この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、Fibre Channel Security Protocol(FC-SP)と Diffie-Hellman Challenge Handshake Authentication Protocol(DHCHAP)の設定方法について説明します。
この章は、次の項で構成されています。
Fibre Channel Security Protocol(FC-SP)機能は、スイッチとスイッチ間およびホストとスイッチ間で認証を実行して、企業全体のファブリックに関するセキュリティ問題を解決します。 Diffie-Hellman チャレンジ ハンドシェイク認証プロトコル(DHCHAP)は、Cisco SAN スイッチとその他のデバイス間で認証を行う FC-SP プロトコルです。 DHCHAP は、CHAP プロトコルと Diffie-Hellman 交換を組み合わせて構成されています。
Cisco SAN の全スイッチで、1 台のスイッチから他のスイッチへ、またはスイッチからホストへ、ファブリック規模の認証を実行できます。 これらのスイッチおよびホスト認証は、各ファブリックでローカルまたはリモートで実行できます。 ストレージ アイランドを企業全体のファブリックに統合して、移行すると、新しいセキュリティ問題が発生します。 ストレージ アイランドを保護する方法が、企業全体のファブリックで必ずしも保証されなくなります。 たとえば、スイッチが地理的に分散しているキャンパス環境では、他のユーザが故意に、またはユーザ自身が誤って、互換性のないスイッチに故意に相互接続すると、ISL(スイッチ間リンク)分離やリンク切断が発生することがあります。
Cisco SAN スイッチでは、物理的なセキュリティに対処する認証機能がサポートされます(次の図を参照)。
(注) |
ホスト スイッチ認証には、適切なファームウェアおよびドライバを備えたファイバ チャネル Host Bus Adapter(HBA)が必要です。 |
ローカル パスワード データベースを使用する DHCHAP 認証を設定できます。
ファブリック認証用のコンフィギュレーション コマンドおよび確認コマンドにアクセスするには、DHCHAP 機能をイネーブルにする必要があります。 この機能をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。
DHCHAP 機能を既存の Cisco NX-OS 機能と一緒に設定した場合、互換性の問題を考慮してください。
デフォルトでは、DHCHAP 機能はすべての Cisco SAN スイッチでディセーブルです。
デフォルトでは、DHCHAP 機能はすべての Cisco SAN スイッチでディセーブルです。
ファブリック認証用のコンフィギュレーション コマンドおよび確認コマンドにアクセスするには、DHCHAP 機能をイネーブルにする必要があります。 この機能をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。
Cisco Nexus デバイス の DHCHAP をイネーブルに設定できます。
各インターフェイスの DHCHAP 認証ステータスは、DHCHAP ポート モードの設定によって変化します。
スイッチ内で DHCHAP 機能がイネーブルの場合には、各ファイバ チャネル インターフェイスまたは FCIP インターフェイスを次の 4 つの DHCHAP ポート モードのいずれかに設定できます。
(注) |
DHCHAP ポート モードを off モード以外のモードに変更すると、再認証が実行されます。 |
次の表で、さまざまなモードに設定した 2 台のシスコ スイッチ間での認証について説明します。
スイッチ N の DHCHAP モード |
スイッチ 1 の DHCHAP モード |
|||
---|---|---|---|---|
on |
auto-active |
auto-passive |
off |
|
on |
FC-SP 認証が実行されます。 |
FC-SP 認証が実行されます。 |
FC-SP 認証が実行されます。 |
リンクがダウンになります。 |
auto-Active |
FC-SP 認証は実行されません。 |
|||
auto-Passive |
FC-SP 認証は実行されません。 |
|||
off |
リンクがダウンになります。 |
FC-SP 認証は実行されません。 |
特定のインターフェイスの DHCHAP モードを設定できます。
Cisco SAN スイッチは、DHCHAP 認証のためのデフォルトのハッシュ アルゴリズムのプライオリティ リストとして、最初に MD5、次に SHA-1 をサポートします。
ハッシュ アルゴリズムの設定を変更する場合は、ファブリック上の全スイッチに対して設定をグローバルに変更してください。
注意 |
RADIUS および TACACS+ プロトコルは、CHAP 認証で常に MD5 を使用します。 SHA-1 をハッシュ アルゴリズムとして使用すると、DHCHAP 認証用に RADIUS および TACACS+ がイネーブルになっていても、これらの AAA プロトコルが使用できなくなる可能性があります。 |
ハッシュ アルゴリズムを設定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | fcsp dhchap hash [md5] [sha1] 例: switch(config)# fcsp dhchap hash md5 sha1 |
MD5 または SHA-1 ハッシュ アルゴリズムを使用するように設定します。 |
ステップ 3 | no fcsp dhchap hash sha1 例: switch(config)# no fcsp dhchap hash sha1 |
出荷時デフォルトのハッシュ アルゴリズム プライオリティ リスト(最初に MD5、次に SHA-1)に戻します。 |
すべての Cisco SAN スイッチは、規格 0(Diffie-Hellman 交換を実行しないヌルの DH グループ)、1、2、3、または 4 で指定されたすべての DHCHAP グループをサポートします。
DH グループの設定を変更する場合は、ファブリック内のすべてのスイッチの設定をグローバルに変更してください。
DH グループの設定を変更できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | fcsp dhchap dhgroup [0 | 1 | 2 | 3 | 4] 例: switch(config)# fcsp dhchap dhgroup [0|1|2|3|4] |
DH グループを設定された順序で使用するようにプライオリティ リスト化します。 |
ステップ 3 | no fcsp dhchap dhgroup [0 | 1 | 2| 3 | ]4] 例: switch(config)# no fcsp dhchap dhgroup [0|1|2|3|4] |
DHCHAP の出荷時デフォルトの順序(0、1、2、3、4)に戻します。 |
DHCHAP 認証を実行する方向ごとに、接続デバイス間の共有シークレット パスワードが必要です。 このパスワードを使用するために、次の 3 つの設定例のいずれかを使用して DHCHAP に参加するファブリック内のすべてのスイッチのパスワードを管理します。
(注) |
パスワードはすべて 64 文字以内の英数字に制限されます。パスワードは変更できますが、削除はできません。 |
スイッチが 6 台以上のファブリックでは、RADIUS または TACACS+ の使用をお勧めします。 ローカル パスワード データベースを使用する必要がある場合、パスワード データベースを管理するために、設定 3 および Cisco MDS 9000 ファミリ Fabric Manager を引き続き使用できます。
ローカル スイッチの DHCHAP パスワードを設定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | fcsp dhchap password [0 | 7] password [wwn wwn-id] 例: switch(config)# fcsp dhchap password [0|7] myword wwn 11:22:11:22:33:44:33:44 |
ローカル スイッチのクリアテキスト パスワードを設定します。 |
ファブリック内の他のデバイスのパスワードを、ローカル認証データベースに設定できます。 他のデバイスは、スイッチ WWN やデバイス WWN といったデバイス名で表されます。 パスワードは 64 文字に制限され、クリア テキスト(0)または暗号化テキスト(7)で指定できます。
(注) |
スイッチ WWN は、物理スイッチを識別します。 この WWN はスイッチの認証に使用されます。また、VSAN ノード WWN とは異なります。 |
ファブリック内の他のスイッチのリモート DHCHAP パスワードをローカル側で設定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | fcsp dhchap devicename switch-wwn password password 例: switch(config)# fcsp dhchap devicename 21:00:05:30:23:1a:11:03 password mypassword |
スイッチ WWN デバイス名で表される、ファブリック上の他のスイッチのパスワードを設定します。 |
ステップ 3 | switch(config)# no fcsp dhchap devicename switch-wwn password password 例: switch(config)# no fcsp dhchap devicename 21:00:05:30:23:1a:11:03 password mypassword |
ローカル認証データベースから、このスイッチのパスワード エントリを削除します。 |
DHCHAP プロトコル交換を実行するとき、スイッチが指定時間内に予期した DHCHAP メッセージを受信しない場合、認証は失敗したと見なされます。 この(認証が失敗したと見なされるまでの)時間は、20 ~ 1000 秒の範囲で設定できます。 デフォルトは 30 秒です。
タイムアウト値を変更する場合には、次の要因について考慮してください。
DHCHAP タイムアウト値を設定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | fcsp timeout timeout 例: switch(config)# fcsp timeout 60 |
再認証タイムアウトを指定された値に設定します。 単位は秒です。 |
ステップ 3 | no fcsp timeout timeout 例: switch(config)# no fcsp timeout 60 |
出荷時デフォルトの 30 秒に戻します。 |
AAA 認証で RADIUS または TACACS+ サーバ グループを使用するように設定できます。 AAA 認証を設定しない場合、デフォルトでローカル認証が使用されます。
ローカル データベースの設定を表示するには、show fcsp コマンドを使用します。
次に、指定されたインターフェイスに関する DHCHAP 設定を表示する例を示します。
switch# show fcsp interface vfc24 vfc24
fcsp authentication mode:SEC_MODE_ON
Status: Successfully authenticated
次に、指定されたインターフェイスに関する DHCHAP 統計情報を表示する例を示します。
switch# show fcsp interface vfc24 statistics
次に、指定されたインターフェイスに接続されたデバイスの FC-SP WWN を表示する例を示します。
switch# show fcsp interface vfc21 wwn
次に、スイッチに設定済みのハッシュ アルゴリズムおよび DHCHAP グループを表示する例を示します。
switch# show fcsp dhchap
次に、DHCHAP ローカル パスワード データベースを表示する例を示します。
switch# show fcsp dhchap database
RADIUS サーバおよび TACACS+ サーバにスイッチ情報を設定する場合、デバイス WWN の ASCII 表記を使用してください。
ここでは、次の図に示した例を設定するための手順について説明します。
次の例は、認証の設定方法を示しています。
ステップ 1 |
ファブリックの Cisco SAN スイッチのデバイス名を取得します。 ファブリックの Cisco SAN スイッチは、スイッチ WWN によって識別されます。 例: switch# show wwn switch Switch WWN is 20:00:00:05:30:00:54:de |
||
ステップ 2 |
このスイッチで DHCHAP を明示的にイネーブルにします。
例: switch(config)# fcsp enable |
||
ステップ 3 |
このスイッチのクリア テキスト パスワードを設定します。 このパスワードは、接続先デバイスで使用されます。 例: switch(config)# fcsp dhchap password rtp9216 |
||
ステップ 4 |
スイッチ WWN デバイス名で表される、ファブリック上の他のスイッチのパスワードを設定します。 例: switch(config)# fcsp dhchap devicename 20:00:00:05:30:00:38:5e password rtp9509 |
||
ステップ 5 |
必要なインターフェイスの DHCHAP モードをイネーブルにします。
例: switch(config)# interface vfc24 switch(config-if)# fcsp on |
||
ステップ 6 |
DHCHAP ローカル パスワード データベースを表示して、このスイッチに設定されたプロトコル セキュリティ情報を確認します。 例: switch# show fcsp dhchap database DHCHAP Local Password: Non-device specific password:******* Other Devices' Passwords: Password for device with WWN:20:00:00:05:30:00:38:5e is ******* |
||
ステップ 7 |
インターフェイスの DHCHAP 設定を表示します。 例: switch# show fcsp interface vfc24 vfc24 fcsp authentication mode:SEC_MODE_ON Status:Successfully authenticated |
||
ステップ 8 |
接続スイッチでこれらの手順を繰り返します。 例: MDS-9509# show wwn switch Switch WWN is 20:00:00:05:30:00:38:5e MDS-9509(config)# fcsp enable MDS-9509(config)# fcsp dhchap password rtp9509 MDS-9509(config)# fcsp dhchap devicename 20:00:00:05:30:00:54:de password rtp9216 MDS-9509(config)# interface vfc 45 MDS-9509(config-if)# fcsp on MDS-9509# show fcsp dhchap database DHCHAP Local Password: Non-device specific password:******* Other Devices' Passwords: Password for device with WWN:20:00:00:05:30:00:54:de is ******* MDS-9509# show fcsp interface fc24 Fc24 fcsp authentication mode:SEC_MODE_ON Status:Successfully authenticatedこれで、設定例用の DHCHAP 認証が設定およびイネーブルにされました。 |
次の表に、任意のスイッチにおけるすべてのファブリック セキュリティ機能のデフォルト設定を示します。
パラメータ |
デフォルト |
---|---|
DHCHAP 機能 |
ディセーブル |
DHCHAP ハッシュ アルゴリズム |
最初に MD5、次に SHA-1 のプライオリティ リストで DHCHAP 認証を実行 |
DHCHAP 認証モード |
auto-passive |
DHCHAP グループのデフォルトの交換プライオリティ |
0、4、1、2、3 の順 |
DHCHAP タイムアウト値 |
30 秒 |