次の表に、TrustSec がイネーブルになった Cisco スイッチで実装される TrustSec 機能を示します。継続的な TrustSec の General Availability リリースによって、サポートされるスイッチの数および各スイッチでサポートされる
TrustSec 機能の数は増加しています。
Cisco TrustSec の機能 |
説明 |
802.1AE タギング(MACSec) |
IEEE 802.1AE に基づくワイヤレート ホップ単位レイヤ 2 暗号化のプロトコル。
MACSec 対応デバイス間において、パケットは送信デバイスからの出力で暗号化され、受信デバイスへの入力で復号化されます。デバイス内では平文です。
この機能は、TrustSec ハードウェア対応デバイス間だけで利用できます。
(注)
|
この機能は 2960x ではサポートされていません。
|
|
エンドポイント アドミッション コントロール(EAC) |
EAC は、TrustSec ドメインに接続しているエンドポイント ユーザまたはデバイスの認証プロセスです。通常、EAC はアクセス レベル スイッチで実行されます。EAC プロセスの認証および許可に成功すると、ユーザまたはデバイスに対してセキュリティ
グループ タグが割り当てられます。現在、EAC は 802.1X、MAC 認証バイパス(MAB)、および Web 認証プロキシ(WebAuth)とすることができます。
|
ネットワーク デバイス アドミッション コントロール(NDAC) |
NDAC は、TrustSec ドメイン内の各ネットワーク デバイスがピア デバイスのクレデンシャルおよび信頼性を確認できる認証プロセスです。NDAC は、IEEE 802.1X ポート ベースの認証に基づく認証フレームワークを利用し、EAP
方式として EAP-FAST を使用します。NDAC プロセスの認証および許可に成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションとなります。
(注)
|
この機能は 2960x ではサポートされていません。
|
|
セキュリティ アソシエーション プロトコル(SAP) |
NDAC 認証のあと、セキュリティ アソシエーション プロトコル(SAP)は、その後の TrustSec ピア間の MACSec リンク暗号化のキーおよび暗号スイートについて、自動的にネゴシエーションを行います。SAP は IEEE 802.11i
で定義されます。
|
セキュリティ グループ タグ(SGT) |
SGT は、TrustSec ドメイン内の送信元のセキュリティ分類を示す 16 ビットの単一ラベルです。イーサネット フレームまたは IP パケットに追加されます。
|
SGT 交換プロトコル(SXP)
|
Security Group Tag Exchange Protocol(SXP)。SXP を使用すると、TrustSec にハードウェアで対応していないデバイスが Cisco Identity Services Engine(ISE)または
Cisco Secure アクセス コントロール システム(ACS)から認証されたユーザとデバイスの SGT 属性を受信できます。デバイスは、次にセキュリティ グループ アクセス コントロール リスト(SGACL)強制のために、送信元トラフィックをタグ付けする
TrustSec にハードウェアで対応しているデバイスに、sourceIP-to-SGT バインディングを転送できます。
|
リンクの両端で 802.1AE MACsec をサポートしている場合、SAP ネゴシエーションが実行されます。サプリカントとオーセンティケータの間で EAPOL-Key が交換され、暗号スイートのネゴシエーション、セキュリティ パラメータの交換、およびキーの管理が実行されます。これらの作業が正常に完了すると、セキュリティ
アソシエーション(SA)が確立します。
ソフトウェア バージョンとライセンスおよびリンク ハードウェア サポートに応じて、SAP ネゴシエーションは次の動作モードの 1 つを使用できます。
- Galois Counter Mode(GCM):認証と暗号化
- GCM authentication(GMAC):GCM 認証、暗号化なし
- No Encapsulation:カプセル化なし(クリア テキスト)
- null:カプセル化、認証または暗号化なし