IPSec VPN SPA モジュール搭載 Catalyst 6500 シリーズ ...マニュアルの内容 2 IPSec...

OL-10353-02-JCopyright © 2006. Cisco Systems, Inc. All rights reserved.

Corporate Headquarters: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA 95134-1706 USA

IPSec VPN SPA モジュール搭載 Catalyst 6500 シリーズスイッチおよび Cisco 7600 シリーズルータセキュリティポリシー Version 1.2

このセキュリティポリシーは、IPSec VPN SPA モジュールを搭載した Catalyst 6506、Catalyst 6506-E、

Catalyst 6509、Catalyst 6509-E スイッチ、および Cisco 7606/Cisco 7609 ルータに対応した一般的な暗

号モジュールセキュリティポリシーです。

• シャーシハードウェアバージョン

－ Catalyst 6506 スイッチ

－ Catalyst 6506-E スイッチ

－ Catalyst 6509 スイッチ

－ Catalyst 6509-E スイッチ

－ Cisco 7606 ルータ

－ Cisco 7609 ルータ

• バックプレーンハードウェアバージョン

－ 1.0（Catalyst 6506-E スイッチ、Cisco 7606 ルータ、Cisco 7609 ルータ）

－ 1.1（Catalyst 6509-E スイッチ）

－ 3.0（Catalyst 6506 スイッチ、Catalyst 6509 スイッチ）

• スーパーバイザブレードハードウェアバージョン

－ SUP720-3B バージョン 4.1

－ SUP720-3BXL バージョン 4.0

• IPSec VPN SPA モジュールハードウェアバージョン 1.0

• ファームウェアバージョン — Cisco IOS 12.2(18)SXE2、イメージファイル名 s72033-adventerprisek9_wan-mz.122-18.SXE2

このセキュリティポリシーは、IPSec VPN SPA モジュール搭載の Catalyst 6500 シリーズスイッチ、

および Cisco 7606/Cisco 7609 ルータが FIPS 140-2 のセキュリティ要件を満たす仕組み、およびセ

キュア FIPS 140-2 モードでのハードウェアデバイスの動作方法について説明します。このポリシー

は、IPSec VPN SPA モジュール搭載の Catalyst 6500 シリーズスイッチ、および Cisco 7606/Cisco

7609 ルータに関する Level 2 FIPS 140-2 検証の一部として作成されました。このマニュアルは自由

に配布できます。

マニュアルの内容

2IPSec VPN SPA モジュール搭載 Catalyst 6500 シリーズスイッチおよび Cisco 7600 シリーズルータセキュリティポリシー Version 1.2

OL-10353-02-J

FIPS 140-2（Federal Information Processing Standards Publication 140-2—Security Requirements for

Cryptographic Modules）には、米国政府が規定した暗号モジュールに関する要件が記載されていま

す。FIPS 140-2 標準および検証プログラムの詳細については、NIST Web サイト（http://csrc.nist.gov/

cryptval/）を参照してください。

マニュアルの内容このマニュアルで説明する内容は、次のとおりです。

• 関連資料（p.3）

• マニュアルの構成（p.3）

• Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータ（p.4）

• Catalyst 6500 シリーズ、Cisco 7606、および Cisco 7609 暗号モジュール（p.7）

• ロールおよびサービス（p.12）

• Catalyst 6500 シリーズスイッチへの不透明シールドの取り付け（p.14）

• Cisco 7600 シリーズルータへの不透明シールドの取り付け（p.19）

• 物理的なセキュリティ（p.22）

• 暗号鍵の管理（p.25）

• セルフテスト（p.29）

• Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータのセキュアな動作（p.30）

• マニュアルの入手方法（p.33）

• シスコ製品のセキュリティ（p.34）

• Cisco Product Alerts および Cisco Field Notices（p.35）

• テクニカルサポート（p.35）

• その他の資料および情報の入手方法（p.38）

http://csrc.nist.gov/cryptval/

http://csrc.nist.gov/cryptval/

関連資料


OL-10353-02-J

関連資料このマニュアルでは、リストされた Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609

ルータの動作および機能のみについて、FIPS 140-2 暗号モジュールセキュリティポリシーの技術用

語を使って説明しています。Catalyst 6509 スイッチと Cisco 7606/Cisco 7609 ルータ、および Catalyst

6500 シリーズスイッチと Cisco 7600 シリーズルータ全体の詳細については、次の資料を参照して

ください。

• Catalyst 6500 シリーズスイッチ製品の説明については、次の URL を参照してください。

• http://www.cisco.com/en/US/products/hw/switches/ps708/index.html

• Cisco 7600 シリーズルータ製品の説明については、次の URL を参照してください。

• http://www.cisco.com/en/US/products/hw/routers/ps368/index.html

• 技術または販売に関連する質問については、シスコシステムズの Web サイト（www.cisco.com）

に記載されている連絡先にお問い合わせください。

• モジュールの技術または販売に関連する質問については、NIST Validated Modules Web サイト

（http://csrc.nist.gov/cryptval）を参照してください。

マニュアルの構成セキュリティポリシーに関するこのマニュアルは、FIPS 140-2 Submission Package に含まれていま

す。Submission Package には、次のマニュアルも付属しています。

• 『Vendor Evidence』

• 『Finite State Machine』

• 参照用のその他のサポートマニュアル

このマニュアルでは、Catalyst 6506、Catalyst 6506-E、Catalyst 6509、Catalyst 6509-E スイッチ、およ

び Cisco 7606/Cisco 7609 ルータの概要、およびモジュールのセキュアな設定方法と操作方法を記載

しています。このあとの「Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータ」で

は、使用可能な Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータの一般的な機能

について詳しく説明します。「Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータの

セキュアな動作」では、主に FIPS 承認の動作モードを開始するために必要な設定について説明し

ます。

この一般的なセキュリティポリシーを除く FIPS 140-2 Validation Submission のマニュアルはシスコ

が所有権を保持しており、適切な機密保持契約下においてのみリリースすることが可能です。これ

らのマニュアルの入手方法については、シスコシステムズにお問い合わせください。

http://www.cisco.com/en/US/products/hw/switches/ps708/index.html

http://www.cisco.com/en/US/products/hw/routers/ps368/index.html

www.cisco.com

http://csrc.nist.gov/cryptval

Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータ


OL-10353-02-J

Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータブランチオフィスネットワーキングの要件は飛躍的に進化しています。Web および e- コマースア

プリケーションによって生産性が向上し、音声とデータのインフラストラクチャの統合によってコ

ストが削減されています。IPSec VPN SPA モジュール搭載の Catalyst 6500 シリーズスイッチおよび

Cisco 7606/Cisco 7609 ルータは、ブランチオフィスに汎用性、統合、セキュリティを提供します。

シスコ製ルータのモジュラアーキテクチャでは多数のネットワークモジュールおよびサービスモ

ジュールを使用することができ、インターフェイスをアップグレードしてネットワークを拡張する

作業を簡易化します。Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータを使用す

ると、FIPS 140-2 Level 2 要件を満たす、スケーラブルでセキュアな管理可能リモートアクセスサー

バを、マルチチップスタンドアロンモジュールとして使用することができます。

各シャーシは、暗号処理を実行するための IPSec VPN SPA モジュール、およびシャーシ全体の設定

を管理するためのスーパーバイザエンジンが搭載された、マルチチップのスタンドアロン暗号シス

テムを構成します。

IPSec VPN SPA モジュールには、466 MHz で動作する RM7065C プロセッサが搭載されています。

スーパーバイザエンジンには、250 MHz で動作する RM7000 プロセッサも搭載されています。AES

と Triple-DES 暗号化、SHA-1 ハッシュ、HMAC-SHA-1 メッセージ認証、および乱数生成などのす

べての暗号処理は、IPSec VPN SPA モジュールで実行されます。

ここでは、Catalyst 6506 と Catalyst 6506-E スイッチ（図 1 を参照）、Catalyst 6509 と Catalyst 6509-E

スイッチ（図 2 を参照）、Cisco 7606 ルータ（図 3 を参照）、および Cisco 7609 ルータ（図 4 を参照）

の一般的な機能について説明します。

図 1 Catalyst 6506 および Catalyst 6506-E スイッチ

1545

72

IPSec VPNSPA

SUPERVISOR2

WS-X6K-SUP2-2GE

STATU

S

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLEPORTMODE

PCMCIA EJECT

PORT 1 PORT 2

Switch Load 100%

1%

LINK

LINK

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

1

2

3

FANSTATUS

4

5

6



OL-10353-02-J

図 2 Catalyst 6509 および Catalyst 6509-E スイッチ

図 3 Cisco 7606 ルータ15

4573

FANSTATUS

1

2

3

4

5

6

7

8

9

IPSec VPNSPA

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLEPORTMODE

PCMCIA EJECT

PORT 1 PORT 2

Switch Load 100%

1%

LINK

LINK

SPA-IPSEC-2GVPN SERVICES SPA

STAT

US


STAT

US

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLEPORTMODE

PCMCIA EJECT

PORT 1PORT 2

Switch Load 100%

1%

LINK

LINK

1545

74

4

5

6

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

IPSec VPNSPA



OL-10353-02-J

図 4 Cisco 7609 ルータ

FANSTATUS

1545

75

SU

PE

RV

ISO

R2

WS

-X6K

-SU

P2-2G

E

STATUSSYSTEMCONSO

LEPWR M

GM

T

RESET

CO

NS

OLE

CO

NS

OLE

PO

RT

MO

DE

PC

MC

IAE

JEC

T

PO

RT

1P

OR

T 2

Sw

itch Load 100%

1%

LINKLINK


STATUS


STATUS

IPSec VPNSPA

Catalyst 6500 シリーズ、Cisco 7606、および Cisco 7609 暗号モジュール


OL-10353-02-J


暗号境界の定義には、以下が含まれます。

• シャーシの上面、前面、左右の側面、および底面

• ネットワークモジュールやサービスモジュールを搭載しない設計になっている、シャーシ

バックプレーンの各部

• 承認された暗号機能を実行しないネットワークモジュールやサービスモジュール、または電

源モジュールによって占有される、シャーシ内の三次元スペースのインバース

• ネットワークモジュールまたはサービスモジュールと、これらのモジュールを装着するマザー

ボードおよびドータボードの接続装置

図 1 ～ 4 では、暗号境界はシャーシの周りの黒い境界線で示されています。

承認された暗号機能を実行しないネットワークモジュールやサービスモジュール自体は、暗号境

界に含まれません。つまり、暗号境界には、搭載されている非承認の暗号ネットワークモジュール

やサービスモジュール、および電源サブモジュールを除く、シャーシ内のすべてのハードウェア

コンポーネントが含まれます。現在利用できるサービスモジュールには、Network Access Module

（NAM）、ファイアウォールサービスモジュール、および IPSec VPN SPA モジュールなどがありま

す。このマニュアルに記載されているすべての機能は、この暗号境界内のコンポーネントによって

提供されます。

サービスモジュールを FIPS 承認モードで動作させるには、専用の不透明シールドを吸気口の上に

取り付ける必要があります。このシールドを装着すると、吸気口の表面積が小さくなり、FIPS 承認

の仕様に適合する範囲内で暗号境界内部の可視性が低くなります。シールドの詳細な取り付け手順

については、このマニュアルで説明します。

Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータには、IPSec VPN SPA モジュー

ル暗号アクセラレータカードが 1 枚以上、およびスーパーバイザエンジンモジュールが 1 つ以上

搭載されます。IPSec VPN SPA モジュールは SPA キャリアに装着して、シャーシモジュールスロッ

トに取り付けます。

IPSec VPN SPA モジュール搭載の Catalyst 6500 シリーズおよび Cisco 7606/Cisco 7609 ルータは、

IPSec、レイヤ 2 転送、レイヤ 2 トンネリングプロトコルを使用したトンネリング、データ暗号化、

およびリモートアクセス WAN の終端などの Cisco IOS 機能が装備されているため、Virtual Private

Network（VPN; バーチャルプライベートネットワーク）やアウトソーシングダイヤルソリュー

ションを構築するための最適なプラットフォームになります。RISC ベースプロセッサは、リモー

トブランチオフィスの動的な要件を満たすために必要な機能を提供します。



OL-10353-02-J

モジュールインターフェイス

スイッチおよびルータシャーシの物理インターフェイスは、Supervisor Engine 720 の前面パネルに

装備されています（図 5 を参照）。Supervisor Engine 720 にはコンソールポートが 1 つ、RJ-45 10/

100/1000 イーサネットポートが 1 つ（および複数のリンク LED）、SFP トランシーバモジュールを

利用するギガビットイーサネットポートが 2 つ、コンパクトフラッシュメモリデバイスを装着す

る PCMCIA スロットが 2 つ、およびステータス LED が装備されています。

図 5 Supervisor Engine 720 の物理インターフェイス

Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータには、コンソールポート、固定

イーサネットインターフェイスが装備されています。Catalyst 6506/Catalyst 6506-E スイッチシャー

シおよび Cisco 7606 ルータシャーシには、ネットワークおよびサービスモジュールスロットが 6

つ、Catalyst 6509/Catalyst 6509-E スイッチシャーシおよび Cisco 7609 ルータシャーシには 9 つ装備

されています。ネットワークモジュールはイーサネット、ATM（非同期転送モード）、シリアル、

ISDN BRI（基本インターフェイス）、および統合 CSU/DSU（チャネルサービスユニット / データ

サービスユニット）など、さまざまな LAN および WAN 接続インターフェイスをサポートし、プ

ライマリおよびバックアップ WAN 接続に使用できます。

ネットワークモジュールまたはサービスモジュールは、シャーシの前面パネル上にあるシャーシ

スロットの 1 つに取り付けます。これらのモジュールはインターフェイスによってスーパーバイザ

エンジンと直接連結し、暗号機能を実行することはできません。これらはデータ入出力物理イン

ターフェイスとしてのみ機能します。

スーパーバイザエンジンにはイーサネットアップリンクポートが 3 つ装備されています。同時に

アクティブになるのは、2 つのポートのみです（ギガビットイーサネット SFP ベースポートが 2

つ、またはギガビットイーサネット SFP ベースポートと 10/100/1000 RJ-45 ポートが 1 つずつ）。

スーパーバイザエンジンには、ローカルシステムアクセスに使用可能な、コンソール端末用 RJ-45

コネクタも 1 つ装備されています。イーサネットポートには LINK LED があります。電力は電源モ

ジュールからバックプレーンを介してモジュールに供給されます。図 5 に、スーパーバイザエンジ

ンの前面パネルの LED の位置、表 1 に LED の説明を示します。

8789

0

STATUS LED

LED

LINK LED

10/100/1000

Type II



OL-10353-02-J

表 1 スーパーバイザエンジン LED の説明

LED 色 / 状態説明

STATUS グリーンすべての診断に合格しました。モジュールは動作可能です

（標準初期化シーケンス）。

オレンジモジュールは診断を起動中または実行中です（標準初期化

シーケンス）。

過熱状態になりました（環境モニタリング中にマイナー温

度しきい値を超過しました）。

レッド診断テストに失敗しました。初期化シーケンス中に障害が

発生したため、モジュールは動作不能です。

過熱状態になりました（環境モニタリング中にメジャー温

度しきい値を超過しました）。

SYSTEM1グリーンシャーシ環境モニタがすべて OK を報告しています。

オレンジ電源モジュールまたは電源ファンに障害があります。

互換性のない電源モジュールが搭載されています。

冗長クロックに障害があります。

1 つの VTT2 モジュールに障害があるか、または VTT モ

ジュール温度マイナーしきい値を超過しました。

レッド 2 つの VTT モジュールに障害があるか、または VTT モ

ジュール温度メジャーしきい値を超過しました。

スーパーバイザエンジンの温度メジャーしきい値を超過し

ました。3

ACTIVE グリーンスーパーバイザエンジンは動作可能であり、アクティブな

状態になっています。

オレンジスーパーバイザエンジンはスタンバイモードになっていま

す。

POWER MGMT グリーンすべてのモジュールに十分な電力が供給されています。

オレンジすべてのモジュールに十分な電力が供給されていません。

PCMCIA スロットにフラッシュ PC カードが搭載されていない場合、

PCMCIA LED が点灯します。フラッシュ PC カードを搭載

すると、消灯します。

LINK グリーンポートは動作可能です。

オレンジソフトウェアによってリンクがディセーブルになっていま

す。

オレンジに点滅ハードウェア障害によってリンクが不良になり、ディセー

ブル化されました。

消灯信号が検出されません。



OL-10353-02-J

これらの物理インターフェイスがすべて FIPS 140-2 から分離されて、論理インターフェイスになり

ます（表 2 を参照）。

IPSec VPN SPA モジュール

STATUS グリーンすべての非 FIPS 関連診断テストに合格しました。モジュー

ルは動作可能です。4

レッド個別ポートテスト以外の診断テストに失敗しました。

オレンジ次のいずれかの状態を示します。

• モジュールでブートシーケンスおよびセルフテスト診

断シーケンスを実行中です。

• モジュールはディセーブル化されています。

• モジュールがシャットダウンステートになっていま

す。

消灯モジュールの電源がオフになっています。

1. 冗長スーパーバイザエンジンの SYSTEM および PWR MGMT LED は、アクティブスーパーバイザエンジンと同期しています。

2. VTT = Voltage Termination Module：電圧終端モジュール。VTT モジュールは Catalyst スイッチングバス上で信号を終端します。

3. 冗長スーパーバイザエンジンが搭載されていない場合に、VTT モジュールマイナー / メジャー過熱状態になると、システムはシャットダウンします。

4. show crypto eli コマンドを入力して、FIPS 関連セルフテストに合格したかどうかを判別してください。

表 1 スーパーバイザエンジン LED の説明（続き）

LED 色 / 状態説明

表 2 FIPS 140-2 論理インターフェイス

スイッチおよびルータの物理インターフェイス FIPS 140-2 論理インターフェイス

ギガビットイーサネットポート

SFP ポート

バックプレーンインターフェイス

コンソールポート

データ入力インターフェイス


SFP ポート



データ出力インターフェイス


SFP ポート



電源スイッチ

制御入力インターフェイス



OL-10353-02-J


ネットワークおよびサービスモジュールイン

ターフェイス



LED

ステータス出力インターフェイス

電源プラグ電源インターフェイス

表 2 FIPS 140-2 論理インターフェイス（続き）

スイッチおよびルータの物理インターフェイス FIPS 140-2 論理インターフェイス

ロールおよびサービス


OL-10353-02-J

ロールおよびサービス認証はロールベースです。ルータには、オペレータが担当できるメインロールが 2 つあります（暗

号オフィサーロールおよびユーザロール）。ルータの管理者が暗号オフィサーサービスを使用して

ルータを設定およびメンテナンスする場合は、暗号オフィサーロールを使用します。一方、ユーザ

は基本的なユーザサービスのみを使用します。いずれのロールも、有効なユーザ名およびパスワー

ドの入力によって認証されます。暗号機能および解読機能の設定は、暗号オフィサーロールの認証

を受けた暗号オフィサーのみが行います。暗号オフィサーロールの認証を受けるには、ユーザ名と

パスワードを入力します。暗号オフィサーが暗号機能および解読機能を設定したあと、ユーザは有

効なユーザ名とパスワードを入力してユーザロールの認証に成功すれば、この機能を使用できま

す。暗号オフィサーも、暗号オフィサーロールの認証を受けたあとに、暗号機能および解読機能を

使用できます。

ユーザおよび暗号オフィサーのパスワードには、文字と数字の両方を含む 8 文字以上の文字列を指

定する必要があります。この方式では、約 5,595 兆のパスワード空間が実現します。攻撃者が 100,000

回に 1 回の確率で 1 分間にランダムにパスワードを推測するには、1 秒間に 930 億のパスワードを

入力する必要があります。これは、モジュールまたはインターフェイスの処理機能をはるかに超え

ています。

モジュールでは認証用に RADIUS および TACACS+ をサポートしており、これらを FIPS モードで

使用できます。Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータのすべての管理

機能および設定機能の詳細については、『Performing Basic System Management』およびスイッチまた

はルータのオンラインヘルプを参照してください。

暗号オフィサーロール

ルータの初期設定中に、暗号オフィサーパスワード（「イネーブル」パスワード）が定義されます。

暗号オフィサーは別のアカウントに暗号オフィサーロールへのアクセス権を割り当てて、別の暗号

オフィサーを作成することができます。

暗号オフィサーロールは、ルータの設定や管理を行います。暗号オフィサーサービスの内容は次

のとおりです。

• ルータの設定 — ネットワークインターフェイスおよび設定の定義、コマンドエイリアスの作

成、スイッチまたはルータがサポートするプロトコルの設定、インターフェイスおよびネット

ワークサービスのイネーブル化、システム日時の設定、認証情報のロードを行います。

• 規則およびフィルタの定義 — ユーザデータストリームに適用されるパケットフィルタをイン

ターフェイスごとに作成します。各フィルタは一連の規則で構成されます。これらの規則は、

プロトコル ID、アドレス、ポート、TCP 接続確立、パケット転送など、許可ベースまたは拒否

ベース特性を持つ一連のパケットを定義します。

• ステータス機能 — ルータ設定、ルーティングテーブル、およびアクティブセッションを表示

します。また、Get コマンドを使用して SNMP（簡易ネットワーク管理プロトコル）MIB（管

理情報ベース）II 統計情報、状態、温度、メモリステータス、電圧、パケット統計情報の表示、

アカウンティングログの確認、および物理インターフェイスステータスの表示を実行します。

• スイッチまたはルータの管理 — ユーザのログオフ、スイッチまたはルータのシャットダウン

またはリロード、スイッチまたはルータの設定の手動バックアップ、設定全体の表示、ユーザ

権限の管理、スイッチまたはルータの設定の復元を行います。

• 設定の暗号化およびバイパス — IP トンネリングのコンフィギュレーションテーブルを設定し

ます。各 IP 範囲で使用される鍵およびアルゴリズムを設定したり、指定された IP アドレスか

らプレーンテキストパケットを設定したりすることができます。

• ポートアダプタの変更 — ポートアダプタスロットにアダプタを挿入したり、取り外したりし

ます。

ロールおよびサービス


OL-10353-02-J

ユーザサービス

ユーザがシステムに入るには、端末プログラムを使用するか、または IPSec で保護された Telnet セッ

ションまたは LAN ポートへの SSH（セキュアシェル）セッションを介して、コンソールポートに

アクセスします。Cisco IOS によって、パスワードの入力が求められます。パスワードが正しけれ

ば、Cisco IOS 実行プログラムの開始が許可されます。ユーザサービスの内容は次のとおりです。

• ステータス機能 — インターフェイスの状態、レイヤ 2 プロトコルの状態、現在実行中の CiscoIOS のバージョンを表示します。

• ネットワーク機能 — 他のネットワークデバイスに接続し（発信 Telnet または PPP を使用）、診

断ネットワークサービス（ping、mtrace）を開始します。

• 端末機能 — 端末セッションを調整します（端末のロック、フロー制御の調整など）。

• ディレクトリサービス — フラッシュメモリに保持されているファイルのディレクトリを表示

します。

Catalyst 6500 シリーズスイッチへの不透明シールドの取り付け


OL-10353-02-J

Catalyst 6500 シリーズスイッチへの不透明シールドの取り付けCatalyst 6500 シリーズの不透明シールドは、システムの動作中に取り付けても、システムに電気的

な事故や破損が生じないように設計されています。ここに記載された手順を実行するには、隣の

ラックとの間に、ある程度の隙間を設けることが必要です。この手順は、次の Catalyst 6500 シリー

ズスイッチで使用します。

• Catalyst 6506 スイッチ

• Catalyst 6506-E スイッチ

• Catalyst 6509 スイッチ

• Catalyst 6509-E スイッチ

（注）不透明シールドの製品番号は、保護パッケージの外側に記載されています。

Catalyst 6500 シールドスイッチに不透明シールドを取り付ける手順は、次のとおりです。

ステップ 1 不透明シールドは、ラックに搭載済みの Catalyst 6500 シリーズスイッチに取り付けるように設計さ

れています。Catalyst 6500 シリーズスイッチシャーシがラックに搭載されていない場合は、『Catalyst

6500 Series Switches Installation Guide』に記載された手順に従って、シャーシをラックに搭載してく

ださい。Catalyst 6500 シリーズスイッチシャーシがラックに搭載されている場合は、ステップ 2 に

進んでください。

ステップ 2 FIPS キットパッケージを開きます（製品番号 CVPN6500FIPS/KIT=）。キットの内容は次のとおり

です。

• Catalyst 6506 および Catalyst 6506-E スイッチシャーシ用のインストレーションハードウェアを

含む、パッケージ化された不透明シールドアセンブリ（製品番号 800-27009）

• Catalyst 6509 および Catalyst 6509-E スイッチシャーシ用のインストレーションハードウェアを

含む、パッケージ化された不透明シールドアセンブリ（製品番号 800-26335）

• 60 枚の FIPS 変更証明ラベルが含まれたエンベロープ

• 使い捨て静電気防止用リストストラップが含まれたエンベロープ

ステップ 3 システムに適した不透明シールドキットを選択します。もう一方の不透明シールドは脇に置きま

す。

ステップ 4 保護パッケージを開き、不透明シールドおよびインストレーションハードウェアが含まれた 2 つの

袋を取り出します。製品番号 69-1482 の袋には E 以外のシャーシのインストレーションハードウェ

ア、もう 1 つの袋（製品番号 69-1497）には E シャーシのインストレーションハードウェアが含ま

れています。インストレーションに適したインストレーションハードウェアの袋を選んでくださ

い。もう 1 つのファスナ袋は、このインストレーション手順では使用しないので、脇に置いてくだ

さい。

ステップ 5 インストレーションハードウェアの袋を開けて、次の部品を取り出します。

• （製品番号 69-1482 の袋） — M3 取り付けネジ × 2、M3 スナップリベットファスナ × 4。スナッ

プリベットファスナは結合した状態で出荷されています。不透明シールドに取り付ける前に、

スナップリベットスリーブからスナップリベットピンを取り外して、スナップリベットファ

スナを 2 つに分解する必要があります。



OL-10353-02-J

• （製品番号 69-1497 の袋） — M4 取り付けネジ × 2、M4 スナップリベットファスナスリーブ ×4、および M4 スナップリベットピン × 4

（注）紛失または破損した場合に備えて、インストレーションハードウェアの袋には予備のス

ナップファスナが含まれています。

（注）一方の袋のインストレーションハードウェアを、別の袋のインストレーションハードウェ

アで代用することはできません。

ステップ 6 不透明シールドの対応する細長い穴に取り付けネジを差し込んで、2、3 回だけ回します。ネジを不

透明シールドに差し込みすぎないようにしてください（Catalyst 6506 および Catalyst 6506-E スイッ

チの場合は図 6、Catalyst 6509 および Catalyst 6509-E スイッチの場合は図 7 を参照）。Catalyst 6509

または Catalyst 6509-E シャーシの不透明シールドには、細長い穴の横に、シルクスクリーンで

6509-E と記してあります。Catalyst 6506 または Catalyst 6506-E シャーシの不透明シールドには、細

長い穴の横に、シルクスクリーンで 6506-E と記してあります。

ステップ 7 使い捨て静電気防止用リストストラップが入ったエンベロープを開きます。使い捨て静電気防止用

リストストラップをリストに取り付けます。リストストラップの他端を、シャーシの金属露出部

分に取り付けます。

ステップ 8 不透明シールドをシャーシの吸気口にかぶせて、不透明シールドの 2 本の取り付けネジをシャーシ

の未使用の L 字型ブラケットネジ穴に合わせます。

ステップ 9 不透明シールドをシャーシの吸気口にしっかり押し当てて、手で 2 本の取り付けネジを締め、不透

明シールドをシャーシに固定します。

ステップ 10 リベットスリーブを不透明シールドの正方形の穴の 1 つ（E 以外のシャーシ）、または丸い穴の 1

つ（E シャーシ）に合わせます。スナップリベットファスナの配置については、図 6 または図 7 を

参照してください。リベットスリーブを穴に差し込み、不透明シールド、およびシャーシ換気口に

通して、押し込みます。

（注）場合によっては、シャーシ換気口と位置が正しく合う別の穴がないかどうかを試してみる

必要があります。

ステップ 11 リベットピンを取り出し、カチッという音がするまで、リベットスリーブに差し込みます。

（注）カチッという音が聞こえない場合は、スナップリベットファスナを取り外して、調べてく

ださい。リベットスリーブが膨らんでいるか、または破損している場合は、スナップリベットファスナを廃棄して、インストレーションハードウェアの袋に入っている予備の

ファスナを新規に使用します。



OL-10353-02-J

ステップ 12 残りの 3 つのスナップリベットファスナに対しても、ステップ 10 およびステップ 11 の手順を行

います。スナップリベットファスナの配置については、図 6（Catalyst 6506 および Catalyst 6506-E）

または図 7（Catalyst 6509 および Catalyst 6509-E）を参照してください。

注意不透明シールドを使用している場合はエアーフローが減少するため（不透明シールドは FIPS 140-2を有効にするために必要）、GR-63-CORE で指定された 55°C の短期動作が影響を受けます。短期動

作要件に適合するのは、40°C の場合のみです。不透明シールドを取り付けていないシステムは、

55°C の短期動作要件を満たします。

注意埃がたまったり、シャーシが過熱したりすることがないように、不透明シールドは 3 カ月ごとに交

換することを推奨します。特に埃の多い環境では、不透明シールドをより頻繁に検査して、交換し

てください。

（注）ラックからシャーシを取り外す場合は、最初に不透明シールドを取り外す必要があります。不透明

シールドが取り付けられたままだと、シャーシの幅が長くなりすぎて、ラックから取り外せなくな

ります。



OL-10353-02-J

図 6 Catalyst 6506 または Catalyst 6506-E スイッチへの不透明シールドの取り付け

1447

35

INPUTOK

FANOK

OUTPUTFAIL

o

INPUTOK

FANOK

OUTPUTFAIL

o

1

2

3

FANSTATUS

4

5

6

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLEPORTMODE

PCMCIA EJECT

PORT 1 PORT 2

Switch Load 100%

1%

LINK

LINK

M-4

M-4

M-3

M-3

M-3

SPA-IPSEC-2G

VPN SERVICES SPA

STATU

S

SPA-IPSEC-2G

VPN SERVICES SPA

STATU

S



OL-10353-02-J

図 7 Catalyst 6509 または Catalyst 6509-E スイッチへの不透明シールドの取り付け

INPUTOK

FANOK

OUTPUTFAIL

o

FANSTATUS

INPUTOK

FANOK

OUTPUTFAIL

o

1

2

3

4

5

6

7

8

9

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLEPORTMODE

PCMCIA EJECT

PORT 1 PORT 2

Switch Load 100%

1%

LINK

LINK

1447

36

M-4

M-4

M-3

M-3

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

Cisco 7600 シリーズルータへの不透明シールドの取り付け


OL-10353-02-J

Cisco 7600 シリーズルータへの不透明シールドの取り付けここでは、Cisco 7606 ルータに不透明シールドを取り付ける手順について説明します。不透明シー

ルド、対応するインストレーションハードウェア、および変更証明ラベルは、Cisco 7600 FIPS キッ

ト（製品番号 CVPN7600FIPS/KIT=）に含まれています。Cisco 7606 ルータの不透明シールドは、シ

ステムの動作中に取り付けても、システムに電気的な事故や破損が生じないように設計されていま

す。ここに記載された手順を実行するには、隣のラックとの間に、ある程度の隙間を設けることが

必要です。

Cisco 7609 ルータシャーシに不透明シールドは不要です。Cisco 7609 ルータシャーシは、外部シー

ルドを取り付けなくても FIPS の不透明要件を満たします。

Cisco 7606 ルータシャーシ（図 8 を参照）に不透明シールドを取り付ける手順は、次のとおりです。

ステップ 1 不透明シールドは、ラックに搭載済みの Cisco 7606 シャーシに取り付けるように設計されています。

Cisco 7606 シャーシをラックに搭載していない場合は、『Cisco 7600 Series Router Installation Guide』

の手順に従って、シャーシをラックに搭載してください。Cisco 7606 シャーシをラックに搭載して

ある場合は、ステップ 2 に進んでください。

ステップ 2 FIPS キットパッケージを開きます（製品番号 CVPN7600FIPS/KIT=）。キットの内容は次のとおり

です。

• Cisco 7606 ルータ用の不透明シールドアセンブリ（製品番号 800-26211）。不透明シールドの製

品番号は、保護パッケージの外側に記載されています。

• インストレーションハードウェアが入っている袋（キットによっては、袋がない場合がありま

す。この場合、インストレーションハードウェアは不透明シールドに取り付けられています）

• 30 枚の FIPS 変更証明ラベルが含まれたエンベロープ、および使い捨て静電気防止用リストストラップ

ステップ 3 保護パッケージから不透明シールドを取り出します。

a. 取り付けネジおよびスナップリベットファスナがすでに不透明シールドに取り付けられてい

る場合は、不透明シールドから 4 つのスナップリベットファスナを取り外します。取り付け

ネジは、取り付けたままにしておきます。ステップ 5 に進んでください。

（注）取り付けネジが不透明シールドに差し込まれ、2、3 回だけ回転されていることを確認しま

す。

b. 不透明シールドにインストレーションハードウェアの袋（69-1483）が付属している場合は、袋

を開けて、2 本の取り付けネジおよび 4 つのスナップリベットファスナを取り出します。ス

ナップリベットファスナは結合した状態で出荷されています。取り付ける前に、スナップリベットスリーブからスナップリベットピンを取り外して、スナップリベットファスナを 2 つに分解する必要があります。ステップ 4 に進んでください。

（注）紛失または破損した場合に備えて、インストレーションハードウェアの袋には予備のス

ナップリベットファスナが入っています。

ステップ 4 不透明シールドの細長い穴に取り付けネジを差し込んで（図 8 を参照）、2、3 回だけ回します。取

り付けネジを不透明シールドに差し込みすぎないようにしてください。



OL-10353-02-J

ステップ 5 使い捨て静電気防止用リストストラップが入ったエンベロープを開きます。使い捨て静電気防止用

リストストラップをリストに取り付けます。リストストラップの一方の端を、シャーシの金属露

出部分に取り付けます。

ステップ 6 不透明シールドをシャーシの吸気口にかぶせて、不透明シールドの 2 本の取り付けネジをシャーシ

の未使用の L 字型ブラケットネジ穴に合わせます。

ステップ 7 不透明シールドをシャーシの側面にしっかり押し当てて、2 本の取り付けネジを締め、シャーシに

固定します。

ステップ 8 リベットスリーブを不透明シールドの正方形の穴の 1 つに合わせます。スナップリベットファス

ナの配置については、図 8 を参照してください。リベットスリーブを穴に差し込み、不透明シール

ド、およびシャーシ換気口に通して押し込みます。

（注）場合によっては、シャーシ換気口と位置が正しく合う別の穴がないかどうかを試してみる

必要があります。

ステップ 9 リベットピンを、カチッという音がするまで、リベットスリーブに差し込みます。

（注）カチッという音が聞こえない場合は、スナップリベットファスナを取り外して、調べてく

ださい。リベットスリーブが膨らんでいるか、または破損している場合は、スナップリベットファスナを廃棄して、ファスナ袋に含まれている予備のファスナを新規に使用しま

す。

ステップ 10 残りの 3 つのスナップリベットファスナに対しても、ステップ 8 およびステップ 9 の手順を行い

ます。

注意不透明シールドを使用している場合はエアーフローが減少するため（不透明シールドは FIPS 140-2を有効にするために必要）、GR-63-CORE で指定された 55°C の短期動作が影響を受けます。短期動

作要件に適合するのは、40°C の場合のみです。不透明シールドを取り付けていないシステムは、

55°C の短期動作要件を満たします。

注意埃がたまったり、シャーシが過熱したりすることがないように、不透明シールドは 3 カ月ごとに交

換することを推奨します。特に埃の多い環境では、不透明シールドをより頻繁に検査して、交換し

てください。

（注）ラックから Catalyst 6509 シャーシを取り外す場合は、最初に不透明シールドを取り外す必要があり

ます。不透明シールドが取り付けられたままだと、シャーシの幅が長くなりすぎて、ラックから取

り外せなくなります。



OL-10353-02-J

図 8 Cisco 7606 ルータへの不透明シールドの取り付け

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLEPORTMODE

PCMCIA EJECT

PORT 1PORT 2

Switch Load 100%

1%

LINK

LINK

4

5

6

1447

37

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

物理的なセキュリティ


OL-10353-02-J

物理的なセキュリティルータは厚いスチール製シャーシに全体が格納されています。Catalyst 6509 スイッチ、Catalyst

6509-E スイッチ、および Cisco 7609 ルータにはモジュールスロットが 9 つ、Catalyst 6506 スイッ

チ、Catalyst 6506-E スイッチ、および Cisco 7606 ルータには 6 つ装備されています。スーパーバイ

ザエンジンにはオンボード LAN コネクタおよびコンソールコネクタが、両方のモデルの電源モ

ジュールには電源コード接続部および電源スイッチが装備されています。各モジュールの内部コン

ポーネントを扱うには、スイッチまたはルータを構成する各モジュールを取り外します。

FIPS 互換モードで動作させるには、モジュールが搭載されていないシャーシスロットにスロット

カバーを取り付ける必要があります。スロットカバーは各シャーシに付属しています。シスコに追

加スロットカバーを発注することもできます。ここに記載された手順に従って、ネットワークモ

ジュールおよびサービスモジュールに変更証明ラベルを貼付します。

（注）スロットカバーに変更証明ラベルを貼付する場合も、同じ手順を使用します。

FIPS 140-2 レベル 2 要件に適合するように設定されたルータまたはスイッチを扱うには、変更の形

跡を示す仕組みが必要です。シリアル化された変更証明ラベルをシステムに貼付する手順は、次の

とおりです。

ステップ 1 清掃用のアルコールパッドを使用して、カバーからグリース、埃、オイルを除去してから、変更証

明ラベルを貼付します。シャーシの温度は、10°C（50°F）以上である必要があります。

ステップ 2 図 9（Catalyst 6506 スイッチ）、図 10（Catalyst 6509 スイッチ）、図 11（Cisco 7606 ルータ）、または

図 12（Cisco 7609 ルータ）のように、シャーシにラベルを貼付します。

a. ファントレイ — 変更証明ラベルは、ラベルの半分がファントレイの前面に、もう半分がシャー

シの左側にくるように、貼付します。ファントレイを取り外そうとすると、変更シールが破損

して、変更の形跡が残ります。

b. モジュール — シャーシに取り付けられた Supervisor Engine 720、IPSec VPN SPA モジュール、

またはブランクモジュールカバーごとに、ラベルの半分がモジュールの右側に、もう半分が

シャーシの右側にくるように、変更証明ラベルを貼付します。ファントレイを取り外そうとす

ると、変更シールが破損して、変更の形跡が残ります。

c. 不透明シールド — 不透明シールド（シャーシの右側に取り付け）には、次のように 4 つのラ

ベルを貼付する必要があります。

• ラベルの半分が不透明シールドの上部に、もう半分がシャーシ上にくるように、1 枚のラ

ベルを貼付します。

• ラベルの半分が不透明シールドの左側に、もう半分がシャーシ上にくるように、1 枚のラ


• ラベルの半分が不透明シールドの右側に、もう半分がシャーシ上にくるように、1 枚のラ


• Catalyst 6509 スイッチシャーシの場合のみ、ラベルの半分が不透明シールドの底部に、も

う半分がシャーシの右側にくるように、1 枚のラベルを貼付します。

• Cisco 7606 ルータシャーシの場合のみ、ラベルの半分が不透明シールドの底部に、もう半

分がシャーシの底部にくるように、1 枚のラベルを貼付します。

（注） Cisco 7609 ルータには不透明シールドがありません。



OL-10353-02-J

ステップ 3 図 9（Catalyst 6506 および Catalyst 6506-E スイッチ）、図 10（Catalyst 6509 および Catalyst 6509-E ス

イッチ）、図 11（Cisco 7606 ルータ）、または図 12（Cisco 7609 ルータ）のように、シャーシに取り

付けられた各スーパーバイザエンジンにラベルを貼付します。

a. ラベルの半分が PCMCIA スロット上に、もう半分が Supervisor Engine 2 前面プレート上にくる

ように、変更証明ラベルを貼付します。フラッシュ PC カードを取り付けたり、取り外したり

しようとすると、変更シールが破損して、変更の形跡が残ります。

b. ラベルの半分が、Supervisor Engine 2 ネットワークインターフェイスアップリンクポートに取

り付けられた GBIC（ギガビットインターフェイスコンバータ）トランシーバ上に、もう半分

が Supervisor Engine 2 前面プレート上にくるように、変更証明ラベルを貼付します。GBIC トラ

ンシーバを取り外そうとすると、変更シールが破損して、変更の形跡が残ります。

c. 何も取り付けられていないネットワークインターフェイスアップリンクポートを完全に覆う

ように、変更証明ラベルを貼付します。ネットワークインターフェイスアップリンクポートに

GBIC トランシーバを取り付けようとすると、変更シールが破損して、変更の形跡が残ります。

（注）変更証明ラベルの接着剤は 5 分以内に完全に固まります。

図 9 Catalyst 6506 および Catalyst 6506-E スイッチシャーシの変更証明ラベルの配置

図 10 Catalyst 6509 および Catalyst 6509-E スイッチシャーシの変更証明ラベルの配置

1447

38

INPUTOK

FANOK

OUTPUTFAIL

o

INPUTOK

FANOK

OUTPUTFAIL

o

1

2

3

FANSTATUS

4

5

6

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLE

PORT

MODEPCMCIA EJECT

PORT 1 PORT 2

Switch Load 100%

1%

LINK

LINK

SPA-IPSEC-2G

VPN SERVICES SPA

STATUS

SPA-IPSEC-2G

VPN SERVICES SPA

STATUS

FANSTATUS

INPUTOK

FANOK

OUTPUTFAIL

o

INPUTOK

FANOK

OUTPUTFAIL

o

1

2

3

4

5

6

7

8

9

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLE

PORTMODE

PCMCIA EJECT

PORT 1 PORT 2

Switch Load 100%

1%

LINK

LINK

1447

39

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US



OL-10353-02-J

図 11 Cisco 7606 ルータシャーシの変更証明ラベルの配置

図 12 Cisco 7609 ルータシャーシの変更証明ラベルの配置

SUPERVISOR2

WS-X6K-SUP2-2GE

STATUS

SYSTEM

CONSOLE

PWR M

GMT

RESET

CONSOLE

CONSOLEPORTMODE

PCMCIA EJECT

PORT 1PORT 2

Switch Load 100%

1%

LINK

LINK

1447

404

5

6

INPU

T OK

FAN O

KO

UTPU

T FAIL

Cisco Systems Inc.

INPU

T OK

FAN O

KO

UTPU

T FAIL

Cisco Systems Inc.SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

SPA-IPSEC-2G

VPN SERVICES SPA

STAT

US

1447

41

INPUTOK

FANOK

OUTPUTFAIL

o

INPUTOK

FANOK

OUTPUTFAIL

o

POWER SUPPLY 1POWER SUPPLY 2

SU

PE

RV

ISO

R2

WS

-X6K

-SU

P2-2G

E

STATUS

SYSTEM

CONSOLEPWR M

GMT

RESET

CO

NS

OLE

CO

NS

OLE

PO

RT

MO

DE

PC

MC

IAE

JEC

T

PO

RT

1P

OR

T 2

Sw

itch Load 100%1%

LINKLINK


STATUS


STATUS

暗号鍵の管理


OL-10353-02-J

変更証明シールは、特殊な薄型ビニールの裏側に接着剤が塗布されています。シャーシを開けたり、

モジュールや電源モジュール取り外したり、不透明シールドを取り外したりしようとすると、証明

変更シール、またはシャーシの塗布面や金属部が破損します。変更証明シールには重複しないシリ

アル番号が記載されているので、シールの状態を調べ、対応するシリアル番号を比較することによ

り、モジュールが変更されていないかどうかを確認することができます。変更証明シールのコー

ナーがめくれている場合や、気泡、しわ、裂け目、破れ、剥離などがある場合も、変更されている

可能性があります。ラベルが剥がれると、「OPEN」という字が見えるようになります。

暗号鍵の管理スイッチまたはルータでは、暗号鍵や、パスワードなどの重要なセキュリティパラメータが安全に

管理されます。変更証明シールを使用すると、すべての鍵を物理的に保護できます。鍵はパスワー

ドでも保護され、暗号オフィサーは鍵をゼロ化することもできます。鍵は手動で交換し、手動鍵交

換または IKE（インターネットキーエクスチェンジ）を使用して電子的に入力します。

モジュールは、FIPS 140-2 で承認されている AES と Triple-DES 暗号化、IKE と IPSec の SHA-1 ハッ

シュ、HMAC-SHA-1、および ANSI X9.31 Random Number Generation のアルゴリズムをサポートし

ます。ルータまたはスイッチが承認された動作モードになるのは、FIPS 140-2 承認のアルゴリズム

が使用されている場合のみです。アルゴリズム DES（非準拠）、MD5、HMAC-MD5、および

Diffie-Hellman（DH）は FIPS 140-2 によって承認されていません。ただし、鍵を確立する場合に DH

を使用すると、80 ビットまたは 96 ビットの暗号強度を達成できます。FIPS 動作モードでは、AES、

Triple-DES、および SHA-1 の IOS 実装を使用しないでください。

モジュールでは 2 つのタイプの鍵管理方式がサポートされます。

• 電子鍵エントリによる事前共有鍵交換。AES および Triple-DES 鍵は手動で交換し、電子的に入

力します。この鍵管理方式は Cisco IOS リリース 12.2(18)SXF でのみサポートされています。

• 事前共有鍵の手動交換および電子入力のサポートを含む IKE 方式

－ AES または Triple-DES 鍵を生成するには、事前共有鍵と DH 鍵承認技術を組み合わせて使

用します。

システムでは DH や IKE など、商用の鍵確立方式がサポートされています。詳細については、『Cisco

IOS Reference Guide』を参照してください。

すべての事前共有鍵は、鍵を作成した CO（暗号オフィサー）ロールに関連付けられ、CO ロールは

パスワードによって保護されます。したがって、CO パスワードはすべての事前共有鍵に関連付け

られます。暗号オフィサーが鍵を保存する場合は、承認を受ける必要があります。トンネルごとに

承認されたすべての DH 鍵は、IKE プロトコルのみを通じて、この特定のトンネルに直接関連付け

られます。

モジュールでは、表 3 に記載された CSP（重要セキュリティパラメータ）がサポートされています。

暗号鍵の管理


OL-10353-02-J

表 3 CSP

名前アルゴリズム説明ストレージゼロ化方式

PRNG シード X9.31 ANSI X9.31 PRNG のシードです。この

CSP は DRAM に格納され、400 バイト

生成後に定期的に更新されます。その

後、ルータから取得されたエントロピ

を使用してシードが再設定されるた

め、CSP は定期的にゼロ化されます。

オペレータはルータをオフにして、こ

の CSP をゼロ化することもできます。

DRAM（プレーン

テキスト）

400 バイトおきに

自動実行、または

スイッチやスイッ

チの電源切断

Diffie Hellman プラ

イベート指数

DH DH 交換で使用されるプライベート指

数。DH 共有秘密鍵が生成されたあと

に、ゼロ化されます。

DRAM（プレーン

テキスト）

スイッチまたは

ルータの電源切断

skeyid Keyed SHA-1 IKE 交換中に共有秘密鍵から取得され

た値

DRAM（プレーン

テキスト）



skeyid_d Keyed SHA-1 ISAKMP セキュリティアソシエーショ

ンの IKE 鍵派生鍵

DRAM（プレーン

テキスト）



skeyid_a SHA-1 HMAC ISAKMP セキュリティアソシエーショ

ン認証鍵

DRAM（プレーン

テキスト）



skeyid_e AES/Triple-DES ISAKMP セキュリティアソシエーショ

ン暗号鍵

DRAM（プレーン

テキスト）



IKE セッション暗

号鍵

AES/Triple-DES IKE セッション暗号鍵 DRAM（プレーン

テキスト）



ISAKMP 事前共有

鍵

シークレット事前共有鍵認証中に IKE skeyid を生成

するために使用される鍵。no crypto

isakmp key コマンドによってゼロ化さ

れます。この鍵は、鍵がホスト名に関

連するか、または IP アドレスに関連す

るかに基づき、2 つの形式をとります。

NVRAM（プレー

ンテキスト）

no crypto isakmp

key

IPSec 暗号鍵 AES/Triple-DES IPSec 暗号鍵。IPSec セッションが終了

すると、ゼロ化されます。

DRAM（プレーン

テキスト）



ルータ認証鍵 1 共有秘密鍵この鍵は、ピアに対してルータ自身を

認証する場合にルータで使用されま

す。ルータまたはスイッチは AAA（認

証、認可、アカウンティング）サーバ

から（この鍵として使用する）パスワー

ドを取得して、ピアに送信します。認

証試行が完了すると、AAA サーバから

取得されたパスワードはゼロ化されま

す。

DRAM（プレーン

テキスト）

認証試行の完了後

に自動実行

PPP 認証鍵 RFC 1334 PPP で使用される認証鍵。この鍵は

DRAM に格納され、実行時にゼロ化さ

れません。この鍵をゼロ化するには、

スイッチまたはルータの電源を切断し

ます。

DRAM（プレーン

テキスト）



暗号鍵の管理


OL-10353-02-J

（注）すべての RSA 動作はポリシーによって禁止されています。暗号オフィサーが実行できるコマンド

は、ゼロ化方式列にコマンドとして記載されています。

ルータ認証鍵 2 共有秘密鍵この鍵は、ピアに対してルータ自身を

認証する場合にルータで使用されま

す。この鍵は認証鍵 1 と同様ですが、

（スイッチまたはルータ上の）ローカル

データベースから取得される点が異な

ります。

コマンド no username password を発行

すると、ローカルデータベースから取

得された（この鍵として使用される）

パスワードがゼロ化されます。

NVRAM（プレー

ンテキスト）

no username

password

SSH セッション鍵さまざまな対称ア

ルゴリズム

SSH セッション鍵です。SSH セッショ

ンが終了すると、ゼロ化されます。

DRAM（プレーン

テキスト）

SSH セッションが

終了すると、自動

実行

ユーザパスワード共有秘密鍵ユーザロールのパスワード。このパス

ワードは、新しいパスワードで上書き

するとゼロ化されます。

NVRAM（プレー

ンテキストまたは

暗号化）

新しいパスワード

での上書き

イネーブルパス

ワード

共有秘密鍵 CO ロールのプレーンテキストパス

ワード。このパスワードは、新しいパ

スワードで上書きするとゼロ化されま

す。

NVRAM（プレー

ンテキスト）


での上書き

イネーブルシーク

レット

共有秘密鍵 CO ロールの暗号パスワード。このパス

ワードの暗号化に使用されるアルゴリ

ズムは、FIPS で承認されていません。

このパスワードは FIPS 用のプレーン

テキストと見なされます。このパス

ワードは、新しいパスワードで上書き

するとゼロ化されます。

NVRAM（プレー

ンテキスト）


での上書き

RADIUS シーク

レット

共有秘密鍵 RADIUS 共有秘密鍵。この共有秘密鍵

をゼロ化するには、RADIUS 共有秘密

鍵設定コマンドの no 形式を実行しま

す。

NVRAM（プレー

ンテキスト）

DRAM（プレーン

テキスト）

# no radius-server

key

TACACS+ シーク

レット

共有秘密鍵 TACACS+ 共有秘密鍵。この共有秘密

鍵をゼロ化するには、TACACS+ 共有

秘密鍵設定コマンドの no 形式を実行

します。

NVRAM（プレー

ンテキスト）

DRAM（プレーン

テキスト）

# no tacacs-server

key

表 3 CSP（続き）

名前アルゴリズム説明ストレージゼロ化方式

暗号鍵の管理


OL-10353-02-J

表 4 に、CSP にアクセスするサービス、アクセスタイプ、および CSP にアクセスするロールを示

します。R、W、および D はそれぞれ読み取り、書き込み、削除アクセスを表します。

鍵のゼロ化

モジュールのすべての鍵および CSP はゼロ化できます。鍵および CSP をそれぞれゼロ化する方式

については、表 3 を参照してください。

表 4 CSP に対するロールおよびサービスのアクセス

ロールサービス CSP

ユーザロールステータス機能 —

ユーザロールネットワーク機能 • PRNG シード、DH プライベート指数、

skeyid、skeyid_d、skeyid_a、skeyid_e、IKEセッション暗号鍵、ISAKMP 事前共有

鍵、IPSec 暗号鍵、ルータ認証鍵 1、PPP認証鍵、ルータ認証鍵 2、SSH セッショ

ン鍵、ユーザパスワード（R）

ユーザロール端末機能 —

ユーザロールディレクトリサービス —

暗号オフィサーロールルータの設定 • ルータ認証鍵 2（R/W/D）

暗号オフィサーロール規則およびフィルタの定

義

—

暗号オフィサーロールステータス機能 —

暗号オフィサーロールルータの管理 • PRNG シード（R）

• ルータ認証鍵 1（R/W/D）

• PPP 認証鍵（D）

• ユーザパスワード、イネーブルパス

ワード、イネーブルシークレット、

RADIUS シークレット、TACACS+ シー

クレット（R/W/D）

暗号オフィサーロール暗号 / パイパスの設定 • PRNG シード、DH プライベート指数、

skeyid、skeyid_d、skeyid_a、skeyid_e、IKEセッション暗号鍵、IKE セッション認

証鍵、ISAKMP 事前共有鍵、IKE ハッ

シュ鍵、IPSec 暗号鍵、IPSec 認証鍵、

SSH セッション鍵（R/W/D）

• PPP 認証鍵（R/W）

暗号オフィサーロール WAN インターフェイス

カードの変更

—

セルフテスト


OL-10353-02-J

セルフテストセキュアデータが公開されないようにするには、セキュリティモジュールの暗号コンポーネント

をテストして、すべてのコンポーネントが正常に機能していることを確認する必要があります。

ルータまたはスイッチには、起動中に実行されたり、動作中に定期的に実行されたりする一連のセ

ルフテストが組み込まれています。セルフテストには、FIPS 140-2 承認の各暗号アルゴリズムおよ

び DH アルゴリズムに関する Cryptographic Known Answer Test（KAT）などがあります。電源投入

時には、ソフトウェア整合性テストも実行されます。いずれかのセルフテストに失敗した場合、ルー

タはエラーステートに移行します。エラーステートでは、すべてのセキュアデータの送信が中断

され、障害を示すステータス情報がルータによって、出力されます。

システムがエラーステートに移行する原因となるエラーの例は、次のとおりです。

• IOS イメージ整合性チェックサムの失敗

• マイクロプロセッサの過熱およびバーンアウト

• 既知の応答テストの失敗

• NVRAM モジュールの誤動作

• 高温の警告

IPSec VPN SPA モジュール（暗号アクセラレータ）セルフテスト

• Power-up Self-Tests（POST; 電源投入時セルフテスト）

－ AES Known Answer Test（KAT）

－ Triple-DES KAT

－ RNG KAT

－ SHA-1（IKE 用）KAT

－ SHA-1（IPSec 用）KAT

－ HMAC SHA-1（IPSec 用）KAT

－ DH テスト

Cisco IOS ソフトウェアのセルフテスト

• 電源投入テスト

－ソフトウェア / ファームウェアテスト

－電源投入バイパステスト

－ AES KAT（非準拠）

－ Triple-DES KAT（非準拠）

－ SHA-1 KAT（非準拠）

－ HMAC SHA-1（非準拠）

• 条件付きテスト

－条件付きバイパステスト

－すべての RNG に対する連続乱数生成テスト

Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルータのセキュアな動作


OL-10353-02-J


IPSec VPN SPA モジュール搭載の Catalyst 6500 シリーズスイッチおよび Cisco 7606/Cisco 7609 ルー

タは、FIPS 140-2 に関するレイヤ 2 要件をすべて満たします。ここに記載されている設定時の注意

事項に従って、モジュールを FIPS 承認の動作モードにしてください。次に示す設定を行わないま

ま、このルータまたはスイッチを稼働させた場合、モジュールは FIPS 承認の動作モードを開始し

ません。

初期設定

ルータまたはスイッチを設定する前に、次の要件について検討してください。

• 暗号オフィサーは IP Sec VPN SPA モジュールの有無を目視で確認して、IPSec VPN SPA モジュール暗号アクセラレータカードがシャーシに取り付けられていることを確認してくださ

い。

• 暗号オフィサーは変更証明ラベルを貼付してください（「物理的なセキュリティ」[p.22] を参

照）。

• ネットワークモジュールの追加または取り外しを実行できるのは、暗号オフィサーのみです。

変更証明ラベルをはがす場合、暗号オフィサーはシャーシからラベル全体をはがし、清掃用の

アルコールパッドでグリース、埃、またはオイルを除去する必要があります。その後、ルータ

に変更証明ラベルを貼付し直します（「物理的なセキュリティ」[p.22] を参照）。

• 暗号オフィサーは不透明シールドを取り付けてください（「物理的なセキュリティ」[p.22] を参

照）。

システムの初期化および設定

システムを初期化して設定する場合、暗号オフィサーは次の処理を実行する必要があります。

• 暗号オフィサーは初期設定を実行する必要があります。使用できるイメージは、Cisco IOS Release 12.2(18)SXE、アドバンスセキュリティビルド（advsecurity）のみです。その他のイメー

ジはロードできません。

• boot フィールドの値は 0x0102（出荷時の設定）になっている必要があります。この設定の場

合、コンソールから ROM モニタへのブレーク送信がディセーブルになり、Cisco IOS イメージ

が自動的に起動します。暗号オフィサーは、configure terminal コマンドラインで次の構文を

入力します。

config-register 0x0102

• 暗号オフィサーは暗号オフィサーロールに対応するイネーブルパスワードを作成する必要が

あります。パスワードには 8 文字以上を指定します（すべての数字、すべての小文字および大

文字、「?」を除くすべての特殊文字を使用可）。暗号オフィサーは、enable コマンドを最初に

入力するときに、パスワードを入力する必要があります。「#」プロンプトに、次の構文を入力

します。

enable secret [PASSWORD]

• 暗号オフィサーは必ず、ユーザにパスワード（8 文字以上）を割り当てる必要があります。

• ユーザに対しては、コンソールポートでの識別および認証が必須です。暗号オフィサーは、

configure terminal コマンドラインで次の構文を入力します。

line con 0password [PASSWORD]login local

• 暗号オフィサーはユーザに権限レベル 1（デフォルト）のみを割り当てます。



OL-10353-02-J

• 暗号オフィサーはコマンドにデフォルト以外の権限レベルを割り当てないでください。

• 暗号オフィサーは次のコマンドを使用して、モジュールをイネーブルにします。

power enable module [slot]

• 暗号オフィサーは次のコマンドを使用して、VPN サービスモジュールがイネーブルであるこ

とを確認します。

show mod

• 暗号オフィサーは認証に RADIUS または TACACS+ を使用するように、モジュールを設定でき

ます。認証に RADIUS または TACACS+ を使用する設定は任意です。RADIUS または TACACS+を使用するようにモジュールが設定されている場合、暗号オフィサーは 8 文字以上の RADIUSまたは TACACS+ 共有秘密鍵を定義する必要があります。

• 暗号オフィサーがスイッチまたはルータに Cisco IOS イメージをロードすると、スイッチまた

はルータは FIPS 以外の動作モードになります。

IPSec 要件および暗号アルゴリズム

FIPS モードで許可されている鍵管理方式タイプは、IKE のみです。

Cisco IOS に実装されている IKE では複数のアルゴリズムを使用できますが、FIPS 140-2 構成で許

可されるのは次のアルゴリズムのみです。

• ah-sha-hmac

• esp-sha-hmac

• esp-3des

• esp-aes

次のアルゴリズムは FIPS で承認されていません（あるいは準拠していません）。FIPS 承認モード中

は使用しないでください。

• DES（非準拠）

• MD-5（署名用）

• HMAC MD-5

• RSA

プロトコル

セキュアな IPSec トンネルを介した SNMP v3 を採用して、認証されたセキュアな SNMP gets およ

び sets 処理を行うことができます。SNMP v2C では認証にコミュニティストリングが使用されるた

め、gets のみが許可されます。モジュール間のハイアベイラビリティ関係をサポートするために SSP

プロトコルが使用されている場合は、認証および暗号化された IPSec トンネルを介して動作するよ

うに SSP 接続を設定する必要があります。



OL-10353-02-J

リモートアクセス

システムへの telnet アクセスは、リモートシステムとモジュールをセキュアな IPSec トンネルで接

続している場合のみ許可されます。暗号オフィサーは、Telnet によるリモート接続が FIPS 承認アル

ゴリズムで IPSec を介して保護されるように、モジュールを設定する必要があります。

システムへの SSH アクセスが許可されるのは、FIPS 承認アルゴリズムを使用するように SSH が設

定されている場合のみです。暗号オフィサーは SSH が FIPS 承認アルゴリズムのみを使用するよう

に、モジュールを設定する必要があります。

（注）すべてのユーザは、リモートアクセスが許可されたあとに、認証を受ける必要があります。

コンソールの取り扱いの禁止

モジュールを設定したら、コンソールポートの取り扱いを禁止して、ユーザが ROMMON にアクセ

スしたり、パスワードをディセーブル化したりすることができないようにします。コンソールポー

トの取り扱いを禁止するには、コンソールポートに変更証明ラベルを貼付します。

マニュアルの入手方法


OL-10353-02-J

マニュアルの入手方法シスコ製品のマニュアルおよびその他の資料は、Cisco.com で入手することができます。ここでは、

シスコが提供する製品マニュアルのリソースを示します。

Cisco.com

シスコの最新のマニュアルは、次の URL からアクセスしてください。

http://www.cisco.com/techsupport

シスコの Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com

http://www.cisco.com/jp

シスコの Web サイトの各国語版へは、次の URL からアクセスしてください。

http://www.cisco.com/public/countries_languages.shtml

Product Documentation DVD

Product Documentation DVD は、ポータブルメディアに収容された、技術的な製品マニュアルのラ

イブラリです。この DVD を使用すると、シスコ製品のインストレーション、設定、およびコマン

ドに関するガイドにアクセスできます。また、次の URL にある Cisco Web サイトで公開されてい

る HTML マニュアルおよび PDF ファイルの一部にアクセスできます。

http://www.cisco.com/univercd/home/home.htm

Product Documentation DVD は、定期的に作成およびリリースされます。DVD は単独または年間契

約で入手することができます。Cisco.com に登録されている場合、次の URL にある Product

Documentation Store の Cisco Marketplace から Product Documentation DVD（Customer Order Number

DOC-DOCDVD= または DOC-DOCDVD=SUB）を発注できます。

http://www.cisco.com/go/marketplace/docstore

マニュアルの発注方法

Cisco Marketplace にアクセスするには、Cisco.com へ登録する必要があります。Cisco.com に登録さ

れている場合、次の URL にある Product Documentation Store でシスコ製品のマニュアルを発注でき

ます。


ユーザ ID またはパスワードを取得していない場合は、次の URL で登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do

http://www.cisco.com/techsupport

http://www.cisco.com

http://www.cisco.com/public/countries_languages.shtml

http://www.cisco.com/univercd/home/home.htm




http://www.cisco.com/jp

シスコ製品のセキュリティ


OL-10353-02-J

シスコ製品のセキュリティシスコでは、無償の Security Vulnerability Policy ポータルを次の URL で提供しています。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このサイトから、以下のタスクを実行できます。

• シスコ製品における脆弱性を報告する。

• シスコ製品のセキュリティ問題に対する支援を受ける。

• シスコからのセキュリティ情報を入手するために登録を行う。

シスコ製品に関するセキュリティ勧告、セキュリティの注意、およびセキュリティ対応のリストを、

次の URL で確認できます。

http://www.cisco.com/go/psirt

Product Security Incident Response Team Really Simple Syndication（PSIRT RSS）フィードをご利用い

ただくと、セキュリティに関する勧告、注意、対応の更新をリアルタイムで確認できます。PSIRT

RSS の定期購読方法については、次の URL を参照してください。

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

シスコ製品のセキュリティ問題の報告

シスコでは、安全な製品を提供することを目指しています。製品のリリース前に社内でテストを実

施し、すべての脆弱性を迅速に修正するように努めております。お客様がシスコ製品の脆弱性を発

見したと思われる場合は、次の PSIRT にご連絡ください。

• 緊急度の高い問題 — [email protected]

緊急度の高い問題とは、システムが激しい攻撃を受けている状態、または急を要する深刻なセ

キュリティの脆弱性を報告する必要がある状態を指します。それ以外の状態はすべて、緊急度

の低い問題とみなされます。

• 緊急度の低い問題 — [email protected]

緊急度の高い問題の場合、次の電話番号で PSIRT に問い合わせることができます。

• 1 877 228-7302

• 1 408 525-6532

ヒントお客様が第三者に知られたくない情報をシスコに送信する場合、Pretty Good Privacy（PGP）または

PGP と互換性のある製品（GnuPG など）を使用して情報を暗号化することを推奨します。PSIRTは、PGP バージョン 2.x ～ 9.x と互換性のある暗号化情報を取り扱うことができます。

無効な暗号鍵または失効した暗号鍵は使用しないでください。PSIRT と通信する際は、次の URL にある Security Vulnerability Policy ページの Contact Summary にリンクされている有効な公開鍵を使用

してください。


このページのリンクに、現在使用されている PGP 鍵の ID があります。

PGP を所有、または使用していない場合には、重要な情報を送信する前に PSIRT に連絡し、その他

のデータ暗号化方式についてお問い合わせください。


http://www.cisco.com/go/psirt

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

mailto:[email protected]

mailto:[email protected]


Cisco Product Alerts および Cisco Field Notices


OL-10353-02-J

Cisco Product Alerts および Cisco Field Noticesシスコ製品に関する変更および更新の内容は、Cisco Product Alerts および Cisco Field Notices に記載

されています。Cisco Product Alerts および Cisco Field Notices を入手するには、Cisco.com の Product

Alert Tool を使用します。このツールを使用すると、プロファイルを作成したり、情報を入手する

製品を選択することができます。

Product Alert Tool にアクセスするには、Cisco.com に登録する必要があります。登録ユーザは、次の

URL からこのツールにアクセスできます。

http://tools.cisco.com/Support/PAT/do/ViewMyProfiles.do?local=en

Cisco.com に登録するには、次の URL にアクセスしてください。


テクニカルサポートCisco Technical Support では、評価の高い 24 時間体制のテクニカルサポートを提供しています。

Cisco.com の Cisco Support Web サイトでは、広範囲にわたるオンラインでのサポートリソースを提

供しています。さらに、シスコシステムズとサービス契約を結んでいるお客様には、Technical

Assistance Center（TAC）のエンジニアによる電話サポートも提供されます。シスコシステムズと

サービス契約を結んでいない場合は、リセラーにお問い合わせください。

Cisco Support Web サイト

Cisco Support Web サイトでは、オンラインで資料やツールを利用して、トラブルシューティングや

シスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。この Web

サイトは 24 時間ご利用いただけます。次の URL にアクセスしてください。

http://www.cisco.com/en/US/support/index.html

Cisco Support Web サイト上のツールにアクセスする際は、いずれも Cisco.com のログイン ID およ

びパスワードが必要です。サービス契約が有効で、ログイン ID またはパスワードを取得していな

い場合は、次の URL で登録手続きを行ってください。


（注）テクニカルサポートにお問い合わせいただく前に、Cisco Product Identification Tool を使用して、

製品のシリアル番号をご確認ください。このツールには、Cisco Web サイトからアクセスできます。

Get Tools & Resources リンクをクリックし、All Tools (A-Z) タブの順にクリックしてから、アル

ファベット順のリストから Cisco Product Identification Tool を選択してください。このツールは、

製品 ID またはモデル名、ツリー表示、または特定の製品に対する show コマンド出力のコピー＆

ペーストによる 3 つの検索オプションを提供します。検索結果には、シリアル番号のラベルの場所

がハイライトされた製品の説明図が表示されます。テクニカルサポートにお問い合わせいただく

前に、製品のシリアル番号のラベルを確認し、メモなどに控えておいてください。

http://tools.cisco.com/Support/PAT/do/ViewMyProfiles.do?local=en


http://www.cisco.com/en/US/support/index.html


テクニカルサポート


OL-10353-02-J

ヒント Cisco.com の表示と検索

ブラウザに表示される Web ページがリフレッシュされない場合は、Ctrl キーを押しながら F5 キー

を押して、Web ページを強制的に更新します。

技術情報を検索する場合は、検索対象を Cisco.com Web サイト全体でなく、技術マニュアルに絞り

込みます。Cisco.com のホームページで、Search ボックスの下にある Advanced Search リンクをク

リックしてから、Technical Support & Documentation オプションボタンをクリックします。

Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト（http://www.cisco.com/tac）のドキュ

メントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてくだ

さい。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイ

トのドキュメントにアクセスできます。

Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ロ

グイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってく

ださい。

http://www.cisco.com/jp/register/

Service Request ツールの使用

オンラインの TAC Service Request ツールを使えば、S3 および S4 の問題について最も迅速にテクニ

カルサポートを受けられます（ネットワークの障害が軽微である場合、あるいは製品情報が必要な

場合）。状況をご説明いただくと、TAC Service Request ツールが推奨される解決方法を提供します。

これらの推奨リソースを使用しても問題が解決しない場合は、シスコの技術者が対応します。TAC

Service Request ツールは次の URL からアクセスできます。

http://www.cisco.com/techsupport/servicerequest

問題が S1 または S2 であるか、インターネットにアクセスできない場合は、電話で TAC にご連絡

ください（運用中のネットワークがダウンした場合、あるいは重大な障害が発生した場合）。S1 お

よび S2 の問題にはシスコの技術者がただちに対応し、業務を円滑に運営できるよう支援します。

電話でテクニカルサポートを受ける際は、次の番号のいずれかをご使用ください。

アジア太平洋：+61 2 8446 7411

オーストラリア：1 800 805 227

EMEA：+32 2 704 55 55

米国：1 800 553 2447

TAC の連絡先一覧については、次の URL にアクセスしてください。

http://www.cisco.com/techsupport/contacts

http://www.cisco.com/techsupport/servicerequest

http://www.cisco.com/techsupport/contacts

http://www.cisco.com/tac

http://www.cisco.com/jp/go/tac

http://www.cisco.com/jp/register/

テクニカルサポート


OL-10353-02-J

問題の重大度の定義

すべての問題を標準形式で報告するために、問題の重大度を定義しました。

重大度 1（S1） — 既存ネットワークが「ダウン」し、業務に致命的な損害が発生する場合。24 時間

体制であらゆる手段を使用して問題の解決にあたります。

重大度 2（S2） — ネットワークのパフォーマンスが著しく低下、またはシスコ製品のパフォーマン

ス低下により業務に重大な影響がある場合。通常の業務時間内にフルタイムで問題の解決にあたり

ます。

重大度 3（S3） — ネットワークのパフォーマンスが低下しているが、ほとんどの業務運用が機能し

ている場合。通常の業務時間内にサービスの復旧を行います。

重大度 4（S4） — シスコ製品の機能、インストレーション、基本的なコンフィギュレーションにつ

いて、情報または支援が必要で、業務への影響がほとんどまたはまったくない場合。

その他の資料および情報の入手方法


OL-10353-02-J

その他の資料および情報の入手方法シスコの製品、テクノロジー、およびネットワークソリューションに関する情報について、さまざ

まな資料をオンラインおよび印刷物で入手することができます。

• Cisco Online Subscription Center は、シスコの電子メールによるニュースレターおよびさまざま

な通信手段への申し込みが可能な Web サイトです。プロファイルを作成してから、受信したい

購読物を選択します。Cisco Online Subscription Center には、次の URL からアクセスしてくださ

い。

http://www.cisco.com/offer/subscribe

• 『Cisco Product Quick Reference Guide』は、チャネルパートナーを通して販売される各種シスコ

製品の概要、主な機能、サンプル部品番号、および技術仕様の要約を掲載した小冊子です。年

に 2 回更新され、シスコチャネル製品の最新情報を提供します。『Cisco Product Quick ReferenceGuide』の詳細と発注方法については、次の URL にアクセスしてください。

http://www.cisco.com/go/guide

• Cisco Marketplace では、では、さまざまなシスコの書籍、参考資料、マニュアル、およびロゴ

入り商品を提供しています。Cisco Marketplace には、次の URL からアクセスしてください。

http://www.cisco.com/go/marketplace/

• Cisco Press では、ネットワーク、トレーニング、認定関連の出版物を幅広く発行しています。

初心者から上級者まで、さまざまな読者向けの出版物があります。Cisco Press の最新の出版情

報などについては、次の URL からアクセスしてください。

http://www.ciscopress.com

• 『Internet Protocol Journal』は、インターネットおよびイントラネットの設計、開発、運用を担

当するエンジニア向けに、シスコシステムズが発行する季刊誌です。『Internet Protocol Journal』には、次の URL からアクセスしてください。

http://www.cisco.com/ipj

• シスコシステムズが提供するネットワーク製品およびカスタマーサポートサービスについて

は、次の URL にアクセスしてください。

http://www.cisco.com/en/US/products/index.html

• Networking Professionals Connection は、ネットワーキング専門家がネットワーキング製品やネッ

トワーキング技術に関する質問、提案、情報をシスコの専門家および他のネットワーキング専

門家と共有するためのインタラクティブな Web サイトです。ディスカッションに参加するに

は、次の URL にアクセスしてください。

http://www.cisco.com/discuss/networking

• 『What’s New in Cisco Documentation』は、シスコ製品の最新マニュアルのリリース情報が記載さ

れたオンラインマニュアルです。このオンラインマニュアルは毎月更新されます。製品カテ

ゴリ別に構成されているため、お使いの製品のマニュアルをすばやく検索できます。『What’sNew in Cisco Documentation』の最新のリリースについては、次の URL にアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/abtunicd/136957.htm

• シスコシステムズは最高水準のネットワーク関連のトレーニングを実施しています。トレーニ

ングの最新情報については、次の URL からアクセスしてください。

http://www.cisco.com/en/US/learning/index.html

http://www.cisco.com/offer/subscribe

http://www.cisco.com/go/guide

http://www.cisco.com/go/marketplace/

http://www.ciscopress.com

http://www.cisco.com/ipj

http://www.cisco.com/en/US/products/index.html

http://www.cisco.com/discuss/networking

http://www.cisco.com/univercd/cc/td/doc/abtunicd/136957.htm

http://www.cisco.com/en/US/learning/index.html

その他の資料および情報の入手方法


OL-10353-02-J

このマニュアルは、『Catalyst 6500 Series Switch Module Guide』と併せて使用してください。

CCVP, the Cisco Logo, and the Cisco Square Bridge logo are trademarks of Cisco Systems, Inc.; Changing the Way We Work, Live, Play, and Learn is a service mark of CiscoSystems, Inc.; and Access Registrar, Aironet, BPX, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, Cisco, the Cisco Certified Internetwork Expert logo, CiscoIOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Fast Step, Follow MeBrowsing, FormShare, GigaDrive, GigaStack, HomeLink, Internet Quotient, IOS, IP/TV, iQ Expertise, the iQ logo, iQ Net Readiness Scorecard, iQuick Study, LightStream,Linksys, MeetingPlace, MGX, Networking Academy, Network Registrar, Packet, PIX, ProConnect, RateMUX, ScriptShare, SlideCast, SMARTnet, StackWise, The FastestWay to Increase Your Internet Quotient, and TransPath are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.

All other trademarks mentioned in this document or Website are the property of their respective owners. The use of the word partner does not imply a partnership relationshipbetween Cisco and any other company. (0609R)

このマニュアルで使用されている IP アドレスは、いずれも実際のアドレスを意図したものではありません。このマニュアルに記載されている例、コマンド出力、

図は、説明のみを目的としたものです。説明内容において、実在の IP アドレスが使われていたとしても、それは意図したものではなく、偶然の一致です。

Copyright © 2006, Cisco Systems, Inc.All rights reserved.

お問い合わせは、購入された各代理店へご連絡ください。

シスコシステムズでは以下のURLで最新の日本語マニュアルを公開しております。

本書とあわせてご利用ください。

Cisco.com 日本語サイトhttp://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/

日本語マニュアルの購入を希望される方は、以下のURLからお申し込みいただけます。

シスコシステムズマニュアルセンターhttp://www2.hipri.com/cisco/

上記の両サイトで、日本語マニュアルの記述内容に関するご意見もお受けいたしますので、

どうぞご利用ください。

なお、技術内容に関するご質問は、製品を購入された各代理店へお問い合せください。

IPSec VPN SPA モジュール搭載 Catalyst 6500 シリーズスイッチおよび Cisco 7600 シリーズルータセキュリティポリシー Version 1.2

Copyright © 2006, Cisco Systems Inc. dehi0703

シスコシステムズ株式会社URL:http://www.cisco.com/jp/

問合せ URL:http://www.cisco.com/jp/service/contactcenter/

〒 107-0052 東京都港区赤坂 2-14-27 国際新赤坂ビル東館

TEL.03-5549-6500　FAX.03-5549-6501

OL-10353-02-J

IPSec VPN SPA モジュール搭載 Catalyst 6500 シリーズ ...マニュアルの内容 2 IPSec...

Documents

Transcript of IPSec VPN SPA モジュール搭載 Catalyst 6500 シリーズ ...マニュアルの内容 2 IPSec...