セキュリティ機能の概要
セキュリティ機能は次のとおりです。
-
ACL および RADIUS Filter-Id 属性を使った IEEE 802.1x 認証。
-
管理インターフェイス(デバイス マネージャ、Network Assistant、CLI)へのパスワード保護付きアクセス(読み取り専用および読み書きアクセス)。不正な設定変更を防止します。
-
セキュリティ レベル、通知、および対応するアクションを選択できる、マルチレベル セキュリティ。
-
セキュリティを確保できるスタティック MAC アドレッシング。
-
保護ポート オプション。同一スイッチ上の指定ポートへのトラフィック転送を制限します。
-
ポートにアクセスできるステーションの MAC アドレスを制限または特定するポート セキュリティ オプション。
-
VLAN 認識ポート セキュリティ オプション。違反の発生時にポート全体をシャットダウンするのではなく、そのポート上の VLAN をシャットダウンします。
-
ポート セキュリティ エージング。ポートのセキュア アドレスにエージング タイムを設定します。
-
指定した入力割合を超えたパケットをドロップして、スイッチへの着信プロトコル トラフィックの割合を制御する、プロトコル ストーム プロテクション。
-
BPDU ガード。無効なコンフィギュレーションが発生した場合に、PortFast が設定されているポートをシャットダウンします。
-
標準および拡張 IP アクセス コントロール リスト(ACL)は、レイヤ 2 インターフェイス(ポート ACL)でのインバウンドなセキュリティ ポリシーを定義します。
-
MAC 拡張アクセス コントロール リスト。レイヤ 2 インターフェイスの着信方向のセキュリティ ポリシーを定義します。
-
信頼できないホストと DHCP サーバの間の信頼できない DHCP メッセージをフィルタリングする DHCP スヌーピング。
-
不正な ARP 要求や応答を同じ VLAN 上のその他のポートにリレーしないことにより、スイッチに対する悪意のある攻撃を回避するためのダイナミック ARP インスペクション。
-
IEEE 802.1x ポートベース認証。不正なデバイス(クライアント)によるネットワーク アクセスを防止します。次の 802.1x 機能がサポートされます。
-
シングルホスト、マルチホスト、マルチ認証、およびマルチドメイン認証モードのサポート。
モード
説明
単一ホスト
認証できるホストは 1 つだけです。複数のクライアントが認証を試みると、セキュリティ違反が発生します。
複数ホスト
最初のホストのみが認証を必要とします。残りのホストは認証なしでアクセスできます。
マルチ認証
すべてのクライアントが認証される必要があります。
マルチドメイン認証
1 つの VoIP クライアントと 1 つのデータクライアントが認証を許可されます。複数のクライアントが認証を試みると、セキュリティ違反が発生します。
-
データ装置と IP Phone などの音声装置(シスコ製品またはシスコ以外の製品)の両方が、同じ IEEE 802.1x 対応スイッチ ポートにおいて、単独で認証できるようにするマルチドメイン認証(MDA)。
-
MDA のダイナミック音声 VLAN(仮想 LAN)。ダイナミック音声 VLAN が MDA 対応ポートで可能になります。
-
VLAN 割り当て。802.1x 認証ユーザを特定の VLAN に制限します。
-
マルチ認証モードで設定されたポートでの VLAN 割り当てのサポート。RADIUS サーバは、ポートで最初に認証されるホストに VLAN を割り当て、後続のホストは同じ VLAN を使用します。音声 VLAN 割り当ては、1 つの IP Phone に対してサポートされます。
-
音声 VLAN。ポートが許可ステートか無許可ステートかにかかわらず、Cisco IP Phone の音声 VLAN へのアクセスを許可します。
-
IP Phone 検出機能拡張。Cisco IP Phone を検出し識別します。
-
ゲスト VLAN。802.1x に適合しないユーザに限定的なサービスを提供します。
-
制限付き VLAN。802.1x に準拠はしているが、標準の 802.1x で認証するためのクレデンシャルを持っていないユーザに制限付きのサービスを提供します。
-
802.1x アカウンティング。ネットワーク使用をトラッキングします。
-
802.1x と LAN の Wake-on-LAN(WoL)機能。休止状態の PC に、特定のイーサネット フレームを送信して起動させます。
-
802.1x 準備状態チェック。スイッチで IEEE 802.1x を設定する前に、接続されたエンド ホストの準備状態を判断します。
-
セキュリティ違反が発生した VLAN だけでトラフィック違反アクションを適用するための音声認識 802.1x セキュリティ。
-
MAC 認証バイパス(MAB)。クライアント MAC アドレスに基づいてクライアントを許可します。
-
デバイスのネットワーク アクセスを許可する前の、エンドポイント システムやクライアントのウイルス対策の状態またはポスチャに関する Network Admission Control(NAC)レイヤ 2 802.1x 検証。
-
802.1X スイッチ サプリカントを持つ Network Edge Access Topology(NEAT)、CISP を使ったホスト認証、および自動イネーブル化。これらにより、別のスイッチへのサプリカントとして、配線クローゼットの外のスイッチが認証されます。
-
認証される前にネットワークへのアクセスをホストに許可するための、オープン アクセスを使用した IEEE 802.1x。
-
リダイレクト URL を使用した IEEE 802.1x 認証。RADIUS サーバーまたは Cisco Identity Services Engine(ISE)から認証されたスイッチへのユーザー単位の ACL ダウンロードを使用できるようになります。
-
新しいホストを認証するときに、ポートが思考する認証メソッドの順序を設定するための柔軟な認証シーケンス。
-
-
TACACS+。IPv4 および IPv6 対応の TACACS サーバを介してネットワーク セキュリティを管理する独自の機能。
-
認証、許可、およびアカウンティング(AAA)サービスを使用して、リモートユーザの ID の検証、アクセスの許可、アクションの追跡を実行するための RADIUS。
-
RADIUS、TACACS+、および SSH の機能拡張。
-
ACL および RADIUS Filter-Id 属性を使った IEEE 802.1x 認証。
-
RADIUS 認証の変更(CoA)。特定のセッション認証された後で、その属性を変更します。AAA でユーザ、またはユーザ グループのポリシーに変更がある場合、管理者は Cisco Identity Services Engine または Cisco Secure ACS などの AAA サーバから、RADIUS CoA パケットを送信し、新しいポリシーに適用することができます。
-
IEEE 802.1x User Distribution。さまざまな VLAN にわたってユーザをロード バランシングすることにより、(ユーザ グループに対して)複数の VLAN を使った配置で、ネットワークのスケーラビリティを向上させることができます。認証されたユーザは、RADIUS サーバにより割り当てられた、グループ内で最も空いている VLAN に割り当てられます。
-
クリティカル VLAN のサポート:AAA サーバーが到達不能になった場合に、重要なリソースへのアクセスを許可するために、マルチホスト/マルチ認証対応ポートが重要な VLAN に配置されます。
-
ポート ホスト モードを変更し、オーセンティケータのスイッチ ポートに標準ポート設定を適用するために Network Edge Access Topology(NEAT)をサポート。
-
MAC 認証バイパス(MAB)を使用した MAC アドレスベースの認証。認証済みホストは、許可されていない VLAN からのネットワークアクセスを防止するために、ダイナミック VLAN に移動されます。
-
MAC 移動。モビリティのイネーブル化を制約することなく、ホスト(IP Phone の背後で接続されたホストを含む)が同じスイッチ内のポート間を移動できるようになります。MAC 移動では、もう 1 つのポートに同じ MAC アドレスが再登場した場合、スイッチはこれをまったく新しい MAC アドレスと同様に扱います。
-
簡易ネットワーク管理プロトコル バージョン 3(SNMPv3)を使った 3DES および AES のサポート。このリリースでは、168 ビットの Triple Data Encryption Standard(3DES)と、SNMPv3 への 128 ビット、192 ビット、および 256 ビットの Advanced Encryption Standard(AES)暗号化アルゴリズムに対するサポートが追加されます。
-
Cisco TrustSec SXP プロトコルはサポートされていません。