Mappage des commandes du modèle MACsec OpenConfig à la configuration Junos

Note:

Consultez la rubrique Version du modèle de données OpenConfig pour comprendre la version prise en charge des modèles de données et sa version Junos OS pour Juniper Networks PTX Series.

Les tableaux suivants montrent le mappage des commandes OpenConfig Media Access Control Security (MACsec) avec les configurations appropriées dans Junos OS :

Tableau 1 : configuration des stratégies d’accord de clé MACsec (MKA)
Tableau 2 : configuration du trousseau de clés MKA
Tableau 3 : écart de configuration de l’ID de clé du trousseau MKA
Tableau 4 : configuration des interfaces MACsec

Tableau 1 : configuration des stratégies d’accord de clé MACsec (MKA)
Nom de la commande	Configuration d’OpenConfig	Junos Configuration
Nom	openconfig-macsec: macsec { mka { policies { policy { name(leafref) } } } }	security macsec { connectivity-association { <ca_name> } } s
Nom	openconfig-macsec: macsec { mka { policies { policy { config { name(string) } } } } }	security macsec { connectivity-association { <name> } }
priorité_serveur_clé	openconfig-macsec: macsec { mka { policies { policy { config { key-server-priority(uint8) } } } } }	security macsec { connectivity-association { <name> { mka { key-server-priority < 0..255 > } } } }
suite de chiffrement macsec	openconfig-macsec: macsec { mka { policies { policy { config { macsec-cipher-suite(macsec-types:macsec-cipher-suite) } } } } }	security macsec { connectivity-association { <name> { cipher-suite { <suit-options> } } } }
Confidentialité-Offset	openconfig-macsec: macsec { mka { policies { policy { config { confidentiality-offset(macsec-types: confidentiality-offset) } } } } }	security macsec { connectivity-association { <name> { offset { <0 or 30 or 50> } } } }
protection contre les retards	openconfig-macsec: macsec { mka { policies { policy { config { delay-protection(boolean) } } } } }	security macsec { connectivity-association { <name> { mka { bounded-delay } } } }
inclure-icv-indication	openconfig-macsec: macsec { mka { policies { policy { config { include-icv-indication(boolean) } } } } }	Configuration non prise en charge dans Junos OS.
sak-rekey-interval	openconfig-macsec: macsec { mka { policies { policy { config { sak-rekey-interval(uint32) } } } } }	security macsec { connectivity-association { <name> { mka { sak-rekey-interval < 60..86400 seconds> } } } }
sak-rekey-on-live-peer-loss	openconfig-macsec: macsec { mka { policies { policy { config { sak-rekey-on-live-peer-loss(boolean) } } } }	Configuration non prise en charge dans Junos OS.
use-updated-eth-header	openconfig-macsec: macsec { mka { policies { policy { config { use-updated-eth-header(boolean) } } } }	Configuration non prise en charge dans Junos OS.

Tableau 2 : configuration du trousseau de clés MKA
Nom de la commande	Configuration d’OpenConfig	Junos Configuration
nom du trousseau de clés	openconfig-macsec: macsec { mka { key-chains { key-chain { name(leafref) } } } }	security authentication-key-chains { key-chain { <key-chain-name> } }
nom de configuration du trousseau de clés	openconfig-macsec: macsec { mka { key-chains { key-chain { config { name(string) } } } } }	security authentication-key-chains { key-chain { <key-chain-name> } }
identifiant mka-key	openconfig-macsec: macsec { mka { key-chains { key-chain { mka-keys { mka-key { id(leafref) } } } } } }	security authentication-key-chains { key-chain { <key-chain-name> { key <0..63> } } }
ID de configuration mka-key	openconfig-macsec: macsec { mka { key-chains { key-chain { mka-keys { mka-key { config { id(oc-yang:hex-string) } } } } } } }	security authentication-key-chains { key-chain { <key-chain-name> { key <0..63> { key-name <> } } } }
texte clair clé	openconfig-macsec: macsec { mka { key-chains { key-chain { mka-keys { mka-key { config { key-clear-text(string) } } } } } } }	key-chain { <key-chain-name> { key <0..63> { secret <secret_key> } } } }
algorithme-cryptographique	openconfig-macsec: macsec { mka { key-chains { key-chain { mka-keys { mka-key { config { cryptographic-algorithm(enumeration) } } } } } } }	Configuration non prise en charge dans Junos OS.
valid-date-heure	openconfig-macsec: macsec { mka { key-chains { key-chain { mka-keys { mka-key { config { valid-date-time(union) } } } } } } }	security authentication-key-chains { key-chain { <key-chain-name> { key <0..63> { start-time { < YYYY-MM-DD.HH:MM> } } } } }
	openconfig-macsec: macsec { mka { key-chains { key-chain { mka-keys { mka-key { config { expiration-date-time(union) } } } } } } }	Configuration non prise en charge dans Junos OS.

Tableau 3 : écart de configuration de l’ID de clé du trousseau MKA
Nom de la commande	Configuration d’OpenConfig	Junos Configuration
Clé MKA	openconfig-macsec: macsec { mka { key-chains { key-chain { mka-keys { mka-key { id(leafref) } } } } } }	security authentication-key-chains { key-chain { <key-chain-name> { key <0..63> } } }
Dans les configurations OpenConfig, les `mka-key` éléments ID, key et start time sont référencés par le `mka-key id`fichier . Dans les configurations Junos OS, il est référencé par la `key` valeur, comprise entre 0 et 63. Pour prendre en charge la configuration OpenConfig, Junos OS dévie le `mka-key` modèle dans le modèle OpenConfig de la manière suivante : Les deux premiers chiffres doivent être un entier compris entre 00 et 63 suivi d’une chaîne hexadécimale ; Par exemple : [00..63][chaîne hexadécimale]. Les deux premiers chiffres d’OpenConfig `mka-key id` correspondent à l’entier de configuration de Junos OS. La configuration OpenConfig suivante en est un exemple : `set openconfig-macsec:macsec mka key-chains key-chain MACSEC_OC_KEY mka-keys mka-key 00cafe0000 config key-clear-text 1234567890` `set openconfig-macsec:macsec mka key-chains key-chain MACSEC_OC_KEY mka-keys mka-key 00cafe0000 config valid-date-time 2021-11-30T00:00:00.0Z` Le commit de configuration OpenConfig qui en résulte sur un équipement Juniper ressemble à ceci : security { authentication-key-chains { key-chain MACSEC_OC_KEY { key 0 { secret "$9$EVBcev8X7Vs2LXikmfzFevMW-VJGDjk."; ## SECRET-DATA key-name cafe0000; start-time "2021-11-29.16:00:00 -0800"; } } }

Tableau 4 : configuration des interfaces MACsec
Nom de la commande	Configuration d’OpenConfig	Junos Configuration
Nom de l’interface	openconfig-macsec: macsec { interfaces { interface { name(leafref) } } }	security macsec { interfaces { <name> } }
nom de configuration de l’interface	openconfig-macsec: macsec { interfaces { interface { config { name(oc-if:base-interface-ref) } } } }	security macsec { interfaces { <name> } }
activation de la configuration	openconfig-macsec: macsec { interfaces { interface { config { enable(boolean) } } } }	Il n’existe pas de mot-clé enable distinct dans Junos OS.
protection contre le rejeu	openconfig-macsec: macsec { interfaces { interface { config { replay-protection(uint16) } } } }	openconfig-macsec: macsec { interfaces { interface { config { replay-protection(uint16) } } } } security macsec { connectivity-association { <name> { replay-protect { replay-window-size < 0..65535 packets> } } } }
politique mka	openconfig-macsec: macsec { interfaces { interface { mka { config { mka-policy(leafref) } } } } }	security macsec { interfaces { <name> { connectivity-association { <connectivity-association> } } } }
trousseau de configuration	openconfig-macsec: macsec { interfaces { interface { mka { config { key-chain(leafref) } } } } }	security macsec { connectivity-association { <name> { pre-shared-key-chain { <pre-shared-key-chain> } } } }