cipher-suite (MACsec)

構文

階層レベル

説明

メディアアクセス制御セキュリティ(MACsec)で保護されたイーサネットリンク上のトラフィックを暗号化するために使用する暗号のセットを指定します。MACsecで使用される暗号化により、リンク上のトラフィックを監視している人がイーサネットフレーム内のデータを見ることができないようにします。MACsec暗号化はオプションで、ユーザーが設定できます。設定する暗号スイートは、MACsec ピア間で同じである必要があります。

MACsecは、ガロア/カウンターモード高度暗号化標準(GCM-AES)を利用します。MACsec に使用されるデフォルトの暗号スイートは GCM-AES-128 で、最大鍵長は 128 ビットです。MACsecはGCM-AES-256もサポートしており、最大鍵長は256ビットです。

GCM– AES– 128およびGCM– AES– 256は、初期値の一部として32ビットのパケット番号を使用しますが、これは特定のセキュアアソシエーションキー(SAK)を使用して送信されるすべてのパケットで一意である必要があります。32 ビットのパケット番号の順列がなくなると、SAK が大幅に更新されます。SAK 更新の頻度は、パケット番号のサイズを 64 ビットに増やす拡張パケット番号 (XPN) で暗号スイートを使用することで減らすことができます。GCM-AES-128 と GCM-AES-256 の両方が XPN で使用できます。

既定

cipher-suiteステートメントが設定されていない場合、暗号化に使用されるデフォルトの暗号スイートはGCM-AES-128です。

オプション

必要な権限レベル

admin:設定でこのステートメントを表示します。

admin-control:このステートメントを設定に追加します。

リリース情報

Junos OSリリース16.2R1で導入されたステートメント。