次の図は、セキュアな TACACS+ アーキテクチャを示しています。

次の図は、トンネルの確立とパケット暗号化を表したものです。

次の図は、パケットの復号について説明したものです。

次の手順では、IPSec を介して TACACS+ データセキュリティを実現するためのパケットフローについて説明します。

1. TACACS+/アプリケーションは、最初の TCP-SYN パケットの形式で TACACS+ サーバーとの TCP 接続を開始します。

2. SYN パケットは TUN インターフェイスにルーティングされ、ローカルコンテキストで IpsecMgr によって直接読み取られます。

3. IpsecMgr は、ACL と照合するために TCP-SYN パケットを NPUSIM の最初のインスタンスに送信します。

   1. ACL エントリが TCP-SYN パケットと一致する場合、パケットを IpsecMgr またはローカルに送り返します。

   2. パケットが ACL エントリと一致しない場合、NPUSIM はパケットの暗号化を回避して、ローカル管理インターフェイスにパケットを送信します。

4. IpsecMgr またはローカルコンテキストは、ACL との照合の後に NPUSIM からパケットを受信します。ローカルコンテキストで作成されたローカル raw ソケットを使用して IKE-INIT/IKE-AUTH パケットを交換することで、ピアとの IPSec トンネルの形成をトリガーします。

5. 最初の TCP-SYN パケットは、IPSec トンネルの作成をトリガーした後、IpsecMgr またはローカルでドロップされます。

6. TACACS+ やアプリケーションが別の TCP-SYN パケットを送信し、ステップ 2 ～ 3b が繰り返されます。

7. IpsecMgr は ACL との照合の後に NPUSIM から 2 番目の TCP-SYN パケットを受信すると、トンネルはすでに確立されているため、TCP-SYN パケットを暗号化し、IpsecMgr やローカルによってローカルコンテキストで作成された ESP raw ソケットを介してパケットを送信します。

8. IpsecMgr は、管理ポートを介してローカルコンテキストの ESP raw ソケットから送られてきた ESP パケットもリッスンします。

9. IpsecMgr やローカルで ESP パケットを受信すると、SA フロー処理のために ESP パケットを NPUSIM に送信します。

10. SA フローが NPUSIM で一致する場合、ESP パケットはパケットの復号を行う IpsecMgr またはローカルに送信されます。

11. このパケットは、TACACS+ クライアントから TACACS+ サーバーに送信された 2 番目の TCP-SYN パケットの応答である TCP-SYN-ACK の可能性があります。

12. 復号されたパケットは、TACACS+ またはアプリケーションに返送されたときの送信元の TUN インターフェイスに返送されます。

13. 双方向通信は、TCP-ACK パケットを送信する TACACS+ またはアプリケーションによって確立されます。上記の手順は、後続のすべてのパケットのデータセキュリティを実現するために繰り返されます。

IPsec トンネルは、アクティブの TACACS+ クライアントと TACACS+ サーバーアプリケーションの間で確立されます。スタンバイと TACACS+ サーバー間には IPsec トンネルは確立されません。通常のシナリオでは、IPsec エンドポイントが情報（ハートビート）メッセージを交換して、IPsec トンネルの正常性を確認します。アクティブ VNF がダウンした場合、TACACS+ サーバーの IPSec エンドポイントは、アクティブ VNF の IPSec エンドポイントのデッドピア検出（DPD）によりそれを検出します。DPD タイムアウトも設定可能です。DPD は、TACACS+ サーバー側でトンネルのクリアをトリガーします。スタンバイ VNF がアクティブに戻り、TACACS+ アプリケーションが TACACS+ サーバーアプリケーションとのデータ交換を開始すると、新しいアクティブ VNF と TACACS+ サーバー間に新しい IPsec トンネルが確立されます。

この機能には次の既知の制限事項があります。

• IPv6 を使用する TACACS+ は、IPv6 トンネルエンドポイントを使用する IPSec ではサポートされません。ただし、IPSec を使用しない場合は、IPv6 を使用する TACACS+ がサポートされます。また、IPv4 を使用する TACACS+ は、IPv4 トンネルエンドポイントを使用する IPSec の有無にかかわらずサポートされます。

• ローカルコンテキストの暗号マップは、Day-0/Day-1 設定の一部として事前設定する必要があります。つまり、ローカルコンテキストの暗号マップがある場合は、他のコンテキストで暗号マップを設定する前に、ローカルコンテキストで暗号マップを設定する必要があります。

StarOS/VNF で TACACS+ をプロビジョニングするための設定は、非 CUPS アーキテクチャでの設定と同じです。ただし、「IPSec トンネルモード」でトンネルを確立するには、src-ip をプロビジョニングする必要があります。TACACS+ 通信用に追加の送信元 IP アドレス（src_ip ）を 1 つ予約し、その通信を保護する必要があります。

「IPSec トランスポートモード」でトンネルを確立する場合、追加の src-ip をプロビジョニングする必要はありません。管理インターフェイス IP アドレスは src-ip として選択されます。

以下に設定例を示します。

configure 
   context context_name 
      tacacs mode 
         server priority priority_number ip-address server_ip_address password text_password src_ip 
         accounting command 
         authorization prompt 
      #exit 
   aaa tacacs+ 
end 

次の設定により、すべての IKE/ESP パケットがユーザースペースの IPSec マネージャまたはローカルで処理されます。非ローカルコンテキストや VPP、IFtask、NPU などの基盤となるデータプレーンの IPSec マネージャでは処理されません。

configure 
   require crypto ikev1-acl software context context 
   require crypto ikev2-acl software context context 
end 

次の設定例では、トンネルモードのローカルコンテキストでクリプトマップを作成します。209.165.201.1 と 209.165.200.225 は、それぞれ TACACS+ サーバーとクラアントの IP アドレスと見なされます。

（注）	現在、トンネルモードは IKEv2 でのみサポートされています。

configure
  context local
    ip access-list foo
      permit ip 209.165.200.225 1 0.0.0.0 209.165.201.1 0.0.0.0
    #exit
    ipsec transform-set B-foo
      group 14
    #exit
    ikev2-ikesa transform-set ikesa-foo
      group 14
    #exit
    crypto map foo ikev2-ipv4
      match address foo
      authentication local pre-shared-key encrypted key EncryptedKey1
      authentication remote pre-shared-key encrypted key EncryptedKey2
      ikev2-ikesa max-retransmission 3
      ikev2-ikesa retransmission-timeout 2000
      ikev2-ikesa transform-set list ikesa-foo
      ikev2-ikesa rekey
      payload foo-sa0 match ipv4
        ipsec transform-set list B-foo
        rekey keepalive
      #exit
      peer 209.165.200.226
      ikev2-ikesa policy error-notification
    #exit
    interface local1
      ip address 209.165.200.227 255.255.255.224
      ipv6 address 2001:420:2c7f:f620::83/64 secondary
      crypto-map foo
    #exit

次の設定例では、209.165.200.229 が TACACS+ サーバーの IP アドレスと見なされるトランスポートモードのローカルコンテキストでクリプトマップを作成します。

（注）	現在、トランスポートモードは IKEv1 でのみサポートされています。

configure
  context local
    ip access-list foo
      permit tcp 209.165.200.228 0.0.0.0 209.165.200.229 0.0.0.0
    #exit
    ip routing shared-subnet
    ikev1 keepalive dpd interval 3600 timeout 10 num-retry 3
    crypto ipsec transform-set A-foo esp hmac sha1-96 cipher aes-cbc-128
      mode transport
    #exit
    ikev1 policy 1
    #exit
    crypto map foo ipsec-ikev1
      match address foo
      set peer 209.165.200.229
      set ikev1 encrypted preshared-key EncryptedKey1
      set pfs group2
      set transform-set A-foo
    #exit
    interface local1
      ip address 209.165.200.228 255.255.255.224
      ipv6 address 2001:420:2c7f:f620::84/64 secondary
      crypto-map foo
    #exit

この機能をサポートするために、次の show CLI コマンドを使用できます。

• show crypto map

• show crypto ikev2-ikesa security-associations summary

• show crypto ikev1 security-associations summary

• show crypto statistics

• show crypto ipsec security-associations summary