Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

シャーシ クラスタの MACsec(Media Access Control Security)

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「 プラットフォーム固有のMACsec動作 」セクションを確認してください。

メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。詳細については、次のトピックを参照してください。

メディアアクセス制御セキュリティ(MACsec)について

メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。MACsecは、直接接続されたノード間のイーサネットリンクにポイントツーポイントのセキュリティを提供し、サービス拒否、侵入、中間者攻撃、なりすまし、受動的盗聴、プレイバック攻撃など、ほとんどのセキュリティ脅威を特定して防止することができます。

MACsecを使用すると、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)からのフレームや、他のセキュリティソリューションの制限により通常はイーサネットリンクで保護されていないその他のプロトコルからのフレームを含む、ほぼすべてのトラフィックについてイーサネットリンクを保護できます。MACsecは、IPsec(IP Security)やSSL(Secure Sockets Layer)などの他のセキュリティプロトコルと組み合わせて使用することで、エンドツーエンドのネットワークセキュリティを提供できます。

このトピックには、以下のセクションが含まれています。

MACsecの仕組み

MACsecは、セキュリティ保護されたポイントツーポイントイーサネットリンクを使用して、業界標準のセキュリティを提供します。ポイントツーポイントのリンクは、セキュリティキーを照合した後に保護されます。静的接続アソシエーションキー(CAK)セキュリティモードを使用してMACsecを有効にすると、ポイントツーポイントイーサネットリンクの両端のインターフェイス間で、ユーザーが設定した事前共有キーが交換され、検証されます。

ポイントツーポイントイーサネットリンクでMACsecを有効にすると、そのリンクを通過するすべてのトラフィックは、データの整合性チェックと、設定されている場合は暗号化によってMACsecで保護されます。

データ整合性チェックでは、データの整合性を検証します。MACsec は、MACsec で保護されたポイントツーポイント イーサネット リンクを通過するすべてのイーサネット フレームに 8 バイトのヘッダーと 16 バイトのテールを追加し、受信インターフェイスがヘッダーとテールをチェックして、リンクの通過中にデータが危険にさらされていないことが確認されます。データ整合性チェックでトラフィックに異常が検出されると、そのトラフィックはドロップされます。

MACsecは、イーサネットリンク上のすべてのトラフィックの暗号化にも使用できます。MACsecで使用される暗号化により、リンク上のトラフィックを監視している誰もイーサネットフレーム内のデータを見ることができなくなります。

デフォルトでは、静的CAKセキュリティモードを使用してMACsecが有効になっている場合、インターフェイスに出入りするすべてのトラフィックに対して暗号化が有効になります。

MACsecは、MACsec対応インターフェイス間のポイントツーポイントイーサネットリンクで設定されます。複数のイーサネットリンクでMACsecを有効にする場合は、各ポイントツーポイントイーサネットリンクでMACsecを個別に設定する必要があります。

接続の関連付けとセキュアなチャネルの理解

MACsecは接続の関連付けで設定されます。MACsecは、接続アソシエーションがインターフェイスに割り当てられている場合に有効になります。

静的 CAK または動的セキュリティ モードを使用して MACsec を有効にする場合は、接続の関連付けを作成して設定する必要があります。2 つのセキュリティで保護されたチャネル (1 つはインバウンド トラフィック用のセキュリティで保護されたチャネル、もう 1 つは 送信トラフィック 用のセキュリティで保護されたチャネル) が自動的に作成されます。自動的に作成されたセキュア・チャネルには、ユーザーが構成可能なパラメーターはありません。すべての構成は、セキュリティで保護されたチャネルの外部の接続アソシエーションで行われます。

静的接続アソシエーションのキーセキュリティモードの理解

静的接続アソシエーションキー(CAK)セキュリティモードを使用してMACsecを有効にすると、2つのセキュリティキー(コントロールプレーントラフィックを保護する接続アソシエーションキー(CAK)と、データプレーントラフィックを保護するランダムに生成されたセキュアアソシエーションキー(SAK))がポイントツーポイントイーサネットリンクの保護に使用されます。両方の鍵は、ポイントツーポイントイーサネットリンクの両端で両デバイス間で定期的に交換され、リンクのセキュリティを確保します。

静的 CAK セキュリティ モードを使用して MACsec を有効にする場合は、最初に事前共有キーを使用して MACsec で保護されたリンクを確立します。事前共有キーには、接続アソシエーション名(CKN)と独自の接続アソシエーションキー(CAK)が含まれます。CKNとCAKは、接続アソシエーションのユーザーによって設定され、最初にMACsecを有効にするには、リンクの両端で一致する必要があります。

一致する事前共有キーの交換に成功すると、MACsec Key Agreement(MKA)プロトコルが有効になります。MKA プロトコルは、リンク上の MACsec を維持する役割を担い、ポイントツーポイント リンク上のどのスイッチがキー サーバーになるかを決定します。次に、キー サーバは、ポイントツーポイント リンクのもう一方の端でのみスイッチと共有される SAK を作成し、その SAK を使用して、リンクを通過するすべてのデータ トラフィックを保護します。キーサーバは、MACsec が有効になっている限り、ポイントツーポイントリンクを介してランダムに作成された SAK を定期的に作成して共有し続けます。

リンクの両端で接続アソシエーションを設定することで、静的CAKセキュリティモードを使用してMACsecを有効にします。すべての構成は、接続アソシエーション内で行われますが、セキュア チャネルの外部で行われます。静的 CAK セキュリティ モードを使用すると、2 つのセキュリティで保護されたチャネル (1 つは受信トラフィック用、もう 1 つは送信トラフィック受信トラフィック用) が自動的に作成されます。自動的に作成されたセキュア・チャネルには、接続の関連付けでまだ構成できないユーザー構成可能なパラメーターはありません。

静的 CAK セキュリティ モードを使用して MACsec を有効にすることをお勧めします。静的 CAK セキュリティ モードでは、新しいランダムなセキュリティ キーに頻繁に更新し、MACsec で保護されたポイントツーポイント リンク上の 2 つのデバイス間でのみセキュリティ キーを共有することで、セキュリティを確保します。また、一部のオプションの MACsec 機能(リプレイ保護、SCI タグ付け、MACsec からのトラフィックの除外機能)は、静的 CAK セキュリティ モードを使用して MACsec を有効にした場合にのみ使用できます。

SRXシリーズファイアウォールがHA制御リンクとファブリックリンクでMACsecをサポートしている場合、コマンド restart 802.1x-protocol-daemon がプライマリノードで実行されると、シャーシクラスタ制御リンクとファブリックリンクがフラップし、クラスタノードがスプリットブレインモードになります。

MACsec に関する考慮事項

現在、すべてのタイプのスパニングツリープロトコルフレームをMACsecで暗号化することはできません。

接続の関連付けは、グローバル、ノード固有、またはMACsecインターフェイス構成から見えるものである限り、他の設定グループなど、どこでも定義できます。

MACsec 設定では、両端に同一の設定が存在する必要があります。つまり、各ノードには、他のノードと同じ設定が含まれている必要があります。もう一方のノードが構成されていないか、もう一方のノードでMACsecが不適切に設定されている場合、ポートは無効になり、トラフィックの転送を停止します。

メディアアクセス制御セキュリティ(MACsec)の設定

このトピックでは、シャーシクラスタ内のサポートされているSRXシリーズファイアウォールの制御ポートとファブリックポートでMACsecを設定して、クラスタ内のピアデバイス間のポイントツーポイントイーサネットリンクを保護する方法を説明します。MACsecを使用して保護する各ポイントツーポイントイーサネットリンクは、個別に設定する必要があります。静的接続アソシエーションキー(CAK)セキュリティモードを使用して、デバイス間リンクでMACsec暗号化を有効にできます。

両方のプロセスの設定手順は、このドキュメントで提供されています。

シャーシ クラスタ セットアップで MACsec を設定する際の設定上の考慮事項

開始する前に、以下の手順に従って制御ポートにMACsecを設定してください。

  1. シャーシ クラスタがすでに起動している場合は、set chassis cluster disableコマンドを使用して無効にし、両方のノードを再起動します。
  2. 次のセクションで説明するように、制御ポートにその属性を使用してMACsecを設定します:シャーシ クラスタ制御ポートで静的 CAK を設定します。両方のノードは、同一の設定で独立して設定する必要があります。
  3. 両方のノードでset chassis cluster cluster-id idを使用して、シャーシ クラスタを有効にします。両方のノードを再起動します。

制御ポートの状態は、シャーシ クラスタの整合性に影響を与えます。制御ポートでMACsecを設定する場合は、次の点を考慮してください。

  • 新しい MACsec シャーシ クラスタ ポート設定または既存の MACsec シャーシ クラスタ ポート設定への変更を行う場合は、シャーシ クラスタを無効にする必要があり、警告メッセージ Modifying cluster control port CA will break chassis clusterが表示されます。無効にすると、前述の設定を適用してシャーシ クラスタを有効にできます。

  • デフォルトでは、シャーシ クラスタはすべての設定を同期します。これに対応して、同期によって MACsec 設定が失われないことを監視する必要があります。そうしないと、シャーシ クラスタが壊れます。たとえば、非対称のノード固有のMACsec構成では、両端に同じ構成が存在する必要があります。つまり、各ノードには、他のノードと同じ設定が含まれている必要があります。

制御ポートのMACsec設定を変更する場合は、上記の手順を繰り返す必要があります。

ファブリックポートでMACsecを設定する場合は、次の点を考慮してください。

MACsecを設定すると、リンクの状態が変更され、リンクのトラフィック機能に影響を与える可能性があります。ファブリックポートを設定する際は、有効なリンク状態を念頭に置いてください。ファブリックリンクの両端のMACsec設定が正しくないと、リンクが不適格な状態に移行する可能性があります。ファブリックリンクの設定については、次の重要な点に注意してください。

  • シャーシ クラスタを形成する場合、リンクの両端を同時に設定する必要があります。

  • 設定が正しくないと、ファブリックの障害やファブリックのリカバリロジックのエラーにつながる可能性があります。

    リンク障害が発生する可能性があるため、シャーシ クラスタの形成時にファブリック リンクを設定することを推奨します。

静的接続アソシエーションキーセキュリティモードを使用したMACsecの設定

デバイスを接続するポイントツーポイントイーサネットリンクで、静的接続アソシエーションキー(CAK)セキュリティモードを使用して、MACsec暗号化を有効にすることができます。この手順では、静的 CAK セキュリティ モードを使用して MACsec を設定する方法を示します。

デュアル制御リンクのMACsecは、制御ポート0[em0]と制御ポート1[em1]で設定されています。収益インターフェイスで設定されたMACsecは、ファブリックリンクの形成に使用されます。ファブリック リンクは、ファブリック ポート(mge-0/0/1 および mge-7/0/1)で設定します。

静的CAKセキュリティモードを使用してMACsecを設定し、デバイス間のイーサネットリンクを保護するには:

  1. 接続性の関連付けを作成します。既存の接続性の関連付けを構成する場合は、この手順を省略できます。

    たとえば、 ca1 という名前の接続性の関連付けを作成するには、次のように入力します。

  2. MACsecセキュリティモードを接続アソシエーションの static-cak として設定します。

    例えば、接続アソシエーションca1でMACsecセキュリティモードを static-cak するように設定するには:

  3. 接続アソシエーションキー名(CKN)と接続アソシエーションキー(CAK)を設定して、事前共有キーを作成します。

    事前共有鍵は、MACsecセキュアリンクを確立するために、直接接続されたリンク間で交換されます。事前共有キーには、CKN と CAK が含まれます。CKN は 64 桁の 16 進数で、CAK は 64 桁の 16 進数です。MACsecで保護されたリンクを作成するには、リンクの両端でCKNとCAKが一致する必要があります。

    セキュリティを最大限に高めるには、CKN の 64 桁すべてと CAK の 64 桁すべてを設定することをお勧めします。

    事前共有鍵がリンクの両端で正常に交換および検証されると、MACsec Key Agreement(MKA)プロトコルが有効になり、セキュアなリンクが管理されます。次に、MKA プロトコルは、直接接続された 2 つのデバイスのうちの 1 つをキー サーバーとして選択します。その後、キーサーバーは、MACsecセキュアポイントツーポイントリンクを介して、他のデバイスとランダムなセキュリティを共有します。鍵サーバは、MACsec が有効になっている限り、MACsec で保護されたポイントツーポイント リンクを介してランダムなセキュリティ キーを定期的に作成し、他のデバイスと共有し続けます。

    接続アソシエーション ca1 で 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 の CKN と 228xx255aa23xx6729xx664xxx66e91f の CAK を設定するには:

    MACsecは、接続アソシエーションがインターフェイスにアタッチされるまで有効になりません。インターフェイスに接続性の関連付けをアタッチするには、この手順の最後のステップを参照してください。

  4. (オプション)MKA キー サーバのプライオリティを設定します。

    鍵サーバーを選択するために MKA プロトコルが使用する鍵サーバーの優先順位を指定します。 priority-number の小さいデバイスがキー サーバとして選択されます。

    デフォルトの priority-number は 16 です。

    ポイントツーポイント リンクの両側で key-server-priority が同一である場合、MKA プロトコルは下位の MAC アドレスを持つインターフェイスをキー サーバとして選択します。したがって、このステートメントが MACsec で保護されたポイントツーポイント リンクの両端の接続アソシエーションで設定されていない場合、下位の MAC アドレスを持つインターフェイスがキー サーバーになります。

    接続アソシエーション ca1を使用してインターフェイスでMACsecが有効になっている場合に、キーサーバーの優先度を0に変更して、現在のデバイスがキーサーバーとして選択される可能性を高めるには、次の手順に従います。

    鍵サーバの優先順位を 255 に変更して、現在の装置が接続アソシエーション ca1 の鍵サーバとして選択される可能性を減らすには、次のようにします。

  5. (オプション)MKA の送信間隔を設定します。

    MKA 送信間隔設定では、リンク上の MACsec 接続を維持するために、MKA プロトコル データ ユニット(PDU)を直接接続されたデバイスに送信する頻度を設定します。 interval を低くするとリンクの帯域幅オーバーヘッドが増加し、 interval を高くするとMKAプロトコル通信が最適化されます。

    デフォルトの interval は 2000 ミリ秒です。トラフィック負荷の高い環境では、間隔を 6000 ミリ秒に増やすことをお勧めします。静的 CAK セキュリティ モードを使用した MACsec が有効になっている場合、送信間隔の設定はリンクの両端で同一である必要があります。

    SRX340、SRX345、SRX4600 デバイスの場合、デフォルトの MKA 送信間隔は HA リンクで 10000 ミリ秒です。

    例えば、接続アソシエーション ca1 がインターフェイスにアタッチされている場合、MKA の送信間隔を 6000 ミリ秒に増やす場合は、次のようにします。

  6. (オプション)MACsec暗号化を無効にします。

    デフォルトでは、静的CAKセキュリティモードを使用してMACsecが有効になっている場合、インターフェイスに出入りするすべてのトラフィックに対して暗号化が有効になります。

    暗号化が無効になっている場合、トラフィックはクリアテキストでイーサネットリンクを介して転送されます。リンクを監視しているときに、リンクを通過するイーサネットフレーム内の暗号化されていないデータを表示できます。ただし、MACsecヘッダーはフレームに適用され、すべてのMACsecデータ整合性チェックがリンクの両端で実行され、リンクで送受信されるトラフィックが改ざんされておらず、セキュリティ上の脅威になっていないことを確認します。

  7. (オプション)リンクを通過するすべてのパケットのオフセットを設定します。

    たとえば、 ca1 という名前の接続性の関連付けでオフセットを 30 に設定する場合は、次のようにします。

    デフォルトのオフセットは 0 です。暗号化が有効で、 offset が設定されていない場合、接続アソシエーション内のすべてのトラフィックが暗号化されます。

    オフセットを 30 に設定すると、IPv4 ヘッダーと TCP/UDP ヘッダーは暗号化されず、残りのトラフィックは暗号化されません。オフセットが 50 に設定されている場合、IPv6 ヘッダーと TCP/UDP ヘッダーは暗号化されず、残りのトラフィックは暗号化されます。

    機能が機能を実行するためにオクテット内のデータを見る必要がある場合、通常は最初の30または50オクテットを暗号化せずにトラフィックを転送しますが、そうでない場合は、リンクを通過するフレーム内の残りのデータを暗号化することを好みます。特にロードバランシング機能では、トラフィックを適切にロードバランシングするために、通常、最初の30または50オクテットでIPヘッダーとTCP/UDPヘッダーを確認する必要があります。

  8. (オプション)リプレイ保護を有効にします。

    リンク上でMACsecを有効にすると、MACsecで保護されたリンク上の各パケットにID番号が割り当てられます。

    リプレイ防御が有効な場合、受信側インターフェイスは、MACsec で保護されたリンクを通過したすべてのパケットの ID 番号を確認します。パケットが順不同で到着し、パケット番号の差がリプレイ防御ウィンドウ サイズを超えた場合、パケットは受信インターフェイスによって破棄されます。例えば、リプレイ保護ウィンドウ サイズが 5 に設定されていて、ID 1000 が割り当てられたパケットの直後に ID 1006 が割り当てられたパケットが受信リンクに到着した場合、ID 1006 が割り当てられたパケットは、リプレイ保護ウィンドウのパラメータの範囲外になるため、ドロップされます。

    リプレイ保護は、中間者攻撃と戦う場合に特に役立ちます。イーサネットリンク上の中間者攻撃者によってリプレイされたパケットは、順不同で受信リンクに到着するため、リプレイ保護は、リプレイされたパケットがネットワークを介して転送されるのではなく、ドロップされるようにするのに役立ちます。

    パケットが順不同で到着することが予想される場合は、リプレイ保護を有効にしないでください。

    再生ウィンドウ サイズを 0 に設定することで、すべてのパケットが順番に到着するように要求できます。

    接続アソシエーション ca1でウィンドウ サイズが 5 のリプレイ保護を有効にするには:

  9. (オプション)MACsecからプロトコルを除外します。

    たとえば、Link Level Discovery Protocol(LLDP)をMACsecで保護したくない場合は、次のようにします。

    このオプションを有効にすると、リンク上で送受信される指定されたプロトコル(この場合はLLDP)のすべてのパケットに対してMACsecが無効になります。

  10. シャーシ クラスタ制御インターフェイスに接続性の関連付けを割り当てます。

    インターフェイスへの接続アソシエーションの割り当ては、インターフェイスでMACsecを有効にするための最後の設定ステップです。

    例えば、接続性アソシエーションca1をインターフェイスge-0/0/1に割り当てるには(SRX340/SRX345の場合)。

    例えば、接続性アソシエーションca1をインターフェイスge-0/0/0に割り当てるには(SRX380の場合)。

  11. シャーシ クラスタ ファブリック インターフェイスで MACsec を有効にするための接続関連付けを割り当てます。

静的 CAK セキュリティ モードを使用した MACsec は、リンクの反対側の接続アソシエーションも設定され、リンクの両端で一致する事前共有キーが含まれるまで有効になりません。

シャーシ クラスタ制御ポートでの静的 CAK の設定

2台のSRX345デバイス上でシャーシクラスタ制御リンク上にCAを確立するには。

  1. MACsecセキュリティモードを接続アソシエーションの static-cak として設定します。
  2. CKN(接続アソシエーション キー名)を設定して、事前共有キーを作成します。

    CKN は、最大 64 文字の 16 進文字 (0-9、a-f、A-F) の偶数長の文字列である必要があります。

  3. 接続アソシエーションキー(CAK)を設定して、事前共有キーを作成します。

    CAK には、64 文字の 16 進文字 (0 から 9、a-f、A から F) を含める必要があります。

  4. 接続アソシエーションのシャーシ クラスタ制御ポートを指定します。

シャーシ クラスタ ファブリック ポートでの静的 CAK の設定

2台のSRX345デバイスでシャーシ クラスタ ファブリック リンクを介して接続アソシエーションを確立するには、次の手順に従います。

  1. MACsecセキュリティモードを接続アソシエーションの static-cak として設定します。
  2. CKN(接続アソシエーション キー名)を設定して、事前共有キーを作成します。

    CKN は、最大 64 文字の 16 進文字 (0-9、a-f、A-F) の偶数長の文字列である必要があります。

  3. 接続アソシエーションキー(CAK)を設定して、事前共有キーを作成します。

    CAK には、64 文字の 16 進文字 (0 から 9、a-f、A から F) を含める必要があります。

  4. シャーシ クラスタ ファブリック ポートを接続関連付けに指定します。

SRX1600、SRX2300、および SRX4300 デバイスの制御ポートで静的 CAK を構成する

2台のSRX1600デバイス、または2台のSRX2300デバイスまたはSRX4300デバイス上にシャーシ クラスタ制御リンクを介した接続の関連付けを設定するには、次の手順に従います。

  1. MACsecセキュリティモードを接続アソシエーションの static-cak として設定します。
  2. CKN(接続アソシエーション キー名)を設定して、事前共有キーを作成します。

    CKN は、最大 64 文字の 16 進文字 (0-9、a-f、A-F) の偶数長の文字列である必要があります。

  3. 接続アソシエーションキー(CAK)を設定して、事前共有キーを作成します。

    CAK には、64 文字の 16 進文字 (0 から 9、a-f、A から F) を含める必要があります。

  4. 接続アソシエーションのシャーシ クラスタ制御ポートを指定します。

アクティブなMACsec接続のステータスを表示するには、 show security macsec connections コマンドを実行します。

MACsec 鍵契約セッション情報を表示するには、 show security mka sessions コマンドを実行します。

制御ポートとファブリックポートのセキュリティステータスを表示します。制御ポート0と制御ポート1の両方でMACsecが有効になっている場合は、 show chassis cluster interfaces コマンドを実行します。

SRX4600の制御ポートで静的 CAK を構成する

2台のSRX4600デバイス上でシャーシクラスタ制御リンク上にCAを確立するには、この手順を使用します。

  1. MACsecセキュリティモードを接続アソシエーションの static-cak として設定します。
  2. CKN(接続アソシエーション キー名)を設定して、事前共有キーを作成します。

    CKN は、最大 64 文字の 16 進文字 (0-9、a-f、A-F) の偶数長の文字列である必要があります。

  3. 接続アソシエーションキー(CAK)を設定して、事前共有キーを作成します。

    CAK には、64 文字の 16 進文字 (0 から 9、a-f、A から F) を含める必要があります。

  4. 接続アソシエーションのシャーシ クラスタ制御ポートを指定します。

MACSEC 設定の確認

SRX4600 の制御ポートで静的 CAK を設定するに記載されている設定が正しく動作していることを確認するには、以下のタスクを実行します。

デバイス上のアクティブなMACsec接続のステータスを表示します

目的

シャーシ クラスタ設定で MACsec が動作していることを確認します。

アクション

動作モードから、シャーシ クラスタ セットアップのノードの 1 つまたは両方で show security macsec connections interface interface-name コマンドを入力します。

意味

Interface nameCA nameの出力は、MACsec接続アソシエーションがインターフェイスem0で動作していることを示しています。接続アソシエーションがインターフェイスで動作していない場合、出力は表示されません。

MACsec Key Agreement(MKA)セッション情報の表示

目的

すべてのインターフェイスの MACsec Key Agreement(MKA)セッション情報を表示します。

アクション

動作モードから、 show security mka sessions コマンドを入力します。

意味

出力は、MKA セッションのステータスを示します。

MACsecで保護されたトラフィックがインターフェイスを通過していることを確認します

目的

インターフェイスを通過するトラフィックがMACsecで保護されていることを確認します。

アクション

動作モードから、 show security macsec statistics コマンドを入力します。

意味

Secure Channel transmittedフィールドの下のEncrypted packets行は、MACsecによって保護および暗号化されたインターフェイスからパケットが送信されるたびに増分される値です。

Secure Association receivedフィールドの下のAccepted packets行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびに増分される値です。Secure Association received出力の下のDecrypted bytes行は、暗号化されたパケットが受信および復号化されるたびにインクリメントされます。

シャーシ クラスタ ポートが MACsec 設定で保護されていることを確認

目的

シャーシ クラスタ ポートに MACsec が設定されていることを確認します。

アクション

動作モードから、 show chassis cluster interfaces コマンドを入力します。

意味

Securedとして示されているem0インターフェイスのControl interfaces出力の下にあるSecurity行は、em0インターフェイスから送信されたトラフィックがMACsecによって保護および暗号化されていることを意味します。

また、 show chassis cluster status コマンドを使用して、シャーシ クラスタの現在のステータスを表示することもできます。

参照

プラットフォーム固有の MACsec 動作

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。

次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。

プラットホーム

SRX シリーズ

  • MACsecをサポートするSRX340、SRX345、SRX380ファイアウォールでは、シャーシクラスタの制御ポートでMACsecが有効になっている場合、300秒の不適格タイマーが設定されます。両方の制御リンクに障害が発生した場合、Junos OS はセカンダリ ノードの動作状態を 180 秒間不適格に変更します。

  • 制御ポートでMACsecをサポートするファイアウォールSRX4600、不適格期間は200秒です。

  • MACsecをサポートするSRX340、SRX345、SRX380ファイアウォールでは、初期保持タイマーが30秒ではなく120秒に設定されます。

  • MACsecをサポートするSRX340およびSRX345ファイアウォールは、次のポートを使用します。

    • ge-0/0/0はファブリックポートです

    • ge-0/0/1は、シャーシ クラスターの制御ポートです。

      シャーシ クラスターは、ge-0/0/1をcluster-control-port 0として割り当てます。

  • SRX380ファイアウォールはMACsecをサポートしています。 cluster-control-portcluster-data-portでMACsecを設定する前に、各ノードをスタンドアロンモードにします。両方のノードにMACsecを適用し、シャーシ クラスタ モードで再起動します。

  • MACsecをサポートするSRX380ファイアウォールは、ファブリックポートとしてge-0/0/0を使用します。インターフェイス ge-0/0/15 は、シャーシ クラスターの制御ポートとして機能します。

  • MACsecをサポートするSRX4600ファイアウォールには、専用のコントロールポートとファブリックポートが含まれています。専用の制御ポート0[em0]とポート1[em1]で制御リンクにMACsecを設定します。専用ファブリックポートのファブリックリンクでMACsecを設定します。

    • fpc0 pic0のポート2とポート3(例:xe-0/0/2とxe-0/0/3)

    • fpc7 pic0のポート2およびポート3

  • MACsecをサポートするSRX1600ファイアウォールには、専用のデュアルコントロールポート(em0/em1)が含まれており、デュアルファブリックポートを提供します。

  • MACsecをサポートするSRX2300ファイアウォールには、デュアルコントロールポート(em0/em1)が含まれており、デュアルファブリックポートを提供します。

  • SRX340およびSRX345ファイアウォールは、シャーシクラスタモードの制御ポートとファブリックポートでMACsecをサポートします。

  • SRX340、SRX345、SRX380ファイアウォールは、ホストツーホストまたはスイッチツーホストのMACsecをサポートします。

  • SRX4600ファイアウォールは、ホストツーホスト接続のMACsecをサポートしていません。専用fabポートのみがMACsecをサポートしています。ファイアウォールは、他のトラフィックポートがfabとして機能する場合、MACsecを許可しません。

  • MACsecをサポートするSRX340、SRX345、SRX380ファイアウォールでは、各ノードにローカルMACsec設定が必要です。そうしないと、ファイアウォールはファブリック リンクに到達できません。

  • MACsecをサポートするSRX1600、SRX2300、およびSRX4300ファイアウォールは、MACsec構成でデュアルコントロールポートを使用できます。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
20.1
Junos OS リリース 20.1R1 以降、シャーシ クラスタ モードの SRX380 デバイスの制御ポート、ファブリック ポート、収益ポートで MACsec がサポートされ、トラフィックが保護されます。MACsec は、16 個の 1 ギガビット イーサネット ポート(ge-0/0/0 から ge-0/0/15)と 4 個の 10 ギガビット イーサネット ポート(xe-0/0/16 から xe-0/0/19)でサポートされています。