この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
合法的傍受は司法命令や行政命令によって認可され、司法当局が回線通信およびパケットモード通信に対して電子機器を用いた情報収集を実施するプロセスです。 世界中のサービス プロバイダーは、司法当局の回線交換およびパケットモード ネットワークにおける電子機器を用いた情報収集の実施をサポートすることが法的に求められます。
認可されたサービス プロバイダーの担当者のみが、法的に認可された傍受命令を処理および設定することを許可されています。 ネットワーク管理者および技術者は、法的に認可された傍受命令、または進行中の傍受に関する知識を得ることを禁止されています。 ルータにインストールされている傍受に関するエラー メッセージまたはプログラム メッセージは、コンソールには表示されません。
リリース |
変更点 |
---|---|
リリース 4.1.0 |
この機能を追加しました。 |
リリース 4.2.0 |
合法的傍受のハイ アベイラビリティ サポートが追加されました。 IPv6 の合法的傍受のサポートが追加されました。 |
適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。
合法的傍受の実装には、次の前提条件も満たす必要があります。
ヒント |
合法的傍受のタップには、ループバック インターフェイスをプロビジョニングすると、他のインターフェイス タイプに比べて利点があります。 |
合法的傍受は、Cisco ASR 9000 Series Router では次の機能をサポートしていません。
(注) |
タップ別ドロップ カウンタのサポートは、ASR9000-SIP-700 ラインカードのみで利用できます。イーサネット ラインカードでは利用できません。 |
シスコの合法的傍受は、サービス非依存傍受(SII)アーキテクチャと、SNMPv3 プロビジョニング アーキテクチャに基づいています。 SNMPv3 は、データの送信元を認証し、ルータから MD への接続がセキュアであることを保証する要件に対応します。 これにより、認可されていないパーティが傍受のターゲットを偽造できないようにします。
合法的傍受は、次の機能を提供します。
VoIP の合法的傍受のプロビジョニングは、次の方法で行われます。
VoIP コールは、次の方法で傍受されます。
データ セッション用のプロビジョニングは、VoIP コールの合法的傍受の際と同様の方法で行われます。 (VoIP コールのプロビジョニングを参照してください)。
データは、次の方法で傍受されます。
MD は次の作業を実行します。
次の図は、音声傍受およびデータ傍受の合法的傍受トポロジにおける、傍受アクセス ポイントおよびインターフェイスを示しています。
合法的傍受の拡張性およびパフォーマンスに関して、Cisco ASR 9000 Series Router に新たに導入された拡張機能は次のとおりです。
ここでは、Cisco ASR 9000 Series Router でサポートされている IPv6 パケットの傍受の詳細について説明します。
タップの分類に使用されるフィルタは次のとおりです。
IPv6 パケットのフィルタ条件をさらに拡張するために、フロー ID に基づく IPv6 パケット傍受のサポートが Cisco ASR 9000 Series Router に追加されました。 すべての IPv6 パケットは、次の「IPv6 ヘッダー フィールドの詳細」表で定義されている数値フィールドを構成する IPv6 ヘッダーのフィールドに基づいて傍受されます。
(注) |
フィールド長またはペイロード長はパケットの傍受には使用されません。 |
IPv6 フィールド名 | フィールドの説明 | フィールド長 |
---|---|---|
バージョン |
IPv6 バージョン番号。 |
4 ビット |
トラフィック クラス |
インターネット トラフィックにおける配信の優先度を示す値。 |
8 ビット |
フロー ID(フロー ラベル) |
一連のパケットに対して、送信元から宛先までの特別なルータ処理を指定するために使用されます。 |
20 ビット |
ペイロード長 |
パケット内のデータ長を指定します。 ゼロにクリアすると、オプションはホップバイホップのジャンボ ペイロードになります。 |
16 ビット(未割り当て) |
次ヘッダー |
次のカプセル化されたプロトコルを指定します。 値は、IPv4 プロトコル フィールドで指定されている値と互換性があります。 |
8 ビット |
ホップ リミット |
各ルータがパケットを転送するたびに、ホップ リミットは 1 ずつ減少します。 ホップ リミット フィールドがゼロに達すると、パケットは廃棄されます。 このフィールドは、本来時間ベースのホップ リミットとして使用されることを目的としていた IPv4 ヘッダーの TTL フィールドに代わるものです。 |
8 ビット(符号なし) |
送信元アドレス |
送信ノードの IPv6 アドレス。 |
16 バイト |
宛先アドレス |
宛先ノードの IPv6 アドレス。 |
16 バイト |
フロー ID またはフロー ラベルは、トラフィック フローの区別に使用される、IPv6 パケット ヘッダー内の 20 ビットのフィールドです。 各フローには、一意のフロー ID が含まれています。 特定のフロー ID に一致するパケットを傍受するフィルタ条件は、タップ設定ファイルに定義されます。 傍受されたマップ済みのフロー ID は、ラインカードから MD 設定ファイル内で指定されている次のホップに送信されます。 傍受されたパケットは複製され、ラインカードから MD に送信されます。
ここでは、VRF 対応パケットおよび 6PE パケットの傍受について説明します。 この傍受の仕組みを説明する前に、6VPE ネットワークの基本的な知識について説明します。
MPLS VPN モデルは真のピア VPN モデルです。 このモデルは、プロバイダーのコンテンツ IAP ルータで一意の VPN ルート転送(VRF)テーブルを各カスタマーの VPN に割り当てることで、トラフィックの分離を実行します。 そのため、VPN 内のユーザは外部のトラフィックを見ることができません。
Cisco ASR 9000 Series Router は、6VPE において、指定した VRF ID の IPv6 パケットの傍受をサポートしています。 VPN 上のトラフィックを区別するために、特定の VRF ID を含む VRF が定義されています。 特定の VRF ID をタップするフィルタ条件は、タップ内で指定されます。 IPv6 パケットは、インポジション(ip2mpls)およびディスポジション(mpls2ip)の両方のシナリオで、VRF コンテキストを使用して傍受されます。
6PE パケットは VPN 上で IPv6 パケットを伝送します。 パケットには VRF ID は含まれていません。 IP トラフィックのみが傍受されます。MPLS ベースの傍受はサポートされていません。 IPv6 トラフィックは、インポジション(ip2mpls)およびディスポジション(mpls2ip)の MPLS クラウドのコンテンツ IAP で傍受されます。
ip2tag パケットおよび tag2ip パケットに対しても、IPv6 パケットの傍受が実行されます。 ip2tag パケットは、プロバイダーのコンテンツ IAP ルータで IPv6 からタギングに変換されたパケット(IPv6 to MPLS)を指し、tag2ip パケットは、プロバイダーのコンテンツ IAP ルータでタギングから IPv6 に変換されたパケット(MPLS to IPv6)を指します。
タップをマッピングする傍受パケットは複製およびカプセル化され、MD に送信されます。 IPv4 パケットおよび IPv6 パケットは、UDP(ユーザ データグラム プロトコル)カプセル化を使用してカプセル化されます。 複製されたパケットは、コンテンツ配信プロトコルに UDP を使用して、MD に転送されます。 IPv4 MD カプセル化のみサポートされています。
傍受パケットには、新しい UDP ヘッダーと IPv4 ヘッダーが付与されます。 IPv4 ヘッダーの情報は MD 設定から取得されます。 IP ヘッダーおよび UDP ヘッダーとは別に、4 バイトのチャネル ID(CCCID)もパケットの UDP ヘッダーの後に挿入されます。 MD カプセル化を追加した後、パケット サイズが MTU を超過する場合、出力 LC CPU はパケットをフラグメント化します。 また、タップされたパケットがすべてにフラグメントである場合もあります。 各タップには、MD が 1 つだけ関連付けられています。 Cisco ASR 9000 Series Router は、複数 MD への複製パケットの転送をサポートしていません。
(注) |
RTP や RTP-NOR などのカプセル化タイプはサポートされていません。 |
Cisco ASR 9000 Series Router ラインカードでは、インターフェイスとして SNMP サーバを提供し、MD パケットに転送された各タップとドロップ数をエクスポートします。 ポリサー処理により MD に転送される前にドロップされた傍受パケットは、すべてカウントおよびレポートされます。 ポリサー処理によりドロップされるパケットは、ドロップされるパケットの中で唯一タップ別ドロップ カウンタでカウントされます。 合法的傍受フィルタが変更された場合、パケット カウントは 0 にリセットされます。
(注) |
タップ別ドロップ カウンタのサポートは、ASR9000-SIP-700 ラインカードのみで利用できます。イーサネット ラインカードでは利用できません。 |
合法的傍受のハイ アベイラビリティでは、タップ フローおよびプロビジョニングされた MD テーブルの継続的な運用を実現し、ルート プロセッサ フェールオーバー(RPFO)による情報の喪失を低減します。
ストリームの継続的な傍受を実現するには、RP フェールオーバーが検出された際に、MD が CISCO-TAP2-MIB、CISCO-IP-TAP-MIB、および CISCO-USER-CONNECTION-TAP-MIB に関連するすべての行を再プロビジョニングし、RP および MD にまたがるデータベース ビューを同期する必要があります。
(注) |
合法的傍受のハイ アベイラビリティは、リリース 4.2.0 以降ではデフォルトでイネーブルになっています。 |
MD はあらゆるタイミングで SNMP 設定プロセスを通じて、タップの喪失を検出する役割を果たします。
RPFO が完了すると、MD はストリーム テーブルのすべてのエントリ、MD テーブル、および IP タップにフェールオーバー前と同じ値を再プロビジョニングする必要があります。 エントリが時間どおりに再プロビジョニングされる限り、既存のタップは喪失されずにフローを継続します。
citapStreamEntry、cTap2StreamEntry、cTap2MediationEntry MIB オブジェクトでの SNMP 操作の動作に関連して、MD テーブルおよびタップ テーブルの再プロビジョニングには次の制約事項があります。
リプレイ タイマーは、MD が既存のタップ フローを維持しながらタップ エントリを再プロビジョニングするための十分な時間を確保する内部タイムアウトです。 RPFO が実行されると、このタイマーはアクティブな RP でリセットされ、開始されます。 リプレイ タイマーは、ルータ内の LI エントリ数の係数で、最小値は 10 分です。
リプレイ タイムアウト後、再プロビジョニングされていないタップでは傍受が停止します。
(注) |
ハイ アベイラビリティが必須でない場合、MD はフェールオーバー後にエントリがエージング アウトするまで待機します。 MD はリプレイ タイマーが満了するまでエントリを変更できません。 MD でタップをそのまま再インストールしてその後に変更を加えるか、エントリがエージング アウトするまで MD を待機させることができます。 |
合法的傍受をイネーブルにする目的で管理プレーン保護(MPP)および SNMP を設定するには、次の手順を示されている順番で実行します。
合法的傍受は、この機能がサポートされているルータでは、デフォルトでイネーブルになっています。
(注) |
プロビジョニングされているアクティブなタップや MD が存在する場合は、LI をディセーブルにしないでください。 ディセーブルにした場合、ルータからすべてのタップと MD が削除されます。 |
以前に MPP を別のプロトコルと連携して動作するように設定していない場合は、合法的傍受の目的で MD と通信できるように、MPP 機能を設定して SNMP サーバをイネーブルにする必要はありません。 このような場合だけ、明示的に MPP をインバンド インターフェイスとして設定し、指定したインターフェイスまたはすべてのインターフェイスを使用して SNMP コマンドをルータで受け付けられるようにする必要があります。
(注) |
最近 Cisco IOS から Cisco IOS XR ソフトウェアに移行し、任意のプロトコルに対して MPP を設定済みである場合は、この作業を実行する必要があります。 |
合法的傍受の目的で、ループバック インターフェイスを SNMP メッセージの宛先にする場合が多くあります。 このインターフェイス タイプを選択した場合は、インバンド管理設定にこのインターフェイス タイプを含める必要があります。
設定手順については、インバンド インターフェイスの管理プレーン保護のデバイスの設定の項を参照してください。 この手順の LI に関する例については、インバンド管理プレーン保護機能の設定:例を参照してください。
インバンド管理インターフェイスの詳細な説明については、インバンド管理インターフェイスを参照してください。
次の SNMP サーバ設定作業では、MD による VoIP またはデータ セッションの傍受を許可することで、Cisco IOS XR ソフトウェアを実行しているルータ上で Cisco SII 機能をイネーブルにします。
1. configure
2. snmp-server view view-name ciscoTap2MIB included
3. snmp-server view view-name ciscoIpTapMIB included
4. snmp-server group group-name v3 auth read view-name write view-name notify view-name
5. snmp-server host ip-address traps version 3 priv username udp-port port-number
6. snmp-server user mduser-id groupname v3 auth md5 md-password
8. show snmp users
9. show snmp group
10. show snmp view
次に、デフォルトでディセーブルになっている MPP 機能を合法的傍受の目的でイネーブルにする方法の例を説明します。
次の手順を使用して、管理アクティビティをグローバルまたはインバンド ポート単位で明示的にイネーブルにする必要があります。 インバンド MPP をグローバルにイネーブルにするには、interface コマンドで特定のインターフェイス タイプとインスタンス ID を使用するのではなく、all キーワードを使用します。
RP/0//CPU0:router# configure RP/0//CPU0:router(config)# control-plane RP/0//CPU0:router(config-ctrl)# management-plane RP/0//CPU0:router(config-mpp)# inband RP/0//CPU0:router(config-mpp-inband)# interface loopback0 RP/0//CPU0:router(config-mpp-inband-Loopback0)# allow snmp RP/0//CPU0:router(config-mpp-inband-Loopback0)# commit RP/0//CPU0:router(config-mpp-inband-Loopback0)# exit RP/0//CPU0:router(config-mpp-inband)# exit RP/0//CPU0:router(config-mpp)# exit RP/0//CPU0:router(config-ctr)# exit RP/0//CPU0:router(config)# exit RP/0//CPU0:router# show mgmt-plane inband interface loopback0 Management Plane Protection - inband interface interface - Loopback0 snmp configured - All peers allowed RP/0//CPU0:router(config)# commit
ここでは、合法的傍受の実装に関連する参考資料について説明します。
関連項目 |
ドキュメント名 |
---|---|
合法的傍受コマンド |
『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』 |
SNMP の実装 |
『Cisco ASR 9000 Series Aggregation Services Router System Management Configuration Guide』 |
SNMP サーバ コマンド |
『Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference』 |
標準 |
タイトル |
---|---|
サードパーティ機器と容易に通信してサービス プロバイダーの合法的傍受の要件を満たすシンプルな実装を目的に設計されたモジュール式のオープン アーキテクチャ。 |
RFCの RFC-3924 を参照してください。 |
ネットワーク デバイス間での管理情報の交換を容易にするアプリケーション層プロトコル。 伝送制御プロトコル/インターネット プロトコル(TCP/IP)プロトコル スイートの一部。 |
『Simple Network Management Protocol Version 3 (SNMPv3)』 |
MIB |
MIB リンク |
---|---|
Cisco IOS XR ソフトウェアを使用して MIB を検出およびダウンロードするには、URL(http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml)にある Cisco MIB Locator を使用して、[Cisco Access Products] メニューでプラットフォームを選択します。 |
RFC |
タイトル |
---|---|
RFC-3924 |
『Cisco Architecture for Lawful Intercept in IP Networks』 |
説明 |
リンク |
---|---|
シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。 Cisco.com に登録済みのユーザは、このページからログインして詳細情報にアクセスできます。 |