Cisco Group Encrypted Transport バーチャル プライベート ネットワーク（GETVPN）アーキテクチャは、Group Domain of Interpretation（GDOI）プロトコルに基づいています。GETVPN では、Internet Security Exchange and Key Management Protocol（ISAKMP）を使用して、新しいグループ メンバーの認証、暗号化ポリシーのダウンロード、およびグループ メンバーへのトラフィック暗号キー（TEK）と Key Encryption Key（KEK）の配信を行います。ただし、インターネット キー エクスチェンジ バージョン 2（IKEv2）は置き換えられます。IKEv2 は、ネットワーク遅延を軽減し、メッセージ交換の複雑さを軽減し、相互運用性と信頼性を向上させ、ハッシュ認証の暗号化の問題を修正します。GET VPN は IKEv2 プロトコルと IPsec を組み合わせ、GETVPN G-IKEv2 機能によって IP マルチキャスト トラフィックまたはユニキャスト トラフィックを保護する効果的な方法を提供します。この機能では、シスコのすべての VPN Technologies を利用して完全な IKEv2 ソリューションを提供します。

G-IKEv2 プロトコルは、グループ メンバー（GM）に対し、キー サーバ（KS）からポリシーおよびキーをダウンロードするメカニズムを提供します。これらのポリシーおよびキーは、グループ内の GM 間の通信を保護するために使用されます。G-IKEv2 は、企業のプライベート WAN におけるリモート ロケーション間のグループ通信を保護する新しいモデルです。次の図は、G-IKEv2 を使用して GM を KS に登録し、KS から GM にキーおよびポリシーをダウンロードする GETVPN の基本システム アーキテクチャを示しています。

RFC 4306 に基づく次世代のキー管理プロトコルであるインターネット キー エクスチェンジ バージョン 2（IKEv2）は、IKE プロトコルの機能拡張です。IKEv2 は、相互認証を実行して SA を確立および管理するために使用します。IKEv2 の詳細については、『FlexVPN and Internet Key Exchange Version 2 Configuration Guide』を参照してください。

次の表では、IKE と IKEv2 間のトンネル パフォーマンスを比較します。

IKEv2 の利点は次のとおりです。

GM と KS 間のメッセージ交換は、IKEv2 の標準ドラフトを使用する Internet Engineering Task Force（IETF）のグループ キー管理に準拠しています。

1. グループ メンバーは、優先される暗号化アルゴリズム（SAi ペイロード）、発信側のキー交換（KE）フェーズ 1 ペイロードの Diffie-Hellman 公開番号、および発信側のナンス ペイロードの存在を保証するための乱数であるナンスを送信することによってキー サーバへの登録要求を開始します。

2. キー サーバはネゴシエート済みの暗号化アルゴリズム（応答側の SA フェーズ 1 ペイロード）、Diffie-Hellman 公開番号（応答側の KE ペイロード）、ナンス（応答側のナンス ペイロード）を使用して応答します。オプションで、認証方式として Rivest、Shamir、Adleman（RSA）デジタル署名を使用するようにキー サーバが設定されている場合、キー サーバも証明書要求を送信します。

3. 登録要求に対するキー サーバの応答を受信すると、グループ メンバーは SAr1 ペイロードの暗号化アルゴリズムと Diffie-Hellman 値を使用してキーを作成し、キー サーバに送信されるメッセージを暗号化します。RSA デジタル署名が認証方式として使用される場合、暗号化されたメッセージには、発信側の ID と、オプションで証明書および証明書要求が含まれます。スイート B の実装の場合、Galois/Counter Mode（GCM）–Advanced Encryption Standard（AES）または Galois Message Authentication Code（GMAC）–Advanced Encryption Standard（AES）トランスフォームとともに使用される送信者 ID を要求するために通知ペイロードが送信されます。

   （注）	グループ メンバーは、1 日のライフタイムの間、インターフェイスに適用可能な一連の送信元 ID を要求します。登録（長い SA ライフタイムの場合）またはキー再生成（短い SA ライフタイムの場合）のメッセージでライフタイムを受け取ると、グループ メンバーは将来の登録のため送信者 ID の数を計算するためにライフタイムを保存します。

4. グループ マネージャの認証後、キー サーバはグループ マネージャを登録する前にグループ メンバーを承認します。登録後、キー サーバはグループ マネージャにグループ ポリシー（GSA ペイロード）およびグループのキーイング マテリアル（KD ペイロード）を送信します。SEQ ペイロードはオプションであり、キー サーバでキー再生成メッセージの現在のシーケンス番号をグループ マネージャに通知する場合に送信されます。これらのペイロードは、GSA_AUTH 応答メッセージに含められます。

キー サーバのキー再生成

キー サーバはユニキャストまたはマルチキャスト通信を介して G-IKEv2 グループ メンテナンス チャネルを使用するグループ メンバーに新しいグループ キーを配布します。キー再生成は G-IKEv2 のオプションです。キー再生成を使用すると、KS はグループ メンバーにキー再生成メッセージを送信します。このメッセージはキー サーバの設定に応じてユニキャストまたはマルチキャストにできます。キー サーバでは、登録時にグループ メンバーに送信される KEK を使用してキー再生成メッセージを暗号化します。キー再生成メッセージを受信したら、グループ メンバーは、キー再生成メッセージの SEQ 番号が最後に受信した SEQ 番号より大きいことを確認する必要があります。グループ メンバーは、どちらが後でも、登録メッセージまたはキー再生成メッセージのいずれかから SEQ 番号を受け取っているはずです。GDOI（IKEv1）と G-IKEv2 の両方のグループとしてキー サーバ グループが設定されている場合、マルチキャスト キー再生成のため、2 つのキー再生成メッセージ（GDOI 用に 1 つと G-IKEv2 用に 1 つ）が送信されます。ユニキャスト キー再生成の場合、キー サーバはグループ メンバーのモードまたはタイプに応じて GDOI または G-IKEv2 のキー再生成のみを送信します。

（注）	キー再生成がユニキャストの場合、グループ メンバーはキー サーバに確認応答を送信する必要があります。

GETVPN G-IKEv2 機能では、次のような既存の GETVPN 機能がサポートされています。

• キー再生成と再送信

• GM アクセス コントロール リスト（ACL）

• Fail-Close モード

• 受信専用モード

• アンチリプレイ

• グループ メンバー登録の認証ポリシー

• GDOI MIB

• VRF 認識型グループ メンバー

• グループ メンバーの削除とポリシー交換

• 連携キー サーバ

• GETVPN IPv6 データプレーン

• IPsec インライン タギングのサポート

• GETVPN の復元力のフェーズ 1 とフェーズ 2

• 連携通知メッセージの最適化

GETVPN G-IKEv2 機能は、GKM バージョン 1.0.12 以降のリリースでサポートされています。キーサーバーでサポートされる GKM のバージョンは 1.0.13 で、グループメンバーでサポートされる GKM のバージョンは 1.0.12 です。キーサーバーとグループメンバーのバージョンの違いは、GETVPN キーサーバーでの IP D3P サポートと Cisco GETVPN キーサーバーのインターネットドラフト ACK の機能が、 1.0.13 以降のキーサーバーでのみ使用できるためです。

長期にわたって、キー サーバとグループ メンバーを G-IKEv2 にアップグレードして移行することを希望している場合があります。GETVPN グループ全体の GDOI から G-IKEv2 への移行には、慎重な計画が必要です。すべてのグループ メンバーを同時に移行することはできません。移行では、GDOI グループ メンバーと G-IKEv2 グループ メンバーが、GDOI と G-IKEv2 の異なるコントロール プレーン プロトコルを使用する一方で、同じトラフィック暗号キー（TEK）を使用した通信を可能にする必要があります。GDOI から G-IKEv2 への移行の順番は次のとおりです。

• 後方互換性：GETVPN G-IKEv2 機能を含む新しい Cisco IOS ソフトウェア イメージでは既存の GDOI 機能をサポートしている必要があり、Cisco IOS ソフトウェアの以前のリリースの GDOI 機能との互換性が必要です。

• サービス アップグレード：Cisco IOS ソフトウェア イメージを変更する推奨順序は、セカンダリ キー サーバ、プライマリ キー サーバ、およびグループ メンバーです。

• サービス ダウングレード：Cisco IOS ソフトウェア イメージを変更する推奨順序は、グループ メンバー、セカンダリ キー サーバ、プライマリ キー サーバです。

サービス アップグレード手順

1. 既存のキー サーバとグループ メンバーの GDOI 設定を保存します。詳細については、『Managing Configuration Files Configuration Guide』の「Configuration Replace and Configuration Rollback」機能モジュールを参照してください。

2. キー サーバの移行中のネットワーク分割およびマージを防ぐため、すべてのキー サーバで Key Encryption Key（KEK）とトラフィック暗号キー（TEK）のライフタイムを設定します。新しいライフタイムを設定するには、crypto gdoi ks rekey コマンドを使用します。

3. 新しい Cisco IOS ソフトウェア イメージにキー サーバをアップグレードします。上記の順序に従います。セカンダリ キー サーバから開始し、プライマリ キー サーバに続きます。キーワード gdoi を使用するすべての既存の設定がキーワード gkm に変換されます。たとえば、グローバル コンフィギュレーション コマンド crypto gdoi group は crypto gkm group コマンドに変換されます。ただし、再登録とキー再生成にはグループは引き続き GDOI を使用します。

4. キーサーバーで、GDOI および G-IKEv2 グループメンバーをサポートするグループに対してサーバーローカルコマンドの gikev2 コマンドを実行します。

5. 新しい Cisco IOS ソフトウェア イメージにグループ メンバーをアップグレードします。キーワード「gdoi 」を使用するすべての既存の設定がキーワード gkm に変換されます。たとえば、グローバル コンフィギュレーション コマンド crypto gdoi group と crypto map gdoi は、「crypto gkm group 」と crypto map gkm にそれぞれ変換されます。これらのグループは再登録とキー再生成には GDOI を引き続き使用し、client protocol gdoi コマンドを含めます。

6. グループメンバーで G-IKEv2 を使用するには、client protocol gikev2 コマンドを設定します。

7. GDOI グループメンバーへのサービスを停止するには、サーバーのローカルコマンドの no gdoi コマンドを設定します。

G-IKEv2 へのアップグレード後に GDOI を使用するグループメンバーに対して、グループメンバーグループ設定の client protocol gdoi コマンドを設定します。グループ メンバーは G-IKEv2 の代わりに GDOI を使用してキー サーバに再度登録します。

（注）	グループ メンバーを変換する前に、グループ メンバーの登録先のキー サーバが GDOI ローカル サーバ コンフィギュレーション モードの gdoi コマンドで設定されていることを確認します。

crypto gdoi group g1
 identity 1111
 server local
  .
  .
  .
  sa ipsec 1
   profile getvpn_profile
   match address getvpn_acl
   .
   .
   .
   redundancy
   .
   .
   .

crypto gkm group g1
 identity 1111
 server local
  gdoi
  no gikev2
  gikev2 ikev2_profile1
  .
  .
  .  
  sa ipsec 1
   profile getvpn_profile
   match address getvpn_acl
   .
   .
   .
   redundancy
   .
   .
   .

crypto gdoi group g1
 identity 1111
 server address ipv4 ks1
 server address ipv4 ks2

crypto map GETVPN_CM 10 gdoi
 set group g1

interface g0/0/0
 crypto map GETVPN_CM

crypto gkm group g1
 identity 1111
 server address ipv4 ks1
 server address ipv4 ks2
 client protocol gdoi 
 client protocol gikev2 ikev2_profile1 ] – Configure this to start using G-IKEv2

crypto map GETVPN_CM 10 gdoi
 set group g1

interface g0/0/0
 crypto map GETVPN_CM

すべての GETVPN コマンド（EXEC およびグローバル コンフィギュレーション コマンド）にはキーワード gdoi が含まれます。G-IKEv2 にはドメイン オブ インタープリテーションが含まれていないため、登録およびキー再生成に GDOI と G-IKEv2 のいずれかのプロトコルを使用できるグループではグループ キー管理を指す全般的な短縮形 gkm が使用されます。現時点では、crypto gdoi コマンドと crypto gkm コマンドの両方を使用できます。ただし、GDOI キーワードは廃止されるため、今後は gkm キーワードに置き換わります。たとえば、キーサーバーグループを設定する場合、GDOI コマンドは crypto gdoi group group-name ですが、GKM コマンドは crypto gkm group group-name になります。