- Cisco Mobile Wireless Home Agent の概 要
- Home Agent(HA)の設定プランニング
- 単一 IP インフラストラクチャ
- HA でのホーム アドレス割り当て
- ユーザ認証および認可
- HA の冗長性
- HA でのロード バランシングの設定
- IP 登録の終了
- ダイナミック ドメイン ネーム サーバ(DNS) アップデート
- ユーザ単位パケット フィルタリング
- HA のセキュリティ
- HA のアカウンティング
- Home Agent(HA)でのマルチ VPN ルー ティングおよびフォワーディング(VRF)
- Home Agent(HA)の サービス品質(QoS)
- ユーザ トラフィックのモニタリング
- その他の設定作業
- Home Agent のネットワーク管理、管理情報 ベース(MIB)、および簡易ネットワーク管理 プロトコル(SNMP)
- 用語集
Cisco Mobile Wireless Home Agent リリース 5.2 for Cisco IOS リリース 12.4(22)YD2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月11日
章のタイトル: HA のセキュリティ
HA のセキュリティ
セキュリティ
この章では、Cisco IOS Mobile Wireless Home Agent ソフトウェアのセキュリティ機能における各種コンセプトについて説明します。
•
「6 CPU SAMI 搭載 Cisco 7600 での IPSec サポート」
• 「制約事項」
• 「設定例」
3 DES 暗号化
Cisco Home Agent(HA)には、HA 上で IP Security(IPSec)をサポートする 3DES 暗号化が統合されています。Cisco 7600 プラットフォーム上では、Service Application Module for IP(SAMI)は Cisco VPN-SPA IPSec アクセラレーション カードを使用します。
HA では、Packet Data Serving Node(PDSN; パケット データ サービス ノード)と HA 間にモバイル IP データ トラフィック トンネルを確立する前に、各 PDSN のパラメータを設定する必要があります。
(注) この機能の使用は、ハードウェアのサポートに限定されます。
モバイル IP の IPSec
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)は、加入ピア間にデータ機密保持、データ整合性、およびデータ認証を実現する IP Security(IPSec)と呼ばれるオープン標準フレームワークを開発しました。IPSec は、IP レイヤでこれらのセキュリティ サービスを提供し、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)を使用して、ローカル ポリシーに基づいてプロトコルとアルゴリズムのネゴシエーションを処理し、IPSec で使用する暗号化および認証キーを生成します。IPSec を使用することにより、ホスト ペア間、セキュリティ ゲートウェイ ペア間、またはセキュリティ ゲートウェイとホスト間の 1 つ以上のデータ フローを保護できます。
HA は、スタティックに設定された任意の共有秘密を使用して、モバイル IP 登録メッセージ内の認証拡張を処理します。
HA は、IS-835-B の要件に基づいて、IPSec、IKE、Authentication Header(AH; 認証ヘッダー)、および IP Encapsulating Security Payload(ESP)をサポートしています。
IS835-B は、IPSec セキュリティの提供において、3 つのメカニズムを指定しています。
(注) Cisco IOS IPSec 機能は、Cisco 7600 スイッチ プラットフォーム上で使用できます。HA 2.0(以上)のリリースは、IPSec IKE について、スタティックに設定された事前共有秘密だけをサポートしています。
IS-835-B に規定されているように、HA および Authentication, Authorization and Accounting(AAA; 認証、許可、アカウンティング)には、PDSN の同じセキュリティ レベルを設定する必要があります。PDSN は、AAA サーバからセキュリティ レベルを受信して IKE を開始します。HA は、IKE 要求に応答して、セキュリティ ポリシーを確立します。
PDSN が AAA サーバからセキュリティ レベルを受信して IKE を開始すると、HA は IKE 要求に応答して、セキュリティ ポリシーを確立します。クリプト コンフィギュレーションのアクセスリストに指定されているすべてのトラフィックが、IPSec トンネルによって保護されます。アクセスリストは、PDSN と HA 間のすべてのトラフィックが保護されるように設定します。指定した PDSN/HA ペアに属すすべてのバインディングが保護されます。
IPSec は、コロケーション Care-Of Address(CoA; 気付アドレス)を使用するモバイルには適用されません。
(注) Cisco 7600 プラットフォーム上の Cisco Home Agent Release 2.0(以上)には、Catalyst 7600 ルータ上で実行するブレードとして、Cisco IPSec Services Module(VPN-SPA)のサポートが必要です。VPN-SPA には、物理的な WAN または LAN インターフェイスはありません。VPN ポリシー用の VLAN セレクタが使用されます。Cisco 7600 インターネット ルータの詳細については、次の URL を参照してください。http://www.cisco.com/en/US/products/hw/routers/ps368/prod_installation_guides_list.html
IPSec ベースのセキュリティは、ホーム AAA サーバから受信するパラメータに応じて、PDSN と HA 間のトンネルに適用できます。各 PDSN/HA ペア間に、1 つのトンネルを確立できます。PDSN/HA ペア間の単一トンネルでは、3 種類のトラフィック ストリームを使用できます。コントロール メッセージ、IP-in-IP カプセル化データ、および GRE-in-IP カプセル化データです。トンネルを通過するすべてのトラフィックに、IPSec による同レベルの保護が適用されます。
IS835 には、RFC 2002 に基づくモバイル IP サービスが定義されています。Cisco HA は、モバイル IP サービスおよびプロキシ モバイル IP サービスを提供します。
プロキシ モバイル サービスでは、Mobile-Node(MN; モバイル ノード)は簡易 IP によって PDSN/FA に接続し、PDSN/FA が HA への MN のモバイル IP プロキシとして動作します。
Security Association(SA; セキュリティ アソシエーションまたはトンネル)は、一度確立されると、トンネルにトラフィックが存在しなくなるか、SA のライフタイムが期限切れになるまで、アクティブとして存続します。
(注) IPSec SA は、フェールオーバー時にスタンバイに複製されないので、IPSec は HA 冗長設定とは併用できません。
図 11-1に、IS835 の IPSec ネットワーク トポロジを示します。
PDSN と HA 間の IPSec 相互運用性(IS-835-C)
IS-835C に基づく IPSec ルールでは、接続は常に PDSN から HA の IP アドレスに対して開始される必要があります。一部の PDSN は、IPSec コンフィギュレーションに柔軟に対応していません。これらの PDSN では、リモート IPSec の終端地点が常に HA の IP アドレスである場合を除き、リモート IPSec 終端地点のコンフィギュレーションを適用できません。
次のセクションでは、Home Agent Release 2.0 以上を使用する場合の、これらの PDSN と HA 間の IPSec 相互運用性の対処方法について説明します。
コンフィギュレーションの変更により、HA の IP アドレスへの IPSec 接続と、Virtual Private Network Services Module(VPNSM; VPN サービス モジュール)による終端が可能になります。
このソリューションでは、SUP IOS に同じ HA IP アドレスを割り当てます。HA へのトラフィックは、ポリシーにより、正しい HA にルーティングされます。
図 11-2に、実現可能なコンフィギュレーションを示します。
次に、スーパーバイザのコンフィギュレーション例を示します。PDSN の IP アドレスは 14.0.0.1、HA3 のアドレスは 13.0.0.50、HA4 のアドレスは 13.0.0.51 です。
6 CPU SAMI 搭載 Cisco 7600 での IPSec サポート
PDSN と HA 間のモバイル IP トンネル上に、IPSec トンネルの確立が必要になることがあります。PDSN は外部ネットワークに、HA はホーム ネットワークに常駐します。IS-835B 仕様に基づいて、IPSec 接続は常に PDSN から HA に対して開始します。したがって、IPSec トンネルのエンドポイントは、PDSN IP アドレスおよび HA IP アドレスです。
Cisco 7600 HA ソリューションでは、IPSec は SUP で終端しますが、実際の HA アプリケーションは 1 枚以上の SAMI カード上に常駐します。各 SAMI カードには 6 つの CPU があり、それぞれ 1 つの HA インスタンスを実行します。各 HA に、独自の IP アドレスがあります。IPSec エンドポイントである SUP と HA エンドポイントである SAMI の IP アドレスが異なる場合には、HA IP アドレスの PDSN によって生成された IKE メッセージは、SUP でドロップされます。
この問題を回避するには、SAMI 上に設定されている HA IP アドレスと同じ IP アドレスを SUP に使用させる必要があります。そのためには、各 PDSN/HA ペアが正しく処理されるように、異なる HA IP アドレス宛ての IPSec トラフィックを、異なる IPSec VLAN に割り当てます。このコンフィギュレーションにより、HA アプリケーションを実行する SAMI 上の 6 つのすべての CPU をサポートし、それぞれに IPSec エンドポイントとなる独自の IP アドレスを設定できます。
この場合、SUP720 上で VPN Routing and Forwarding(VRF; VPN ルーティングおよびフォワーディング)IPSec 機能を使用します。PDSN から発信されたトラフィックはすべて、HA IP アドレスに基づいて異なる VLAN に割り当てられます。各 VLAN は 1 つの VRF に対応し、SUP 上の各 HA インスタンスに 1 つの VRF が存在します。つまり、IPSec の VRF モードにより、トラフィックは SAMI 上の 6 つの異なる HA インスタンスにそれぞれ分類されます。パケットは、クリプト VLAN によって復号化されると、特定の HA に対応する内部 VLAN のポリシーに基づいて、SAMI 上の正しい HA CPU にルーティングされます。
この場合、複数のシャーシ間および単一シャーシ内での IPSec 冗長設定がサポートされます。
1. SUP 上で、PDSN と HA IP アドレスの各ペア間の IPSec SA が開始されます。PDSN から、PDSN IP アドレスと、特定の HA IP アドレスであるピア IP アドレスを持つ IKE メッセージが送信されます。IKE メッセージ内の PDSN IP アドレスと HA IP アドレスに基づいて、PDSN/HA ペア用の正しい ISAKMP プロファイルが選択され、各ペアに対応する VRF が指示されます。これにより、PDSN/HA ペアに対応する個別の security parameter index(SPI; セキュリティ パラメータ インデックス)が確立されます。
2. HA IP アドレス単位で 1 つの VLAN が定義され、SUP 上のそのアドレス用に定義された VRF に割り当てられます。したがって、SUP は、PDSN の IPSec 終端地点となる HA IP アドレスを所有します。
3. 各 PDSN/HA IP アドレス ペア間に IPSec SA が確立されると、入力パケットの SPI に基づいて、暗号化パケットが正しい VRF に割り当てられます。
4. 暗号化パケットは、HA アドレスに対応する IPSec VLAN で復号化されると、SUP と MWAM 上の HA インスタンス間の内部 VLAN を使用して、HA IP アドレスをホスティングしている MWAM カード上の対応する CPU にポリシー ルーティングされます。
5. リターン パスでは、SAMI 上の HA インスタンスからのパケットが内部 VLAN に渡され、その HA に対応する IPSec VLAN に割り当てられます。これにより、パケットが暗号化され、出力インターフェイスを通じて PDSN に送出されます。
制約事項
Cisco HA は、同時バインディングをサポートしていません。同じ Network Access Identifier(NAI; ネットワーク アクセス識別子)に複数のフローが確立されると、各フローに異なる IP アドレスが割り当てられます。つまり、同時バインディングは不要です。同時バインディングは、同じ IP アドレスへの複数のフローを維持する場合に使用されるからです。
HA は、IS-835-B の要件に基づいて、IPSec、IKE、IPSec 認証ヘッダー(AH)、および IP Encapsulating Security Payload(ESP)をサポートしています。HA は、制御トラフィック用またはユーザ トラフィック用の個別のセキュリティはサポートしていません。両方のセキュリティを有効にするか無効にするかのどちらかです。
モバイル IP SA の設定
モバイル ホスト、Foreign Agent(FA; 外部エージェント)、および HA の SA を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
HA の IPSec の設定
HA の IPSec を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
アクティブ/スタンバイ HA SA の作成
アクティブ/スタンバイ HA SA を表示するには、次の IOS コマンドを使用します。
|
|
|
|
|---|---|---|
| FA の SA を表示します。HA の SA を表示します。モバイル ホストの SA を表示します。SA の要約を表示します。 |
設定例
HA の IPSec 設定
(注) 暗号化するホストおよびサブネットを許可する場合には、必ず、明示的な拒否ステートメントを指定してください。拒否ステートメントにより、他のすべてのパケットが暗号化されないように設定します。
(注) Cisco Catalyst 6500 および 7600 の IPSec は、HA ではなく、スーパーバイザ上で設定します。
6 HA インスタンス用の SUP 720 および VRF-IPSec の設定
次に、SUP 720 および VRF-IPSec の詳細な設定例を示します。図 11-3を参照してください。
図 11-3 SUP 720 / VRF-IPSec の設定
フィードバック