OpenConfig MACsec モデル コマンドの Junos 設定へのマッピング
メモ:
ジュニパーネットワークスPTXシリーズでサポートされているデータモデルのバージョンとJunos OSリリースについては、 OpenConfigデータモデルのバージョン のトピックを参照してください。
以下の表は、OpenConfig メディア アクセス制御セキュリティ(MACsec)コマンドと Junos OS の関連設定とのマッピングを示しています。
- 表 1:MACsec キー アグリーメント(MKA)ポリシーの設定
- 表 2: MKA キーチェーンの設定
- 表 3: MKA キーチェーン キー ID 構成の偏差
- 表 4: MACsec インターフェイスの設定
| コマンド名 |
OpenConfig Configuration |
Junos の設定 |
|---|---|---|
| 名前 |
openconfig-macsec: macsec {
mka {
policies {
policy {
name(leafref)
}
}
}
}
|
security macsec {
connectivity-association {
<ca_name>
}
}
s |
| 名前 |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
name(string)
}
}
}
}
}
|
security macsec {
connectivity-association {
<name>
}
}
|
| 鍵サーバー優先度 |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
key-server-priority(uint8)
}
}
}
}
}
|
security macsec {
connectivity-association {
<name> {
mka {
key-server-priority < 0..255 >
}
}
}
}
|
| MACsec暗号スイート |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
macsec-cipher-suite(macsec-types:macsec-cipher-suite)
}
}
}
}
}
|
security macsec {
connectivity-association {
<name> {
cipher-suite {
<suit-options>
}
}
}
}
|
| 機密性オフセット |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
confidentiality-offset(macsec-types: confidentiality-offset)
}
}
}
}
}
|
security macsec {
connectivity-association {
<name> {
offset {
<0 or 30 or 50>
}
}
}
}
|
| 遅延保護 |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
delay-protection(boolean)
}
}
}
}
}
|
security macsec {
connectivity-association {
<name> {
mka {
bounded-delay
}
}
}
}
|
| include-icv-indication |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
include-icv-indication(boolean)
}
}
}
}
}
|
Junos OS ではサポートされていません。 |
| sak-rekey-interval: |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
sak-rekey-interval(uint32)
}
}
}
}
}
|
security macsec {
connectivity-association {
<name> {
mka {
sak-rekey-interval < 60..86400 seconds>
}
}
}
}
|
| sak-rekey-on-live-peer-loss |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
sak-rekey-on-live-peer-loss(boolean)
}
}
}
}
|
Junos OS ではサポートされていません。 |
| 使用-updated-eth-header |
openconfig-macsec: macsec {
mka {
policies {
policy {
config {
use-updated-eth-header(boolean)
}
}
}
}
|
Junos OS ではサポートされていません。 |
| コマンド名 |
OpenConfig Configuration |
Junos の設定 |
|---|---|---|
| キーチェーン名 |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
name(leafref)
}
}
}
}
|
security authentication-key-chains {
key-chain {
<key-chain-name>
}
}
|
| キーチェーン設定名 |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
config {
name(string)
}
}
}
}
}
|
security authentication-key-chains {
key-chain {
<key-chain-name>
}
}
|
| MKA キー ID |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
mka-keys {
mka-key {
id(leafref)
}
}
}
}
}
}
|
security authentication-key-chains {
key-chain {
<key-chain-name> {
key <0..63>
}
}
}
|
| MKA キー構成 ID |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
mka-keys {
mka-key {
config {
id(oc-yang:hex-string)
}
}
}
}
}
}
}
|
security authentication-key-chains {
key-chain {
<key-chain-name> {
key <0..63> {
key-name <>
}
}
}
}
|
| キークリアテキスト |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
mka-keys {
mka-key {
config {
key-clear-text(string)
}
}
}
}
}
}
}
|
key-chain {
<key-chain-name> {
key <0..63> {
secret <secret_key>
}
}
}
}
|
| 暗号アルゴリズム |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
mka-keys {
mka-key {
config {
cryptographic-algorithm(enumeration)
}
}
}
}
}
}
}
|
Junos OS ではサポートされていません。 |
| 有効日時 |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
mka-keys {
mka-key {
config {
valid-date-time(union)
}
}
}
}
}
}
}
|
security authentication-key-chains {
key-chain {
<key-chain-name> {
key <0..63> {
start-time {
< YYYY-MM-DD.HH:MM>
}
}
}
}
}
|
|
|
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
mka-keys {
mka-key {
config {
expiration-date-time(union)
}
}
}
}
}
}
}
|
Junos OS ではサポートされていません。 |
| コマンド名 |
OpenConfig Configuration |
Junos の設定 |
|---|---|---|
| MKAキー |
openconfig-macsec: macsec {
mka {
key-chains {
key-chain {
mka-keys {
mka-key {
id(leafref)
}
}
}
}
}
}
|
security authentication-key-chains {
key-chain {
<key-chain-name> {
key <0..63>
}
}
}
|
| OpenConfig 構成では、 OpenConfigの設定をサポートするために、Junos OSは
以下のOpenConfig設定は一例です。 set openconfig-macsec:macsec mka key-chains key-chain MACSEC_OC_KEY mka-keys mka-key 00cafe0000 config key-clear-text 1234567890 set openconfig-macsec:macsec mka key-chains key-chain MACSEC_OC_KEY mka-keys mka-key 00cafe0000 config valid-date-time 2021-11-30T00:00:00.0Z ジュニパーデバイスでのOpenConfig設定コミットは、以下のようになります。
security {
authentication-key-chains {
key-chain MACSEC_OC_KEY {
key 0 {
secret "$9$EVBcev8X7Vs2LXikmfzFevMW-VJGDjk."; ## SECRET-DATA
key-name cafe0000;
start-time "2021-11-29.16:00:00 -0800";
}
}
}
|
||
| コマンド名 |
OpenConfig Configuration |
Junos の設定 |
|---|---|---|
| インターフェイス名 |
openconfig-macsec: macsec {
interfaces {
interface {
name(leafref)
}
}
}
|
security macsec {
interfaces {
<name>
}
}
|
| インターフェイス設定名 |
openconfig-macsec: macsec {
interfaces {
interface {
config {
name(oc-if:base-interface-ref)
}
}
}
}
|
security macsec {
interfaces {
<name>
}
}
|
| 構成の有効化 |
openconfig-macsec: macsec {
interfaces {
interface {
config {
enable(boolean)
}
}
}
}
|
Junos OS に個別の enable キーワードはありません。 |
| リプレイ防御 |
openconfig-macsec: macsec {
interfaces {
interface {
config {
replay-protection(uint16)
}
}
}
}
|
openconfig-macsec: macsec {
interfaces {
interface {
config {
replay-protection(uint16)
}
}
}
} security macsec {
connectivity-association {
<name> {
replay-protect {
replay-window-size < 0..65535 packets>
}
}
}
}
|
| MKAポリシー |
openconfig-macsec: macsec {
interfaces {
interface {
mka {
config {
mka-policy(leafref)
}
}
}
}
}
|
security macsec {
interfaces {
<name> {
connectivity-association {
<connectivity-association>
}
}
}
}
|
| 構成キーチェーン |
openconfig-macsec: macsec {
interfaces {
interface {
mka {
config {
key-chain(leafref)
}
}
}
}
}
|
security macsec {
connectivity-association {
<name> {
pre-shared-key-chain {
<pre-shared-key-chain>
}
}
}
}
|