連邦情報処理標準（FIPS）発行 140-2、暗号化モジュールのセキュリティ要件では、暗号化モジュールの米国政府要件が詳述されています。FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。

FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。

FIPS には、次の注意事項および制約事項が適用されます。

• FIPS が有効になっている場合、FIPS はCisco Application Policy Infrastructure Controller（APIC）全体に適用されます。

• FIPS が有効の場合は、Cisco APIC を FIPS がサポートされていないリリースにダウングレードする前に、FIPS を無効にする必要があります。

• パスワードは最小限 8 文字の長さで作成してください。

• Telnet をディセーブルにします。SSH のみを使用してログインします。

• SSH サーバーの RSA1 キー ペアすべてを削除してください。

• セキュア シェル（SSH） および SNMP がサポートされます。

• SNMP v1 および v2 をディセーブルにしてください。SNMPv3 に対して設定された、スイッチ上の既存ユーザ- アカウントのいずれについても、認証およびプライバシー用 AES3 は SHA でのみ設定されていなければなりません。

• 2.3(1) 以降のリリースでは、FIPS はスイッチレベルで構成できます。

• 3.1(1) 以降のリリースでは、FIP が有効になっている場合、NTP は FIPS モードで動作します。FIPS モードでは、NTP は HMAC-SHA1 による認証ありと認証なしをサポートしています。

• 5.2(3) 以前のリリースでは、Cisco APIC で FIPS を有効にした後、デュアルスーパーバイザ スパインスイッチを 2 回再読み込みして FIPS を有効にします。

• 5.2(4) 以降のリリースでは、Cisco APIC で FIPS を有効にした後、デュアルスーパーバイザ スパインスイッチを再読み込みしてから電源を入れ直し、FIPS を有効にします。

• 5.2(3) 以前のリリースでは、FIPS が有効になっているデュアルスーパーバイザ スパインスイッチで、すべてのスーパーバイザを交換した場合、FIPS を有効にするためにスパインスイッチを 2 回再読み込みする必要があります。

• 5.2(4) 以降のリリースでは、FIPS が有効になっているデュアルスーパーバイザ スパインスイッチで、すべてのスーパーバイザを交換した場合、スパインスイッチを再読み込みしてから、FIPS を有効にするために電源を再投入する必要があります。

• 5.2(3) 以前のリリースでは、RADIUS および TACACS+ リモート認証方式を無効にします。FIPS モードでは、ローカルおよび LDAP 認証方法のみがサポートされています。

• 5.2(4) 以降のリリースでは、RADIUS、TACACS+、RSA、DUO、OAuth2、および SAML リモート認証方式を無効にします。FIPS モードでは、ローカルおよび LDAP 認証方法のみがサポートされています。