この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco TrustSec(CTS)アーキテクチャは、信頼できるネットワーク デバイスのドメインを確立することによってネットワークを保護します。ネットワーク デバイスがネットワークに認証されると、クラウド内のデバイス間のリンクを使用する通信は、暗号化、メッセージ整合性チェック、およびリプレイ保護メカニズムを組み合わせることで保護されます。
CTS は認証時に取得したユーザとデバイスの ID 情報を使用して、ネットワークに進入するパケットを分類します。CTS では、ネットワークへの進入時にセキュリティ グループ タグ(SGT)でパケットまたはフレームにタグを付けることで各パケットまたはフレームの分類が維持されます。これにより、パケットはデータ パス全体を通じて識別され、セキュリティおよびその他のポリシー基準が適用されます。タグにより、スイッチやファイアウォールなどの中継ネットワークは分類に基づいてアクセス コントロール ポリシーを適用することができます。
Cisco TrustSec の IPsec インライン タギングの GET VPN サポート機能では、GET VPN インライン タギングを使用してプライベート WAN 経由で SGT 情報を伝送します。
この機能を有効にするすべてのキー サーバ(KS)およびグループ メンバー(GM)で、GET VPN ソフトウェア バージョン 1.0.5 以降を実行している必要があります。この機能は、GET VPN ネットワーク内のすべてのデバイスをこの機能をサポートする GET VPN ソフトウェア バージョンにアップグレードしてから使用する必要があります。
この機能は、ネットワークのすべてのデバイスが Cisco TrustSec の IPsec インライン タギングをサポートするバージョンを実行しているかどうかを確認するために KS(またはプライマリ KS)で使用するコマンドを提供します。詳細については「GM が Cisco TrustSec の IPsec インライン タギングをサポートするソフトウェア バージョンを実行していることを確認する」セクションを参照してください。
この機能は、IPv6 トラフィックをサポートしません。
この機能は、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ、または第 2 世代シスコ サービス統合型ルータ(ISR G2)用の Cisco VPN 内部サービス モジュールのトランスポート モードをサポートしません。
KS はグループ メンバー(GM)からセキュリティ アソシエーション(SA)登録要求を受信するか、連携 KS から接続確立要求を受信すると、グループ SA が SGT インライン タギングを有効にしているかどうかを確認します。有効にしている場合、承認を得るためには、すべての GM と連携 KS が GET VPN ソフトウェア バージョン 1.0.5 以降を使用して登録する必要があります。そうでない場合、登録要求または確立要求は拒否され、KS はネットワーク管理者に通知する syslog メッセージを生成します。
(tag cts sgt コマンドを使用して)グループ SA で IPsec インラインタギングの GET VPN サポートを有効にして、(crypto gdoi ks rekey コマンドを使用して)キー再生成をトリガーすると、KS は互換性のあるソフトウェアバージョンを使用しないグループ内の GM および連携 KS をチェックします。見つかると、警告メッセージが表示されます。
WARNING for group GETVPN: some devices cannot support SGT inline tagging. Rekey can cause traffic disruption and GM registration failures. Please check 'show crypto gdoi feature sgt'.
Are you sure you want to proceed ? [yes/no]:
出力トラフィックとは、GM の GDOI 保護インターフェイスから送信されるトラフィックです。次の表は、出力パスにおける GM の動作を示したものです。
|
セキュリティ グループ タギングが SA で有効 |
CTS が SGT を提供 |
GM データ プレーンの動作 |
|---|---|---|
|
対応 |
対応 |
SGT を Cisco メタデータに追加し、暗号化 |
|
対応 |
非対応 |
SGT なしで暗号化 |
|
非対応 |
対応 |
SGT なしで暗号化 |
|
非対応 |
非対応 |
SGT なしで暗号化 |
入力トラフィックとは、GM の GDOI 保護インターフェイスが受信するトラフィックです。次の表は、入力パスにおける GM の動作を示したものです。
|
セキュリティ グループ タギングが SA で有効 |
CTS が SGT を提供 |
GM データ プレーンの動作 |
|---|---|---|
|
対応 |
対応 |
CTS の SGT を復号して抽出 |
|
対応 |
非対応 |
SGT の処理なしで復号 |
|
非対応 |
対応 |
復号して SGT を無視 |
|
非対応 |
非対応 |
SGT の処理なしで復号 |
各 GDOI パケットに SGT 情報を含む Cisco メタデータが追加されるため、SGT インライン タギングではパケットのオーバーヘッドが 8 バイト(または、時間ベースのアンチリプレイを有効にすると 16 バイト)増加します。
パケットが GDOI の暗号化の前に分割される場合、各フラグメントはそれに応じた SGT 情報とともにインライン タギングされます。パケットが GDOI 暗号化の後で分割される場合、最初のフラグメントのみが SGT 情報とともにインライン タギングされます。
2 つの方法を使用してフラグメンテーションを処理できます。1 つ目の方法は、Cisco メタデータを介した SGT 情報の伝達に使用される追加分のバイトを収容して暗号化を処理しているインターフェイスで ip mtu コマンドを使用することです。2 つ目の方法は、GM の LAN インターフェイスで ip tcp adjst-mss 1352 コマンドを使用することです。このコマンドにより、LAN セグメントの最終的な IP パケットは 1392 バイト未満となり、それによって SGT を伝送するための任意のオーバーヘッドと Cisco メタデータに対して 108 バイトが提供されます。
MTU の問題に関する設計の詳細については、『Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide』の「Designing Around MTU Issues」のセクションを参照してください。
Cisco TrustSec の IPsec インライン タギング機能は、GET VPN ネットワーク内のすべてのデバイスをこの機能をサポートする GET VPN ソフトウェア バージョンにアップグレードしてから使用する必要があります。
ネットワーク内のすべてのデバイスが Cisco TrustSec の IPsec インライン タギングをサポートすることを確認するには、KS(またはプライマリ KS)でこの作業を実行します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
show crypto gdoi feature cts-sgt Example: |
GET VPN ネットワーク内の各 KS および GM で実行されている GET VPN ソフトウェアのバージョンを表示し、そのデバイスが Cisco TrustSec の IPsec インライン タギングをサポートしているかどうかを表示します。 |
|
Step 3 |
show crypto gdoi feature cts-sgt | include No Example: |
(オプション)Cisco TrustSec の IPsec インライン タギングをサポートしていないデバイスのみ表示します。 |
Cisco TrustSec の IPsec インライン タギングを設定するには、次のステップを実行します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
crypto gdoi group group-name Example: |
GDOI グループを指定し、GDOI グループ コンフィギュレーション モードを開始します。 |
|
Step 4 |
次のいずれかのコマンドを入力します。
Example:Example: |
GDOI グループ番号またはアドレスを指定します。 |
|
Step 5 |
server local Example: |
デバイスを GDOI KS として指定し、GDOI ローカル サーバ コンフィギュレーション モードを開始します。 |
|
Step 6 |
sa ipsec sequence-number Example: |
GDOI グループに使用される IPsec SA ポリシー情報を指定し、GDOI SA IPsec コンフィギュレーション モードを開始する。 |
|
Step 7 |
tag cts sgt Example: |
Cisco TrustSec の IPSec インライン タギングを有効化します。 |
|
Step 8 |
end Example: |
GDOI SA IPsec コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
IPsec インライン タギングを有効にした後、キー再生成をトリガーする必要があります。詳細については「キー再生成のトリガー」セクションを参照してください。
KS(またはプライマリ KS)でセキュリティ ポリシーを変更し(たとえば、DES から AES)、グローバル コンフィギュレーション モードを終了すると、ポリシーが変更され、キー再生成が必要であることを示す syslog メッセージが KS に表示されます。実行コンフィギュレーションの最新のポリシーに基づくキー再生成を送信するために、次のようにキー再生成をトリガーするコマンドを入力します。
キー再生成をトリガーするには KS(プライマリ KS)でこの作業を実行します。
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
crypto gdoi ks [group group-name] rekey [replace-now] Example: |
すべての GM のキー再生成をトリガーします。 オプションの replace-now キーワードは、各 GM の古い TEK および KEK を即時に置き換え、SA が期限切れになる前に新しいポリシーを有効にします。
|
KS に次のようにメッセージが表示されます。
Device# crypto gdoi ks rekey
Device#
*Jan 28 09:17:44.363: %GDOI-5-KS_SEND_UNICAST_REKEY: Sending Unicast Rekey with
policy-replace for group GET from address 10.0.8.1 with seq # 2ポリシーの変更後、各 GM がこのトリガーされたキー再生成を受信すると、新しい SA(たとえば、AES 用)をインストールして、古い SA(たとえば、DES 用)のライフタイムを短縮します。各 GM はこの短縮されたライフタイムが期限切れになるまで古い SA を使用してトラフィックの暗号化および復号化を続けます。
セカンダリ KS のキー再生成をトリガーしようとすると、次のようにコマンドが拒否されます。
Device# crypto gdoi ks rekey
ERROR for group GET: This command must be executed on Pri-KSGM で実行されている設定を表示するには、show running-config コマンドを使用します。
SGT でタグ付けされたパケットの数を表示するには、次のコマンドを入力します。
Device# show crypto ipsec sa detail
interface: Ethernet0/0
Crypto map tag: GET, local addr 5.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
Group: GET-SGT
.
.
.
#pkts tagged (send): 0, #pkts untagged (rcv): 5
pkts tagged (send) フィールドは、アウトバウンド方向の SGT でタグ付けされたパケットを表示します。pkts untagged (rcv) フィールドは、インバウンド方向の SGT でタグ付けされていないパケットを表示します。
次の例は、各グループ内のすべてのデバイスが Cisco TrustSec の IPsec インライン タギングをサポートしているかどうかを確認するために KS(またはプライマリ KS)で GET VPN ソフトウェア バージョン管理コマンドを使用する方法を示します。
Device# show crypto gdoi feature cts-sgt
Group Name: GETVPN
Key Server ID Version Feature Supported
10.0.5.2 1.0.5 Yes
10.0.6.2 1.0.5 Yes
10.0.7.2 1.0.3 No
10.0.8.2 1.0.2 No
Group Member ID Version Feature Supported
10.0.1.2 1.0.2 No
10.0.2.5 1.0.3 No
10.0.3.1 1.0.5 Yes
10.0.3.2 1.0.5 Yes
また、上記のコマンドは GM でも入力できます(その GM の情報を表示します。KS や他の GM には使用できません)。
次の例は、KS(プライマリ KS)で Cisco TrustSec の IPsec インライン タギングをサポートしていない GET VPN ネットワークのデバイスのみ検索するコマンドを入力する方法を示しています。
Device# show crypto gdoi feature cts-sgt | include No
10.0.7.2 1.0.3 No
10.0.8.2 1.0.2 No
10.0.1.2 1.0.2 No
10.0.2.5 1.0.3 No
次に、単一の GDOI グループを提供する KS 用の IPsec SA の CTS SGT インライン タギングを設定する方法の例を示します。
Device> enable
Device# configure terminal
Device(config)# ip access-list extended ACL-SGT
Device(config-ext-nacl)# permit ip any any
Device(config-ext-nacl)# exit
Device(config)# crypto gdoi group GET-SGT
Device(config-gdoi-group)# identity number 1
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# sa ipsec 1
Device(gdoi-sa-ipsec)# tag cts sgt
Device(gdoi-sa-ipsec)# profile gdoi-p2
Device(gdoi-sa-ipsec)# match address ipv4 ACL-SGT
Device(gdoi-sa-ipsec)# replay time window-size 100
Device(gdoi-sa-ipsec)# end
次に、GET VPN バージョン 1.0.5 以降 にアップグレードした GM を使用する(したがって CTS SGT インライン タギングをサポートしている)グループと、まだアップグレードしていない GM を使用するグループの、2 つのグループを設定する方法の例を示します。アップグレード済みの GM は、グループ番号 1111(小さい暗号マップ シーケンス番号)にグループ番号 2222(大きい暗号マップ シーケンス番号)とともに登録します。アップグレードしていない GM はグループ番号 2222 にのみ登録します。
この例では、2 つのサイト間のトラフィックに対して SGT タギングを設定します。permit ip コマンドは、2 つのサイト間の通信を許可するアクセス制御リスト(ACL)にアクセス制御エントリ(ACE)を追加します。
Device> enable
Device# configure terminal
Device(config)# ip access-list extended ACL_NET_AB
Device(config-ext-nacl)# permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
Device(config-ext-nacl)# permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
Device(config-ext-nacl)# exit
Device(config)# ip access-list extended ACL_ALL
Device(config-ext-nacl)# permit ip any any
Device(config-ext-nacl)# exit
Device(config)# crypto gdoi group GET1
Device(config-gdoi-group)# identity number 1111
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# rekey authentication mypubkey rsa mykey
Device(gdoi-local-server)# rekey transport unicast
Device(gdoi-local-server)# sa ipsec 1
Device(gdoi-sa-ipsec)# tag cts sgt
Device(gdoi-sa-ipsec)# profile gdoi-p2
Device(gdoi-sa-ipsec)# match address ipv4 ACL_NET_AB
Device(gdoi-sa-ipsec)# replay time window-size 100
Device(gdoi-sa-ipsec)# exit
Device(gdoi-local-server)# exit
Device(config-gdoi-group)# exit
Device(config)# crypto gdoi group GET2
Device(config-gdoi-group)# crypto gdoi group GET2
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# rekey authentication mypubkey rsa mykey
Device(gdoi-local-server)# rekey transport unicast
Device(gdoi-local-server)# sa ipsec 1
Device(gdoi-sa-ipsec)# profile gdoi-p2
Device(gdoi-sa-ipsec)# match address ipv4 ACL_ALL
Device(gdoi-sa-ipsec)# replay time window-size 100
Device(gdoi-sa-ipsec)# end
 Note |
GET VPN は、ACL あたり最大 100 の ACE をサポートします。 |
次の例は、GET VPN ネットワークのデバイスのソフトウェアのバージョンを表示し、またポリシー変更後のキー再生成のトリガーをサポートするかどうかを表示するために、KS(またはプライマリ KS)で GET VPN ソフトウェア バージョン管理コマンドを使用する方法を示します。
Device# show crypto gdoi feature policy-replace
Key Server ID Version Feature Supported
10.0.8.1 1.0.2 Yes
10.0.9.1 1.0.2 Yes
10.0.10.1 1.0.2 Yes
10.0.11.1 1.0.2 Yes
Group Member ID Version Feature Supported
5.0.0.2 1.0.2 Yes
9.0.0.2 1.0.1 No
次の例は、ポリシー交換後のキー再生成のトリガーをサポートしていないデバイスのみを検索する方法を示します。
Device# show crypto gdoi feature policy-replace | include No
9.0.0.2 1.0.1 No
これらのデバイスでは、プライマリ KS はポリシー交換に関する手順なしでトリガーされるキー再生成のみを送信します。したがって、GM がキー再生成を受信すると、新しい SA をインストールしますが、古い SA の有効期間は短縮しません。
次の例では、ポリシー変更の実行後にキー再生成をトリガーする方法を示します。この例では、profile gdoi-p2 コマンドで IPSec ポリシーの変更(たとえば、DES から AES)が発生します。
Device# configure terminal
Device(config)# crypto gdoi group GET
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# sa ipsec 1
Device(gdoi-sa-ipsec)# no profile gdoi-p
Device(gdoi-sa-ipsec)# profile gdoi-p2
Device(gdoi-sa-ipsec)# end
Device#
*Jan 28 09:15:15.527: %SYS-5-CONFIG_I: Configured from console by console
*Jan 28 09:15:15.527: %GDOI-5-POLICY_CHANGE: GDOI group GET policy has changed. Use
'crypto gdoi ks rekey' to send a rekey, or the changes will be send in the next scheduled
rekey
Device# crypto gdoi ks rekey
Device#
*Jan 28 09:17:44.363: %GDOI-5-KS_SEND_UNICAST_REKEY: Sending Unicast Rekey with
policy-replace for group GET from address 10.0.8.1 with seq # 2
次の例では、セカンダリ KS のキー再生成をトリガーしようとすると表示されるエラー メッセージを示します。
Device# crypto gdoi ks rekey
ERROR for group GET: This command must be executed on Pri-KSNote |
時間ベースのアンチリプレイ(TBAR)が設定されると、キー サーバは 2 時間(7200 秒)ごとに定期的にキー再生成をグループ メンバーに送信します。次の例では、有効期間が 8 時間(28800 秒)に設定されていますが、キー再生成タイマーは 2 時間に設定されています。 show crypto gdoi gm replay コマンドおよび show crypto gdoi ks replay コマンドにより TBAR 情報が表示されます。 |
|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS セキュリティ コマンド |
『Cisco IOS Security Command References』 |
|
エンタープライズ ネットワークの GET VPN の有効化のための基本的な導入ガイドライン |
|
|
Cisco TrustSec の設定 |
『Cisco TrustSec Configuration Guide, Cisco IOS Release 15M&T』 |
|
MTU の問題の迂回設計 |
『Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide』 |
|
標準/RFC |
タイトル |
|---|---|
|
RFC 2401 |
|
|
RFC 6407 |
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
Cisco TrustSec の IPsec インライン タギングの GET VPN サポート |
Cisco TrustSec(CTS)アーキテクチャは、信頼できるネットワーク デバイスのドメインを確立することによってネットワークを保護します。ネットワーク デバイスがネットワークに認証されると、クラウド内のデバイス間のリンクを使用する通信は、暗号化、メッセージ整合性チェック、およびリプレイ保護メカニズムを組み合わせることで保護されます。 CTS は認証時に取得したユーザとデバイスの ID 情報を使用して、ネットワークに進入するパケットを分類します。CTS では、ネットワークへの進入時にセキュリティ グループ タグ(SGT)でパケットまたはフレームにタグを付けることで各パケットまたはフレームの分類が維持されます。これにより、パケットはデータ パス全体を通じて識別され、セキュリティおよびその他のポリシー基準が適用されます。タグにより、スイッチやファイアウォールなどの中継ネットワークは分類に基づいてアクセス コントロール ポリシーを適用することができます。 Cisco TrustSec の IPsec インライン タギングの GET VPN サポート機能では、GET VPN インライン タギングを使用してプライベート WAN 経由で SGT 情報を伝送します。 次のコマンドが導入または変更されました。 show crypto gdoi, show crypto ipsec sa, tag cts sgt. |
フィードバック