Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0

Cisco TrustSec を使用すると、組織はアイデンティティベースのアクセス コントロールを通じて、人、場所、時を問わずネットワークとサービスをセキュリティで保護できます。 このソリューションでは、データの整合性および機密保持サービス、ポリシーベースの管理、中央集中型のモニタリング、トラブルシューティング、およびレポーティング サービスも提供されます。 TrustSec をカスタマイズされたプロフェッショナル サービスと組み合わせると、ソリューションの導入と管理を簡素化できます。CTS は、Cisco ボーダレス ネットワークの基盤となるセキュリティ コンポーネントです。

Cisco TrustSec のセキュリティ アーキテクチャは、信頼できるネットワーク デバイスのドメインを確立することによってセキュア ネットワークを構築します。 ドメイン内の各デバイスは、そのピアによって認証されます。 ドメイン内のデバイス間リンクでの通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。 Cisco TrustSec は、ネットワークに入るようにセキュリティ グループ（SG）がパケットを分類するために認証中に取得したデバイスおよびユーザ クレデンシャルを使用します。 このパケット分類は、Cisco TrustSec ネットワークへの進入時にパケットにタグを付けることで維持されます。これにより、パケットはデータ パス全体を通じて正しく識別され、セキュリティおよびその他のポリシー基準が適用されます。 このタグはセキュリティ グループ タグ（SGT）と呼ばれ、エンドポイント デバイスはこの SGT に基づいてトラフィックをフィルタリングできるので、ネットワークへのアクセス コントロール ポリシーの適用が可能になります。 Cisco TrustSec セキュリティ グループ タグは WLAN 上で AAA オーバーライドを有効にした場合にだけ適用されます。

Cisco TrustSec アーキテクチャのコンポーネントの 1 つが、セキュリティ グループベースのアクセス コントロールです。 セキュリティ グループ ベースのアクセス コントロール コンポーネントで、Cisco TrustSec ドメインのアクセス ポリシーは、トポロジとは無関係で、ネットワーク アドレスではなく送信元デバイスおよび宛先デバイスのロール（セキュリティ グループ番号で指定）に基づいています。 個々のパケットには、送信元のセキュリティ グループ番号のタグが付けられます。

Cisco デバイスは SGT 交換プロトコル（SXP）を使用して、Cisco TrustSec 向けのハードウェア サポートがないネットワーク デバイスに SGT を伝播します。 SXP は、すべてのスイッチで CTS ハードウェアがアップグレードされるのを防ぐためのソフトウェア ソリューションです。 WLC では、TrustSec アーキテクチャの一部として SXP がサポートされます。 SXP は、CTS 対応のスイッチに SGT 情報を送信します。SGT で示されたロール情報に従って、適切なロールベース アクセス コントロール リスト（RBACL）をアクティブにすることができます。 デフォルトでは、コントローラは常にスピーカー モードで動作します。 ネットワーク上で SXP を実装するには、出口のディストリビューション スイッチのみを CTS 対応にすればよく、他のすべてのスイッチは CTS 非対応でかまいません。

SXP は、任意のアクセス レイヤとディストリビューション スイッチ間、または 2 つのディストリビューション スイッチ間で動作します。 SXP は TCP をトランスポート層として使用します。 アクセス レイヤ スイッチ上でネットワークに join している任意のホスト（クライアント）に対する CTS-enabled 認証は、CTS 対応ハードウェアを備えたアクセス スイッチの場合と同様に実行されます。 アクセス レイヤ スイッチは CTS 対応ハードウェアではありません。 したがって、データ トラフィックがアクセス レイヤ スイッチを通過するとき、そのトラフィックの暗号化または暗号による認証は行われません。 SXP は、認証されたデバイス（つまりワイヤレス クライアント）の IP アドレスと、対応する SGT をディストリビューション スイッチに渡すために使用されます。 ディストリビューション スイッチが CTS 対応ハードウェアの場合は、そのディストリビューション スイッチがアクセス レイヤ スイッチに代わってパケットに SGT を挿入します。 ディストリビューション スイッチが CTS 対応ハードウェアでない場合は、ディストリビューション スイッチの SXP が、CTS ハードウェアを備えたすべてのディストリビューション スイッチに IP-SGT マッピングを渡します。 出口側では、ディストリビューション スイッチの出力 L3 インターフェイスで RBACL が適用されます。

Cisco TrustSec の詳細については、http:/​/​www.cisco.com/​en/​US/​netsol/​ns1051/​index.html を参照してください。

• 次のコマンドを入力して、コントローラ上で SXP を有効または無効にします。

  config cts sxp { enable | disable}

• 次のコマンドを入力して、SXP メッセージの MD5 認証のデフォルト パスワードを設定します。

  config cts sxp default password password

• 次のコマンドを入力して、コントローラが接続するネクスト ホップ スイッチの IP アドレスを設定します。

  config cts sxp connection peer ip-address

• 次のコマンドを入力して、接続を試みる間隔を設定します。

  config cts sxp retry period time-in-seconds

• 次のコマンドを入力して、SXP 接続を削除します。

  config cts sxp connection delete ip-address

• 次のコマンドを入力して、SXP の設定の概要を確認します。

  show cts sxp summary

  以下に類似した情報が表示されます。

  
            
          
  SXP State........................................ Enable
  SXP Mode......................................... Speaker
  Default Password................................. ****
  Default Source IP................................ 209.165.200.224
  Connection retry open period .................... 120
  

• 次のコマンドを入力して、設定された SXP 接続のリストを参照します。

  show cts sxp connections

  以下に類似した情報が表示されます。

  
            
          
  Total num of SXP Connections..................... 1
  SXP State........................................ Enable
  Peer IP            Source IP           Connection Status
  ---------------    ---------------     -----------------
  209.165.200.229   209.165.200.224              On
  

• 次の手順のいずれかに従って、コントローラと Cisco Nexus 7000 シリーズ スイッチ間に接続を確立します。

  • 次のコマンドを入力します。

    1. config cts sxp version sxp version 1 または 2 1

    2. config cts sxp disable

    3. config cts sxp enable

  • コントローラで SXP バージョン 2 が使用され、Cisco Nexus 7000 シリーズ スイッチでバージョン 1 が使用されている場合、接続を確立するために再試行間隔を設定する必要があります。 始めは短い試行間隔を設定することを推奨します。 デフォルトは 120 秒です。