- はじめに
- コマンドライン インターフェイスの使用
- Web グラフィカル ユーザ インターフェイスの使用
- 不正アクセスの防止
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- TACACS+ の設定
- RADIUS の設定
- Kerberos の設定
- ローカル認証および許可の設定
- ローカル認証の設定
- セキュア シェル(SSH)の設定
- Secure Socket Layer HTTP の設定
- IPv4 ACL の設定
- DHCP の設定
- IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IEEE 802.1x ポートベース認証の設定
- Web ベース認証の設定
- ポート単位のトラフィック制御の設定
- Cisco TrustSec の設定
- IPv6 ファースト ホップ セキュリティの設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- wIPS の設定
- ワイヤレス ゲスト アクセスの設定
- 侵入検知システムの設定
セキュリティ コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)
- Updated:
- 2017年6月28日
章のタイトル: Cisco TrustSec の設定
目次
- Cisco TrustSec の設定
- Cisco TrustSec の設定
- 機能情報の確認
- Cisco TrustSecMACsec について
- Cisco TrustSec の機能情報
- その他の関連資料
Cisco TrustSec の設定
Cisco TrustSec は、ネットワーク内のユーザ、ホスト、およびネットワーク デバイスを強力に識別する機能に基づいた、シスコ ネットワーク デバイスのセキュリティを改善します。 TrustSec は、特定のロールについてデータ トラフィックを一意に分類することで、トポロジに依存しない、スケーラブルなアクセス コントロールを実現します。 TrustSec は、認証されたピアおよびこれらのピアとの暗号化リンク間で信頼を確立することで、データの機密保持および整合性を保証します。
Cisco TrustSec の主要コンポーネントは、Cisco Identity Services Engine(ISE)です。 スイッチ上で手動で設定することもできますが、Cisco ISE は TrustSec ID およびセキュリティ グループ ACL(SGACL)でスイッチをプロビジョニングできます。
機能情報の確認
スイッチ上で Cisco TrustSec を設定するには、次の URL にある『Cisco TrustSec Switch Configuration Guide』を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html
Cisco TrustSec General Availability リリースのリリース ノートについては、次の URL を参照してください。
概要、データ シート、プラットフォーム マトリクスごとの機能、およびケース スタディを含む Cisco TrustSec ソリューションの詳細については、次の URL を参照してください。
Cisco TrustSecMACsec について
次の表に、TrustSec がイネーブルになった Cisco スイッチで実装される TrustSec 機能を示します。 継続的な TrustSec の General Availability リリースによって、サポートされるスイッチの数および各スイッチでサポートされる TrustSec 機能の数は増加しています。
 (注) |
スイッチ間セキュリティのための Cisco TrustSec MACsec は、IP ベースまたは IP サービス フィーチャ セットが稼働しているスイッチでだけサポートされます。 これは NPE または LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。 |
| Cisco TrustSec の機能 | 説明 |
|---|---|
| 802.1AE タギング(MACSec) | IEEE 802.1AE に基づくワイヤレート ホップ単位レイヤ 2 暗号化のプロトコル。 MACSec 対応デバイス間において、パケットは送信デバイスからの出力で暗号化され、受信デバイスへの入力で復号化されます。デバイス内では平文です。 この機能は、TrustSec ハードウェア対応デバイス間だけで利用できます。 |
| エンドポイント アドミッション コントロール(EAC) | EAC は、TrustSec ドメインに接続しているエンドポイント ユーザまたはデバイスの認証プロセスです。 通常、EAC はアクセス レベル スイッチで実行されます。 EAC プロセスの認証および許可に成功すると、ユーザまたはデバイスに対してセキュリティ グループ タグが割り当てられます。 現在、EAC は 802.1X、MAC 認証バイパス(MAB)、および Web 認証プロキシ(WebAuth)とすることができます。 |
| ネットワーク デバイス アドミッション コントロール(NDAC) | NDAC は、TrustSec ドメイン内の各ネットワーク デバイスがピア デバイスのクレデンシャルおよび信頼性を確認できる認証プロセスです。 NDAC は、IEEE 802.1X ポート ベースの認証に基づく認証フレームワークを利用し、EAP 方式として EAP-FAST を使用します。 NDAC プロセスの認証および許可に成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションとなります。 |
| セキュリティ グループ アクセス コントロール リスト(SGACL) | セキュリティ グループ アクセス コントロール リスト(SGACL)は、セキュリティ グループ タグをポリシーと関連付けます。 ポリシーは、TrustSec ドメインから出力される SGT タグ付きトラフィックに対して適用されます。 |
| セキュリティ アソシエーション プロトコル(SAP) | NDAC 認証のあと、セキュリティ アソシエーション プロトコル(SAP)は、その後の TrustSec ピア間の MACSec リンク暗号化のキーおよび暗号スイートについて、自動的にネゴシエーションを行います。 SAP は IEEE 802.11i で定義されます。 |
| セキュリティ グループ タグ(SGT) | SGT は、TrustSec ドメイン内の送信元のセキュリティ分類を示す 16 ビットの単一ラベルです。 イーサネット フレームまたは IP パケットに追加されます。 |
| SXPv2 を含む SGT Exchange Protocol(SXP) | Security Group Tag Exchange Protocol(SXP)。 SXP を使用すると、TrustSec にハードウェアで対応していないデバイスが Cisco Identity Services Engine(ISE)または Cisco Secure アクセス コントロール システム(ACS)から認証されたユーザとデバイスの SGT 属性を受信できます。 デバイスは、次にセキュリティ グループ アクセス コントロール リスト(SGACL)強制のために、送信元トラフィックをタグ付けする TrustSec にハードウェアで対応しているデバイスに、sourceIP-to-SGT バインディングを転送できます。 |
リンクの両端で 802.1AE MACsec がサポートされている場合に、SAP ネゴシエーションが実行されます。 サプリカントとオーセンティケータの間で EAPOL-Key が交換され、暗号スイートのネゴシエーション、セキュリティ パラメータの交換、およびキーの管理が実行されます。 これらの作業が正常に完了すると、セキュリティ アソシエーション(SA)が確立します。
Cisco TrustSec は、AES-128 GCM および GMAC を使用し、802.1AE 規格に準拠しています。 GCM は、NPE または LAN ベース イメージを実行しているスイッチではサポートされません。
Cisco TrustSec SAP NDAC は、ネットワーク デバイスからネットワーク デバイスへのリンク、つまりスイッチ間リンクのみで使用することを意図しているため、トランク ポートでサポートされます。 これがサポートされないのは次の場所です。
スイッチは、セキュリティ グループ ACL もサポートしません。
Cisco TrustSec ネットワークを作成するために Cisco TrustSec クレデンシャルを設定する必要があります。
802.1x モードまたは手動モードで Cisco TrustSec リンク層セキュリティを設定できます。
Cisco TrustSec の機能情報
| 機能名 |
リリース |
機能情報 |
|---|---|---|
| Cisco IOS XE 3.3SE |
これらの機能は、Catalyst 3850 および 3650 スイッチ、Cisco 5700 シリーズ Wireless LAN コントローラで追加されました。 |
|
| SXPv1 および SXPv2 |
Cisco IOS XE 15.0(2)EX |
SXP は Catalyst 2960-X スイッチで追加されています。 |
| SXPv1 および SXPv2 |
Cisco IOS XE 15.0(2)EX1 |
SXP は Catalyst 2960-XR スイッチで追加されています。 |
その他の関連資料
関連資料
| 関連項目 | マニュアル タイトル |
|---|---|
| さまざまな TrustSec Featurette 設定と例 | 『Cisco TrustSec コンフィギュレーション ガイド、Cisco IOS Release 15SY』 |
| 『Cisco TrustSec コンフィギュレーション ガイド、Cisco IOS XE Release 3S』 |
エラー メッセージ デコーダ
| 説明 | Link |
|---|---|
| このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
MIB
| MIB | MIB のリンク |
|---|---|
| CISCO-TRUSTSEC-POLICY-MIB | 選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
テクニカル サポート
| 説明 | Link |
|---|---|
| シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
目次
Cisco TrustSec の設定
Cisco TrustSec は、ネットワーク内のユーザ、ホスト、およびネットワーク デバイスを強力に識別する機能に基づいた、シスコ ネットワーク デバイスのセキュリティを改善します。 TrustSec は、特定のロールについてデータ トラフィックを一意に分類することで、トポロジに依存しない、スケーラブルなアクセス コントロールを実現します。 TrustSec は、認証されたピアおよびこれらのピアとの暗号化リンク間で信頼を確立することで、データの機密保持および整合性を保証します。
Cisco TrustSec の主要コンポーネントは、Cisco Identity Services Engine(ISE)です。 スイッチ上で手動で設定することもできますが、Cisco ISE は TrustSec ID およびセキュリティ グループ ACL(SGACL)でスイッチをプロビジョニングできます。
機能情報の確認
スイッチ上で Cisco TrustSec を設定するには、次の URL にある『Cisco TrustSec Switch Configuration Guide』を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html
Cisco TrustSec General Availability リリースのリリース ノートについては、次の URL を参照してください。
概要、データ シート、プラットフォーム マトリクスごとの機能、およびケース スタディを含む Cisco TrustSec ソリューションの詳細については、次の URL を参照してください。
Cisco TrustSecMACsec について
次の表に、TrustSec がイネーブルになった Cisco スイッチで実装される TrustSec 機能を示します。 継続的な TrustSec の General Availability リリースによって、サポートされるスイッチの数および各スイッチでサポートされる TrustSec 機能の数は増加しています。
(注) |
スイッチ間セキュリティのための Cisco TrustSec MACsec は、IP ベースまたは IP サービス フィーチャ セットが稼働しているスイッチでだけサポートされます。 これは NPE または LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。 |
| Cisco TrustSec の機能 | 説明 |
|---|---|
| 802.1AE タギング(MACSec) | IEEE 802.1AE に基づくワイヤレート ホップ単位レイヤ 2 暗号化のプロトコル。 MACSec 対応デバイス間において、パケットは送信デバイスからの出力で暗号化され、受信デバイスへの入力で復号化されます。デバイス内では平文です。 この機能は、TrustSec ハードウェア対応デバイス間だけで利用できます。 |
| エンドポイント アドミッション コントロール(EAC) | EAC は、TrustSec ドメインに接続しているエンドポイント ユーザまたはデバイスの認証プロセスです。 通常、EAC はアクセス レベル スイッチで実行されます。 EAC プロセスの認証および許可に成功すると、ユーザまたはデバイスに対してセキュリティ グループ タグが割り当てられます。 現在、EAC は 802.1X、MAC 認証バイパス(MAB)、および Web 認証プロキシ(WebAuth)とすることができます。 |
| ネットワーク デバイス アドミッション コントロール(NDAC) | NDAC は、TrustSec ドメイン内の各ネットワーク デバイスがピア デバイスのクレデンシャルおよび信頼性を確認できる認証プロセスです。 NDAC は、IEEE 802.1X ポート ベースの認証に基づく認証フレームワークを利用し、EAP 方式として EAP-FAST を使用します。 NDAC プロセスの認証および許可に成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションとなります。 |
| セキュリティ グループ アクセス コントロール リスト(SGACL) | セキュリティ グループ アクセス コントロール リスト(SGACL)は、セキュリティ グループ タグをポリシーと関連付けます。 ポリシーは、TrustSec ドメインから出力される SGT タグ付きトラフィックに対して適用されます。 |
| セキュリティ アソシエーション プロトコル(SAP) | NDAC 認証のあと、セキュリティ アソシエーション プロトコル(SAP)は、その後の TrustSec ピア間の MACSec リンク暗号化のキーおよび暗号スイートについて、自動的にネゴシエーションを行います。 SAP は IEEE 802.11i で定義されます。 |
| セキュリティ グループ タグ(SGT) | SGT は、TrustSec ドメイン内の送信元のセキュリティ分類を示す 16 ビットの単一ラベルです。 イーサネット フレームまたは IP パケットに追加されます。 |
| SXPv2 を含む SGT Exchange Protocol(SXP) | Security Group Tag Exchange Protocol(SXP)。 SXP を使用すると、TrustSec にハードウェアで対応していないデバイスが Cisco Identity Services Engine(ISE)または Cisco Secure アクセス コントロール システム(ACS)から認証されたユーザとデバイスの SGT 属性を受信できます。 デバイスは、次にセキュリティ グループ アクセス コントロール リスト(SGACL)強制のために、送信元トラフィックをタグ付けする TrustSec にハードウェアで対応しているデバイスに、sourceIP-to-SGT バインディングを転送できます。 |
リンクの両端で 802.1AE MACsec がサポートされている場合に、SAP ネゴシエーションが実行されます。 サプリカントとオーセンティケータの間で EAPOL-Key が交換され、暗号スイートのネゴシエーション、セキュリティ パラメータの交換、およびキーの管理が実行されます。 これらの作業が正常に完了すると、セキュリティ アソシエーション(SA)が確立します。
ソフトウェア バージョンとライセンスおよびリンク ハードウェア サポートに応じて、SAP ネゴシエーションは次の動作モードの 1 つを使用できます。
Cisco TrustSec は、AES-128 GCM および GMAC を使用し、802.1AE 規格に準拠しています。 GCM は、NPE または LAN ベース イメージを実行しているスイッチではサポートされません。
Cisco TrustSec SAP NDAC は、ネットワーク デバイスからネットワーク デバイスへのリンク、つまりスイッチ間リンクのみで使用することを意図しているため、トランク ポートでサポートされます。 これがサポートされないのは次の場所です。
スイッチは、セキュリティ グループ ACL もサポートしません。
Cisco TrustSec ネットワークを作成するために Cisco TrustSec クレデンシャルを設定する必要があります。
802.1x モードまたは手動モードで Cisco TrustSec リンク層セキュリティを設定できます。
Cisco TrustSec の機能情報
その他の関連資料
関連資料
エラー メッセージ デコーダ
| 説明 | Link |
|---|---|
| このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
MIB
テクニカル サポート
| 説明 | Link |
|---|---|
| シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
フィードバック