MACsecの設定
概要
MACsecの設定
SRX380をMACsec対応のMICに接続するポイントツーポイントのイーサネットリンクを保護するためにMACsecを設定できます。MACsecを使用して保護する各ポイントツーポイントイーサネットリンクは、個別に設定する必要があります。静的接続アソシエーションキー(CAK)セキュリティモードを使用して、デバイス間リンクでMACsecを有効にできます。
SRX380では、MACsecは44個の10ギガビットまたは1ギガビットイーサネットポートでのみサポートされています。このセクションでは、これらのポートを MACSec の設定に使用します。
- Junos OS を搭載したデバイスでの MACsec の設定
- ICMPトラフィックによる静的MACsecの設定
- ICMPトラフィックを使用したキーチェーンによるMACsecの設定
- レイヤー2トラフィックの静的MACsecの設定
- レイヤー2トラフィックのキーチェーン付きMACsecの設定
Junos OS を搭載したデバイスでの MACsec の設定
Junos OS を実行しているデバイスで MACsec を設定するには、次の手順に従います。
ICMPトラフィックによる静的MACsecの設定
デバイスR0とデバイスR1間のICMPトラフィックを使用して静的MACsecを設定するには:
R0では、次のようになります。
R1では、次のようになります。
-
接続アソシエーションキー名(CKN)と接続アソシエーションキー(CAK)を設定して、事前共有キーを作成します
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key ckn 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 30
-
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
-
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
接続アソシエーションの MACsec セキュリティ モードを static-cak として設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka should-secure crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
接続の関連付けをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1 crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24
ICMPトラフィックを使用したキーチェーンによるMACsecの設定
デバイスR0とデバイスR1間のICMPトラフィックを使用して、キーチェーン付きMACsecを設定するには、次の手順に従います。
R0では、次のようになります。
ICMPトラフィックのキーチェーンでMACsecを設定するには:
R1では、次のようになります。
-
認証キーチェーンに許容値を割り当てます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
-
使用するシークレットパスワードを作成します。これは、最大64文字の長さの16進数の文字列です。文字列を引用符で囲む場合、パスワードにはスペースを含めることができます。キーチェーンのシークレットデータは CAK として使用されます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 start-time 2018-03-20.20:37 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 start-time 2018-03-20.20:39 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 start-time 2018-03-20.20:43 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 start-time 2018-03-20.20:45 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 start-time 2018-03-20.20:47 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 start-time 2018-03-20.20:49
promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。[edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 1 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 2 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 3 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 4 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 5 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 6 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 7 secret New cak (secret): Retype new cak (secret):
-
事前共有キーチェーン名を接続の関連付けに関連付けます。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
-
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
-
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
接続アソシエーションの MACsec セキュリティ モードを static-cak として設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
MKA 鍵サーバのプライオリティを設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
-
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
接続の関連付けをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1 crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24
レイヤー2トラフィックの静的MACsecの設定
デバイスR0とデバイスR1間のレイヤー2トラフィックに静的MACsecを設定するには:
R0では、次のようになります。
R1では、次のようになります。
-
使用するシークレットパスワードを作成します。これは、最大64文字の長さの16進数の文字列です。文字列を引用符で囲む場合、パスワードにはスペースを含めることができます。キーチェーンのシークレットデータは CAK として使用されます。
[edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret):
たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。
-
事前共有キーチェーン名を接続の関連付けに関連付けます。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
-
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
-
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
接続アソシエーションの MACsec セキュリティ モードを static-cak として設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
MKA 鍵サーバのプライオリティを設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
-
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
接続の関連付けをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1
-
VLANのタグ付けを設定します。
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 vlan-id 100 crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 vlan-id 100
-
ブリッジドメインを設定します。
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100
レイヤー2トラフィックのキーチェーン付きMACsecの設定
デバイスR0とデバイスR1間のICMPトラフィックにキーチェーン付きMACsecを設定するには、次の手順に従います。
R0では、次のようになります。
R1では、次のようになります。
-
認証キーチェーンに許容値を割り当てます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
-
使用するシークレットパスワードを作成します。これは、最大64文字の長さの16進数の文字列です。文字列を引用符で囲む場合、パスワードにはスペースを含めることができます。キーチェーンのシークレットデータは CAK として使用されます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 start-time 2018-03-20.20:37 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 start-time 2018-03-20.20:39 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 start-time 2018-03-20.20:43 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 start-time 2018-03-20.20:45 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 start-time 2018-03-20.20:47 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 start-time 2018-03-20.20:49
promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。[edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 1 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 2 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 3 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 4 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 5 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 6 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 7 secret New cak (secret): Retype new cak (secret):
-
事前共有キーチェーン名を接続の関連付けに関連付けます。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
-
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
-
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
接続アソシエーションの MACsec セキュリティ モードを static-cak として設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
MKA 鍵サーバのプライオリティを設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
-
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
接続の関連付けをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1
-
VLANのタグ付けを設定します。
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 vlan-id 100 crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 vlan-id 100
-
ブリッジドメインを設定します。
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100