offset
構文
offset (0 |30 | 50);
階層レベル
[edit security macsec connectivity-association connectivity-association-name] [edit security macsec connectivity-association connectivity-association-name secure-channel secure-channel-name]
説明
MACsecの機密性オフセットを設定します。MACsecが暗号化で有効になっている場合、機密性オフセットは、暗号化されていないプレーンテキストで送信されるイーサネットフレーム内のオクテット数を指定します。
802.1AE-2006 によると、機密性オフセットは、負荷を分散する前にセキュア アソシエーションを終了できないシステムが、パケットの最初の数バイトに基づいて複数のプロセッサ間でロード バランシングを実行できるようにすることで、スイッチからホストへの接続に関連しています。さらに、機密性オフセットを使用して、IPv4またはIPv6ヘッダーを、透過ファイアウォールや監視デバイスなどのbump-in-the-wireデバイスに公開できます。
オフセットを 30 に設定すると、機能は残りのトラフィックを暗号化しながら、IPv4 ヘッダーと TCP/UDP ヘッダーを参照できます。オフセットを 50 に設定すると、機能は IPv6 ヘッダーと TCP/UDP ヘッダーを認識しながら、残りのトラフィックを暗号化できます。
通常、機能が機能を実行するためにオクテット内のデータを確認する必要がある場合は、最初の 30 オクテットまたは 50 オクテットを暗号化せずにトラフィックを転送しますが、それ以外の場合は、リンクを通過するフレームの残りのデータを暗号化します。特にロード バランシング機能では、通常、トラフィックを適切にロード バランシングするために、最初の 30 オクテットまたは 50 オクテットの IP ヘッダーと TCP/UDP ヘッダーを確認する必要があります。
静的edit security macsec connectivity-association connectivity-association-name接続性アソシエーションキー(CAK)または動的セキュリティモードを使用してMACsecを有効にする場合は、[]階層で を設定しますoffset。
静的edit security macsec connectivity-association connectivity-association-name secure-channel secure-channel-nameセキュアアソシエーションキー(SAK)セキュリティモードを使用してMACsecを有効にする場合は、[]階層で を設定しますoffset。
既定
0
オプション
| 0 | 暗号化されていないオクテットがないことを指定します。オフセットを 0 に設定すると、接続性の関連付けまたはセキュア チャネルが適用されるインターフェイス上のすべてのトラフィックが暗号化されます。 |
| 30 | 各イーサネット フレームの最初の 30 オクテットを暗号化しないことを指定します。
メモ:
IPv4 トラフィックでは、オフセットを 30 に設定すると、機能は IPv4 ヘッダーと TCP/UDP ヘッダーを認識し、残りのトラフィックを暗号化できます。したがって、30 のオフセットは、通常、機能が IPv4 トラフィックでタスクを実行するためにこの情報を必要とする場合に使用されます。 |
| 50 | 各イーサネットフレームの最初の50オクテットが暗号化されていないことを指定します。
メモ:
IPv6 トラフィックでは、オフセットを 50 に設定すると、機能は IPv6 ヘッダーと TCP/UDP ヘッダーを認識し、残りのトラフィックは暗号化できます。したがって、通常、50 のオフセットは、機能が IPv6 トラフィックでタスクを実行するためにこの情報を必要とする場合に使用されます。 |
必要な権限レベル
admin:設定でこのステートメントを表示します。
admin-control—このステートメントを設定に追加します。
リリース情報
Junos OSリリース13.2X50-D15で導入されたステートメント。