MACsecの設定
MACsecを設定して、MACsec対応MICでデバイスを接続するポイントツーポイントイーサネットリンクをセキュリティで保護できます。MACsec を使用して保護する各ポイントツーポイント イーサネット リンクは、個別に設定する必要があります。静的接続アソシエーションキー(CAK)セキュリティモードを使用して、デバイス間リンクでMACsecを有効にすることができます。
時間のカスタマイズ
時刻をカスタマイズするには、NTPを無効にして日付を設定します。
Junos OSを搭載したデバイスでのMACsecの設定
Junos OSを搭載したデバイスでMACsecを設定するには、次の手順に従います。
ICMPトラフィックを使用した静的MACsecの設定
デバイスR0とデバイスR1間のICMPトラフィックを使用して静的MACsecを設定するには:
R0 の場合:
R1 の場合:
接続性アソシエーション キー名(CKN)と接続性アソシエーション キー(CAK)を設定して、事前共有キーを作成します
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key ckn 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 30
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka should-secure crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
インターフェイスに接続性の関連付けを割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1 crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24
ICMPトラフィックを使用したキーチェーンによるMACsecの設定
デバイスR0とデバイスR1間のICMPトラフィックを使用して、キーチェーンでMACsecを設定するには:
R0 の場合:
ICMPトラフィックのキーチェーンを使用してMACsecを設定するには、次の手順に従います。
R1 の場合:
認証キーチェーンに許容値を割り当てます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 start-time 2018-03-20.20:37 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 start-time 2018-03-20.20:39 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 start-time 2018-03-20.20:43 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 start-time 2018-03-20.20:45 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 start-time 2018-03-20.20:47 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 start-time 2018-03-20.20:49
promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。[edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 1 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 2 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 3 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 4 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 5 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 6 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 7 secret New cak (secret): Retype new cak (secret):
事前共有キーチェーン名を接続性の関連付けに関連付けます。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
MKA キー サーバのプライオリティを設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
インターフェイスに接続性の関連付けを割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1 crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24
レイヤー2トラフィックの静的MACsecの設定
デバイスR0とデバイスR1間のレイヤー2トラフィックに静的MACsecを設定するには:
R0 の場合:
R1 の場合:
使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。
[edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret):
たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。
事前共有キーチェーン名を接続性の関連付けに関連付けます。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
MKA キー サーバのプライオリティを設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
インターフェイスに接続性の関連付けを割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1
VLANタギングを設定します。
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 vlan-id 100 crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 vlan-id 100
ブリッジドメインを設定します。
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100
レイヤー2トラフィックのキーチェーンによるMACsecの設定
デバイスR0とデバイスR1間のICMPトラフィックにキーチェーンを使用してMACsecを設定するには、次の手順に従います。
R0 の場合:
R1 の場合:
認証キーチェーンに許容値を割り当てます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 start-time 2018-03-20.20:37 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 start-time 2018-03-20.20:39 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 start-time 2018-03-20.20:43 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 start-time 2018-03-20.20:45 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 start-time 2018-03-20.20:47 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 start-time 2018-03-20.20:49
promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。[edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 1 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 2 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 3 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 4 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 5 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 6 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 7 secret New cak (secret): Retype new cak (secret):
事前共有キーチェーン名を接続性の関連付けに関連付けます。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
トレース・オプション値を設定します。
[edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file size 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
トレースをインターフェイスに割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
MKA キー サーバのプライオリティを設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
MKA の送信間隔を設定します。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
MKA セキュアを有効にします。
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
インターフェイスに接続性の関連付けを割り当てます。
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1
VLANタギングを設定します。
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 vlan-id 100 crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexible-ethernet-services crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 encapsulation vlan-bridge crypto-officer@hostname:fips# set interfaces interface-name2 unit 100 vlan-id 100
ブリッジドメインを設定します。
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100 crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100