この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、C7200 VSA(VPN Services Adapter)の概要を説明します。内容は次のとおりです。
• 「機能」
• 「LED」
• 「コネクタ」
• 「スロット位置」
ここでは、IP Security Protocol(IPSec)、Internet Key Exchange(IKE)、および Certification Authority(CA; 認証局)インターオペラビリティ機能を含め、データ暗号化について説明します。
(注) 各機能の詳細については、『Security Configuration Guide』の「IP Security and Encryption」の章および『Security Command Reference 』を参照してください。
IPSec は、Internet Engineering Task Force(IETF)が策定したネットワーク レベルのオープン スタンダードなフレームワークで、インターネットのように保護されていないネットワーク上で機密情報を安全に伝送できるようにします。IPSec には、データ認証、アンチ リプレイ サービス、および機密保護サービスがあります。
シスコでは次の Data Encryption Standard(DES; データ暗号規格)に準拠しています。
• IPSec ― IPSec は、関係するピア間でデータの機密性およびデータの完全性を保証し、データを認証する IP レイヤのオープン スタンダードなフレームワークです。IKE がローカル ポリシーに基づいてプロトコルおよびアルゴリズムのネゴシエーションを処理し、IPSec の使用する暗号鍵および認証鍵を生成します。IPSec により、ホスト間、セキュリティ ルータ間、またはセキュリティ ルータとホスト間の 1 つまたは複数のデータ フローが保護されます。
• IKE ― IKE は、Internet Security Association & Key Management Protocol(ISAKMP)フレームワーク内で、Oakley および Skeme 鍵交換を実行するハイブリッド セキュリティ プロトコルです。IKE は IPSec およびその他のプロトコルと組み合わせて使用できます。IKE は IPSec ピアを認証し、IPSec セキュリティ アソシエーションのネゴシエーションを行い、IPSec 鍵を設定します。IPSec は、IKE とともに設定することも、IKE なしで設定することもできます。
• CA ― CA インターオペラビリティは、Simple Certificate Enrollment Protocol(SCEP)および Certificate Enrollment Protocol(CEP)を使用して、IPSec 規格をサポートします。CEP によって、Cisco IOS デバイスと CA 間の通信が可能になり、Cisco IOS デバイスは CA からデジタル証明書を取得して使用できるようになります。IPSec は、CA とともに設定することも、CA なしで設定することもできます。CA は、証明書を発行できるように正しく設定されていなければなりません。詳細については、『 Security Configuration Guide 』の「Configuring Certification Authority Interoperability」の章
( http://www.cisco.com/en/US/products/sw/iosswrel/products_ios_cisco_ios_software_releases.html )を参照してください。
IPSec に実装されているコンポーネント テクノロジーは、次のとおりです。
• DES およびTriple DES ― DES および Triple DES(3DES)暗号化パケット データです。Cisco IOS は、3 キー Triple DES および DES-CBC with Explicit IV を実装します。Cipher Block Chaining(CBC; 暗号ブロック連鎖)は、暗号化の開始に初期ベクトル(IV)が必要です。IV は IPSec パケット内に明示的に指定されます。
• AES ― Advanced Encryption Standard(高度暗号化規格)。米国政府およびその他の諸国の組織が使用している次世代の対称暗号化アルゴリズムです。
• MD5(HMAC バリアント) ― Message Digest 5(MD5)はハッシュ アルゴリズムです。HMAC はデータの認証に使用するキー付きハッシュ バリアントです。
• SHA(HMAC バリアント) ― Secure Hash Algorithm(SHA)はハッシュ アルゴリズムです。HMAC はデータの認証に使用するキー付きハッシュ バリアントです。
• RSA 署名および RSA 暗号化 nonce ― RSA は Ron Rivest、Adi Shamir、および Leonard Adleman によって開発された公開鍵暗号システムです。RSA 暗号化 nonce は否認を提供し、RSA 署名を使用すると否認防止が可能になります。
IPSec は Cisco IOS ソフトウェア上で、次のような他の規格もサポートします。
• AH ― Authentication Header(認証ヘッダー)。AH は、データ認証およびオプションのアンチ リプレイ サービスを行うセキュリティ プロトコルです。
AH プロトコルはさまざまな認証アルゴリズムを使用しますが、Cisco IOS ソフトウェアで実装している認証アルゴリズムは、必須の MD5 および SHA(HMAC バリアント)です。AH プロトコルはアンチ リプレイ サービスを提供します。
• ESP ― Encapsulating Security Payload。ESP は、データ プライバシ サービス、オプションのデータ認証、およびアンチ リプレイ サービスを提供するセキュリティ プロトコルです。ESP は保護対象のデータをカプセル化します。ESP プロトコルは、さまざまな暗号化アルゴリズムと(オプションで)さまざまな認証アルゴリズムを使用します。Cisco IOS ソフトウェアは、暗号化アルゴリズムとして必須の 56 ビット DES-CBC with Explicit IV または Triple DES を実装します。また、認証アルゴリズムとして MD5 または SHA(HMAC バリアント)を実装します。最新の ESP プロトコルでは、アンチ リプレイ サービスを提供します。
C7200 VSA(VPN Services Adapter)は、NPE-G2 プロセッサを搭載した Cisco 7204VXR および Cisco 7206VXR ルータの I/O スロットに装着する全ボード幅のサービス アダプタです(図1-1 を参照)。
(注) C7200 VSA は、NPE-G2 プロセッサを搭載した Cisco 7200VXR でのみサポートされます。
VSA は AES、DES、および Triple DES のハードウェア アクセラレーションを実行し、サイト間およびリモート アクセス IPSec VPN サービスのパフォーマンスを向上させます。Cisco C7200 VSA ソリューションは QoS(Quality of Service)、マルチキャストおよびマルチプロトコル トラフィック、統合型 LAN/WAN メディアの幅広いサポートを提供します。
|
|
||
|
|
|
VSA は、さまざまな暗号化機能にハードウェア アクセラレーション サポートを提供します。
• ハードウェア上での 128/192/256 ビット AES
• 最大 900 Mbps の暗号化スループット(300 バイト パケット、1,000 トンネルの場合)のパフォーマンス
• 5,000 トンネル(DES/3DES/AES に対応)
C7200 VSA が正常に動作するために必要なハードウェアは次のとおりです。
• C7200 VSA は、Cisco 7204VXR または Cisco 7206VXR ルータに搭載された Cisco NPE-G2 プロセッサと互換性があります。
ここでは、VSA の機能について 表1-1 で説明します。
|
|
---|---|
スループット 1 |
最大 900 Mbps 暗号化スループットのパフォーマンス(Cisco 7204VXR および Cisco 7206VXR ルータで 3DES または AES を使用) |
IPSec で保護されるトンネル数 2 |
最大 5,000 トンネル 3 |
データ保護:IPSec DES、3DES、および AES |
|
IPSec トンネル モード:IPSec による Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)および Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)保護 |
|
1.IPSec 3DES HMAC-SHA1 を使用し、1,400 バイト パケットで測定 |
表1-2 に VSA のパフォーマンス情報を示します。
|
|
|
---|---|---|
4.IPSec 3DES または AES HMAC-SHA-1 を使用し、1,400 バイト パケットで測定。パフォーマンスはモジュール数、帯域幅、トラフィック量、Cisco IOS ソフトウェア リリースなどによって変化します。 5.Cisco 12.4(4)XD3 fc2 イメージを使用。パフォーマンスは Cisco IOS ソフトウェア リリースによって変化します。 |
ここでは、VSA でサポートされる規格、Management Information Base(MIB; 管理情報ベース)、および Request for Comment(RFC; コメント要求)について説明します。RFC には、サポートされるインターネット プロトコル スイートについての情報が記載されています。
• CISCO-IPSEC-FLOW-MONITOR-MIB
サポート対象 MIB のプラットフォーム別リストおよび Cisco IOS リリース別リストを入手する場合、または MIB モジュールをダウンロードする場合には、次の URL から Cisco.com の Cisco MIB Web サイトにアクセスしてください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
VSA 暗号カードは 活性挿抜(Online Insertion and Removal; OIR)に対応していません。VSA はシステムの初期化時にのみ起動します。システムがすでに稼働している状態で VSA を取り付けても、VSA は動作しません。CLI のディセーブル コマンドで、VSA をシャットダウンできます。CLI のディセーブル コマンドを実行すると、VSA を取り外す準備が整います。
VSA を取り外すときは、事前にインターフェイスをシャットダウンして、取り外す VSA にトラフィックが流れないようにすることを推奨します。ポート経由でトラフィックが流れているときに VSA を取り外すと、システム障害を引き起こす可能性があります。
C7200 VSA をディセーブルにするには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
|
|
|
---|---|---|
ディセーブルになった C7200 VSA をイネーブルにします。 (注) 詳細については 表1-5 を参照してください。 |
ここでは、OIR に対応しない VSA がどのように動作するかを説明します。
表1-3 に、電源投入後または reload コマンドの入力後にシステムがブートするときの動作を示します。
表1-4 に、システム稼働時の動作を示します。
表1-5 に、crypto engine コマンドを入力したときの動作を示します。
|
|
---|---|
|
|
---|---|
Hw-module slot 0 shutdown ― サポートされていません。 [no] crypto engine [slot | accelerator] 0 ― 表1-5 を参照してください。 |
|
ハードウェアの故障を防ぐため、カードを取り外す前に、CLI のディセーブル コマンドを入力する必要があります( 表1-5 を参照)。 |
VSA には 1 つの LED があります(図1-3 を参照)。
|
|
|
---|---|---|
ENABLE LED は、次の条件が満たされた場合に点灯します。
• VSA がバックプレーンに正しく接続されていて、電力が供給されている。
いずれかの条件が満たされていない場合、またはその他の理由でルータを初期化できなかった場合、ENABLE LED は点灯しません。
VSA のコネクタについては、図1-2 を参照してください。
Cisco 7204VXR ルータのスロット番号については、図1-4 を参照してください。
Cisco 7206VXR ルータのスロット番号については、図1-5 を参照してください。
VSA は Cisco 7204VXR ルータの I/O コントローラ ポートに搭載できます(図1-4 の 3 を参照)。
|
|
||
|
VSA は Cisco 7206VXR ルータの I/O コントローラ ポートに搭載できます(図1-5 の 3 を参照)。
|
|
||
|