Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2025年2月5日水曜日

トランスポート層セキュリティトンネルのサポート

トランスポート層セキュリティトンネルのサポートについて

Cisco Catalyst 9800 シリーズワイヤレスコントローラは、Cisco OfficeExtend アクセスポイント（OEAP）を使用してテレワーカーソリューションを導入するために、パブリッククラウドに直接アクセスする必要があります。Cisco IOS XE Amsterdam 17.3.2 以降のトランスポート層セキュリティ（TLS）トンネルサポートの導入により、コントローラはパブリッククラウドに自動的に到達できるようになりました。これは、クラウド上の Cisco Catalyst Center がコントローラとの TLS 通信チャネルを確立して、ワイヤレスソリューションのモニターと管理を実行するために役立ちます。

TLS 接続により、コントローラとクラウド上の Cisco Digital Network Architecture（Cisco DNA）の間で設定とテレメトリが確実かつ安全に通信されます。TLS トンネルは、TCP 接続を介して送信されるすべてのデータを暗号化します。TLS トンネルは、インターネット全体でより安全なプロトコルを提供します。コントローラの検出後は、クラウド上の Cisco Catalyst Center が Cisco DNA のアシュアランスと自動化の機能を使用してコントローラを一元管理します。

シスコプラグアンドプレイ

Cisco® プラグアンドプレイソリューションは、安全性が高くスケーラブルかつシームレスな、統一されたゼロタッチ導入エクスペリエンスを提供する統合ソリューションです。

プラグアンドプレイエージェント

シスコプラグアンドプレイ（PnP）エージェントは、シスコのネットワークデバイスのうち、簡素化された展開アーキテクチャをサポートするものすべてに含まれている組み込みソフトウェアコンポーネントです。PnP エージェントが認識し、対話する対象は PnP サーバのみです。PnP エージェントは、DHCP や DNS などの方法を使用することにより、通信相手の PnP サーバーの IP アドレスの取得を試みます。サーバーが検出され、接続が確立されると、エージェントは PnP サーバーと通信して展開関連のさまざまなアクティビティを実行します。

シスコプラグアンドプレイの詳細については、『Cisco Plug and Play Feature Guide』を参照してください。

PnP を介したトランスポート層セキュリティ（TLS）トンネル機能は、次のコントローラでサポートされています。

Cisco Catalyst 9800-80 ワイヤレスコントローラ
Cisco Catalyst 9800-40 ワイヤレスコントローラ
Cisco Catalyst 9800-L ワイヤレスコントローラ

トランスポート層セキュリティトンネルの設定

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

crypto tls-tunnel TLS-tunnel-name

例:

Device(config)# crypto tls-tunnel cloud-primary

暗号化 TLS トンネルチャネルを設定します。

ステップ 3

server {ipv4 <A.B.C.D> | ipv6 <X.X.X.X::X> | url <url-name>} port 443 <1025-65535>

例:

Device(config-crypto-tls-tunnel)# server ipv4 172.31.255.255 port 4043

サーバーの IPv4 アドレス、IPv6 アドレス、または URL 名とポート番号を指定します。

ステップ 4

overlay interface interface-name interface-num

例:

Device(config-crypto-tls-tunnel)# overlay interface Loopback0

オーバーレイインターフェイスとインターフェイス番号を指定します。

オーバーレイインターフェイスは、マルチアクセス、マルチキャスト対応の論理的なインターフェイスです。オーバーレイインターフェイスは、IP ユニキャストまたはマルチキャストヘッダーのレイヤ 2 フレームをカプセル化します。

ステップ 5

local interface interface-name interface-num priority rank

例:

Device(config-crypto-tls-tunnel)# local-interface vlan 1 priority 1

LAN インターフェイスのタイプ、番号、および優先順位ランクを指定します。

（注）

現在、このトンネルは優先順位 1 の 1 つの WAN インターフェイスのみをサポートしていて、複数の優先順位を使用した WAN インターフェイスのリストはサポートしていません。

ステップ 6

psk id identity key options

例:

Device(config-crypto-tls-tunnel)# psk id test key

事前共有キーとパスワードのオプションを指定します。

ステップ 7

pki trustpoint trustpoint trustpoint-label [sign | verify]

例:

Device(config-crypto-tls-tunnel)# pki trustpoint tsp1 sign

次のように、RSA 署名認証方式で使用するトラストポイントを指定します。

sign：ピアに送信されるトラストポイントからの証明書を使用します。
verify：トラストポイントからの証明書を使用して、ピアから受信した証明書を検証します。

（注）

sign キーワードまたは verify キーワードが指定されていない場合、トラストポイントが署名および検証に使用されます。
TLS トンネルブロックでは、事前共有キー（PSK）または PKI（証明書ベース）のいずれかを使用して認証することができます。

ステップ 8

（任意） cc-mode

例:

Device(config-crypto-tls-tunnel)# cc-mode

（任意）

連邦情報処理標準（FIPS）モードである、コモンクライテリアモードを示します。

ステップ 9

no shutdown

例:

Device(config-crypto-tls-tunnel)# no shutdown

TLS トンネルを有効にします。

ステップ 10

end

例:

Device(config-crypto-tls-tunnel)# end

特権 EXEC モードに戻ります。

トランスポート層セキュリティトンネルの確認

TLS トンネルクライアントサポートには、Linux Tun/Tap インターフェイスを使用した BinOS プロセスが含まれます。TLS クライアントサマリーの詳細を確認するには、次のコマンドを使用します。

Device# show platform software tlsc client summary
TLS Client - Config Summary

Name         ID     Gateway    Port   Auth     Trustpoint  DPD Time    Rekey Time  Retry Time
-----------------------------------------------------------------------------------------------
fqdn         0                 8443   PSK      N/A            60          300         20

TLS クライアントセッションの詳細、セッションの統計、トンネルの統計、および DNS カウンタを確認するには、次のコマンドを使用します。

Device# show platform software client detail <tls-name>

Session Name     : fqdn
FQDN resolved IP : 10.255.255.255
ID               : 0
Created          : 04/20/21 00:36:42
Updated          : 04/22/21 05:56:03
State            : Up (Rekey)
Up Time          : 04/21/21 20:30:21 (9 hours 25 minutes 45 seconds)
Down Time        : 04/21/21 20:30:01
Rekey Time       : 04/22/21 05:55:51 (15 seconds)
                                                                    
TLS Session Statistics
Up Notifications    : 3
Down Notifications  : 2
Rekey Notifications : 636
DP State Updates    : 0
DPD Cleanups        : 0
 
Packets From         Packets To    Packet Errors To     Bytes From           Bytes To
--------------------------------------------------------------------------------------
BinOS                 80              0                    0                    0
IOSd                   0              0                    0                    0                    
TLS Client             0              0                    0                    0                    

TLS Tunnel Statistics

Type       Tx Packets           Rx Packets
------------------------------------------
Total        0                    80
CSTP Ctrl   3836                 3836
CSTP Data    80                   0

Type       Requests             Responses
-----------------------------------------
CSTP Cfg   639                  639
CSTP DPD   3197                 3197

Invalid CSTP Rx         : 0
Injected Packet Success : 0
Injected Packet Failed  : 0
Consumed Packets        : 0

TLS Tunnel DNS Counters

DNS Resolve Request Success Count : 641
DNS Resolve Request Failure Count : 0
DNS Resolve Success Count         : 639
DNS Resolve Failure Count         : 2

TLS クライアントのグローバル統計情報を確認するには、次のコマンドを使用します。

Device# show platform software tlsc statistics
TLS Client: Global Statistics

Session Statistics
Up / Down     : 5 / 2
Rekeys        : 636
DP Updates    : 0
DPD Cleanups  : 0

            Packets From   Packets To     Packet Errors To     Bytes From      Bytes To
-----------------------------------------------------------------------------------------
BinOS        85              0                                                   0
IOSd         0               0                0                    0             0
TLS Client   0               0                0                    0             0

Tunnel Statistics

SSL Handshake Init / Done : 641 / 641
TCP Connection Req / Done : 641 / 641
Tunnel Packets
Rx / Tx           : 85 / 0
Injected / Failed : 0 / 0
Consumed          : 0

CSTP Packets
Control Rx / Tx   : 3839 / 3839
Data    Rx / Tx   : 0 / 85
Config Req / Resp : 641 / 641
DPD    Req / Resp : 3198 / 3198
Invalid Rx        : 0

FQDN Counters
Req / Resp / Success : 0 / 0 / 0

NAT Counters
Transalte In / Out : 0 / 0
Ignore    In / Out : 0 / 0
Failed             : 0
Invalid            : 0
No Entry           : 0
Unsupported        : 0

Internal Counters

Type     Allocated    Freed
----------------------------
EV       1299         1295
Tunnel    5            4
Conn     643           642
Sess      3            2

Config Message Related Counters
Type     Success       Failed
------------------------------
Create     3             0
Delete     2             0

TLS クライアントセッションのサマリーを表示するには、次のコマンドを使用します。

Device# show platform software tlsc session summary

TLS Client - Session Summary

Name     ID     Created            State       Since              Elapsed
---------------------------------------------------------------------------------------
fqdn     0      04/20/21 00:36:42  Up          04/21/21 20:30:21  9 hours 26 minutes 44 seconds

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE 17.15.x）ソフトウェア コンフィギュレーション ガイド