次の表に、TrustSec がイネーブルになった Cisco スイッチで実装される TrustSec 機能を示します。 継続的な TrustSec の General Availability リリースによって、サポートされるスイッチの数および各スイッチでサポートされる TrustSec 機能の数は増加しています。
 (注) |
スイッチ間セキュリティのための Cisco TrustSec MACsec は、IP ベースまたは IP サービス フィーチャ セットが稼働しているスイッチでだけサポートされます。 これは NPE または LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。
|
Cisco TrustSec の機能 |
説明 |
802.1AE タギング(MACSec) |
IEEE 802.1AE に基づくワイヤレート ホップ単位レイヤ 2 暗号化のプロトコル。 MACSec 対応デバイス間において、パケットは送信デバイスからの出力で暗号化され、受信デバイスへの入力で復号化されます。デバイス内では平文です。 この機能は、TrustSec ハードウェア対応デバイス間だけで利用できます。 |
エンドポイント アドミッション コントロール(EAC) |
EAC は、TrustSec ドメインに接続しているエンドポイント ユーザまたはデバイスの認証プロセスです。 通常、EAC はアクセス レベル スイッチで実行されます。 EAC プロセスの認証および許可に成功すると、ユーザまたはデバイスに対してセキュリティ グループ タグが割り当てられます。 現在、EAC は 802.1X、MAC 認証バイパス(MAB)、および Web 認証プロキシ(WebAuth)とすることができます。 |
ネットワーク デバイス アドミッション コントロール(NDAC) |
NDAC は、TrustSec ドメイン内の各ネットワーク デバイスがピア デバイスのクレデンシャルおよび信頼性を確認できる認証プロセスです。 NDAC は、IEEE 802.1X ポート ベースの認証に基づく認証フレームワークを利用し、EAP 方式として EAP-FAST を使用します。 NDAC プロセスの認証および許可に成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションとなります。 |
セキュリティ グループ アクセス コントロール リスト(SGACL) |
セキュリティ グループ アクセス コントロール リスト(SGACL)は、セキュリティ グループ タグをポリシーと関連付けます。 ポリシーは、TrustSec ドメインから出力される SGT タグ付きトラフィックに対して適用されます。 |
セキュリティ アソシエーション プロトコル(SAP) |
NDAC 認証のあと、セキュリティ アソシエーション プロトコル(SAP)は、その後の TrustSec ピア間の MACSec リンク暗号化のキーおよび暗号スイートについて、自動的にネゴシエーションを行います。 SAP は IEEE 802.11i で定義されます。 |
セキュリティ グループ タグ(SGT) |
SGT は、TrustSec ドメイン内の送信元のセキュリティ分類を示す 16 ビットの単一ラベルです。 イーサネット フレームまたは IP パケットに追加されます。 |
SXPv2 を含む SGT Exchange Protocol(SXP) |
Security Group Tag Exchange Protocol(SXP)。 SXP を使用すると、TrustSec にハードウェアで対応していないデバイスが Cisco Identity Services Engine(ISE)または Cisco Secure アクセス コントロール システム(ACS)から認証されたユーザとデバイスの SGT 属性を受信できます。 デバイスは、次にセキュリティ グループ アクセス コントロール リスト(SGACL)強制のために、送信元トラフィックをタグ付けする TrustSec にハードウェアで対応しているデバイスに、sourceIP-to-SGT バインディングを転送できます。 |
リンクの両端で 802.1AE MACsec がサポートされている場合に、SAP ネゴシエーションが実行されます。 サプリカントとオーセンティケータの間で EAPOL-Key が交換され、暗号スイートのネゴシエーション、セキュリティ パラメータの交換、およびキーの管理が実行されます。 これらの作業が正常に完了すると、セキュリティ アソシエーション(SA)が確立します。
ソフトウェア バージョンとライセンスおよびリンク ハードウェア サポートに応じて、SAP ネゴシエーションは次の動作モードの 1 つを使用できます。
-
Galois Counter Mode(GCM):認証と暗号化
-
GCM 認証(GMAC):GCM 認証、暗号化なし
-
カプセル化なし:カプセル化なし(クリア テキスト)
-
null:カプセル化、認証または暗号化なし
Cisco TrustSec は、AES-128 GCM および GMAC を使用し、802.1AE 規格に準拠しています。 GCM は、NPE または LAN ベース イメージを実行しているスイッチではサポートされません。
Cisco TrustSec SAP NDAC は、ネットワーク デバイスからネットワーク デバイスへのリンク、つまりスイッチ間リンクのみで使用することを意図しているため、トランク ポートでサポートされます。 これがサポートされないのは次の場所です。
-
ホスト側のアクセス ポート(これらのポートは、MKA MACsec をサポートします)
-
スイッチ仮想インターフェイス(SVI)
-
SPAN 宛先ポート
スイッチは、セキュリティ グループ ACL もサポートしません。
Cisco TrustSec ネットワークを作成するために Cisco TrustSec クレデンシャルを設定する必要があります。
802.1x モードまたは手動モードで Cisco TrustSec リンク層セキュリティを設定できます。