Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

シャーシ クラスタのMACsec(メディア アクセス制御セキュリティ)

メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。詳細については、次のトピックを参照してください。

メディアアクセス制御セキュリティ(MACsec)について

メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。MACsecは、直接接続されたノード間のイーサネットリンク上にポイントツーポイントセキュリティを提供し、サービス拒否、侵入、中間者攻撃、なりすまし、受動的盗聴、プレイバック攻撃など、ほとんどのセキュリティ上の脅威を特定して防止することができます。

MACsec を使用すると、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)からのフレームや、他のセキュリティ ソリューションでは制限があるため、通常はイーサネット リンクで保護されないその他のプロトコルからのフレームを含む、ほぼすべてのトラフィックに対してイーサネット リンクをセキュリティで保護できます。MACsecは、IPsec(IP Security)や SSL(Secure Sockets Layer)などの他のセキュリティ プロトコルと組み合わせて使用することで、エンドツーエンドのネットワーク セキュリティを提供できます。

Junos OSリリース15.1X49-D60以降、メディアアクセス制御セキュリティ(MACsec)は、シャーシクラスタモードのSRX340およびSRX345デバイスの制御ポートおよびファブリックポートでサポートされます。

Junos OSリリース20.1R1以降、トラフィックを保護するために、シャーシクラスタモードのSRX380デバイスの制御ポート、ファブリックポート、収益ポートでMACsecがサポートされています。MACsecは、1ギガビットイーサネットポートX16(ge-0/0/0からge-0/0/15)および10ギガビットイーサネットポートx4(xe-0/0/16からxe-0/0/19)でサポートされています。

Junos OS リリース 17.4R1 以降、シャーシ クラスタ モードの SRX4600 デバイスの HA 制御ポートおよびファブリック ポートで MACsec がサポートされています。

このトピックは、以下のセクションで構成されています。

MACsecの仕組み

ある機能が特定のプラットフォームまたは Junos OS リリースでサポートされているかどうかを確認するには、「 機能エクスプローラー」を参照してください。

MACsecは、セキュアなポイントツーポイントイーサネットリンクを使用して、業界標準のセキュリティを提供します。ポイントツーポイント リンクは、セキュリティ キーを照合するとセキュリティで保護されます。静的接続関連付けキー(CAK)セキュリティ モードを使用してMACsecを有効にすると、ポイントツーポイント イーサネット リンクの両端にあるインターフェイス間で、ユーザーが設定した事前共有キーが交換および検証されます。

ポイントツーポイントのイーサネットリンクでMACsecを有効にすると、リンクを通過するすべてのトラフィックは、データの整合性チェックと、設定されている場合は暗号化を使用してMACsecで保護されます。

データ整合性チェックでは、データの整合性を検証します。MACsecは、MACsecで保護されたポイントツーポイントイーサネットリンクを通過するすべてのイーサネットフレームに、8バイトのヘッダーと16バイトのテールを追加し、受信インターフェイスによってヘッダーとテールがチェックされ、リンクを通過するときにデータが侵害されていないことが確認されます。データ整合性チェックでトラフィックに関する異常な点が検出されると、そのトラフィックはドロップされます。

MACsecは、イーサネットリンク上のすべてのトラフィックの暗号化にも使用できます。MACsecで使用される暗号化により、リンク上のトラフィックを監視している人がイーサネットフレーム内のデータを見ることができないようにします。

デフォルトでは、静的 CAK セキュリティ モードを使用して MACsec が有効になっている場合、インターフェイスを出入りするすべてのトラフィックに対して暗号化が有効になります。

MACsec は、MACsec 対応インターフェイス間のポイントツーポイント イーサネット リンクで設定されます。複数のイーサネットリンクでMACsecを有効にする場合は、各ポイントツーポイントイーサネットリンクでMACsecを個別に設定する必要があります。

接続性の関連付けとセキュアチャネルについて

MACsec は、接続性の関連付けに設定されます。MACsecは、接続アソシエーションがインターフェイスに割り当てられている場合に有効になります。

静的 CAK または動的セキュリティ モードを使用して MACsec を有効にする場合は、接続性の関連付けを作成して設定する必要があります。2 つのセキュリティで保護されたチャネル (1 つは受信トラフィック用のセキュリティで保護されたチャネル、もう 1 つは送信トラフィック用のセキュリティで保護されたチャネル) が自動的に作成されます。自動的に作成されたセキュリティで保護されたチャネルには、ユーザーが構成できるパラメーターはありません。すべての構成は、セキュリティで保護されたチャネルの外部の接続アソシエーションで行われます。

静的接続アソシエーション キー セキュリティ モードについて

静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec を有効にすると、コントロール プレーンのトラフィックを保護する CAK(接続性アソシエーション キー)と、データ プレーン トラフィックをセキュリティで保護するランダムに生成されるセキュア アソシエーション キー(SAK)の 2 つのセキュリティ キーがポイントツーポイント イーサネット リンクのセキュリティ保護に使用されます。リンクのセキュリティを確保するために、ポイントツーポイントイーサネットリンクの両端で、両方のデバイス間で両方のキーが定期的に交換されます。

静的 CAK セキュリティ モードを使用して MACsec を有効にする場合は、事前共有キーを使用して最初に MACsec で保護されたリンクを確立します。事前共有キーには、接続アソシエーション名 (CKN) とそれ自身の接続アソシエーション キー (CAK) が含まれます。CKN と CAK は、接続アソシエーションでユーザーによって設定され、MACsec を最初に有効にするには、リンクの両端で一致する必要があります。

一致する事前共有キーの交換に成功すると、MACsec キー アグリーメント(MKA)プロトコルが有効になります。MKA プロトコルは、リンク上の MACsec を維持する役割を担い、ポイントツーポイント リンク上のどのスイッチがキー サーバになるかを決定します。次に、鍵サーバーは、ポイントツーポイント リンクのもう一方の端でのみスイッチと共有される SAK を作成し、その SAK を使用してリンクを通過するすべてのデータ トラフィックを保護します。キー サーバーは、MACsec が有効になっている限り、ポイントツーポイント リンクを介してランダムに作成された SAK を定期的に作成して共有し続けます。

静的 CAK セキュリティ モードを使用して MACsec を有効にするには、リンクの両端で接続の関連付けを設定します。すべての構成は、接続アソシエーション内で、セキュア チャネルの外部で行われます。静的 CAK セキュリティ モードを使用すると、受信トラフィック用と送信トラフィック用の 2 つのセキュリティで保護されたチャネルが自動的に作成されます。自動的に作成されたセキュア・チャネルには、接続性の関連付けでまだ構成できないユーザー構成可能なパラメーターはありません。

静的 CAK セキュリティ モードを使用して MACsec を有効にすることを推奨します。静的 CAK セキュリティ モードは、新しいランダム セキュリティ キーを頻繁に更新し、MACsec で保護されたポイントツーポイント リンク上の 2 つのデバイス間でのみセキュリティ キーを共有することで、セキュリティを確保します。さらに、一部のオプションの MACsec 機能(リプレイ防御、SCI タグ付け、MACsec からトラフィックを除外する機能)は、静的 CAK セキュリティ モードを使用して MACsec を有効にした場合にのみ使用できます。

Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、HAコントロールおよびファブリックリンクでMACsecをサポートするSRXシリーズファイアウォールでは、コマンド restart 802.1x-protocol-daemon がプライマリノードで実行すると、シャーシクラスターの制御リンクとファブリックリンクがフラップし、クラスターノードがスプリットブレインモードになります。

MACsecに関する考慮事項

現在、すべてのタイプのスパニングツリープロトコルフレームをMACsecで暗号化することはできません。

接続の関連付けは、MACsecインターフェイス設定から見える限り、グローバル、ノード固有、またはその他の設定グループなど、どこでも定義できます。

MACsec 設定では、両端に同一の設定が存在する必要があります。つまり、各ノードには、他のノードと同じ構成が含まれている必要があります。もう一方のノードが未設定であるか、または反対側のMACsecで不適切に設定されている場合、ポートは無効になり、トラフィックの転送を停止します。

SRX340、SRX345、SRX380 デバイスは、ホスト間またはスイッチとホスト間の接続で MACsec をサポートしています。

現在、SRX4600デバイスでは、ホスト間接続のMACsecはサポートされていません。MACsecは専用ファブポートでのみサポートされており、トラフィックポートがファブとして使用されている場合はサポートされません。

SRX340、SRX345、SRX380デバイスでは、メディアアクセス制御セキュリティ(MACsec)設定がノードに対してローカルになるようにファブリックインターフェイスを設定する必要があります。そうしないと、ファブリック リンクに到達できません

メディアアクセス制御セキュリティ(MACsec)の設定

Junos OSリリース15.1X49-D60以降、メディアアクセス制御セキュリティ(MACsec)は、シャーシクラスタモードのSRX340およびSRX345デバイスの制御ポートおよびファブリックポートでサポートされます。

Junos OS Release 17.4R1以降、シャーシクラスタモードのSRX4600デバイスの制御ポートおよびファブリックポートでMACsecがサポートされています。

このトピックでは、シャーシ クラスタ内のサポートされている SRX シリーズ ファイアウォールの制御ポートとファブリック ポートに MACsec を設定し、クラスタ内のピア デバイス間のポイントツーポイント イーサネット リンクを保護する方法を示します。MACsec を使用して保護する各ポイントツーポイント イーサネット リンクは、個別に設定する必要があります。静的接続性関連付けキー(CAK)セキュリティ モードを使用すると、デバイス間リンクで MACsec 暗号化を有効にできます。

このドキュメントでは、両方のプロセスの設定手順について説明します。

シャーシ クラスタ設定で MACsec を設定する際の設定上の考慮事項

開始する前に、次の手順に従って制御ポートで MACsec を設定します。

  1. シャーシ クラスタがすでに起動している場合は、 コマンドを使用して無効にし set chassis cluster disable 、両方のノードを再起動します。
  2. シャーシ クラスタ制御ポートでの静的 CAK の設定の項を参照の説明に従って、制御ポートとその属性を使用して制御ポートの MACsec を設定します。両方のノードは、同じ構成で個別に構成する必要があります。
  3. 両方のノードで を使用して set chassis cluster cluster-id id シャーシ クラスタを有効にします。両方のノードを再起動します。

制御ポートの状態は、シャーシ クラスタの整合性に影響します。制御ポートにMACsecを設定する場合は、以下の点を考慮してください。

  • 新しい MACsec シャーシ クラスタ ポート設定または既存の MACsec シャーシ クラスタ ポート設定を変更する場合は、シャーシ クラスタを無効にする必要があり、警告メッセージが表示されます Modifying cluster control port CA will break chassis cluster。無効にすると、前述の設定を適用してシャーシ クラスタを有効にできます。

  • デフォルトでは、シャーシ クラスタはすべての設定を同期します。これに対応して、同期によってMACsec設定が失われないように監視する必要があります。そうしないと、シャーシ クラスタが壊れます。たとえば、非対称のノード固有のMACsec構成の場合、両端に同じ構成が存在する必要があります。つまり、各ノードには、他のノードと同じ構成が含まれている必要があります。

対象外のタイマーは、シャーシ クラスタ制御ポートの MACsec が SRX340、SRX345、SRX380 デバイスで有効になっている場合、300 秒です。

両方の制御リンクに障害が発生した場合、Junos OSはセカンダリノードの動作状態を180秒間不適格に変更します。制御ポートでMACsecが有効になっている場合、SRX4600デバイスでは対象外期間は200秒です。

Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、SRX340、SRX345、SRX380デバイスのシャーシクラスターでは、初期ホールドタイマーが30秒から120秒に延長されています。

制御ポートのMACsec設定を変更する場合は、上記の手順を繰り返す必要があります。

ファブリックポートでMACsecを設定する場合は、以下の点を考慮してください。

MACsecを設定すると、リンクステートが変化し、リンクのトラフィック能力に影響を与える可能性があります。ファブリックポートを設定する際は、有効なリンク状態を念頭に置いてください。ファブリック リンクの両端の MACsec 設定が正しくないと、リンクが不適格な状態になる可能性があります。ファブリックリンクの設定については、以下の重要な点に注意してください。

  • シャーシ クラスタを形成する際には、リンクの両端を同時に設定する必要があります。

  • 構成が正しくないと、ファブリックの障害やファブリック・リカバリー・ロジックのエラーが発生する可能性があります。

    リンク障害のシナリオが発生する可能性があるため、シャーシ クラスタの形成時にファブリック リンクを設定することを推奨します。

スタティック接続アソシエーションキーセキュリティモードを使用したMACsecの設定

デバイスをポイントツーポイントのイーサネット リンクで静的接続アソシエーション キー(CAK)セキュリティ モードを使用することで、MACsec 暗号化を有効にできます。この手順では、静的 CAK セキュリティ モードを使用して MACsec を設定する方法を示します。

SRX340およびSRX345デバイスでは、ge-0/0/0はファブリックポートであり、ge-0/0/1はシャーシクラスターの制御ポートであり、クラスター制御ポート0として割り当てられます。

SRX380デバイスのクラスタ制御ポートとクラスタデータポートでMACsecを設定するには、ノードがスタンドアロンノードにある必要があります。MACsec 設定が両方のノードに適用され、ノードがシャーシ クラスタ モードで再起動されます。SRX380デバイスでは、ge-0/0/0がファブリックポートで、ge-0/0/15がシャーシクラスターの制御ポートになります。

SRX4600デバイスでは、専用のコントロールポートとファブリックポートを使用できます。制御リンクのMACsecは、専用の制御ポート(制御ポート0[em0]およびポート1[em1])で設定できます。ファブリックリンク上のMacsecは、fpc0 pic0の専用ファブリックポートポート2およびポート3(xe-0/0/2やxe-0/0/3など)でのみ設定でき、fpc7 pic0のポート2およびポート3でも同様に設定できます。

静的 CAK セキュリティ モードを使用して MACsec を構成し、デバイス間のイーサネット リンクを保護するには、次の手順を実行します。

  1. 接続性の関連付けを作成します。既存の接続性の関連付けを設定する場合は、この手順を省略できます。

    例えば、 という名前の ca1接続性の関連付けを作成するには、次のように入力します。

  2. 接続の関連付けに対して static-cak 、MACsecセキュリティモードを設定します。

    例えば、MACsecセキュリティモード static-cak をon接続アソシエーションca1に対してに設定するには、以下のようにします。

  3. 接続性アソシエーション キー名(CKN)と接続性アソシエーション キー(CAK)を設定して、事前共有キーを作成します。

    直接接続されたリンク間で事前共有鍵が交換され、MACsec-Secure リンクが確立されます。事前共有キーには、CKN と CAK が含まれます。CKN は 64 桁の 16 進数で、CAK は 64 桁の 16 進数です。MACsecで保護されたリンクを作成するには、リンクの両端でCKNとCAKが一致する必要があります。

    セキュリティを最大限に高めるには、CKN の 64 桁すべてと CAK の 64 桁すべてを設定することをお勧めします。

    事前共有鍵がリンクの両端で正常に交換および検証されると、MACsec 鍵合意(MKA)プロトコルが有効になり、セキュア リンクが管理されます。次に、MKA プロトコルは、直接接続された 2 つのデバイスのうちの 1 つをキー サーバとして選択します。その後、鍵サーバーは、MACsec セキュア ポイントツーポイント リンクを介して他のデバイスとランダムなセキュリティを共有します。キーサーバーは、MACsecが有効になっている限り、MACsecで保護されたポイントツーポイントリンクを介して、ランダムなセキュリティキーを定期的に作成し、他のデバイスと共有し続けます。

    接続アソシエーション ca1 で の 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 CKN と の CAK 228xx255aa23xx6729xx664xxx66e91f を設定するには、次のようにします。

    MACsecは、接続アソシエーションがインターフェイスにアタッチされるまで有効になりません。インターフェイスに接続アソシエーションをアタッチするには、この手順の最後のステップを参照してください。

  4. (オプション)MKA キー サーバの優先順位を設定します。

    鍵サーバーを選択するために MKA プロトコルが使用する鍵サーバーの優先順位を指定します。低い方 priority-number のデバイスが鍵サーバーとして選択されます。

    デフォルト priority-number は 16 です。

    key-server-priorityがポイントツーポイントリンクの両側で同一である場合、MKAプロトコルは小さいMACアドレスのインターフェイスをキーサーバーとして選択します。したがって、MACsecで保護されたポイントツーポイントリンクの両端の接続アソシエーションでこのステートメントが設定されていない場合、MACアドレスが小さいインターフェイスがキーサーバーになります。

    キーサーバーの優先順位を0に変更して、接続アソシエーション ca1を使用してインターフェイスでMACsecが有効になっている場合に、現在のデバイスがキーサーバーとして選択される可能性を高めるには:

    鍵サーバーの優先順位を 255 に変更して、現行装置が接続アソシエーション ca1 の鍵サーバーとして選択される可能性を減らすには、以下のようにします。

  5. (オプション)MKA 送信間隔を設定します。

    MKA 送信間隔設定は、リンク上の MACsec 接続を維持するために、MKA プロトコル データ ユニット(PDU)を直接接続されたデバイスに送信する頻度を設定します。低い値 interval を指定するとリンクの帯域幅オーバーヘッドが増加し、高い interval 値を指定すると MKA プロトコル通信が最適化されます。

    デフォルト interval は 2000 ミリ秒です。トラフィック負荷の高い環境では、間隔を 6000 ミリ秒に増やすことをお勧めします。静的 CAK セキュリティ モードを使用する MACsec が有効になっている場合、送信間隔の設定はリンクの両端で同一である必要があります。

    Junos OS リリース 17.4 以降、SRX340、SRX345、および SRX4600 では、HA リンクのデフォルトの MKA 送信間隔は 10000 ミリ秒です。

    たとえば、接続アソシエーション ca1 がインターフェイスに接続されている場合に、MKA 送信間隔を 6000 ミリ秒に増やす場合は、次のようにします。

  6. (オプション)MACsec 暗号化を無効にします。

    デフォルトでは、静的 CAK セキュリティ モードを使用して MACsec が有効になっている場合、インターフェイスを出入りするすべてのトラフィックに対して暗号化が有効になります。

    暗号化が無効になっている場合、トラフィックはクリア テキストでイーサネット リンクを介して転送されます。リンクを監視する場合、リンクを通過するイーサネット フレームで暗号化されていないデータを表示できます。ただし、MACsecヘッダーは引き続きフレームに適用され、すべてのMACsecデータ整合性チェックがリンクの両端で実行され、リンクで送受信されるトラフィックが改ざんされておらず、セキュリティ上の脅威ではないことを確認します。

  7. (オプション)リンクを通過するすべてのパケットのオフセットを設定します。

    たとえば、次の名前 ca1の接続性の関連付けでオフセットを 30 に設定する場合:

    デフォルトのオフセットは 0 です。暗号化が有効で が設定され offset ていない場合、接続性アソシエーション内のすべてのトラフィックが暗号化されます。

    オフセットを 30 に設定すると、IPv4 ヘッダーと TCP/UDP ヘッダーは暗号化されず、残りのトラフィックは暗号化されます。オフセットを 50 に設定すると、IPv6 ヘッダーと TCP/UDP ヘッダーは暗号化されず、残りのトラフィックは暗号化されます。

    通常、機能が機能を実行するためにオクテット内のデータを確認する必要がある場合は、最初の 30 オクテットまたは 50 オクテットを暗号化せずにトラフィックを転送しますが、それ以外の場合は、リンクを通過するフレームの残りのデータを暗号化します。特にロード バランシング機能では、通常、トラフィックを適切にロード バランシングするために、最初の 30 オクテットまたは 50 オクテットの IP ヘッダーと TCP/UDP ヘッダーを確認する必要があります。

  8. (オプション)リプレイ保護を有効にします。

    リンクでMACsecが有効になっている場合、ID番号はMACsecで保護されたリンク上の各パケットに割り当てられます。

    リプレイ防御が有効になっている場合、受信インターフェイスはMACsecで保護されたリンクを通過したすべてのパケットのID番号をチェックします。パケットが順不同で到着し、パケット番号の差がリプレイ防御ウィンドウ サイズを超えた場合、そのパケットは受信インターフェイスによって破棄されます。たとえば、リプレイ保護ウィンドウのサイズが 5 に設定されていて、ID 1006 が割り当てられたパケットが ID 1000 を割り当てられたパケットの直後に受信リンクに到着した場合、ID 1006 が割り当てられたパケットはリプレイ保護ウィンドウのパラメーターの範囲外であるためドロップされます。

    リプレイ防御は、中間者攻撃への対処に特に役立ちます。イーサネットリンク上で中間者攻撃者がリプレイしたパケットは、順序どおりに受信リンクに到着するため、リプレイ保護により、再生されたパケットがネットワーク経由で転送されるのではなく、ドロップされるようにすることができます。

    パケットが順不同で到着することが予想される場合には、リプレイ保護を有効にしないでください。

    再生ウィンドウのサイズを 0 に設定することで、すべてのパケットが順番に到着するように要求できます。

    接続の関連付け ca1でウィンドウ サイズ 5 でリプレイ保護を有効にするには:

  9. (オプション)MACsecからプロトコルを除外します。

    たとえば、リンクレベル検出プロトコル(LLDP)をMACsecで保護したくない場合は、次のようにします。

    このオプションを有効にすると、リンク上で送受信される、指定されたプロトコル(この場合はLLDP)のすべてのパケットに対してMACsecが無効になります。

  10. シャーシ クラスタ制御インターフェイスに接続性の関連付けを割り当てます。

    インターフェイスへの接続アソシエーションの割り当ては、インターフェイスでMACsecを有効にするための最後の設定手順です。

    例えば、接続性アソシエーションca1をインターフェイスge-0/0/1に割り当てるには(SRX340/SRX345/SRX380の場合):

  11. シャーシ クラスタ ファブリック インターフェイスで MACsec を有効にするための接続アソシエーションを割り当てます。

静的 CAK セキュリティ モードを使用する MACsec は、リンクの反対側の接続アソシエーションも設定され、リンクの両端で一致する事前共有キーが含まれるまで有効になりません。

シャーシ クラスタ制御ポートでの静的 CAK の設定

2台のSRX345デバイスでシャーシクラスタ制御リンクを介してCAを確立する。

  1. 接続の関連付けに対して static-cak MACsec セキュリティ モードを構成します。
  2. 接続性アソシエーション キー名(CKN)を設定して、事前共有キーを作成します。

    CKN は、最大 64 桁の 16 進文字 (0 から 9、a-f、A から F) までの偶数長ストリングでなければなりません。

  3. 接続アソシエーション キー(CAK)を構成して、事前共有キーを作成します。

    CAK には、64 個の 16 進文字 (0-9、a-f、A-F) を含める必要があります。

  4. 接続の関連付けに使用するシャーシ クラスタ制御ポートを指定します。

シャーシ クラスタ ファブリック ポートでの静的 CAK の設定

2台のSRX345デバイス上のシャーシクラスターファブリックリンクを介して接続アソシエーションを確立するには、次の手順に従います。

  1. 接続の関連付けに対して static-cak 、MACsecセキュリティモードを設定します。
  2. 接続性アソシエーション キー名(CKN)を設定して、事前共有キーを作成します。

    CKN は、最大 64 桁の 16 進文字 (0 から 9、a-f、A から F) までの偶数長ストリングでなければなりません。

  3. 接続アソシエーション キー (CAK) を構成して事前共有キーを作成します。

    CAK には、64 個の 16 進文字 (0-9、a-f、A-F) を含める必要があります。

  4. シャーシ クラスタ ファブリック ポートを接続性の関連付けに指定します。

シャーシ クラスタ内のデバイスの制御SRX4600ポートでの静的 CAK の設定

2 台のSRX4600デバイスでシャーシ クラスタ制御リンクを介して CA を確立するには、この手順を使用します。

  1. 接続の関連付けに対して static-cak MACsec セキュリティ モードを構成します。
  2. 接続性アソシエーション キー名(CKN)を設定して、事前共有キーを作成します。

    CKN は、最大 64 桁の 16 進文字 (0 から 9、a-f、A から F) までの偶数長ストリングでなければなりません。

  3. 接続アソシエーション キー (CAK) を構成して事前共有キーを作成します。

    CAK には、64 個の 16 進文字 (0-9、a-f、A-F) を含める必要があります。

  4. 接続の関連付けに使用するシャーシ クラスタ制御ポートを指定します。

MACSEC設定の確認

シャーシ クラスタのSRX4600デバイスの制御ポートでの静的 CAK の設定に記載されている設定が正しく機能していることを確認するには、次のタスクを実行します。

デバイス上のアクティブなMACsec接続のステータスの表示

目的

シャーシ クラスタ設定でMACsecが動作していることを確認します。

アクション

動作モードから、シャーシ クラスタ セットアップの一方または両方のノードで コマンドを入力します show security macsec connections interface interface-name

意味

および CA name の出力はInterface name、MACsec接続アソシエーションがインターフェイスem0上で動作していることを示しています。インターフェイス上で接続アソシエーションが動作していない場合、出力は表示されません。

MACsec Key Agreement(MKA)セッション情報の表示

目的

すべてのインターフェイスの MACsec キー アグリーメント(MKA)セッション情報を表示します。

アクション

動作モードから、 コマンドを入力します show security mka sessions

意味

出力には、MKA セッションのステータスが表示されます。

MACsecで保護されたトラフィックがインターフェイスを通過していることの確認

目的

インターフェイスを通過するトラフィックがMACsecで保護されていることを確認します。

アクション

動作モードから、 コマンドを入力します show security macsec statistics

意味

Encrypted packetsフィールドの下のSecure Channel transmitted行は、MACsec によって保護および暗号化されたインターフェイスからパケットが送信されるたびに増分される値です。

Accepted packetsフィールドの下のSecure Association received行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびに増分される値です。出力の下のSecure Association received行はDecrypted bytes、暗号化されたパケットが受信および復号化されるたびにインクリメントされます。

シャーシ クラスタ ポートがMACsec設定で保護されていることの確認

目的

シャーシ クラスタ ポートで MACsec が設定されていることを確認します。

アクション

動作モードから コマンド show chassis cluster interfaces を入力します。

意味

としてSecured示されているem0インターフェイスの出力の下のControl interfaces線はSecurity、em0インターフェイスから送信されたトラフィックがMACsecによって保護および暗号化されていることを意味します。

コマンドを使用して、シャーシ クラスタの現在のステータスを表示することもできます show chassis cluster status

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS リリース 17.4R1 以降、シャーシ クラスタ モードの SRX4600 デバイスの HA 制御ポートおよびファブリック ポートで MACsec がサポートされています。
15.1X49-D60
Junos OSリリース15.1X49-D60以降、メディアアクセス制御セキュリティ(MACsec)は、シャーシクラスタモードのSRX340およびSRX345デバイスの制御ポートおよびファブリックポートでサポートされます。