- はじめに
-
- 認証の設定
- RADIUS 許可の変更
- AAA 認証のメッセージ バナー
- サーバ グループ レベルでの AAA ドメイン ストリッピング
- AAA Double Authentication Secured by Absolute Timeout
- AAA RADIUS レコードのスロットリング
- RADIUS パケット オブ ディスコネクト
- AAA 認可および AAA 認証のキャッシュ
- 認可の設定
- アカウンティングの設定
- AAA-SERVER-MIB Set Operation
- Per VRF AAA
- AAA の IPv6 サポート
- TACACS+ over IPv6
- AAA Dead-Server Detection
- Login Password Retry Lockout
- MSCHAP バージョン 2
- AAA ブロードキャスト アカウンティング - 必須応答サポート
- コモン クライテリアに準拠したパスワードの強度と管理
- AAA 用のセキュアな可逆パスワード
-
- IP アクセス リストの概要
- IP アクセス リストの作成とインターフェイスへの適用
- IP オプション、TCP フラグ、非隣接ポート、をフィルタする IP アクセス リストの作成
- FQDN ACL の設定
- IP アクセス リストの精緻化
- IP 名前付きアクセス コントロール リスト
- 注釈付きの IP アクセス リスト エントリ
- 標準 IP アクセス リストのロギング
- IP アクセス リスト エントリ シーケンス番号
- ロック アンド キー セキュリティの設定(ダイナミックアクセス リスト)
- ACL IP オプションの選択的ドロップ
- ACL 管理性を使用した IP アクセス リスト データの表示及びクリア
- ACL Syslog 相関
- IPv6 アクセス コントロール リスト
- IPv6 ACL 未決定トランスポートサポート
- テンプレート ACL の設定
- IPv6 テンプレート ACL
- IPv4 ACL チェーニング サポート
- 共通 ACL による IPv6 ACL チェーニング
- ホップ バイ ホップ フィルタリングに対応するための IPv6 ACL の拡張
- セキュリティ(ACL)の拡張機能
- ACL の IPv6 オブジェクトグループ
-
- RADIUS の設定
- 複数の UDP ポート用の RADIUS
- 許可用の AAA Dialed Number Information Service(DNIS)マップ
- AAA サーバグループ
- RADIUS アカウンティング内の Framed-Route
- RFC-2867 RADIUS トンネル アカウンティング
- RADIUS 論理回線 ID
- RADIUS ルート ダウンロード
- RADIUS サーバー ロード バランシング
- RADIUS サーバー障害発生時順序変更
- アカウンティングの RADIUS 個別再送信カウンタ
- RADIUS VC ロギング
- RADIUS 集中型フィルタ管理
- RADIUS EAP サポート
- コール接続時の RADIUS 暫定アップデート
- ロード バランシングおよびフェールオーバー用の RADIUS トンネル プリファレンス
-
- 『RADIUS Attributes Overview and RADIUS IETF Attributes』
- RADIUS ベンダー固有属性
- RADIUS ベンダー固有属性および RADIUS Disconnect-Cause 属性値
- Connect-Info RADIUS 属性 77
- 暗号化されたベンダー固有属性
- アクセス要求内の RADIUS 属性 8 Framed-IP-Address
- RADIUS 属性 82 トンネル割り当て ID
- RADIUS トンネル属性拡張
- RADIUS 属性 66 Tunnel-Client-Endpoint 拡張
- RADIUS 属性値スクリーニング
- RADIUS 属性 55 Event-Timestamp
- RADIUS 属性 104
- RADIUS NAS-IP-Address 属性設定可能性
- サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマット
-
- Cisco TrustSec の概要
- Cisco TrustSec SGT Exchange Protocol IPv4
- TrustSec SGT の処理:L2 SGT のインポジションと転送
- Cisco TrustSec SGT Exchange Protocol IPv4 の前提条件
- 双方向 SXP サポートの有効化
- Cisco TrustSec インターフェイスと SGT のマッピング
- Cisco TrustSec サブネットと SGT のマッピング
- Cisco TrustSec フィールドの Flexible NetFlow エクスポート
- Cisco TrustSec SGT キャッシング
- CTS SGACL のサポート
- TrustSec 動作データへの外部アクセス
-
- ゾーンベース ポリシー ファイアウォール
- ゾーンベース ポリシー ファイアウォールの IPv6 サポート
- VRF 対応 Cisco IOS XE ファイアウォール
- レイヤ 2 トランスペアレント ファイアウォール
- ゾーンベース ポリシー ファイアウォールに対するネストされたクラス マップ サポート
- ゾーン不一致処理
- ファイアウォール ステートフル シャーシ間冗長性の設定
- Cisco CSR1000v ルータに対するファイアウォール ボックスツーボックス ハイ アベイラビリティ サポート
- ゾーンベース ファイアウォールと NAT に対するシャーシ間非対称ルーティング サポート
- IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
- ICMP のファイアウォール ステートフル インスペクション
- LISP とゾーンベース ファイアウォールの統合と相互運用性
- アプリケーション認識型ファイアウォール
- Skinny Client Control Protocol のファイアウォール サポート
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
- VRF 対応ソフトウェア インフラストラクチャの設定
- IPv6 ファイアウォールに対する FTP66 ALG サポート
- 分散型サービス妨害攻撃に対する保護
- ファイアウォール リソース管理の設定
- IPv6 ファイアウォールでの分散型サービス妨害攻撃の防止およびリソース管理のサポート
- フローあたりの同時パケットの設定可能数
- ファイアウォール高速ロギング
- TCP リセット セグメント制御
- ゾーンベース ポリシー ファイアウォールでの TCP ウィンドウ スケーリングのルーズ チェック オプション
- ゾーンベース ポリシー ファイアウォールでの ALG と AIC の有効化
- ファイアウォール TCP SYN Cookie の設定
- ACL のオブジェクト グループ
- Cisco ファイアウォール SIP 機能拡張 ALG
- ファイアウォールと NAT に対する MSRPC ALG サポート
- ファイアウォールと NAT に対する Sun RPC ALG サポート
- ゾーンベース ファイアウォール ALG および AIC 条件付きデバッグおよびパケットトレースのサポート
- ファイアウォールと NAT に対するハイ アベイラビリティ サポートを使用した ALG - H.323 vTCP
- NAT とファイアウォールの SIP ALG 強化
- DoS 攻撃に対する SIP ALG レジリエンス
-
- Cisco Group Encrypted Transport VPN
- GET VPN GM の削除とポリシー トリガー
- GET VPN の GDOI MIB サポート
- GET VPN の復元力
- GETVPN 復元力 GM - エラー検出
- GETVPN CRL チェック
- スイート B での GET VPN のサポート
- Cisco TrustSec の IPsec インライン タギングの GET VPN サポート
- GETVPN GDOI バイパス
- GETVPN G-IKEv2
- 8K GM スケールの改善
- GET VPN 相互運用性
- GETVPN の Perfect Forward Secrecy
- Index
GET VPN の復元力
GET VPN の復元力機能では、Cisco Group Encrypted Transport(GET)VPN の復元力を改善し、エラーが発生したときのデータ トラフィックの中断を防止したり最小化したりします。
GET VPN の復元力の制約事項
- すべてキー サーバ(KS)およびグループ メンバー(GM)は、長い SA ライフタイム向けにアップグレードする必要があります。
GET VPN の復元力に関する情報
長い SA ライフタイム
長いセキュリティ アソシエーション(SA)ライフタイム機能では、Key Encryption Key(KEK)およびトラフィック暗号キー(TEK)の最大ライフタイムを 24 時間から 30 日に延長します。この機能により、スケジュールされた最後のキー再生成時に確認応答に応答しないグループ メンバー(GM)に対して定期的なリマインダ キー再生成を送信し続けるようにキー サーバ(KS)を設定することもできます。
定期的なリマインダ キー再生成と長い SA ライフタイムを組み合わせて使用することにより、キーがロールオーバーする前にスケジュールされたキー再生成に失敗した場合、KS が効果的に GM を同期することができます。
Note |
24 時間より長いライフタイムでは、暗号化アルゴリズムを、128 ビット以上の AES キーを使用する Advanced Encryption Standard-Cipher Block Chaining(AES-CBC)または Advanced Encryption Standard-Galois/Counter Mode(AES-GCM)にする必要があります。 |
長い SA ライフタイム機能は GETVPN スイート B 機能とともに使用すると、GCM-AES と GMAC-AES でカプセル化されたパケットのグループでトラフィック暗号キー(TEK)ポリシーがトランスフォームされるときに AES-GSM および Galois Message Authentication Code-Advanced Encryption Standard(GMAC-AES)を使用できます。
長い SA ライフタイムへの移行
長い SA ライフタイム機能(1 日以上)に移行するときには、次のルールが適用されます。
-
長い SA ライフタイムが暗号 IPsec プロファイルに設定されているとき、GETVPN は非 Group Domain of Interpretation(GDOI)グループに対して IPsec プロファイルを使用しないように警告メッセージを表示します。
-
グループメンバーが短い SA ライフタイムでキーサーバーに登録され、キーサーバーがポリシーを長い SA ライフタイムに変更する場合、GETVPN は crypto gdoi ks rekey コマンドを設定してポリシー変更を開始するときにすべての GM のソフトウェアバージョンをチェックします。KS に登録されている GM が長い SA ライフタイムをサポートしていない場合、すべての GM がアップグレードされるまでポリシーの変更を推奨しないというメッセージが表示されます。
-
長い SA 機能が KS で有効になると、この機能をサポートしていない古い Cisco IOS リリースを実行している GM からの登録がブロックされます。
クロック スキューの軽減
セキュリティ アソシエーション(SA)のライフタイムが長いとき、グループ メンバー(GM)は長期間、キー サーバから更新を受信しないことがあります。これにより、グループ メンバーは Key Encryption Key(KEK)ライフタイム、トラフィック暗号キー(TEK)ライフタイム、および時間ベース アンチリプレイ(TBAR)疑似時間の間クロック スキューを経験することがあります。更新のキー再生成と新しい発信 IPsec SA へのロールオーバーによって GM はクロック スキューの問題を軽減することができます。
更新のキー再生成
トラフィック暗号キー(TEK)のライフタイムが 2 日以上の期間に設定され、時間ベースのアンチリプレイ(TBAR)が無効である場合、キー サーバは 24 時間ごとに更新のキー再生成を送信し、すべてのグループ メンバー(GM)の Key Encryption Key(KEK)ライフタイム、TEK ライフタイム、および TBAR 疑似時間を更新します。簡単に言うと、更新のキー再生成は、最後のユニキャスト確認応答(ACK)の受信状態に関係ない、すべての GM への現在の KEK ポリシー、TEK ポリシー、および TBAR 疑似時間(有効な場合)の再送信です。TBAR が有効な場合、更新のキー再生成は疑似時間を同期するために 2 時間ごとに送信され、追加の更新のキー再生成は必要ありません。
新しい発信 IPsec SA へのロールオーバー
長い SA ライフタイム(1 日を超える)が設定されている場合、トラフィック暗号キー(TEK)の残りのライフタイムが、下限が 30 秒のライフタイムに設定された古い TEK の 1 % に達し、古い TEK の残りのライフタイムの 30 秒でないとき、ロールオーバーが発生します。これにより、(他の GM が古い TEK を削除してから)1 つの GM から新しい TEK 遅延にロールオーバーされるトラフィックが破棄されるまで、グループ メンバー(GM)間のより大きなクロック スキューが可能になります。これによって、長期間 GM が「オフライン」(KS からの切断)になり、クロック スキューを軽減するための更新のキー再生成を受信できない問題が緩和されます。
定期的なリマインダ同期キー再生成
キー サーバ(KS)の定期的なリマインダ同期キー再生成機能を使用すると、スケジュールされている直前のキー再生成時に確認応答(ACK)に応答しないグループ メンバー(GM)に対して定期的なリマインダ キー再生成を送信できます。長い SA ライフタイム機能とこの機能の組み合わせは、キーのロールオーバーの前にスケジュールされたキー再生成に失敗した GM と KS が同期するために有効です。KS グループ設定で、キー再生成の再送信を設定するときの rekey retransmit コマンドに新しいキーワード periodic が追加されています。
キー再生成の再送信と同様に、定期的な再送信はそれぞれシーケンス番号を増加させます。スケジュールされた 3 回のキー再生成(再送信ではない)で GM が ACK を送信しないと、GM は KS のデータベースから削除されます。
事前配置されたキー再生成
長い SA ライフタイム(1 日を超える)が設定されているとき、事前配置されたキー再生成機能を使用すると、キーサーバー(KS)は SA ライフタイムの半分の期間より先にキー再生成を送信できます。キー再生成の送信の通常な動作は短い SA ライフタイムに使用されます。グループ メンバー(GM)はこの早いキー再生成を受信すると、新しい TEK が発信としてロールオーバーされるまで、引き続き古い TEK を発信として使用します。事前配置されたキー再生成機能と長い SA ライフタイム機能の組み合わせはキーのロールオーバーの安定性を向上させます。この機能により、定期的なリマインダ キー再生成や同期キー再生成などのキー再生成エラーを回復するための十分な時間(KS)が確保されます。
GET VPN の復元力の設定方法
GM が長い SA ライフタイムをサポートするソフトウェア バージョンを実行していることを確認する
長い SA ライフタイムは、GET VPN ネットワーク内のすべてのデバイスをこの機能をサポートする GET VPN ソフトウェア バージョンにアップグレードしてから使用する必要があります。
ネットワーク内のすべてのデバイスが長い SA ライフタイムをサポートしていることを確認するには、キー サーバ(またはプライマリ キー サーバ)でこの作業を実行します。
SUMMARY STEPS
- enable
- show crypto gdoi feature long-sa-lifetime
- show crypto gdoi feature long-sa-lifetime | include No
DETAILED STEPS
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
|
Step 2 |
show crypto gdoi feature long-sa-lifetime Example:
|
|
Step 3 |
show crypto gdoi feature long-sa-lifetime | include No Example:
|
|
TEK の長い SA ライフタイムの設定
トラフィック暗号キー(TEK)の長い SA ライフタイムを設定するには、次のステップを実行します。
SUMMARY STEPS
- enable
- configure terminal
- crypto ipsec profile name
- set security-association lifetime days days
- end
DETAILED STEPS
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
|
Step 2 |
configure terminal Example:
|
|
Step 3 |
crypto ipsec profile name Example:
|
|
Step 4 |
set security-association lifetime days days Example:
|
|
Step 5 |
end Example:
|
|
KEK の長い SA ライフタイムの設定
キー暗号キー(TEK)の長い SA ライフタイムを設定するには、次のステップを実行します。
手順の概要
- enable
- configure terminal
- crypto gdoi group group-name
- identity number number
- server local
- rekey lifetime days days
- end
手順の詳細
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
|
ステップ 2 |
configure terminal 例:
|
|
ステップ 3 |
crypto gdoi group group-name 例:
|
|
ステップ 4 |
identity number number 例:
|
|
ステップ 5 |
server local 例:
|
|
ステップ 6 |
rekey lifetime days days 例:
|
|
ステップ 7 |
end 例:
|
|
定期的なリマインダ同期キー再生成の設定
定期的なリマインダ同期キー再生成を設定するには、次のステップを実行します。
SUMMARY STEPS
- enable
- configure terminal
- crypto gdoi group group-name
- identity number number
- server local
- rekey retransmit number-of-seconds periodic
- end
DETAILED STEPS
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
|
Step 2 |
configure terminal Example:
|
|
Step 3 |
crypto gdoi group group-name Example:
|
|
Step 4 |
identity number number Example:
|
|
Step 5 |
server local Example:
|
|
Step 6 |
rekey retransmit number-of-seconds periodic Example:
|
|
Step 7 |
end Example:
|
|
GET VPN の復元力の確認とトラブルシューティング
キー サーバの GET VPN の復元力の確認とトラブルシューティング
キーサーバー(KS)で実行されている設定を表示するには、show running-config コマンドと次のコマンドを使用します。
SUMMARY STEPS
- enable
- show crypto gdoi
- show crypto gdoi ks rekey
DETAILED STEPS
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
|
Step 2 |
show crypto gdoi Example:
|
|
Step 3 |
show crypto gdoi ks rekey Example:
|
|
グループ メンバーの GET VPN の復元力の確認とトラブルシューティング
グループメンバー(GM)で実行されている設定を表示するには、show running-config コマンドと次のコマンドを使用します。
SUMMARY STEPS
- enable
- show crypto gdoi ks rekey
- show crypto gdoi ks policy
DETAILED STEPS
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
|
Step 2 |
show crypto gdoi ks rekey Example:
|
|
Step 3 |
show crypto gdoi ks policy Example:
|
|
GET VPN 復元力の設定例
例:GM が長い SA ライフタイムをサポートするソフトウェア バージョンを実行していることを確認する
次の例は、各グループ内のすべてのデバイスが長い SA ライフタイムをサポートしているかどうかを確認するために KS(またはプライマリ KS)で GET VPN ソフトウェア バージョン管理コマンドを使用する方法を示します。
Device# show crypto gdoi feature long-sa-lifetime
Group Name: GETVPN
Key Server ID Version Feature Supported
10.0.5.2 1.0.4 Yes
10.0.6.2 1.0.4 Yes
10.0.7.2 1.0.3 No
10.0.8.2 1.0.2 No
Group Member ID Version Feature Supported
10.0.1.2 1.0.2 No
10.0.2.5 1.0.3 No
10.0.3.1 1.0.4 Yes
10.0.3.2 1.0.4 Yes
また、上記のコマンドは GM でも入力できます(その GM の情報を表示します。KS や他の GM には使用できません)。
次の例は、KS(プライマリ KS)で長い SA ライフタイムをサポートしていない GET VPN ネットワークのデバイスのみ検索するコマンドを入力する方法を示しています。
Device# show crypto gdoi feature long-sa-lifetime | include No
10.0.7.2 1.0.3 No
10.0.8.2 1.0.2 No
10.0.1.2 1.0.2 No
10.0.2.5 1.0.3 No
例:長い SA ライフタイムの設定
例:TEK の長い SA ライフタイムの設定
次に、トラフィック暗号キー(TEK)の長い SA ライフタイムの設定方法の例を示します。
Device> enable
Device# configure terminal
Device(config)# crypto ipsec profile gdoi-p
Device(ipsec-profile)# set security-association lifetime days 15
Device(ipsec-profile)# end
例:KEK の長い SA ライフタイムの設定
次に、キー暗号キー(KEK)の長い SA ライフタイムの設定方法の例を示します。
Device> enable
Device# configure terminal
Device(config)# crypto gdoi group GET
Device(config-gdoi-group)# identity number 3333
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# rekey lifetime days 20
Device(gdoi-local-server)# end
例:定期的なリマインダ同期キー再生成の設定
次に、定期的なリマインダ同期キー再生成の設定方法の例を示します。
Device> enable
Device# configure terminal
Device(config)# crypto gdoi group group1
Device(config-gdoi-group)# identity number 3333
Device(config-gdoi-group)# server local
Device(gdoi-local-server)# rekey retransmit 10 periodic
Device(gdoi-local-server)# end
GET VPN の復元力のその他の参考資料
関連資料
関連項目 |
マニュアル タイトル |
---|---|
Cisco IOS セキュリティ コマンド |
|
エンタープライズ ネットワークの GET VPN の有効化のための基本的な導入ガイドライン |
『Cisco IOS GET VPN Solutions Deployment Guide』 |
GET VPN ネットワークの設計と実装 |
『Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide』 |
標準および RFC
標準/RFC |
タイトル |
---|---|
RFC 2401 |
『Security Architecture for the Internet Protocol』 |
RFC 6407 |
『The Group Domain of Interpretation』 |
シスコのテクニカル サポート
説明 |
リンク |
---|---|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
GET VPN の復元力の機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
GET VPN の復元力 |
次のコマンドが導入または変更されました。 rekey lifetime, rekey retransmit, set security-association lifetime, show crypto gdoi. |