Comments
Description
Transcript
Cisco CMTS での DOCSIS 1.0 ベースライン プライバシ
Cisco CMTS での DOCSIS 1.0 ベースライン プライバシ 目次 概要 はじめに 表記法 前提条件 使用するコンポーネント ケーブル モデムのためのベースライン プライバシの設定方法 ケーブル モデムがベースライン プライバシを使っているかどうかを識別する方法 ベースライン プライバシの確立と維持に影響するタイマー KEK ライフタイム KEK 猶予時間 TEK ライフタイム TEK 猶予期間 Authorize Wait Timeout Reauthorize Wait Timeout 許可猶予タイムアウト Authorize Reject Wait Timeout Operational Wait Timeout Rekey Wait Timeout Cisco CMTS ベースライン プライバシ設定コマンド cable privacy cable privacy mandatory cable privacy authenticate-modem BPI の状態を監視するために使用されるコマンド BPI のトラブルシューティング 特記事項 - 隠しコマンド 関連情報 概要 データオーバーケーブル サービス インターフェイス仕様(DOCSIS)ベースライン プライバシー インターフェイス(BPI)の主 要な目的は、Data over Cable ネットワークでケーブル モデムを介して送受信されるデータを保護する簡単なデータ暗号化スキ ームを提供することです。 ベースライン プライバシは、ケーブル モデムの認証、およびマルチキャスト トラフィックのケーブ ル モデムへの伝送の承認の手段としても使うことができます。 Ciscoケーブルモデム 終了 システム(CMTS)および Cisco IOS を実行するケーブルモデム 製品か。 文字 "k1" or"k8" サポート ベースラインプライバシーを含む機能セットのソフトウェア イメージ、たとえば ubr7200-k1p-mz.121-6.EC1.bin。 この文書では、DOCSIS1.0 モードで動作するシスコ製品でのベースライン プライバシを取り上げます。 はじめに 表記法 ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 前提条件 このドキュメントに関する固有の要件はありません。 使用するコンポーネント この文書に記載されている情報は Cisco IOS を実行する uBR7246VXR の設定に基づいていますか。 ソフトウェア リリース 12.1(6)EC、しかしそれはまた他のすべての Cisco CMTS に製品およびソフトウェア リリースを加えます。 このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべ てのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どの ような作業についても、その潜在的な影響について確実に理解しておく必要があります。 ケーブル モデムのためのベースライン プライバシの設定方法 ケーブル モデムは、DOCSIS 設定ファイルでサービス パラメータの Class 経由でベースライン プライバシを使うように命令さ れた場合にのみ、これを試みます。 DOCSISコンフィギュレーションファイルはモデムのための操作パラメータが含まれ、TFTP を 通って来るオンラインのプロセスの一部としてダウンロードされます。 DOCSISコンフィギュレーションファイルの作成の 1 方式は Cisco.com の DOCSISケーブルモデム コンフィグレータを使用するこ とです。 DOCSIS Cable Modem Configurator を使って、DOCSIS 設定ファイルを作成できます。このファイルでは Class of Service タブにある Baseline Privacy Enable フィールドを On にすることにより、ベースライン プライバシを使うようにケー ブル モデムに命令します。 下記の例を参照して下さい: また、下記に示されているようにベースラインプライバシーを有効に するのに使用することができますからの DOCSISファイル 設定の独立型が: BPI をサポートする DOCSIS 設定ファイルが作成されると、新しい設定ファイルをダウンロードしてベースライン プライバシを 適用するために、ケーブル モデムをリセットする必要があります。 ケーブル モデムがベースライン プライバシを使っているかどうかを識別する方法 Cisco CMTS では、show cable modem コマンドを使って個々のケーブル モデムの状態を表示できます。 ベースライン プライバ シを使っているモデムが示す状態には次のものがあります。 online ケーブルモデムの後でオンライン状態を入力する Cisco CMTS と登録します。 ケーブルモデムは Cisco CMTS とベースラインプ ライバシー パラメータをネゴシエートできる前にこの状態に到達する必要があります。 この時点では、ケーブル モデムと CMTS 間を伝送されるトラフィックは暗号化されていません。 ケーブル モデムがこの状態のままで、次に述べるどの状態にも遷 移していなければ、そのモデムはベースライン プライバシを利用していません。 online(pk) online(pk) 状態はケーブルモデムがずっと Authorization Key をネゴシエートできることを Cisco CMTS の Key Encryption Key (KEK)としてさもなければ知られていて意味します。 このことは、ケーブル モデムがベースライン プライバシの使用を承 認されており、ベースライン プライバシの第 1 フェーズのネゴシエーションに成功したことを意味します。 それに続くベース ラインプライバシー ネゴシエーションを保護するのに使用される KEK が 56 ビット キーです。 モデムがケーブルモデムと Cisco CMTS の間で送信 される online(pk) 状態 データトラフィックにあるときデータトラフィックの暗号化のために No 鍵 まだネゴシエートされているようにまだ非暗号化です。 通常、online(pk)は online(pt)でに先行しています。 reject(pk) この状態は、ケーブル モデムが KEK へのネゴシエートを試みて失敗したことを示しています。 モデムがこの状態にあるという もっとも一般的な原因は Cisco CMTS につくモデム 認証があるモデム持っています失敗した認証をことであり。 online(pt) この時点でモデムは Cisco CMTS とトラフィック暗号化キー (TEK)をうまくネゴシエートしました。 TEK がケーブルモデムと Cisco CMTS 間のデータトラフィックを暗号化するのに使用されています。 TEK ネゴシエーションの手順は KEK を使って暗号化 されます。 ケーブルモデムと Cisco CMTS 間のデータトラフィックを暗号化するのに使用される TEK が 56 か 40 ビット キー です。 この時点でベースラインプライバシーはでうまく確立されておよび動作します、従って Cisco CMTS とケーブルモデムの 間で送信 される ユーザのデータは暗号化されています。 reject(pt) この状態はケーブルモデムが Cisco CMTS と TEK をうまくネゴシエートすることができなかったことを示します。 ベースライン プライバシ関連の、さまざまな状態にあるケーブル モデムを表示する show cable modem コマンドの出力例は、次 をご覧ください。 注:ケーブル モデムの状態に関する詳細は uBR Cable Modems がオンラインにならない場合のトラブルシューティング を参照し てください。 ベースライン プライバシの確立と維持に影響するタイマー 特定のタイムアウト値があり、これらを変更してベースライン プライバシの動作を変えることができます。 いくつかのこれらの パラメータは Cisco CMTS および DOCSISコンフィギュレーションファイルを通って他で設定されるかもしれません。 KEK ライフ タイムおよび TEK ライフタイムを除いてのこれらのパラメータ変更する少し原因があります。 これらのタイマーを変更すると、 ケーブル プラントのセキュリティを向上させたり、BPI 管理による CPU とトラフィックのオーバーヘッドを削減することができ ます。 KEK ライフタイム KEK ライフタイムはケーブルモデムおよび Cisco CMTS が有効のネゴシエートされた KEK と考慮する必要がある時間数です。 こ の時間数が渡った前に、ケーブルモデムは Cisco CMTS の新しい KEK を再取り決めする必要があります。 Cisco CMTS cable interface コマンドを使用して今回を設定できます: cable privacy kek life-time 300-6048000 seconds デフォルトの設定は 604800 秒で 7 日間に相当します。 KEK lifetime を少なくすることによりセキュリティが向上します。つまり、それぞれの KEK の存続時間がより短くなることによ って、もし KEK がハッキングされても、TEK ネゴシエーションが乗っ取られる可能性が少なくなるからです。 これの問題点は、 KEK の再ネゴシエーションがケーブル モデムの CPU 使用率を増加させ、ケーブル プラントの BPI 管理トラフィックを増加させ ることです。 KEK 猶予時間 KEK 猶予時間は KEK ライフタイムが切れる前に時間数、ケーブルモデムが新しい KEK のための Cisco CMTS とネゴシエートし始 めるように意味されるそれです。 このタイマーの目的は、ケーブル モデムに、KEK が満了する前にそれを更新させる充分な時間 を与えることです。 Cisco CMTS cable interface コマンドを使用して今回を設定できます: cable privacy kek grace-time 60-1800 seconds この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Authorization Grace Timeout と表示されたフィールドに記 入することによっても設定できます。 この DOCSISコンフィギュレーションファイル フィールドが記入されれば Cisco CMTS で 設定される値に優先します。 このタイマーのデフォルト値は 600 秒で、10 分に相当します。 TEK ライフタイム TEK ライフタイムはケーブルモデムおよび Cisco CMTS が有効のネゴシエートされた TEK と考慮する必要がある時間数です。 こ の時間数が渡った前に、ケーブルモデムは Cisco CMTS の新しい TEK を再取り決めする必要があります。 Cisco CMTS cable interface コマンドを使用して今回を設定できます: cable privacy tek life-time <180-604800 seconds> デフォルトの設定は 43200 秒で 12 時間に相当します。 TEK lifetime を少なくすることによりセキュリティが向上します。つまり、それぞれの TEK の存続時間がより短くなることによ って、もし TEK がハッキングされても、未認証の解読にさらされるデータが少なくなるからです。 これの問題点は、TEK の再ネ ゴシエーションがケーブル モデムの CPU 使用率を増加させ、ケーブル プラントの BPI 管理トラフィックを増加させることで す。 TEK 猶予期間 Tek 猶予期間はケーブルモデムは新しい TEK のための Cisco CMTS とネゴシエートし始めるように意味されること TEK ライフタ イムが切れる前に時間数です。 このタイマーの目的は、ケーブル モデムに、TEK が満了する前にそれを更新する充分な時間を与 えることです。 Cisco CMTS cable interface コマンドを使用して今回を設定できます: cable privacy tek grace-time 60-1800 seconds この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある TEK Grace Timeout と表示されたフィールドに記入すること によっても設定できます。 この DOCSISコンフィギュレーションファイル フィールドが記入されれば Cisco CMTS で設定される 値に優先します。 このタイマーのデフォルト値は 600 秒で、10 分に相当します。 Authorize Wait Timeout 今回はケーブルモデムが KEK をはじめてネゴシエートするとき Cisco CMTS からの応答を待っている時間数を支配します。 この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Authorize Wait Timeout フィールドを修正することにより 設定できます。 このフィールドのデフォルト値は 10 秒で、有効な範囲は 2 秒から 30 秒です。 Reauthorize Wait Timeout 今回はケーブルモデムが KEK ライフタイムが切れることを約あるので新しい KEK をネゴシエートするとき Cisco CMTS からの応 答を待っている時間数を支配します。 この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Reauthorize Wait Timeout フィールドを修正することによ り設定できます。 このタイマーのデフォルト値は 10 秒で、有効な範囲は 2 秒から 30 秒です。 許可猶予タイムアウト 再認証に使える猶予期間を秒単位で指定します。 デフォルト値は 600 です。 有効範囲は 1 から 1800 秒です。 Authorize Reject Wait Timeout ケーブルモデムが Cisco CMTS と KEK をネゴシエートすることを試みるが拒否されれば、新しい KEK をネゴシエートすることを 再試行する前に Authorize Reject Wait Timeout を待つ必要があります。 Baseline Privacy タブの下で Authorize Reject Wait Timeout フィールドの使用によって DOCSISコンフィギュレーションファ イルのこのパラメータを設定できます。 このタイマーのデフォルト値は 60 秒で、有効な範囲は 10 秒から 600 秒です。 Operational Wait Timeout 今回はケーブルモデムが TEK をはじめてネゴシエートするとき Cisco CMTS からの応答を待っている時間数を支配します。 この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Operational Wait Timeout フィールドを修正することによ り設定できます。 このフィールドのデフォルト値は 1 秒で、有効な範囲は 1 秒から 10 秒です。 Rekey Wait Timeout 今回はケーブルモデムが TEK ライフタイムが切れることを約あるので新しい TEK をネゴシエートするとき Cisco CMTS からの応 答を待っている時間数を支配します。 この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Rekey Wait Timeout フィールドを修正することにより設定 できます。 このタイマーのデフォルト値は 1 秒で、有効な範囲は 1 秒から 10 秒です。 Cisco CMTS ベースライン プライバシ設定コマンド 次のケーブル インターフェイス コマンドを使って、Cisco CMTS 上でベースライン プライバシとそれに関連する機能を設定でき ます。 cable privacy cable privacy コマンドは特定のインターフェイスでベースライン プライバシのネゴシエーションを可能にします。 no cable privacy コマンドがケーブルインターフェイスで設定される場合、ケーブルモデムは時そのインターフェイスの来るオンライン ベースラインプライバシーをネゴシエートすることができません。 ベースラインプライバシーを使用するためにケーブルモデム が DOCSISコンフィギュレーションファイルによって命じられ、Cisco CMTS がそれがベースラインプライバシーをネゴシエートす るように拒否したら場合ベースラインプライバシーをディセーブルにした場合ので注意して下さいモデムはオンラインに残れます かもしれません。 cable privacy mandatory cable privacy mandatory コマンドが設定され、ケーブルモデムに DOCSISコンフィギュレーションファイルで有効に なる ベー スラインプライバシーがあれば、ケーブルモデムはうまくネゴシエートする必要があり、使用 ベースラインプライバシー他では オンラインに残ることができません。 ベースラインプライバシーを使用するようにケーブルモデムの DOCSISコンフィギュレーションファイルがモデムに指示しなけれ ば cable privacy mandatory コマンドは残りのオンラインからモデムを停止しません。 cable privacy mandatory コマンドはデフォルトで有効に なりません。 cable privacy authenticate-modem ベースライン プライバシに関係するモデムのために認証フォームの実行ができます。 ケーブルモデムが Cisco CMTS と KEK を ネゴシエートするとき、モデムは Cisco CMTS への 6 バイト MAC アドレスおよびシリアル番号の詳細を送信します。 これらの パラメータは username/password の組合せでケーブル モデムの認証のために使用できます。 Cisco CMTS では、これを行うため に、Cisco IOS Authentication と Authorization and Accounting(AAA)サービスを使います。 認証に失敗したケーブル モデ ムはオンライン状態になれません。 さらに、ベースライン プライバシを使わないケーブル モデムでは、このコマンドによる影 響はありません。 注意:この機能が AAA サービスを利用するのでさもなければ不注意に Cisco CMTS にログイン し、管理する機能を失うこ とができることを AAA設定を修正した場合注意することを確かめる必要があります。 次にモデム認証を行う設定例を示します。 これらの設定例では、いくつかのモデムが 1 つの認証データベースに入っています。 モデムの 6 オクテット MAC アドレスが、username となり、可変長のシリアル番号が password となります。 1 つのモデムは明 らかに誤ったシリアル番号で設定されている点に注意してください。 次の部分的なサンプル Cisco CMTS 設定はローカル認証 データベースをいくつかのケーブルモデムを認証するのに使用します。 aaa new-model aaa authentication login cmts local aaa authentication login default line ! username 009096073831 password 0 009096073831 username 0050734eb419 password 0 FAA0317Q06Q username 000196594447 password 0 **BAD NUMBER** username 002040015370 password 0 03410390200001835252 ! interface Cable 3/0 cable privacy authenticate-modem ! line vty 0 4 password cisco モデム認証の別の例は、外部 RADIUS サーバを使うものです。 外部 の RADIUSサーバをモデムを認証するのに使用する部分的な Cisco CMTS 設定例はここにあります aaa new-model aaa authentication login default line aaa authentication login cmts group radius ! interface Cable 3/0 cable privacy authenticate-modem ! radius-server host 172.17.110.132 key cisco ! line vty 0 4 password cisco 同等の情報のサンプル RADIUSユーザ データベース ファイルはローカル認証を使用した上述の例に下記にあります。 ユーザ フ ァイルはユーザ認証 情報が保存されるデータベースとしていくつかの商業およびフリーウェア RADIUSサーバによって利用されま す。 # Sample RADIUS server users file. # Joe Blogg's Cable Modem 009096073831 Password = "009096073831" Service-Type = Framed # Jane Smith's Cable Modem 0050734EB419 Password = "FAA0317Q06Q" Service-Type = Framed # John Brown's Cable Modem 000196594477 Password = "**BAD NUMBER**" Service-Type = Framed # Jim Black's Cable Modem 002040015370 Password = "03410390200001835252" Service-Type = Framed 上のコンフィギュレーション例のどちらかを利用するかどれが Cisco CMTS で実行される show cable modem コマンドの出力は下 記に示されています。 ベースライン プライバシを有効にしたモデムのうち、ローカル認証データベースに挙がっていないモデ ム、あるいは、誤ったシリアル番号が付いているモデムは reject(pk) 状態に入り、online には留まらないことがわかります。 SID 17 のモデムはベースラインプライバシーを使用するために DOCSISコンフィギュレーションファイルがそれを命じなかったの で認証データベースのエントリを備えませんが、来られますオンライン。 SID 18、21、22 のモデムは、認証データベースに正しいエントリがあるのでオンラインになることができます。 SID 19 のモデムは、ベースライン プライバシを使うように指示されていますが、このモデムに対するエントリが認証データベー スにないので、オンラインになることはできません。 このモデムは、最近、認証に失敗したことを示す reject(pk)状態になっ ているはずです。 SID 20 のモデムはこのモデムの MAC アドレスの認証データベースにエントリがあるが、対応した シリアル番号が不正確である ので来ることがオンラインできません。 現在の時点では、このモデムは reject(pk)状態にありますが、すぐにオフライン状態 に遷移します。 モデム失敗認証が Cisco CMTS ログに次の行に沿うメッセージ追加される時。 %UBR7200-5-UNAUTHSIDTIMEOUT: CMTS deleted BPI unauthorized Cable Modem 0001.9659.4461 このケーブル モデムはステーション メンテナンス リストから削除され、30 秒以内にオフラインとマーク付けされます。 この モデムは、おそらく、もう一度オンラインになろうと試みますが、再度、拒否されることになります。 注:シスコでは、お客様が cable privacy authenticate-modem コマンドを使って、非承認ケーブル モデムがオンラインになるの を止めるのはお奨めしません。 不正 な 顧客がサービスプロバイダーのネットワークにアクセスを得ないようにする効率的方法 はにネットワーク アクセス フィールドが設定されていると DOCSISコンフィギュレーションファイルをダウンロードするように 不正 な ケーブルモデムが指示されることそのような物プロビジョニング システムを設定することです。 この方法では、モデム は、連続的に re-ranging することで貴重なアップストリームの帯域幅を浪費してしまうことがありません。 その代り、モデム はオンラインに到達します(d)モデムの背後にあるユーザはサービスプロバイダーのネットワークおよびモデムへのアクセスを 認められないことを示す状態はステーションメンテナンスのためにだけアップストリーム 帯域幅を使います。 BPI の状態を監視するために使用されるコマンド show interface cable X/0 privacy [kek | tek] CMTS インターフェイスの KEK か TEK を使う場合ように設定 しました関連付け られるタイマーを表示するのにこのコマンドが使用されています。 このコマンドの出力例は下記にあります。 CMTS# show interface cable 4/0 privacy kek Configured KEK lifetime value = 604800 Configured KEK grace time value = 600 CMTS# show interface cable 4/0 privacy tek Configured TEK lifetime value = 60480 Configured TEK grace time value = 600 show interface cable X/0 privacy statistic この隠しコマンドが特定のケーブル インターフェイスのベースラインプライバシ ーを使用して SID の数の統計情報を表示するのに使用されるかもしれません。 このコマンドの出力例は下記にあります。 CMTS# show interface cable 4/0 privacy statistic CM key Chain Count : 12 CM Unicast key Chain Count : 12 CM Mucast key Chain Count : 3 debug cable privacy このコマンドはベースラインプライバシーのデバッグをアクティブにします。 このコマンドが起動される場 合、ベースラインプライバシー状態またはベースラインプライバシー イベントの変更が発生する時はいつでも、詳細はコンソー ルで表示する。 このコマンドは debug cable interface cable X/0 か debug cable mac-address mac-address コマンドで先行 されてとだけ動作します。 debug cable bpiatp このコマンドはベースラインプライバシーのデバッグをアクティブにします。 このコマンドが起動される場 合、ベースラインプライバシー メッセージが Cisco CMTS によって送信 されるか、または受け取られる時はいつでも、メッセー ジの 16 進法ダンプするは表示する。 このコマンドは debug cable interface cable X/0 か debug cable mac-address macaddress コマンドで先行されてとだけ動作します。 debug cable keyman ベースラインプライバシー キー管理のこのコマンドによってアクティブにされるデバッグ。 このコマンドがア クティベートされると、ベースライン プライバシ キー管理の詳細が表示されます。 BPI のトラブルシューティング ケーブル モデムが online(pt)ではなく、online のように見える。 モデムが online(pt)ではなく online 状態のように見える場合は、一般的には次の 3 つの状態のいずれかが考えられます。 可能性のある最初の原因は、そのケーブル モデムがベースライン プライバシを使うように指定した DOCSIS 設定ファイルを受け 取っていないという点です。 DOCSIS 設定ファイルに、モデムに送られた Class of Service プロファイル中で有効にされた BPI があることをチェックします。 モデムが online 状態に見える次の理由として、そのモデムが BPI のネゴシエーションを始める前に待機状態にあることが考え られます。 1、2 分待って、そのモデムが online(pt)状態に遷移するのを確認します。 最後に考えられる理由は、そのモデムにベースライン プライバシをサポートするファームウェアが入っていない点です。 そのモ デムのベンダーに、BPI をサポートする新しいバージョンのファームウェアについてお問い合わせください。 ケーブル モデムが reject(pk)状態に見え、その後、offline になる。 モデムが reject(pk)状態に入る原因として最初に考えられるのは、そのケーブル モデムの認証が cable privacy authenticate-modem で有効にされているが、AAA の設定が誤っている点です。 関連するモデムのシリアル番号と MAC アドレス が、認証データベースに正しく入力されており、すべての外部 RADIUS サーバが到達可能であり、作動中であることをチェックし ます。 ルータ デバッグ コマンドの debug aaa authentication と debug radius を使って、RADIUS サーバの状態や、モデムが 認証に失敗している理由を調べられます。 注:ケーブル モデム接続のトラブルシューティングに関する一般的な情報は uBR Cable Modems がオンラインにならない場合のト ラブルシューティング を参照してください。 特記事項 - 隠しコマンド この文書中の隠しコマンドに関する参照情報は、情報を目的とする場合にのみ提供されています。 隠しコマンドは Cisco Technical Assistance Center (TAC)によってサポートされません。 さらに、隠しコマンドには次の制約があります。 常に信頼に足る正確な情報を提供するとはかぎりません。 実行により、予測できない副作用が発生する可能性があります。 Cisco IOSソフトウェアの異なるバージョンの同じように動作するよろしいです Cisco IOSソフトウェアの将来のリリースからいつでも予告なしに取除かれるよろしいです 関連情報 CableLabs トラブルシューティング テクニカルノーツ 1992 - 2016 Cisco Systems, Inc. All rights reserved. Updated: 2016 年 10 月 27 日 http://www.cisco.com/cisco/web/support/JP/100/1001/1001237_docsis_bpi.html Document ID: 12198