Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MACsecの設定

概要 

MACsecの設定

MACsec を設定し、MACsec 対応 MIC で ACX5448-M を接続するポイントツーポイント イーサネット リンクをセキュリティで保護できます。MACsec を使用して保護する各ポイントツーポイント イーサネット リンクは、個別に設定する必要があります。静的接続アソシエーションキー(CAK)セキュリティモードを使用して、デバイス間リンクでMACsecを有効にすることができます。

ACX5448-Mでは、MACsecは44個の10ギガビットまたは1ギガビットイーサネットポートでのみサポートされています。このセクションでは、これらのポートを MACsec の設定に使用します。

時間のカスタマイズ

時刻をカスタマイズするには、NTPを無効にして日付を設定します。

  1. NTP を無効にします。
  2. 日付と時刻を設定します。日付と時刻の形式が YYYYMMDDHHMM.ss

Junos OSを搭載したデバイスでのMACsecの設定

Junos OSを搭載したデバイスでMACsecを設定するには、次の手順に従います。

  1. 接続の関連付けに対して、MACsecセキュリティモードを設定します。
  2. 接続性アソシエーション キー名(CKN)と接続性アソシエーション キー(CAK)を設定して、事前共有キーを作成します。
  3. MACsec キー アグリーメント(MKA)セキュア チャネルの詳細を設定します。
  4. MKAをセキュリティモードに設定します。
  5. 設定された接続の関連付けを、指定されたMACsecインターフェイスに割り当てます。

ICMPトラフィックを使用した静的MACsecの設定

デバイスR0とデバイスR1間のICMPトラフィックを使用して静的MACsecを設定するには:

R0 の場合:

  1. 接続性アソシエーション キー名(CKN)と接続性アソシエーション キー(CAK)を設定して、事前共有キーを作成します
  2. トレース・オプション値を設定します。
  3. トレースをインターフェイスに割り当てます。
  4. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
  5. MKA キー サーバのプライオリティを設定します。
  6. MKA の送信間隔を設定します。
  7. MKA セキュアを有効にします。
  8. インターフェイスに接続性の関連付けを割り当てます。

R1 の場合:

  1. 接続性アソシエーション キー名(CKN)と接続性アソシエーション キー(CAK)を設定して、事前共有キーを作成します

  2. トレース・オプション値を設定します。

  3. トレースをインターフェイスに割り当てます。

  4. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。

  5. MKA の送信間隔を設定します。

  6. MKA セキュアを有効にします。

  7. インターフェイスに接続性の関連付けを割り当てます。

ICMPトラフィックを使用したキーチェーンによるMACsecの設定

デバイスR0とデバイスR1間のICMPトラフィックを使用して、キーチェーンでMACsecを設定するには:

R0 の場合:

  1. 認証キーチェーンに許容値を割り当てます。
  2. 使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。

    promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。

  3. 事前共有キーチェーン名を接続性の関連付けに関連付けます。
    メモ:

    暗号値は、 として cipher-suite gcm-aes-128設定することもできます。

  4. トレース・オプション値を設定します。
  5. トレースをインターフェイスに割り当てます。
  6. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
  7. MKA キー サーバのプライオリティを設定します。
  8. MKA の送信間隔を設定します。
  9. MKA セキュアを有効にします。
  10. インターフェイスに接続性の関連付けを割り当てます。

ICMPトラフィックのキーチェーンを使用してMACsecを設定するには、次の手順に従います。

R1 の場合:

  1. 認証キーチェーンに許容値を割り当てます。

  2. 使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。

    promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。

  3. 事前共有キーチェーン名を接続性の関連付けに関連付けます。

  4. トレース・オプション値を設定します。

  5. トレースをインターフェイスに割り当てます。

  6. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。

  7. MKA キー サーバのプライオリティを設定します。

  8. MKA の送信間隔を設定します。

  9. MKA セキュアを有効にします。

  10. インターフェイスに接続性の関連付けを割り当てます。

レイヤー2トラフィックの静的MACsecの設定

デバイスR0とデバイスR1間のレイヤー2トラフィックに静的MACsecを設定するには:

R0 の場合:

  1. MKA キー サーバのプライオリティを設定します。
  2. 使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。

    たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。

  3. 事前共有キーチェーン名を接続性の関連付けに関連付けます。
  4. トレース・オプション値を設定します。
  5. トレースをインターフェイスに割り当てます。
  6. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
  7. MKA キー サーバのプライオリティを設定します。
  8. MKA の送信間隔を設定します。
  9. MKA セキュアを有効にします。
  10. インターフェイスに接続性の関連付けを割り当てます。
  11. VLANタギングを設定します。
  12. ブリッジドメインを設定します。

R1 の場合:

  1. 使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。

    たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。

  2. 事前共有キーチェーン名を接続性の関連付けに関連付けます。

  3. トレース・オプション値を設定します。

  4. トレースをインターフェイスに割り当てます。

  5. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。

  6. MKA キー サーバのプライオリティを設定します。

  7. MKA の送信間隔を設定します。

  8. MKA セキュアを有効にします。

  9. インターフェイスに接続性の関連付けを割り当てます。

  10. VLANタギングを設定します。

  11. ブリッジドメインを設定します。

レイヤー2トラフィックのキーチェーンによるMACsecの設定

デバイスR0とデバイスR1間のICMPトラフィックにキーチェーンを使用してMACsecを設定するには、次の手順に従います。

R0 の場合:

  1. 認証キーチェーンに許容値を割り当てます。
  2. 使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。

    promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。

  3. 事前共有キーチェーン名を接続性の関連付けに関連付けます。
  4. トレース・オプション値を設定します。
  5. トレースをインターフェイスに割り当てます。
  6. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。
  7. MKA キー サーバのプライオリティを設定します。
  8. MKA の送信間隔を設定します。
  9. MKA セキュアを有効にします。
  10. インターフェイスに接続性の関連付けを割り当てます。
  11. VLANタギングを設定します。
  12. ブリッジドメインを設定します。

R1 の場合:

  1. 認証キーチェーンに許容値を割り当てます。

  2. 使用するシークレット パスワードを作成します。これは、最大 64 文字の 16 進数の文字列です。文字列が引用符で囲まれている場合、パスワードにはスペースを含めることができます。キーチェーンのシークレット データは CAK として使用されます。

    promptコマンドを使用して、秘密鍵の値を入力します。たとえば、秘密キーの値は 2345678922334455667788992223334123456789223344556677889922233341 です。

  3. 事前共有キーチェーン名を接続性の関連付けに関連付けます。

  4. トレース・オプション値を設定します。

  5. トレースをインターフェイスに割り当てます。

  6. MACsecセキュリティモードを、接続アソシエーション用のstatic-cakとして設定します。

  7. MKA キー サーバのプライオリティを設定します。

  8. MKA の送信間隔を設定します。

  9. MKA セキュアを有効にします。

  10. インターフェイスに接続性の関連付けを割り当てます。

  11. VLANタギングを設定します。

  12. ブリッジドメインを設定します。