GET VPN の GDOI MIB サポートに関する情報
他の GET VPN ソフトウェア バージョンとの GDOI MIB の互換性
GET VPN の GDOI MIB サポート機能には、ネットワークのすべてのデバイスが GDOI MIB をサポートするバージョンを実行しているかどうかを確認するために KS(プライマリ KS)で使用するコマンドが用意されています。詳細については、「GDOI MIB をサポートするソフトウェア バージョンを GM が実行していることを確認する」セクションを参照してください。
GDOI MIB テーブル階層
GDOI MIB オブジェクトは次の GDOI MIB テーブルで構成されます。次に、テーブル間の関係(階層)を示します。
GDOI MIB テーブル オブジェクト
次は、MIB テーブル オブジェクトのリストです(グループごとにリスト)。
グループ テーブル オブジェクト:
-
Group ID type:グループ ID が IP アドレス、グループ番号、ホスト名などのいずれであるかを指定します。
-
Group ID length:グループ ID 値のオクテット数。
-
Group ID value:グループ番号、IP アドレス、またはホスト名。
-
Group name:文字列の値。
-
Group member count:このグループに登録済みの KS 数を指定します。
-
Group active peer KS count:このグループに対するアクティブな KS 数を指定します。
-
Group last rekey retransmits:最後のキー再生成操作の一部として送信されたキー再生成メッセージと再送信メッセージの累積数を指定します。
-
Group last rekey time taken:最後のキー再生成操作の完了に KS が費やした時間を指定します。
KS テーブル オブジェクト:
-
KS ID type
-
KS ID length
-
KS ID value
-
Active KEK:キー再生成メッセージを暗号化するために KS によって現在使用されている Key Encryption Key(KEK)の SPI。
-
Last rekey sequence number:グループに KS から送信された最後のキー再生成番号。
-
KS Role:プライマリまたはセカンダリ。
-
Number of registered GMs:この KS に登録された GM の数。
COOP テーブル オブジェクト:
-
COOP peer ID type
-
COOP peer ID length
-
COOP peer ID value
-
COOP peer ID role:プライマリまたはセカンダリ
-
COOP peer status:アライブ、デッド、または不明
-
Number of registered GMs:この COOP ピアに登録された GM の数
GM テーブル:
-
GM ID type
-
GM ID length
-
GM ID value
-
Registered KS ID type:GM が登録されている KS の ID タイプ。
-
Registered KS ID length
-
Registered KS ID value
-
Active KEK:キー再生成メッセージの復号化に GM が現在使用している KEK の SPI。
-
Last rekey seq number:GM が受信した最後のキー再生成番号。
-
Count of active TEKs:データプレーン トラフィックの暗号化/復号化/認証のために GM によって使用されるアクティブな TEK の数。
KS KEK テーブル:
-
KEK index
-
KEK SPI
-
KEK source ID information:送信元 ID のタイプ、ID の長さ、および ID の値。
-
KEK source ID port:送信元 ID に関連付けられたポート。
-
KEK destination ID information:宛先 ID のタイプ、ID の長さ、および ID の値。
-
KEK destination ID port:宛先 ID に関連付けられたポート。
-
IP protocol ID:UDP または TCP。
-
キー管理アルゴリズム(未使用)。
-
暗号化アルゴリズムとキーの長さ(ビット)
-
SIG ペイロード ハッシュ アルゴリズム、SIG ペイロード署名アルゴリズム、および SIG ペイロード キーの長さ(ビット)。
-
ハッシュ アルゴリズム(IPsec MIB から再利用されます)
-
Diffie-Hellman グループ
-
KEK original lifetime (seconds):KEK が有効である最長時間。
-
KEK remaining lifetime (seconds)
KS TEK セレクタ テーブル(KS で GDOI グループ設定の IPsec SA の一部として設定された ACL に対応):
-
TEK selector index:トラフィック暗号キー(TEK)の整数のインデックス。
-
TEK source ID information:送信元 ID のタイプ、ID の長さ、および ID の値。
-
TEK source ID port:送信元 ID に関連付けられたポート。
-
TEK destination ID information:宛先 ID のタイプ、ID の長さ、および ID の値。
-
TEK destination ID port:宛先 ID に関連付けられたポート。
-
TEK Security protocol:SA TEK ペイロードの GDOI_PROTO_IPSEC_ESP プロトコル ID 値(RFC 6407 を参照)。
KS TEK ポリシー テーブル:
-
TEK policy index:整数のインデックス。
-
TEK SPI:4 つのオクテット
-
Encapsulation mode:トンネルまたは転送。
-
暗号化アルゴリズムとキーの長さ(ビット)
-
整合性および認証アルゴリズムとキーの長さ(ビット)
-
TBAR window size (seconds)
-
TEK original lifetime (seconds):TEK が有効である最長時間。
-
TEK remaining lifetime (seconds)
-
TEK Status:着信、発信、または不使用。
GM KEK テーブル:
-
KEK index:整数のインデックス。
-
KEK SPI
-
KEK source ID information:送信元 ID のタイプ、ID の長さ、および ID の値。
-
KEK source ID port:送信元 ID に関連付けられたポート。
-
KEK destination ID information:宛先 ID のタイプ、ID の長さ、および ID の値。
-
KEK destination ID port:宛先 ID に関連付けられたポート。
-
IP protocol ID:UDP または TCP。
-
Key Management アルゴリズム(未使用)
-
暗号化アルゴリズムとキーの長さ(ビット)
-
SIG ペイロード ハッシュ アルゴリズム、SIG ペイロード署名アルゴリズム、および SIG ペイロード キーの長さ(ビット)
-
Hash algorithm
-
Diffie-Hellman グループ
-
KEK original lifetime (seconds):KEK が有効である最長時間。
-
KEK remaining lifetime (seconds)
GM TEK セレクタ テーブル(KS から TEK ポリシーの一部として GM にダウンロードされる ACL に対応):
-
TEK selector index:整数のインデックス。
-
TEK source ID information:送信元 ID のタイプ、ID の長さ、および ID の値。
-
TEK source ID port:送信元 ID に関連付けられたポート。
-
TEK destination ID information:宛先 ID のタイプ、ID の長さ、および ID の値。
-
TEK destination ID port:宛先 ID に関連付けられたポート。
-
TEK Security protocol:SA TEK ペイロードの GDOI_PROTO_IPSEC_ESP プロトコル ID 値(RFC 6407 を参照)。
GM TEK ポリシー テーブル:
-
TEK policy index:整数のインデックス。
-
TEK SPI:4 つのオクテット。
-
Encapsulation mode:トンネルまたは転送。
-
暗号化アルゴリズムとキーの長さ(ビット)
-
整合性および認証アルゴリズムとキーの長さ(ビット)
-
TBAR window size (seconds)
-
TEK original lifetime (seconds):TEK が有効である最長時間。
-
TEK remaining lifetime (seconds)
-
TEK Status:着信、発信、または不使用。
GDOI MIB 通知
GDOI MIB は次の表の Simple Network Management Protocol(SNMP)通知をサポートしています。GDOI MIB には、KS によって生成された通知と各 GM によって生成された通知の 2 種類の通知があります。任意の組み合わせの通知(またはすべての通知)を有効にできます。
通知 |
説明 |
---|---|
KS New Registration |
KS が GM から最初に登録要求を受信した。 |
KS Registration Complete |
GM が KS への登録を完了した。 |
KS Rekey Pushed |
キー再生成メッセージが KS によって送信された。 |
KS No RSA Keys |
RSA キーが見つからないために KS からエラー通知が受信された。 |
GM Register |
GM が KS に最初の登録要求を送信した。 |
GM Registration Complete |
GM が KS への登録を完了した。 |
GM Re-Register |
GM が KS への登録プロセスを開始した。 |
GM Rekey Received |
キー再生成メッセージが GM で受信された。 |
GM Incomplete Config |
GM が設定の不足によるエラー通知を送信した。 |
GM Rekey Failure |
GM がキー再生成の処理とインストールができないため、エラー通知を送信した。 |
KS Role Change |
KS がプライマリとセカンダリ ロールを切り替えた。 |
KS GM Deleted |
GM が KS から削除されると生成されます。 |
KS Peer Reachable |
到達不能な COOP ピアが到達可能になると KS によって生成されます。 |
KS Peer Unreachable |
到達可能な COOP ピアが到達不能になると KS によって生成されます。 |
詳細については、「GDOI MIB 通知の有効化」セクションを参照してください。
GDOI MIB の制限
GDOI MIB には RFC 6407 にリストされているオブジェクトのみが含まれ、GDOI のシスコ実装に固有の機能のためのオブェクトは含まれません。リストでは次の演算を使用します。
-
連携キー サーバ
-
GM ACL
-
受信専用 SA
-
Fail-Close またはフェール オープン
-
暗号マップ オブジェクト
-
他の Cisco GET VPN 固有の機能