Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

シャーシ クラスタ上のMACsec(Media Access Control Security)

MACsec(Media Access Control Security)は、イーサネット リンク上のすべてのトラフィックにセキュアな通信を提供する業界標準のセキュリティ 技術です。詳細については、以下のトピックを参照してください。

MACsec(Media Access Control Security)について

MACsec(Media Access Control Security)は、イーサネット リンク上のすべてのトラフィックにセキュアな通信を提供する業界標準のセキュリティ 技術です。MACsec は、直接接続されたノード間のイーサネット リンク上のポイント to-point セキュリティを提供し、サービス拒否、侵入、中間者攻撃、不正侵入、受動的有線攻撃、プレイバック攻撃など、ほとんどのセキュリティ脅威を特定して防御できます。

MACsec を使用すると、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)、その他のセキュリティ ソリューションに制限があるイーサネット リンク上で一般的に保護されないその他のプロトコルなど、ほぼすべてのトラフィックのイーサネット リンクを保護できます。MACsec は、IP セキュリティ(IPsec)やセキュア ソケット レイヤー(SSL)などの他のセキュリティ プロトコルと組み合わせて使用して、エンドツーエンドのネットワーク セキュリティを提供します。

Junos OS リリース 15.1X49-D60から、シャーシ クラスタ モードの SRX340 および SRX345 デバイスのコントロール ポートおよびファブリック ポートで MACsec(Media Access Control Security)がサポートされています。

Junos OS リリース 17.4R1 から、シャーシ クラスタ モードの SRX4600 デバイスの HA コントロール ポートおよびファブリック ポートで MACsec がサポートされています。

このトピックは、以下のセクションで構成されています。

MACsec の仕組み

特定のプラットフォームまたはリリースでサポートされている機能のJunos OSは、 Feature Explorer を 参照してください

MACsec は、セキュアなポイント to ポイント イーサネット リンクを使用して、業界標準のセキュリティを提供します。ポイント to-point リンクは、セキュリティ キーを照合した後に保護されます。静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec を有効にした場合、ユーザーが設定した事前共有キーが交換され、ポイント to-point Ethernet リンクの各エンドのインターフェイス間で検証されます。

MACsec がポイント to-ポイント イーサネット リンクで有効になると、データ整合性チェックと設定されている場合は暗号化を使用して、リンクを通過する全トラフィックが MACsec に保護されます。

データの整合性を確認し、データの整合性を検証します。MACsec は、8 バイト ヘッダーと 16 バイトのテールを MACsec 保護されたポイント to-point イーサネット リンクを通過するすべてのイーサネット フレームに追加し、ヘッダーとテールが受信側インターフェイスでチェックされ、リンクを通過している間にデータが侵害されていないか確認します。データ整合性チェックによってトラフィックに関して何か変なトラフィックが検出されると、トラフィックはドロップされます。

MACsec は、イーサネット リンク上のすべてのトラフィックを暗号化するためにも使用できます。MACsec で使用される暗号化により、リンク上のトラフィックを監視する人は、イーサネット フレームのデータを確認できません。

MACsec が静的 CAK セキュリティ モードを使用して有効になっている場合、デフォルトでインターフェイスから入る、またはインターフェイスを離れるすべてのトラフィックに対して暗号化が有効になります。

MACsec は、MACsec 対応インターフェイス間のポイントアンドポイント イーサネット リンク上に設定されています。複数のイーサネット リンクで MACsec を有効にする場合は、MACsec を各ポイント to-ポイント イーサネット リンク上で個別に設定する必要があります。

接続の関連付けとセキュアなチャネルについて

MACsecは接続アソシエーションで設定されていますMACsecは、接続アソシエーションがインターフェイスに割り当てられたときに有効になります。

静的 CAK または動的セキュリティ モードを使用して MACsec を有効にした場合、接続アソシエーションを作成して設定する必要があります。2 つのセキュア チャネル(インバウンド トラフィック用の 1 つのセキュア チャネルとアウトバウンド トラフィック用のもう 1 つのセキュア チャネル)が自動的に作成されます。自動的に作成されたセキュアなチャネルには、ユーザーが設定できるパラメータはありません。すべての設定は セキュアなチャネルの外部の接続アソシエーションで行われます

静的接続アソシエーション の鍵セキュリティー モードについて

静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec を有効にした場合、コントロール プレーン トラフィックを保護する接続アソシエーション キー(CAK)と、データ プレーン トラフィックを保護するランダムに生成されたセキュア なアソシエーション キー(SAC)の 2 つのセキュリティ キーを使用して、ポイントツーポイント イーサネット リンクを保護します。どちらのキーも、ポイント to-point イーサネット リンクの各端にある両方のデバイス間で定期的に交換され、リンク のセキュリティを確保します。

静的 CAK セキュリティ モードを使用して MACsec を有効にする場合は、まず事前共有鍵を使用して MACsec 保護リンクを確立します。事前共有鍵には、CK(Connectivity Association name)とそれ自身の接続アソシエーション キー(CAK)が含まれます。CKN と CAK は、接続アソシエーションでユーザーによって設定され、最初に MACsec を有効にするには、リンクの両端で一致する必要があります。

一致する事前共有鍵の交換が正常に完了すると、MACsec 鍵契約(MKA)プロトコルが有効になります。MKA プロトコルはリンク上の MACsec を維持する責任を負い、ポイント to-ポイント リンク上のスイッチが鍵サーバーになるかを決定します。次に、鍵サーバーによって、ポイント to-ポイント リンクのもう一方の端にあるスイッチと共有されるサクサクが作成され、そのSAC はリンクを通過するデータ トラフィックのセキュリティを保護するために使用されます。鍵サーバーは、MACsecが有効になっている限り、ポイント to-point リンクを通してランダムに作成したSACを定期的に作成して共有し続ける。

リンクの両端で接続アソシエーションを設定すると、静的 CAK セキュリティ モードを使用して MACsec を有効にします。すべての設定は、接続アソシエーション内ではなく、セキュア チャネル外で実行されます。静的 CAK セキュリティ モードを使用すると、2 つのセキュア チャネル(インバウンド トラフィック用とアウトバウンド トラフィック用)が自動的に作成されます。自動的に作成されたセキュアなチャネルに、接続の関連付けで構成されていない、ユーザーが設定可能なパラメータはありません。

静的 CAK セキュリティ モードを使用して MACsec を有効にすることをお勧めします。静的 CAK セキュリティ モードでは、新しいランダム セキュリティ キーに頻繁に更新され、MACsec が保護されたポイントツーポイント リンク上の 2 台のデバイス間でのみセキュリティ キーを共有することで、セキュリティが保証されます。さらに、一部のオプションの MACsec 機能(リプレイ防御、SCI タギング、MACsec からトラフィックを除外する機能)は、静的 CAK セキュリティ モードを使用して MACsec を有効にした場合にのみ使用できます。

Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 から始め、HA コントロールリンクおよびファブリック リンクで MACsec をサポートする SRX デバイスでは、コマンドがプライマリ ノード上で実行されている場合、シャーシ クラスタ制御とファブリック リンクがフラップして、クラスタ ノードがスプリット ブレーン モードに入る状態になります。 restart 802.1x-protocol-daemon

MACsec の考慮事項

現在、すべてのタイプのスパニング ツリー プロトコル フレームを MACsec を使用して暗号化することはできません。

接続アソシエーションは、MACsec インターフェイスの設定に表示できる限り、グローバル、ノード固有、または他の設定グループのいずれかを任意に定義できます。

MACsec 設定では、両端に同じ設定をする必要があります。つまり、各ノードに、他のノードと同じ設定が含まれている必要があります。もう一方のノードが MACsec で構成されていない、または MACsec が不適切に構成されていない場合、ポートは無効になり、トラフィックの転送を停止します。

ネットワーク15.1X49-D100、SRX340 および SRX345 のデバイスでは、ホスト間接続またはホスト間接続の MACsec はサポートされていませんでした。

SRX4600 デバイスは、現在、ホスト対ホスト接続の MACsec をサポートしていない。Macsecは専用のfabポートでのみサポートされ、therトラフィック ポートがfabとして使用されている場合はサポートされません。

SRX340およびSRX345デバイスでは、MACsec(Media Access Control Security)設定がノードでローカルに設定されているファブリック インターフェイスを設定する必要があります。そうしないと ファブリックリンクが到達不能になります

Configuring Media Access Control Security(MACsec)

Junos OS リリース 15.1X49-D60から、シャーシ クラスタ モードの SRX340 および SRX345 デバイスのコントロール ポートおよびファブリック ポートで MACsec(Media Access Control Security)がサポートされています。

リリース Junos OS リリース 17.4R1、シャーシ クラスタ モードの SRX4600 デバイスの制御ポートおよびファブリック ポートで MACsec がサポートされています。

このトピックでは、クラスタ内のピア デバイス間のポイントツーポイント イーサネット リンクを保護するために、シャーシ クラスタ内でサポートされる SRX シリーズ デバイスの制御およびファブリック ポートで MACsec を設定する方法について説明します。MACsec を使用して保護したい各ポイント to-point イーサネット リンクは、個別に設定する必要があります。静的接続アソシエーション キー(CAK)セキュリティ モードを使用して、デバイス間リンクでの MACsec 暗号化を有効にできます。

両方のプロセスの構成手順については、このドキュメントで説明しています。

シャーシ クラスタ設定での MACsec の設定に関する考慮事項

開始する前に、次の手順に従って制御ポートで MACsec を設定します。

  1. シャーシ クラスタが既に起動している場合は、 コマンドを使用して無効にし、 set chassis cluster disable 両方のノードを再起動します。
  2. 次のセクションで説明するように、制御ポートで MACsec を設定します。 シャーシ クラスタ コントロール ポートでの静的 CAK の設定どちらのノードも、同一の設定で個別に構成する必要があります。
  3. 両方のノードで使用して set chassis cluster cluster-id id シャーシ クラスタを有効にします。両方のノードを再起動します。

制御ポートの状態は、シャーシ クラスタの整合性に影響します。制御ポートで MACsec を設定する際には、以下を考慮してください。

  • 新しい MACsec シャーシ クラスタ ポートの設定、または既存の MACsec シャーシ クラスタ ポートの設定を変更する場合は、シャーシ クラスタを無効にし、警告メッセージを表示する必要があります Modifying cluster control port CA will break chassis cluster 。無効にした後、前の設定を適用してシャーシ クラスタを有効にできます。

  • デフォルトでは、シャーシ クラスタは、すべての設定を同期します。その場合は、同期によって MACsec 設定が失われるのを監視する必要があります。そうしないと、シャーシ クラスタが破損します。たとえば、非symmetric のノード固有の MACsec 設定では、両端に同一の設定を設定する必要があります。つまり、各ノードに、他のノードと同じ設定が含まれている必要があります。

SRX340 および SRX345 デバイスでシャーシ クラスタ コントロール ポートの MACsec が有効になっている場合、タイマーは 300 秒になります。

両方の制御リンクにJunos OSは、セカンダリ ノードの動作状態を 180 秒間使用できない状態に変更します。MACsec が制御ポートで有効になっている場合、SRX4600 デバイスでは、その MACsec の有効期間が 200 秒になります。

Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 より、SRX340 および SRX345 デバイスのシャーシ クラスタでは、初期ホールド タイマーが 30 秒から 120 秒に拡張されます。

制御ポートの MACsec 設定を変更する場合は、上記の手順を繰り返す必要があります。

ファブリック ポートで MACsec を設定する場合は、以下を考慮してください。

MACsec を設定すると、リンクのトラフィック機能に影響を与える可能性があるリンク状態の変更が生じします。ファブリック ポートを設定する場合は、有効なリンク状態を念頭に置きます。ファブリック リンクの両端の不正確な MACsec 設定は、リンクを無効な状態に移動できます。ファブリック リンクの設定に関する以下の重要なポイントに注意してください。

  • シャーシ クラスタが形成されている場合、リンクの両端を同時に設定する必要があります。

  • 設定が正しくないと、ファブリックのリカバリー ロジックでファブリックの障害やエラーが発生する可能性があります。

    リンク障害の可能性が高いので、シャーシ クラスタの形成中にファブリック リンクを設定することをお勧めします。

静的接続アソシエーションのキー セキュリティ モードを使用した MACsec の設定

デバイスを接続するポイントアンドポイント イーサネット リンクで、静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec 暗号化を有効にできます。この手順では、静的 CAK セキュリティ モードを使用して MACsec を設定する方法を示します。

SRX340およびSRX345デバイスの場合、ge-0/0/0はファブリックポートで、ge-0/0/1はシャーシ クラスタのコントロールポートで、クラスタコントロールポート0として割り当てられます。

SRX4600 デバイスでは、専用の制御ポートとファブリック ポートを使用できます。制御リンク上の MACsec は、専用の制御ポート(制御ポート 0 [em0] とポート 1 [em1] )で設定できます。ファブリック リンク上の Macsec は、専用ファブリック ポート ポート 2 および fpc0 pic0 のポート 3(xe-0/0/2、xe-0/0/3 など)でのみ設定できます。また、fpc7 pic0 のポート 2 およびポート 3 でも同様に設定できます。

静的 CAK セキュリティ モードを使用して MACsec を設定し、デバイスとデバイス間のイーサネット リンクを保護するには、次の手順に示します。

  1. 接続の関連付けを作成します。既存の接続アソシエーションを設定している場合は、この手順をスキップできます。

    たとえば、 という名前の接続性アソシエーションを作成するには、以下 ca1 を入力します。

  2. 接続アソシエーションとして MACsec セキュリティ static-cak モードを設定します。

    たとえば、接続アソシエーション ca1 で MACsec セキュリティ モード static-cak を設定するには、次の手順に示します。

  3. 事前共有鍵を作成するには、接続アソシエーション キー名(CK)と接続アソシエーション キー(CAK)を設定します。

    事前共有鍵は直接接続されたリンク間で交換され、MACsec-secure リンクを確立します。事前共有キーには、CKN と CAK が含まれます。CKN は 64 桁の 16 進数字で、CAK は 64 桁の 16 進数字です。CKN と CAK は、MACsec 保護リンクを作成するには、リンクの両端で一致する必要があります。

    セキュリティを最大化するには、CKの64桁とCAKの64桁すべての64桁を設定することをお勧めします。

    事前共有鍵がリンクの両端で正常に交換および検証されると、MACsec MKA(Key Agreement)プロトコルが有効にされ、セキュア リンクを管理します。次に、MKA プロトコルによって、直接接続された 2 台のデバイスのいずれかをキー サーバーとして選択します。その後、鍵サーバーは、MACsec-secure のポイント to-point リンクを使用して、他のデバイスとランダムなセキュリティを共有します。鍵サーバーは、MACsec が有効になっている限り、MACsec によって保護されたポイント to point-to-point リンクを通して、ランダムなセキュリティ キーを他のデバイスに定期的に作成して共有します。

    接続アソシエーション ca1 上の CKN 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 および CAK 228xx255aa23xx6729xx664xxx66e91f を設定するには、次の手順に示します。

    接続アソシエーションがインターフェイスに接続されていない場合、MACsecは有効になりません。インターフェイスに接続アソシエーションを接続するには、この手順の最後のステップを参照してください。

  4. (オプション)MKA キー サーバーの優先度を設定します。

    MKA プロトコルによって鍵サーバーを選択するために使用される鍵サーバーの優先度を指定します。下位のデバイスが priority-number キー サーバーとして選択されます。

    デフォルト priority-number は16です。

    mKA プロトコルがポイント to-ポイント リンクの両側で同一の場合、MKA プロトコルは下位のリンクを持つインターフェイスをMAC アドレスサーバー key-server-priority として選択します。したがって、このステートメントが MACsec 保護されたポイント to-point リンクの各エンドの接続アソシエーションで設定されていない場合、下位の MAC アドレス を持つインターフェイスが鍵サーバーになります。

    接続アソシエーションを使用して MACsec がインターフェイス上で有効になっている場合に、現在のデバイスが鍵サーバーとして選択される可能性を高めるには、鍵サーバーの優先度を 0 に変更します ca1

    接続アソシエーション ca1 で現在のデバイスを鍵サーバーとして選択する可能性を減らして、鍵サーバーの優先度を 255 に変更します。

  5. (オプション)MKA 送信間隔を設定します。

    MKA 送信間隔の設定では、リンク上で MACsec 接続を維持するために MKA プロトコル データ ユニット(PDU)が直接接続されたデバイスに送信される頻度を設定します。リンクの interval 帯域幅オーバーヘッドが小さいほど interval 、MKA プロトコル通信が最適化されます。

    デフォルト interval は2,000ミリ秒です。高トラフィック負荷環境では、間隔を 6,000 ms に増やすることをお勧めします。静的 CAK セキュリティ モードを使用する MACsec が有効になっている場合、送信間隔の設定はリンクの両端で同一にする必要があります。

    SRX340、SRX345、SRX4600 の Junos OS リリース 17.4 から、MKA 送信間隔のデフォルトは HA リンクで 1,0000 ms です。

    たとえば、接続アソシエーション ca1 がインターフェイスに接続されている場合、MKA 送信間隔を 6000 ミリ秒に増やす場合、

  6. (オプション)MACsec 暗号化を無効にします。

    MACsec が静的 CAK セキュリティ モードを使用して有効になっている場合、デフォルトでインターフェイスで開始または終了する全トラフィックに対して暗号化が有効になります。

    暗号化が無効になっている場合、トラフィックはクリア テキストでイーサネット リンクを通って転送されます。リンクを監視している場合、イーサネット フレームの暗号化されていないデータを確認できます。しかし、MACsec ヘッダーはフレームにはまだ適用されます。また、リンク上で送信または受信したトラフィックが改ざんされ、セキュリティ上の脅威が表現されていないか確認するために、すべての MACsec データ整合性チェックがリンクの両端で実行されます。

  7. (オプション)リンクを通過する全パケットの相殺を設定します。

    たとえば、 という名前の接続アソシエーションで、offset を 30 に設定する場合 ca1 :

    デフォルトのオフセットは0です。接続アソシエーション内のすべてのトラフィックは、暗号化が有効で設定されていない場合に offset 暗号化されます。

    オフセットを 30 に設定すると、残りのトラフィックを暗号化しながら、IPv4 ヘッダーと TCP/UDP ヘッダーは暗号化されません。オフセットを 50 に設定すると、残りのトラフィックを暗号化しながら、IPv6 ヘッダーと TCP/UDP ヘッダーは暗号化されません。

    機能が機能を実行するためにオクテットのデータを確認する必要がある場合は、最初の30オクテットまたは50オクテットを暗号化していない状態でトラフィックを転送しますが、それ以外の場合はリンクを通過するフレーム内の残りのデータを暗号化する方を選択します。特に、ロード バランシング機能では通常、トラフィックを適切にロード バランシングするために、最初の 30 または 50 オクテットに IP と TCP/UDP のヘッダーを表示する必要があります。

  8. (オプション)リプレイ防御を有効にする。

    リンク上で MACsec が有効になっている場合、MACsec 保護リンク上の各パケットに ID 番号が割り当てられます。

    リプレイ防御が有効になっている場合、受信インターフェイスは MACsec-secured リンクを通過したすべてのパケットの ID 番号を確認します。パケットがシーケンス外に到着し、パケット番号の違いがリプレイ保護ウィンドウサイズを超えると、パケットは受信インターフェイスによって破棄されます。たとえば、リプレイ防御ウィンドウのサイズが 5 に設定され、1006 の ID が割り当てられたパケットが、パケットに 1000 の ID を割り当てた直後に受信リンクに到着すると、1006 の ID が割り当てられたパケットは、リプレイ防御ウィンドウのパラメーターを超えるため破棄されます。

    リプレイ防御は中間者攻撃に特に役立ちます。イーサネット リンク上の中間者攻撃者によってリプレイされたパケットは、受信側のリンクからシーケンス外に到着します。そのため、リプレイ防御は、ネットワークを介して転送される代わりに、リプレイしたパケットが確実に破棄されるのに役立ちます。

    パケットが注文外に到着すると予想される場合、リプレイ防御を有効にすることはできません。

    リプレイ ウィンドウのサイズを 0 に設定することで、すべてのパケットが順序で到着する必要があります。

    接続アソシエーションで 5 つのウィンドウ サイズでリプレイ防御を有効にするには、次の方法に示します ca1

  9. (オプション)MACsec からプロトコルを除外します。

    たとえば、MACsec を使用して LLDP(Link Level Discovery Protocol)を保護したくない場合は、次の方法を実行します。

    このオプションが有効になっている場合、リンク上で送信または受信される、指定されたプロトコルのすべてのパケット(このケースでは LLDP)で MACsec が無効になります。

  10. シャーシ クラスタ制御インターフェイスに接続アソシエーションを割り当てる。

    インターフェイスへの接続アソシエーションの割り当ては、インターフェイスで MACsec を有効にするための最後の設定手順です。

    たとえば、接続アソシエーション ca1 をインターフェイス ge-0/0/1 に割り当てるには、次の方法を実行します(SRX340/SRX345 の場合)。

  11. シャーシ クラスタ ファブリック インターフェイスでMACsecを有効にするための接続アソシエーションを割り当てる。

静的 CAK セキュリティ モードを使用する MACsec は、リンクの反対側の端で接続アソシエーションも設定され、リンクの両端で一致する事前共有鍵が含まれているまでは有効になりません。

シャーシ クラスタ制御ポートでの静的 CAK の設定

2 台の SRX345 CA上でシャーシ クラスタ制御リンクを使用してスイッチを確立します。

  1. 接続アソシエーションとして MACsec セキュリティ static-cak モードを設定します。
  2. CKN(接続アソシエーション キー名)を設定して、事前共有鍵を作成します。

    CKN は、最大 64 桁の 16 進文字(0~9、a-f、A-F)の長さを持つ文字列でなければなりません。

  3. 接続アソシエーション キー(CAK)を設定して、事前共有キーを作成します。

    CAK には、64 桁の 16 進文字(0~9、a-f、A-F)を含む必要があります。

  4. 接続アソシエーション用にシャーシ クラスタ 制御ポートを指定します。

シャーシ クラスタ ファブリック ポートでの静的 CAK の設定

2 台の SRX345 デバイスでシャーシ クラスタ ファブリック リンクを使用して接続アソシエーションを確立するには、次の方法に示します。

  1. 接続アソシエーションとして MACsec セキュリティ static-cak モードを設定します。
  2. CKN(接続アソシエーション キー名)を設定して、事前共有鍵を作成します。

    CKN は、最大 64 桁の 16 進文字(0~9、a-f、A-F)の長さを持つ文字列でなければなりません。

  3. 接続アソシエーション キー(CAK)を設定して、事前共有鍵を作成します。

    CAK には、64 桁の 16 進文字(0~9、a-f、A-F)を含む必要があります。

  4. シャーシ クラスタ ファブリック ポートを接続アソシエーションに指定します。

シャーシ クラスタ内の SRX4600 デバイスの制御ポートでの静的 CAK の設定

この手順を使用して、2台のSRX4600デバイスでシャーシ クラスタ制御リンク上にCAスイッチを確立します。

  1. 接続アソシエーションとして MACsec セキュリティ static-cak モードを設定します。
  2. CKN(接続アソシエーション キー名)を設定して、事前共有鍵を作成します。

    CKN は、最大 64 桁の 16 進文字(0~9、a-f、A-F)の長さを持つ文字列でなければなりません。

  3. 接続アソシエーション キー(CAK)を設定して、事前共有鍵を作成します。

    CAK には、64 桁の 16 進文字(0~9、a-f、A-F)を含む必要があります。

  4. 接続アソシエーション用にシャーシ クラスタ 制御ポートを指定します。

MACSEC設定の検証

シャーシ クラスタ内の SRX4600 デバイスの制御ポートでの静的 CAK の設定が正常に機能している場合は、次のタスクを実行します。

デバイスでのアクティブなMACsec接続のステータスの表示

目的

MACsec がシャーシ クラスタ設定で動作している状態を検証します。

アクション

動作モードから、シャーシ クラスタ設定のノードの一方または show security macsec connections interface interface-name 両方に コマンドを入力します。

意味

Interface nameCA name 出力は、MACsec 接続アソシエーションがインターフェイス em0 上で動作している状態を示しています。接続アソシエーションがインターフェイス上で動作していない場合、出力は表示されません。

MACsecキー契約(MKA)セッション情報を表示する

目的

すべてのインターフェイスのMACsecキー契約(MKA)セッション情報を表示します。

アクション

動作モードから コマンドを入力 show security mka sessions します。

意味

出力は、MKA セッションのステータスを示します。

MACsec 保護されたトラフィックがインターフェイスを通過している検証

目的

インターフェイスを通過するトラフィックが MACsec に保護されているのを検証します。

アクション

動作モードから コマンドを入力 show security macsec statistics します。

意味

フィールド Encrypted packets の下の行は、MACsecによって保護され、暗号化されているインターフェイスからパケットを送信する度に増加する Secure Channel transmitted 値です。

フィールド Accepted packets の下の行は、MACsec整合性チェックを通過したパケットがインターフェイスで受信される度に増加した値 Secure Association received です。暗号化されたパケットを受信して暗号化解除する度に、出力の下の Decrypted bytes Secure Association received 行が増加します。

MACsec 設定でシャーシ クラスタ ポートの保護を検証

目的

MACsec がシャーシ クラスタ ポートで設定されていることを検証します。

アクション

動作モードから コマンドを入力 show chassis cluster interfaces します。

意味

に示された em0 インターフェイスの出力下の行は、em0インターフェイスから送信されたトラフィックが Security Control interfaces 、MACsecによって保護され、暗号化されている Secured 必要があります。

コマンドを使用して show chassis cluster status 、シャーシ クラスタの現在のステータスを表示することもできます。

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS リリース 17.4R1から、シャーシ クラスタ モードの SRX4600 デバイスの HA コントロール ポートおよびファブリック ポートで MACsec がサポートされています。
15.1X49-D60
Junos OS リリース 15.1X49-D60 から、シャーシ クラスタ モードの SRX340 および SRX345 デバイスの制御およびファブリック ポートで MACsec(Media Access Control Security)がサポートされています。