cipher-suite (MACsec)
構文
cipher-suite encryption-algorithm-name;
階層レベル
[edit security macsec connectivity-association connectivity-association-name]
説明
メディアアクセス制御セキュリティ(MACsec)で保護されたイーサネットリンク上のトラフィックを暗号化するために使用する暗号のセットを指定します。MACsecで使用される暗号化により、リンク上のトラフィックを監視している人がイーサネットフレーム内のデータを見ることができないようにします。MACsec暗号化はオプションで、ユーザーが設定できます。設定する暗号スイートは、MACsec ピア間で同じである必要があります。
MACsecは、ガロア/カウンターモード高度暗号化標準(GCM-AES)を利用します。MACsec に使用されるデフォルトの暗号スイートは GCM-AES-128 で、最大鍵長は 128 ビットです。MACsecはGCM-AES-256もサポートしており、最大鍵長は256ビットです。
GCM– AES– 128およびGCM– AES– 256は、初期値の一部として32ビットのパケット番号を使用しますが、これは特定のセキュアアソシエーションキー(SAK)を使用して送信されるすべてのパケットで一意である必要があります。32 ビットのパケット番号の順列がなくなると、SAK が大幅に更新されます。SAK 更新の頻度は、パケット番号のサイズを 64 ビットに増やす拡張パケット番号 (XPN) で暗号スイートを使用することで減らすことができます。GCM-AES-128 と GCM-AES-256 の両方が XPN で使用できます。
インターフェイスで et MACsec を有効にする場合は、GCM-AES-XPN-128 または GCM-AES-XPN-256 暗号スイートのいずれかを使用します。
EX4300-48MP スイッチは、2 ポート QSFP+/1 ポート QSFP28 アップリンク モジュールで GCM-AES-256 および GCM-AES-XPN-256 暗号スイートをサポートします。
既定
cipher-suite
ステートメントが設定されていない場合、暗号化に使用されるデフォルトの暗号スイートはGCM-AES-128です。
オプション
gcm-aes-128 |
GCM-AES-128 の最大鍵サイズは 128 ビットです。 |
gcm-aes-xpn-128 |
GCM-AES-XPN-128 の最大鍵サイズは 128 ビットで、拡張パケット番号です。 |
gcm-aes-256 |
GCM-AES-256 の最大鍵サイズは 256 ビットです。 |
gcm-aes-xpn-256 |
GCM-AES-XPN-256 の最大鍵サイズは 256 ビットで、拡張パケット番号です。 |
必要な権限レベル
admin:設定でこのステートメントを表示します。
admin-control:このステートメントを設定に追加します。
リリース情報
Junos OSリリース16.2R1で導入されたステートメント。