Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

WAN上のメディアアクセス制御セキュリティ(MACsec)

メディアアクセス制御セキュリティ(MACsec)は、ポイントツーポイント暗号化用のリンク層ソリューションです。MACsecを使用して、サービスプロバイダのWANを介したレイヤー2接続を暗号化し、データ伝送の整合性と機密性を確保できます。

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「 MACsec over WANのプラットフォーム固有の動作 」セクションを参照してください。

マルチホップでのMACsecの伝送の概要

MACsecセッションを確立するには、MACsecキーアグリーメント(MKA)を使用して、ピアノード間で必要なキーを交換します。MKA PDUは、トランスポートプロトコルとしてExtensible Authentication Protocol over LAN(EAPoL)を使用して送信されます。EAPoL はレイヤー 2 プロトコルであり、通常はスイッチまたはルーターによってローカルで処理され、それ以上伝播されることはありません。

ノードがサービスプロバイダネットワークを介して接続されている場合、これは課題となります。 図1 は、サービスプロバイダネットワーク上で転送されたMACsecを示しています。MKAは、顧客のデバイスAとBの間で鍵を交換する必要があります。エッジルーター(中間デバイス)は、EAPoL パケットを処理しないでください。代わりに、透過的にネクストホップに転送する必要があります。

図1:サービスプロバイダネットワーク上で転送されるMACsec Network topology showing Customer Device A and B connected via a service provider core network. Edge routers are MACSec-unaware. Encrypted secure channel between devices bypasses non-MACSec routers.

EAPoL パケットのデフォルトの宛先 MACアドレスは、01:80:C2:00:00:03 のマルチキャストアドレスです。サービスプロバイダネットワークでは、パケットが意図されたものであると仮定して、これらのパケットを消費するデバイスが存在する可能性があります。EAPoL は 802.1X やその他の認証方法で使用されるため、設定によってはデバイスがパケットをドロップする可能性があります。これにより、目的のエンドポイント間で MKA セッションが失敗します。EAPoL パケットが目的のエンドポイントに確実に到達するように、宛先 MACアドレス、VLAN ID、EtherType などのパケットの属性を変更して、サービス プロバイダー ネットワークがパケットを消費するのではなくトンネリングするようにすることができます。

論理インターフェイスでのIFLレベルMACsecの設定

論理インターフェイス(IFL)レベルのMACsecは、単一の物理ポートで複数のMKAセッションを可能にします。これにより、サービスプロバイダWANを介したポイントツーマルチポイント接続のMACsec暗号化によるサービスの多重化が可能になります。

IFL レベルの MACsec をサポートするために、MKA プロトコル パケットは論理インターフェイスに設定された VLAN タグを使用して送信されます。VLANタグはクリアテキストで送信されるため、MACsecを認識しない中間スイッチがVLANタグに基づいてパケットを切り替えることができます。

MACsecを設定する場合、接続アソシエーションをインターフェイスにバインドする必要があります。IFL レベルの MACsec を有効にするには、以下のコマンドを使用して接続アソシエーションを論理インターフェイスにバインドします。

設定の詳細については、 静的CAKモードでのMACsecの設定を参照してください。

MACsecのEAPoL宛先MACアドレスを設定する

MACsecは、EAPoLパケットを使用してMKA PDUを送信し、セキュアなセッションを確立します。デフォルトでは、EAPoL は 01:80:C2:00:00:03 の宛先マルチキャスト MACアドレスを使用します。これらのパケットがサービスプロバイダネットワークで消費されないようにするには、宛先MACアドレスを変更できます。

EAPoL 宛先 MACアドレスを設定するには、次のいずれかのコマンドを入力します。

注:

MACsecセッションを確立するには、セキュリティアソシエーションまたはセキュア接続の両方のエンドポイントで設定が一致している必要があります。
  • ポートアクセスエンティティのマルチキャストアドレスを設定するには:
  • プロバイダブリッジマルチキャストアドレスを設定するには:
  • LLDPマルチキャストアドレスを設定するには:
  • ユニキャスト宛先アドレスを設定するには:

オプションは、次のようにMACアドレスにマッピングされます。

表1:EAPoLとMACアドレスのマッピング

EAPoL アドレス

MACアドレス

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00:00

lldp-multicast

01:80:C2:00:00:00:0E

destination

configurable unicast address

MACsecのEAPoL EtherTypeを設定する

MACsecは、セッションを確立するためのトランスポートプロトコルとしてEAPoLを使用します。EAPoL パケットにカスタム MAC 宛先アドレスを設定する場合、ほとんどの場合、ネットワークは宛先アドレスに基づいてパケットをトンネリングします。ただし、一部のネットワークでは、代わりに EtherType 値に基づいてパケットをフィルタリングします。EtherTypeは、イーサネットフレーム内のフィールドです。EtherTypeフィールドの値は、フレームにカプセル化されたパケットのプロトコルを識別します。デフォルトでは、EAPoL の EtherType は IEEE 802.1X 標準で定義されているとおりに0x888eされます。一部のネットワークは、この EtherType を使用してタグなしパケットを自動的に傍受します。ネットワークがMACsecパケットをエンドポイントに正しくトンネリングするように、EAPoLのカスタムEtherTypeを設定できます。

インターフェイスでMACsecが有効になっている場合、デバイスはそのインターフェイスを通過するタグなしEAPoLパケットをトラップし、タグ付きEAPoLパケットを転送します。デフォルトでは、デバイスは、デフォルトのEtherType 0x888eがある場合にのみ、これらのパケットをトラップします。カスタムEtherTypeを設定すると、デバイスは代わりにそのカスタムEtherTypeを持つパケットをトラップします。EtherType 0x888eのパケットはトラップされません。

EAPoL EtherType値を選択します

カスタムEtherType値を設定する場合、次のように設定する必要があります。

  • 各EAPoLプロファイルで異なります。複数のプロファイルに同じEtherTypeを設定しないでください。EtherType が 1 つだけ必要な場合は、プロファイルを 1 つだけ使用します。

  • 有効(0x600以上)。

  • 利用可能(別の用途には予約されていません)。

予約済みの EtherType を使用すると、データ トラフィックに干渉する可能性があります。予約済みイーサタイプは、以下の3つのカテゴリーに分類されます。

  1. IEEE 802.1X規格によって予約されているEtherTypes値で、 IEEE EtherTypes規格ページに記載されています。

  2. トラフィックデータで使用されるEtherType値。

  3. Junosデバイス専用に予約されたEtherType値。このカテゴリには、標準ページに記載されていない0x9100や0x9200などの値が含まれます。EtherTypeがこのカテゴリにないことを確認するには、以下の表を確認するか、設定をコミットしてください。EtherType値が以下の表にある場合、コミットチェックは予約値を検出し、コミットは失敗します。

注:以下の表は、使用すべきではないEtherTypesの完全なリストではありません。コミットチェックは、すべての予約済み EtherType をキャッチできないため、設定をコミットする前に EtherType が利用可能であることを確認してください。
表2:Junosデバイスのコミットチェックでキャッチされる予約済みEtherType
EtherType Reserved For EtherType
0x22F3 トリル 0x88B6 経験値2
0x0800 IPv4 0x88B7 EXP3
0x0806 ARP 0x88cc LLDP
0x8035 RARP 0x88E5 802.1AE
0x8100 VLAN 0x88E7 PBB
0x86dd IPv6 0x88EE ELMI
0x8809 遅い 0x88F5 MVRP
0x8847 タグ 0x88F6 MMRP
0x8848 マルチキャスト MPLS 0x88F7 PTP
0x8863 PPPoEディスク 0x8902 イーサネットOAM CFM
0x8864 PPPoE SESS 0x8906 FCOE
0x888e 802.1倍 0x8914 FIP
0x88a8 PVLAN 0x9100 9100
0x88B5 経験値1 0x9200 9200

設定

発信元デバイスとエンドポイントデバイスは、両方のデバイスが同じEAPoL EtherTypeで設定されている場合にのみ、MACsecセッションを確立できます。両方のデバイスで設定を繰り返します。

EAPoL パケットのカスタム EtherType 値を設定するには:

  1. カスタムEAPoL EtherTypeプロファイルを設定します。
    注:

    PTXシリーズルーターには、EAPOL_ETHERTYPE1またはEAPOL_ETHERTYPE2の2つのEtherTypeプロファイルがすでに設定されています。EAPoL EtherTypeプロファイルには、これらの名前のいずれかを使用する必要があります。
  2. (オプション)カスタムEAPoL EtherType値を設定します。

    EtherType値の選択方法については、 EAPoL EtherType値の選択 を参照してください。

    注:PTXシリーズルーターでは、各定義済みプロファイルがデフォルトのEtherTypeで事前設定されています。プロファイルEAPOL_ETHERTYPE1のデフォルトのEtherType値は0x876fです。プロファイルEAPOL_ETHERTYPE2のデフォルトのEtherType値は0xb860です。必要に応じて、別のEtherTypeを設定することもできます。
  3. カスタムEAPoL EtherTypeプロファイルをMACsec接続アソシエーション設定に適用します。
  4. 設定をコミットします。
  5. (PTX10K-LC1301ラインカードまたはPTX10002-36QDD搭載のPTX10008)EAPoL EtherType値を事前設定済みのデフォルトから変更した場合は、デバイスを再起動します。
  6. show security mka sessions detailコマンドを使用して設定したEtherType値を確認します。例えば:

    MACsec の EAPoL のカスタム EtherType 値を設定しました。

  7. もう一方のデバイスで設定を繰り返します。

MACsec over WANのプラットフォーム固有の動作

お使いのプラットフォームに固有の動作を確認するには、以下の表を使用して下さい。

表3:MACsec用EAPoL EtherTypeのプラットフォーム固有の動作

プラットフォーム

違い

ACXシリーズ

  • 論理インターフェイスでMACsecが有効になっている場合、デバイスはそのインターフェイスのタグ付けに一致するパケット(タグなしまたはタグ付き)をトラップします。カスタムEtherTypeを設定していない場合、デバイスはデフォルトのEtherType 0x888eがある場合にのみ、そのインターフェイスのタグに一致するEAPoLパケットをトラップします。カスタムEtherTypeを設定した場合、デバイスはそのカスタムEtherTypeを持つパケットのみをトラップし、EtherType 0x888eのパケットはトラップしません。

  • リンクアグリゲーショングループ(LAG)に属するすべてのインターフェイスは、同じEAPoL EtherTypeプロファイルを使用する必要があります。そうしないと、インターフェイスでMACsecは機能しません。

PTXシリーズ

  • 設定できるEAPoL EtherTypeプロファイルは、EAPOL_ETHERTYPE1とEAPOL_ETHERTYPE2の2つだけです。デフォルトでは、これらのプロファイルに関連付けられたEtherTypeはそれぞれ0x876fと0xb860です。必要に応じて、デフォルト以外のEtherType値を設定できます。

  • (PTX10K-LC1301ラインカードまたはPTX10002-36QDDを搭載したPTX10008)EtherType値を設定済みのデフォルト値から変更した後、再起動が必要です。

  • (PTX10K-LC1201またはPTX10K-LC1202ラインカードを搭載したPTX10004、PTX10008、PTX10016。PTX10001-36MR) EVPN-MPLS および EVPN-VPWS サービスでカスタム EtherType で受信した MACsec パケットでは、トンネルの終端はサポートされていません。

  • (PTX10001-36MR、PTX10002-36QDD、PTX10004、PTX10008、PTX10016)物理インターフェイスにイーサネットCCCカプセル化が設定されていて、そのインターフェイスにMACsecが設定されている場合、デバイスは、タグの有無に関わらず、そのインターフェイスのすべてのEAPoLパケットをトラップします。これを回避するには、そのインターフェイス上で、他のMACsecトラフィックに使用されるものとは異なるカスタムEtherTypeを設定します。この設定の後、デバイスはカスタムEtherTypeでパケットをトラップし、タグなしの他のパケットを通過させます。