードされます。同じハブ内で SSL VPN 設定と DMVPN 設定を組み合わせることができます。ただし、2 つのテクノロジーは互いに完全に独立しています。

SSL VPN ソリューションの詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6657/white_paper_c07-372106.html [英語] を参照してください。

DMVPN ダイヤル バックアップ ソリューション

Cisco IOS ソフトウェア ダイヤル バックアップ機能は、通常の電話回線によるダイヤルアップ サービスを使用して、メインのインターネット サービス プロバイダー(ISP)の接続に障害が発生した場合のバックアップ インターネット接続を提供するものです。Cisco Virtual Office ベースの DMVPN ソリューションにおけるダイヤル バックアップ機能は、メインの ISP 接続に障害が発生した場合に、ダイヤルアップ ネットワークを使用したデータ ゲートウェイへの接続を提供します。通常、メイン ISP 接続はブロードバンド接続です。ダイヤルアップ ネットワークで提供される帯域幅と速度は低いので、主にセカンダリ接続を提供するために使用します。ISP との接続が復元されると、データ ゲートウェイへのトンネルは破棄され、ISP を使用したトンネルが復元されます。

DMVPNダイヤル バックアップ ソリューションの詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/prod_white_paper0900aecd803e7ee9.html [英語] を参照してください。

管理ゲートウェイ ハイアベイラビリティ ソリューション

管理ゲートウェイ ハイアベイラビリティが提供する信頼性の高い安全なネットワークのインフラストラクチャにより、管理ゲートウェイの透過的なアベイラビリティが実現します。これにより、スポーク ルータはいつでもネットワーク オペレーション センター(NOC)にアクセスして最新の更新情報を取得できるようになります。

ハイアベイラビリティ ソリューションの詳細については、http://www.cisco.com/web/JP/solution/places/teleworker/literature/white_paper_c11-492665.html を参照してください。

レイヤ化されたアイデンティティ

アイデンティティをレイヤ化するという考え方により、CPE、デバイス、およびユーザの各レベルでさまざまなセキュリティ メカニズムが提供されます。これらのメカニズムを CPE での境界セキュリティと組み合わせることで、安全に統合された Cisco Virtual Office ソリューション フレームワークを定義することができます。

  • PKI を使用すると、VPN トンネルを確立する過程で CPE レベルの認証を容易に行うことができます。各 CPE は、RSA キーとデジタル証明書を使用して認証および承認されると、信頼されたネットワークの一部となります。
  • 標準 802.1x およびレイヤ 2 とレイヤ 3 の拡張により、スイッチ ポートおよびルーテッド ポート両方の CPE に IP デバイス レベルのセキュリティが確保されます。
  • 認証プロキシ(Auth-Proxy)は、ユーザに企業ネットワークへのアクセスを許可する前に、Cisco Secure ACS を使用してユーザを認証します。これにより、エンドユーザ セキュリティが確保されます。
  • USB ベースの eToken により、デジタル証明書、RSA キー、セカンダリ設定などの重要な情報を格納する場所が提供され、CPE セキュリティが確保されます。eToken ログインによってこの情報を CPE で有効にすることにより、デバイス盗難のシナリオに対して防御策を取り、不正なユーザによって企業本社への VPN アクセスがセットアップされることを防止できます。
  • Cisco Secure ACS は RADIUS および TACACS+ をサポートし、安全なネットワークに必要な AAA 機能を提供します。Cisco Secure ACS は、PKI、802.1x、802.11 ワイヤレス認証、および Auth-Proxy で要求されるユーザおよびデバイスの認証と承認を検証するために、中央データベースを維持します。

レイヤ化されたアイデンティティの詳細については、http://www.cisco.com/en/US/solutions/collateral/ns340/ns517/ns430/ns855/white_paper_c11-492830.html [英語] を参照してください。

次に、サブコンポーネントについて説明します。

PKI ソリューション

Cisco IOS PKI は、IPsec、Secure Shell(SSH)プロトコル、SSL などのセキュリティ プロトコルをサポートする、証明書管理の機能を提供します。IPsec プロトコルで定義されているように、セキュリティで保護された通信を確立する前には、有効性を確認するために IKE フェーズ 1 でピアの認証を行う必要があります。

IPsec ピアとして設定された少数の Cisco IOS ルータに対して事前共有キー(PSK)を使用し、ルータが相互に認証されるようにすることができます。ただし、中規模から大規模のネットワークでは、PSK 設定は複雑さが増し、管理が困難になります。PKI では、フルメッシュ DMVPN セキュリティ接続と新しくサポートされた xVPN テクノロジーのいずれにおいても、はるかに安全でスケーラブルな方法が提供されます。

PKI はスポークツースポーク通信にも適しています。したがって、数百のリモート ブランチ オフィス間で相互に通信する必要があり、サイト間 VPN を展開しようとしている企業に向いています。PKI では、デバイス認証に事前共有キーではなくデジタル証明書交換を使用することで管理のオーバーヘッドが削減され、ネットワーク インフラストラクチャの展開が簡素化されます。

PKI ソリューションの詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6807/prod_white_paper0900aecd805249e3_ns855_Networking_Solutions_White_Paper.html [英語] を参照してください。

802.1x 認証

標準 802.1x およびレイヤ 2 とレイヤ 3 の拡張により、スイッチ ポートおよびルーテッド ポート両方の CPE に IP デバイス レベルのセキュリティが確保されます。

この機能を使用することで、すべての IP デバイスは、802.1x 認証ステータスに基づいて信頼されたデバイスと信頼されていないデバイスに分類されます。ネットワークで新しいデバイスがアクティブになると、ルータは 802.1x 交換を開始します。ユーザ デバイスで実行中の 802.1x クライアントに応じて、ユーザはクレデンシャルの入力を求められます。ユーザが入力したクレデンシャルはルータに渡され、ルータはこのクレデンシャルを使用して RADIUS サーバから認証を得ます。認証を通過すると、アクセス デバイスは信頼されたデバイスと見なされ、企業ネットワークへのアクセスなどの追加の特権が付与されます。

デバイスが認証を通過しない場合、またはクライアントレス デバイスである場合は、信頼されていないデバイスと見なされます。このデバイスに付与する特権を減らして、インターネットのみにアクセスできる別の DHCP(Dynamic Host Configuration Protocol)プールから IP アドレスを割り当てることなども可能です。

802.1x ソリューションの詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6807/prod_white_paper0900aecd805a5ab5_ns855_Networking_Solutions_White_Paper.html [英語] を参照してください。

Cisco Secure ACS ソリューション

RADIUS サーバは、Cisco Virtual Office ソリューションのさまざまなコンポーネント、すなわち 802.1x、Auth-Proxy、802.11 ワイヤレス認証、およびルータの PKI-AAA 認証のために必要です。802.1x 規格については前のセクションで説明しました。

Auth-Proxy はエンドユーザ認証に使用される機能です。企業サイトへのアクセスが許可されるのは、有効なクレデンシャルを入力した場合のみです。クレデンシャルは RADIUS サーバによって検証される必要があります。クレデンシャルの検証が終わると、適切なアクセス許可コントロール エントリ(ACE)がダウンロードされてリモート スポークに適用され、適切なレベルのアクセスが保証されます。PKI-AAA 認証をデバイス認証のために使用し、安全なセッション セットアップの過程で Cisco Virtual Office ルータの有効性を確認できます。

これらすべてのアプリケーションをサポートするように Cisco Secure ACS を設定できます。Cisco Secure ACS ソリューションの詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6807/deployment_guide_c07_458687_ns855_Networking_Solutions_White_Paper.html [英語] を参照してください。

音声とビデオ

音声とビデオの機能が、安全なネットワークを通してリモート サイトにまで拡張されます。このネットワークは、Cisco IP Communicator ソフトフォンおよび Cisco VT Camera をサポートすると共に、有線およびワイヤレスの VoIP(voice-over-IP)フォンもサポートします。

CPE の背面に差し込むだけで使用できる Cisco Unified IP Phone により、SCCP および SIP がサポートされます。また、SCCP のみをサポートする PC ベースの Cisco IP ソフトフォンである Cisco IP Communicator もサポートされています。シスコのワイヤレス IP フォンは、Cisco Virtural Office CPE の統合ワイヤレス アクセス ポイントに直接接続できます。

Cisco Virtual Office ソリューションには、次のような重要な側面があります。

  • 音声 VLANによる安全な音声の ID の提供と音声ドメインの安全な分離
  • SCCP ファイアウォール インスペクション:シスコの固定電話、ワイヤレス電話、およびテレビ電話を対象にした、SCCP ファイアウォール サポートの形式による統合セキュリティ(たとえば、Cisco Unified IP Phone 7971G-GE および 7895 モデルと Cisco Unified Wireless IP Phone 7921G)
  • ALG および AIC:Cisco SIP Phone を対象にした SIP アプリケーション レイヤ ゲートウェイ(ALG)およびアプリケーションのインスペクションと制御(AIC)の形式によるセキュリティ拡張
  • 携帯電話:モバイル ユーザを対象にした iPhone およびデュアルモード電話に対する透過的で安全性の高いサポート

安全な音声ソリューションの詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6814/prod_white_paper0900aecd8044177c.pdf [英語] を参照してください。

Cisco IOS ソフトウェア セキュリティおよび IP サービス

QoS、IP マルチキャスト、ネットワーク アドレス変換(NAT)、Optimized Edge Routing(OER)、Cisco IOS IP サービスレベル契約(IP SLA)などの Cisco IOS ソフトウェア サービスをセキュリティ サービスと組み合わせることにより、安全なネットワーク内の CPE(リモート ルータなど)の背後で音声およびビデオ アプリケーションをサポートすることができます。

  • QoS により、リアルタイム トラフィックや遅延の影響を受けやすいトラフィック(音声など)を優先することが可能です。QoS は、ISP が使用できるアップリンクの帯域幅に基づいて、音声トラフィックに対して最初に有効にする必要があります。帯域幅の利用効率はコーデックによって異なります。最も一般的なコーデックは、G.729 と G.711 です。
  • IP マルチキャスト サービスは、VPN テクノロジーを利用した IP マルチキャスト アプリケーションを安全にサポートするためのソリューションを提供します。マルチキャストをセキュリティで保護するための初期サポートには、サイト間 IPsec VPN 上の汎用ルーティング カプセル化(GRE)が含まれています。ただし、ドメインにデバイスが追加された場合のスケーラビリティに懸念があります。

DMVPN や Enhanced Easy VPN などの新しいテクノロジーの登場により、IP マルチキャストのパフォーマンスおよびスケーラビリティ向上と、簡単な展開というメリットを得ることができます。

DMVPN では、マルチキャスト パケットを GRE ヘッダー内にカプセル化し、暗号化したうえで、トンネルを介して送信します。この機能は、ルーティング プロトコルとマルチキャスト データ転送をサポートしており、設定管理とスケーラビリティを簡素化することができます。ただし、パケットは暗号化の前に複製されるため、マルチキャスト GRE(mGRE)インターフェイスによるマルチキャストの受信者数は、ルータのプラットフォームおよびストリームの帯域幅に基づいて制限されます。

Enhanced Easy VPN(DVTI)では、セッション確立時に、ポイントツーポイント GRE トンネルに類似した仮想インターフェイスが動的に作成されます。この仮想インターフェイスを使用して、マルチキャスト転送を行うことができます。必要なのは、テンプレート設定で仮想トンネル インターフェイス(VTI)サーバのマルチキャストの設定を有効にすることだけです。

  • ファイアウォール:Cisco Virtual Office に対応した CPE のファイアウォール アクセス コントロール リスト(ACL)では、これらの音声サービス(制御メッセージを除く)に必要な機能がすべてブロックされますが、他のセキュリティ機能(802.1x、Auth-Proxy など)では VoIP フォンからの認証の確認をバイパスする必要があります。コールが開始されると、ファイアウォール インスペクションによって、音声トラフィックを許可するために必要なポートが開かれます。ゾーンベースのファイアウォールでは、信頼されたゾーン、信頼されていないゾーン、DMZ などの明示的なゾーンの作成が可能なので、ポリシーおよびルールが簡素化されます。
  • NAT により、Cisco Virtual Office のスポークとハブを既存の NAT デバイスの背後に配置できます。また、スポークとハブでスプリット トンネリングをサポートできます。
  • Optimized Edge Routing(OER)は、複数の物理パスまたは論理パスが使用可能な場合に、最適なパスを選択する機能です。
  • IP SLA は、ネットワーク パフォーマンス測定の実行をサポートします。

IP サービスの詳細については、http://www.cisco.com/web/JP/product/hs/ios/tec/index.html を参照してください。

ワイヤレス

統合された安全なワイヤレス マネージド サービスは、安全なネットワーク内の Cisco Virtual Office 対応 CPE の背後でワイヤレス アプリケーションを使用できるようにすることを目的にしています。企業のワイヤレス LAN には、不正なアクセス ポイント、侵入者、不正ユーザ、送信データの不正な閲覧から企業を保護する強力なセキュリティ ポリシーが必要です。シスコは IEEE 802.1x の認証とさまざまなタイプの Extensible Authentication Protocol(EAP)をサポートしており、以前の 802.11 WEP 実装の一部に加えて、集中管理された標準ベースのオープンなワイヤレス ネットワーク セキュリティ スキームを提供します。

統合された安全なワイヤレス マネージド サービスは、Temporal Key Integrity Protocol(TKIP)をサポートします。このプロトコルでは、パケット単位のキー ハッシュ、すべてのフレームに対するデジタル証明書、ユニキャストとブロードキャスト両方のパケットを暗号化するためのワイヤレス アクセス ポイントでのブロードキャスト キー循環など、128 ビット暗号化に対する拡張が行われています。Cisco LEAP、EAP-Flexible Authentication via Secure Tunneling(EAP-FAST)、EAP-Transport Layer Security(EAP-TLS)、EAP-Tunneled TLS(EAP-TTLS)、Protected EAP(PEAP)、EAP-Subscriber Identity Module(EAP-SIM)など、複数の EAP タイプがサポートされています。WPA 標準ベース ソリューションは、ワイヤレス LAN の脆弱性に対処し、特定の標的への攻撃に対する保護を強化しています。WPA は暗号化に TKIP を使用します。

安全なワイヤレス ソリューションの詳細については、http://www.cisco.com/en/US/solutions/collateral/ns340/ns517/ns430/ns855/white_paper_c11-492842.html [英語] および http://www.cisco.com/en/US/solutions/collateral/ns340/ns517/ns430/ns855/white_paper_c11-490978.html [英語] を参照してください。

脅威管理

プロアクティブなセキュリティ

プロアクティブなセキュリティ サービスは、Cisco Virtual Office ソリューション用の安全な LAN および WLAN インフラストラクチャを提供します。これらのセキュリティ サービスは、リモート CPE、IP デバイス、IP ベース アプリケーション、エンド ユーザ、ベンダー、および顧客のセキュリティ保護に役立ちます。使用されるテクノロジーは次のとおりです。

  • Cisco IOS ファイアウォールは、スポーク ルータの背後にあるエンド デバイスへの不正アクセスをブロックして境界セキュリティを提供し、それによって内部ネットワークをセキュリティ攻撃から保護します。高度なフィルタリング機能として、ゾーンベースのファイアウォール、ユーザグループ ファイアウォール、オブジェクト グループ ACL があります。
  • Cisco IOS IPS 機能は、境界セキュリティをさらに強化します。この機能は、許可されたトラフィック内に悪意のあるシグニチャがないかをリアルタイムで監視し、適切なアクションを実行します。

適応型セキュリティ

Cisco Virtual Office ソリューションによってもたらされる Cisco IOS ソフトウェア ベースの脅威防御ソリューションは、事後対応型のセキュリティ サービスに対応しています。このソリューションは一部のネットワーク監視ツールのサービスを利用して、安定的なネットワーク セキュリティを維持し、内部および外部の脅威を認識して、ユーザに問題を警告すると同時に脅威に対処します。

  • Threat Information Distribution Protocol(TIDP)コントローラと TIDP Mitigation Services(TMS)コンシューマが連携して動作し、動的な ACL、IPS、および OER リダイレクションを使用して、脅威軽減サービスのトランスポートおよびルール配布のメカニズムを提供します。
  • TIDP または TMS の XML ベースの脅威ファイル、または Cisco Flexible Packet Matching(FPM)機能を使用して、脅威を軽減する対策を取ることができます。

脅威管理ソリューションの詳細については、http://www.cisco.com/en/US/solutions/collateral/ns340/ns517/ns430/ns855/white_paper_c11-492830.html [英語] および http://www.cisco.com/web/JP/product/hs/ios/security/index.html を参照してください。

関連情報

Cisco Virtual Office ソリューションの詳細については、http://www.cisco.com/jp/go/cvo/ を参照してください。