sak-rekey-interval

構文

階層レベル

説明

MACsecで保護されたリンク上で、SAK(セキュアアソシエーションキー)のタイマーベースの更新を設定します。これにより、SAK が頻繁に更新され、攻撃に対する脆弱性が低くなります。

静的 CAK モードでは、SAK は鍵サーバーによって生成され、定期的にリフレッシュされます。リフレッシュ間隔は、デフォルトでパケット カウンターの動きに基づきます。トラフィックの量とインターフェイスの速度によっては、新しい SAK が生成されるまでに時間がかかる場合があります。これにより、キーへの攻撃を成功させるのに十分な時間を提供できます。SAK のセキュリティを強化するには、タイマーベースの更新間隔を短くします。

MACsecセッションがプライマリPSK、先行PSK、フォールバックPSK、またはキーチェーンのキーを使用してライブの場合、SAKの更新は、キータイプに関係なく、設定された間隔に基づいてヒットレス方式で行われます。SAK ロールオーバー時にトラフィックの低下は発生しません。PSK の更新は、構成された SAK の更新間隔ごとに定期的に行われます。

XPN 暗号スイートが構成されている場合、非鍵サーバーで構成されているリフレッシュ間隔は、非鍵サーバーで構成されているリフレッシュ間隔よりも優先されます。

既定

SAK の更新間隔は、既定では有効になっていません。

オプション

• 範囲: 60 から 86,400 秒

必要な権限レベル

admin:設定でこのステートメントを表示します。

admin-control—このステートメントを設定に追加します。

リリース情報

Junos OSリリース20.3R1で導入されたステートメント。