ソリューション概要

---

Cisco ASR 1000 シリーズの IP セキュリティ（IPsec）

---

要約

Cisco® ASR 1000 シリーズ アグリゲーション サービス ルータでは、セキュリティ機能がプラットフォーム自体に組み込まれているため、サービス ブレードは必要ありません。セキュリティ機能は、サービス モジュールの追加ではなく、Cisco ASR 1000 シリーズ製品自体の組み込み機能として実現します。このため、一般的に、IP セキュリティ（IPsec）、ファイアウォール、および Network Based Application Recognition（NBAR）などの機能は、オプションのプラグイン可能モジュールまたは Shared Port Adapter（SPA; 共有ポート アダプタ）として提供される代わりに、Cisco QuantumFlow Processor を含む Cisco ASR 1000 シリーズ エンベデッド サービス プロセッサ（ESP）上で動作します。また、セキュリティ機能はマルチギガビットのパフォーマンス レベルで実行することができます。

IPsec は、他の多くの機能と同様に、ESP に組み込まれ、オンボードのマルチスレッド、マルチコア、マルチギガビットの暗号化エンジンを使用して促進されます。

スコープ

このドキュメントでは、既存の VPN ソリューションに追加される利点も含めて、Cisco ASR 1000 シリーズ ルータを使用して展開可能なCisco IOS® ソフトウェア VPN ソリューションについて説明します。

IPsec 暗号化の利点

統合ネットワークにおける IPsec 暗号化には以下のような利点があります。

• 既存の伝統的 WAN（たとえば、フレームリレー、ATM、および専用線）の暗号化
• Health Insurance Portability and Accountability Act（HIPAA; 医療保険の携行性と責任に関する法律）Sarbanes-Oxley（SOX 法）、バーゼル合意（欧州）などの遵守
• 従来の WAN からより低コストのサービス（たとえばインターネット）への移行
• バックアップ、高帯域幅、または重要度の低いトラフィック用の 2 次的 WAN としてインターネットを使用する能力
• キャンパスおよびブランチのサービスのテレワーカーへの拡張

Cisco IOS ソフトウェア IPsec VPN の既存ソリューションの概要

VPN は、暗号および認証テクノロジーの組み合わせにより、中継中のデータを不正なアクセスから保護することで、可能な限り高いレベルのセキュリティを提供します。企業は、準備が簡単なインターネット インフラストラクチャを利用して新規のサイトやユーザを迅速に追加できるため、インフラストラクチャの大幅な拡張なしに、ネットワークの境界を激的に拡張できます。

現在一般的に使用されている暗号化 VPN には 2 つのタイプがあります。

1. サイトツーサイト IPsec VPN
2. リモート アクセス VPN

さらに、サイトツーサイト IPsec VPN は次のような複数の VPN ソリューションに展開できます。

• ネイティブ IPsec およびポイントツーポイント IPsec
• ネイティブ IPsec とポイントツーポイントの Generic Routing Encapsulation（GRE;総称ルーティング カプセル化）との組み合わせ（GRE over IPsec とも呼ばれます）
• Dynamic Multipoint VPN（DMVPN; ダイナミック マルチポイント VPN)：IPsec とマルチポイント GRE（mGRE）および Next Hop Resolution Protocol（NHRP）の組み合わせ
• Group Encrypted Transport VPNs（GETVPN）：プライベート WAN 用のトンネルレス VPN

ネイティブ IPsec VPN

リモート ロケーションと本社とを接続するサイトツーサイト VPN の一般的なソリューションである IPsec VPN は、高度な暗号化を使用して中継中の情報を保護します。このソリューションは恒久的な VPN 接続として選択されます。

ダイナミック マルチポイント VPN

パブリック WAN またはインターネットを使用したブランチ オフィス間の直接通信（たとえば、2 つのブランチ オフィスの間の Voice over IP [VoIP]）が必要であるが、サイト間の恒久的 VPN 接続の必要はない場合は、ダイナミック マルチポイント VPN が最適なソリューションです。

Group Encrypted Transport VPN

企業がプライベート WAN ネットワークを使用している場合に、リモート ロケーション同士の直接通信が必要なときには、Group Encrypted Transport VPN を使用することで、通信の保護と同時に帯域幅効率の最適化を実現できます（図 1）。

注：ASR 1000 シリーズ ルータ上の GETVPN および Secure Sockets Layer VPN（SSLVPN）はプラットフォームの一般出荷開始後に提供されます。Cisco IOS ソフトウェアの VPN の概要については、http://www.cisco.com/go/vpn を参照してください。

リモート アクセス VPN も次のような 2 つのソリューションに展開できます。

1. IPsec 暗号化に基づく Easy VPN ソリューション（スタティックまたはダイナミック Virtual Tunnel Interfaces [VTI]）を使用）
2. SSLVPN に基づくリモート アクセス ソリューション（クライアントレス モードとフルトンネル モードの両方）

シスコのリモート アクセス VPN ソリューションを使用することで、必要に応じて自社ネットワークへの暗号化トンネルをいつでもどこでも安全かつ費用有効な方法で確立できるため、企業のネットワークおよびアプリケーションへの安全でカスタマイズ可能なアクセスを実現できます。このソリューションを使用して、以下のことが可能です（図 2）。

• 企業ネットワークおよびアプリケーションの拡張による生産性の向上
• 通信コストの削減と柔軟性の向上
• 従業員、コントラクタ、およびパートナーなど、ユーザの種別ごとのアクセス権の調整

製品の比較

以下の項では、既存のミッドレンジ VPN ソリューションと Cisco ASR 1000 シリーズ ルータを比較します。

プラットフォームのハードウェアの比較

Cisco ASR 1000 シリーズ ルータのシステムには以下の機能エレメントが含まれています（図 3）。

• Cisco ASR 1000 シリーズ ルート プロセッサ 1（RP1）：Internet Key Exchange（IKE; インターネット キー エクスチェンジ）パケットはルート プロセッサ内で処理されます（IPsec コントロール プレーンの処理）。
• Cisco ASR 1000 シリーズ エンベデッド サービス プロセッサ（ESP）：IPsec データ プレーンは ESP 内で処理されます（暗号化、復号化、IKE アクセラレーションなど）。
• Cisco ASR 1000 シリーズ SPA インターフェイス プロセッサ（SIP）：SIP は SPA を格納します。1 つの SIP に 4 つのシングルハイト SPA を挿入できます。

表 1 ミッドレンジ VPN ソリューションの比較

	Cisco 7200 VPN アクセラレーション モジュール 2+（VAM2+）	Cisco 7200 VPN サービス アダプタ（VSA）	5-Gbps ESP	10-Gbps ESP
パフォーマンス - Internet Mix（IMIX）の最大値	282 Mbps 120 Mbps	960 Mbps 600 Mbps	2 Gbps 1  Gbps	4 Gbps 2.5  Gbps
スケール（IPsec トンネルの最大数）	5,000	5,000	5,000	10,000
ルート プロセッサの冗長性	単一のルート プロセッサ	単一のルート プロセッサ	冗長ルート プロセッサ *	冗長ルート プロセッサ *
コントロール プレーンおよびデータ プレーン	単一	単一	分離	分離
IPsec のハイアベイラビリティ	ボックス間	ボックス間	ESP 間	ESP 間
IPsec + IPv6	あり	ロードマップ	ロードマップ	ロードマップ
ダイナミック VTI	あり	あり	あり	あり
Quality-of-Service（QoS）の事前分類	あり	あり	あり	あり
暗号化エンジン前のLow Latency Queuing（LLQ; 低遅延キューイング）	あり	なし	あり	あり
暗号化エンジン	別モジュール	別モジュール	オンボード	オンボード

* ルート プロセッサの冗長ハードウェアは Cisco ASR 1006 でのみ使用可能です。Cisco IOS ソフトウェアの冗長性（Cisco IOS ソフトウェア ハイアベイラビリティ）は Cisco ASR 1002 および 1004 シャーシの両方で使用可能です。この表に示したスループット値は、システムに対する非暗号化トラフィックに基づきます。5 Gbps ESP（ESP-5G）は Cisco ASR 1002 シャーシでのみ実装可能ですが、10 Gbps ESP（ESP-10G）はすべてのシャーシ構成に追加可能です。

ESP は高レベルで 2 つのサブシステムに分割できます。

1. Cisco QuantumFlow Processor
2. コントロール プロセッサおよびその他の関連する回路

Cisco ASR 1000 シリーズ ルータ プラットフォームの基盤である Cisco QuantumFlow Processor は、さらに Cisco QuantumFlow Processor と Cisco QuantumFlow Processor Traffic Manager という 2 つのブロックに分割できます。Cisco IOS ソフトウェアのすべての機能は QuantumFlow Processorで処理されます。Traffic Manager は、中継中のトラフィックおよびルータ宛てのトラフィックの両方について、さまざまな QoS 機能を実行します。

Cisco QuantumFlow Processor は、さまざまなサービスを有効化した状態で、1 秒間に何十ギガビットものデータ フォワーディング レートを実現します。ここには、40 のマルチスレッドのパケット処理コアに加えて、ワイヤ スピードでバッファリングおよびスケジューリングを実行する、バッファリング、キューイング、およびスケジューリング サブシステム（Traffic Manager）が含まれます。

Cisco ASR 1000 シリーズの IPsec ソリューション固有の利点

この項では、Cisco ASR 1000 シリーズ ルータを使用することで既存のソリューションに追加される、Cisco IOS ソフトウェア VPN 関連のソリューションの利点について説明します。ここでは、ルータの革新的なアーキテクチャのいくつかを紹介します。

Cisco ASR 1000 シリーズ ルータでは、外部の暗号化エンジン モジュールを必要とすることなく、暗号化を実行できます。さらに、システム帯域幅（5 Gbps または 10 Gbps いずれの ESP を使用するかによって異なる）を非暗号化トラフィックに使用できます。たとえば、10-Gbps ESP を使用する場合、IMIX（7 x 64B + 5 x 570B + 1 x 1500B パケット サイズ）として 2.5 Gbps のパフォーマンスを実現します（図 4）。

• Cisco ASR 1000 シリーズ ルータは、現在流通している他のルータと比べて革新的な方法で IP マルチキャスト（IPmc）暗号化処理を行うため、このような処理で一般的に発生するパケットの損失が最小化されます。マルチキャスト トラフィックの暗号化が必要な場合、Cisco QuantumFlow Processor Traffic Manager は暗号化エンジンに入るパケットを制御することで、暗号化エンジンのオーバーサブスクリプションを防止します。同様に、暗号化エンジンは、Traffic Manager の受け入れ準備ができたときに、パケットを Traffic Manager に戻します（図 5）。

• パケットは暗号化エンジン内の複数のコア宛てにディスパッチされます
• パケットは暗号化エンジンによる処理が可能になるまで Traffic Manager 内で待機します（CE への準瞬間的バーストによる損失なし）
• 暗号化エンジン内には複数のキューがあります（2MB バッファ スペース）
• 何千ものスポークにわたり、パフォーマンス上のペナルティなしにワイヤ スピードで QoS を実行できます。暗号化前および暗号化後の両方の QOS が使用可能です（Cisco ASR 1000 シリーズ ESP に組み込まれています）。事前の暗号化を使用することで、パケットを分類し、暗号化エンジンのオーバーサブスクリプションの際にも、優先度の高いトラフィック（Voice over IP [VoIP] など）の暗号化を優先できます。事後の暗号化に加えて、Cisco IOS ソフトウェアによる事前分類を使用すると、IP/TCP/UDP ヘッダーに基づき、暗号化済みのパケットを出力インターフェイス上で分類できます（図 6）。

• ペナルティなしに QoS を実行できます。何千ものスポークで、シェーピングやポリシーなどの機能をワイヤ スピードで実行できます。
• 暗号化前（CE 前の LLQ）および暗号化後の QoS の両方を使用できます。

Cisco ASR 1000 シリーズ ルータのセキュリティ上のさらなる利点

Cisco ASR 1000 シリーズ ルータによるソリューションの利点に加えて、このプラットフォームには、その他にもいくつかの有用なセキュリティ機能が組み込まれています。

• すべての WAN および LAN インターフェイスにわたり、暗号化は Cisco IOS ソフトウェアの標準のコマンドライン インターフェイス（CLI）を使用してサポートされています。構成のための再研修は必要ありません。
• Cisco QuantumFlow Processor では GRE に加えてフラグメンテーションがサポートされているため、GRE および IPsec を組み合わせた一般的なソリューションを使用して高いパフォーマンスを実現できます。
• Cisco ASR 1006 シャーシでは、2 つの ESP 間のフォワーディング ラインカードの（プラットフォーム内の）フェールオーバーがサポートされています。この機能を使用するための明示的な構成は必要ありません。この機能はデフォルトとして有効化され、フェールオーバーの際には、システム全体の IPsec の状態が保持されます。
• IPsec 暗号化スループットは、システム内で使用される ESP の機能であるため、投資の保護が可能です。システム内の既存のシャーシ、RP1、キャリア カード、および SPA を使用し続けながら、より高速の ESP にアップグレードするだけで、暗号化能力を増強できます。
• ジャンボ フレームの暗号化がサポートされています。
• Message Digest Algorithm 5 と SHA-1（MD5/SHA-1）、Digital Encryption Standard と Triple Digital Encryption Standard（DES/3DES）、および Advanced Encryption Standard 128、192、および 256b（AES-128/192/256b）アルゴリズムを含めて、標準の ESP および  HA 変換セットのすべてがサポートされています。
• VPN のパフォーマンスに大きな影響を与えることなしに、ファイアウォール、NBAR、NetFlow、IP サービス レベル契約（SLA）などを含めて、さまざまなルーティングおよびセキュリティ機能を組み合わせて使用できます。
• 10 Gbps ESP の IPsec トンネル セットアップ レートは、1 秒間に最大 50 トンネルです。

結論

Cisco ASR 1000 シリーズ ルータは、Cisco IOS ソフトウェアのさまざまな機能を統合して非常に高い拡張性とパフォーマンスを実現する革新的な Cisco QuantumFlow Processor テクノロジーに基づいています。Cisco ASR 1000 シリーズ ルータを使用することで、VPN ソリューションのハードウェア コスト、設計または運用の複雑さを増すことなく、1 つの統合されたプラットフォーム上で、適切なアクセス制御、ディープ パケット インスペクション、および脅威の緩和を展開できます。

IPsec VPN は ESP 上でサポートされるため、外部のサービス モジュールは必要とされず、システム内のすべての I/O SIP スロットをさまざまな接続用の SPA に使用することができます。Cisco ASR 1000 シリーズ ルータは、パフォーマンスおよび復元力と共に柔軟性を提供します。マルチギガビット IPsec のハイアベイラビリティ、ペナルティなしの QoS、IPmc の優れた処理能力、およびコントロール プレーン、データ プレーン、および入出力プレーンの明確な分離により、これらのルータは、ミッドレンジ ルーティング分野において他のルータと一線を画し、大規模ブランチおよび WAN 集約、またはエッジ IPsec アプリケーションに対応する理想的な製品となっています。

追加情報

Cisco ASR 1000 シリーズ ルータ アーキテクチャについて詳しくは、以下の URL を参照してください。

• Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ
  http://www.cisco.com/jp/go/asr1000/
• Cisco ASR 1000 シリーズ QuantumFlow Processor ソリューション概要
  http://www.cisco.com/jp/go/asr1000/