例:MXシリーズルーターでのMPLS CCC上のMACsecの設定
この例では、MACsec が基本的な MPLS CCC を介して、あるサイトのユーザーから別のサイトのユーザーに移動する機密性の高いトラフィックを保護する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MPLS ネットワークで PE およびプロバイダ ルーターとして使用される 3 台の MXシリーズ ルーター
サイトAをMPLSネットワークに接続するCEルーターとして使用される1台のMXシリーズルーター
サイト B を MPLS ネットワークに接続する CE ルーターとして使用される拡張 20 ポート ギガビット イーサネット MIC(モデル番号 MIC-3D-20GE-SFP-E)を搭載した MX240、MX480、または MX960 ルーター 1 台
MPLS ネットワーク(PE1、PE2、またはプロバイダ ルーター)内のすべての MXシリーズ ルーターで実行されている Junos OS リリース 15.1R1 以降
Junos OS リリース 15.1R1 以降が、サイト A の CE ルーターとサイト B の CE ルーターで実行されていること
概要とトポロジー
この例では、財務上の機密性の高い会社のデータは、多くの場合、サイト A のユーザーとサイト B のユーザーの間で送信されます。企業は、サイト A のユーザーからサイト B のユーザーに移動するすべてのネットワーク トラフィックのセキュリティを確保し、攻撃者が表示したり破損したりできないようにしたいと考えています。同社は、MACsecが提供する業界標準のレイヤー2セキュリティを使用しており、攻撃者にデータを見られないようにするための暗号化と、送信データが破損していないことを確認する整合性チェックを提供し、サイト間を接続するMPLSクラウドを介してCCC上を移動するすべてのトラフィックを保護します。両方のサイトでVLANが設定されており、2人のユーザー間を移動するトラフィックがMACsecで保護されたCCCを介してサイトを通過するようになっています。
この例の MPLS ネットワークには、PE1 と PE2 の 2 つのプロバイダー エッジ(PE)ルーターと、1 つのプロバイダー(トランジット)ルーターが含まれています。PE1 はサイト A のカスタマー エッジ(CE)ルーターを MPLS ネットワークに接続し、PE2 はサイト B の CE ルーターを MPLS ネットワークに接続します。サイトAとサイトBのCEルーターを接続するCCCでMACsecが有効になっており、CCCを介してサイト間を移動するトラフィックを保護します。ユーザーをCEルーターに接続するインターフェイス、サイトAのCEルーター上のインターフェイスge-0/0/0およびサイトBのCEルーター上のインターフェイスge-0/0/2、およびCEルーターをMPLSクラウドに接続するインターフェイス(サイトAのCEルーターではge-0/0/0、サイトBのCEルーターではxe-0/1/0)を含むVLAN。 は、ユーザー間のすべてのトラフィックをMACsecで保護されたCCCに誘導するために使用されます。
表 1 は、このトポロジーの MPLS ネットワーク コンポーネントの概要を示しています。
表 2 は、このトポロジーで使用される MACsec 接続アソシエーションの概要を示しています。MACsecは、リンクの両端のインターフェイス上に接続アソシエーションを作成することで有効になります。リンクの両端のインターフェイスが事前共有キーを交換し(事前共有キーは接続アソシエーションで定義されます)、MACsec のリンクを保護する場合に MACsec が有効になります。
表 3 は、このトポロジーで使用されるブリッジ ドメインと VLAN ID の概要を示しています。このトポロジーでは、サイトAのユーザーからサイトBのユーザーへのすべての通信をMACsecで保護されたCCCに転送するためにVLANが使用されます。
| コンポーネント | の説明 |
|---|---|
PE1 |
PEルーター。 lo0:
ge-0/0/0:
ge-0/0/1:
|
供給者 |
プロバイダー ルーター。 lo0:
ge-0/0/10:
xe-0/0/0:
|
PE2の |
PEルーター。 lo0:
xe-0/1/0
xe-0/1/1
|
lsp_to_pe2_xe1ラベルスイッチパス |
PE1からPE2へのラベルスイッチパス。 |
lsp_to_pe1_ge0 ラベルスイッチ パス |
PE2からPE1へのラベルスイッチパス。 |
| 接続性の関連付け | の説明 |
|---|---|
CCC-MACsec |
サイトAからサイトBを接続するCCCでMACsecを有効にする接続アソシエーション。 接続の関連付けは、次のインターフェイスで有効になっています。
|
| ブリッジ ドメイン | の説明 |
|---|---|
MACsec |
サイトAのユーザーとサイトBのユーザー間のトラフィックをMACsecで保護されたCCCに誘導するVLAN。 ブリッジ ドメインには、次のインターフェイスが含まれます。
|
MPLS の設定
このセクションでは、MPLS ネットワークの各ルータで MPLS を設定する方法について説明します。
内容は次のとおりです。
PE1にMPLSを設定
CLIクイック構成
PE1 ルーターで MPLS 設定を迅速に設定するには、次のコマンドを使用します。
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
手順
ルーターPE1でMPLSを設定するには:
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@router-PE1# set ospf traffic-engineering
ループバック アドレスとコア インターフェースで OSPF を設定します。
[edit protocols] user@router-PE1# set ospf area 0.0.0.0 interface lo0.0 user@router-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
このルーター(PE1)に、PE2ルーターへのLSPでMPLSを設定します。
[edit protocols] user@router-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
コア インターフェースで MPLS を設定します。
[edit protocols] user@router-PE1# set mpls interface ge-0/0/1.0
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@router-PE1# set rsvp interface lo0.0 user@router-PE1# set rsvp interface ge-0/0/1.0
ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。
[edit] user@router-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@router-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
コア インターフェース アドレスの論理ユニットで
family mplsを設定します。[edit] user@router-PE1# set interfaces ge-0/0/1 unit 0 family mpls
カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
PE1からPE2へのインターフェースベースCCCを設定します。
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
業績
設定の結果の表示:
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
プロバイダー ルーターでの MPLS の設定
CLIクイック構成
プロバイダ ルーターで MPLS 設定を迅速に設定するには、次のコマンドを使用します。
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
手順
プロバイダルーターを設定するには:
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@router-P# set ospf traffic-engineering
ループバック インターフェースとコア インターフェースで OSPF を設定します。
[edit protocols] user@router-P# set ospf area 0.0.0.0 interface lo0.0 user@router-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@router-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
ルーターのコアインターフェースに MPLS を設定します。
[edit protocols] user@router-P# set mpls interface ge-0/0/10.0 user@router-P# set mpls interface xe-0/0/0.0
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@router-P# set rsvp interface lo0.0 user@router-P# set rsvp interface ge-0/0/10.0 user@router-P# set rsvp interface xe-0/0/0.0
ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。
[edit] user@router-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@router-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@router-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
コア インターフェース アドレスの論理ユニットで
family mplsを設定します。[edit] user@router-P# set interfaces ge-0/0/10 unit 0 family mpls user@router-P# set interfaces xe-0/0/0 unit 0 family mpls
LSP を PE2 ルーターに設定します。
[edit] user@router-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
業績
設定の結果の表示:
user@router-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
PE2 での MPLS の設定
CLIクイック構成
ルーターPE2でMPLS設定を迅速に設定するには、次のコマンドを使用します。
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
手順
ルーターPE2を設定するには:
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@router-PE2# set ospf traffic-engineering
ループバック インターフェースとコア インターフェースで OSPF を設定します。
[edit protocols] user@router-PE2# set ospf area 0.0.0.0 interface lo0.0 user@router-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
このルーター(PE2)にMPLSを設定し、もう一方のPEルーター(PE1)へのLSP(ラベルスイッチパス)を設定します。
[edit protocols] user@router-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
コア インターフェースで MPLS を設定します。
[edit protocols] user@router-PE2# set mpls interface xe-0/1/0.0
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@router-PE2# set rsvp interface lo0.0 user@router-PE2# set rsvp interface xe-0/1/0.0
ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。
[edit] user@router-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@router-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
コア インターフェースの論理ユニットで
family mplsを設定します。[edit] user@router-PE2# set interfaces xe-0/1/0 unit 0 family mpls
カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。
[edit interfaces xe-0/1/1 unit 0] user@router-PE2# set family ccc
プライマリエッジルーター間のインターフェースベースのCCCを設定します。
[edit protocols] user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
業績
設定の結果の表示:
user@router-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
MACsecの設定
このセクションでは、トポロジー内の各ルーターでMACsecを設定する方法について説明します。
内容は次のとおりです。
サイト A の CE ルーターで MACsec を設定してサイト B へのトラフィックを保護する
CLIクイック構成
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
手順
この例では、財務上の機密データを頻繁に交換するユーザー間のトラフィックは、MPLSクラウドを介してCCC上のサイト間で送信されます。MPLS PE ルーターに接続するサイト A およびサイト B の CE ルーターのインターフェイスに MACsec 接続アソシエーションを設定することで、CCC で MACsec を有効にします。MACsecセキュア接続を確立するには、接続アソシエーションに一致する接続アソシエーション名(この例では ccc-macsec)、一致するCKN(この例では 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、およびCA(この例では 228ef255aa23ff6729ee664acb66e91f)が必要です。
サイトAをサイトBに接続するCCCでMACsecを有効にするには、サイトAのCEルータで以下の手順を実行します。
ccc-macsecという名前の接続アソシエーションを作成し、MACsecセキュリティモードを次のように設定
static-cak。[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec security-mode static-cak
CKN と CAK を設定して、事前共有キーを作成します。
[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
PE1ルーターに接続するインターフェイスに接続関連付けを割り当てます。
[edit security macsec] user@router-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
これで、CCC の一方の端で接続の関連付けを設定する手順は完了です。MACsec は、CCC のリンクの反対側(この場合はサイト B の CE ルーター上のインターフェイス)で、一致する事前共有鍵との接続アソシエーションが有効になるまで有効になりません。サイト B の CE ルーターで接続アソシエーションを構成するプロセスについては、次の項で説明します。
業績
設定の結果の表示:
user@router-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
サイトBのCEルータでMACsecを設定してサイトAへのトラフィックを保護する
CLIクイック構成
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
手順
トラフィックは、CCCを使用してMPLSネットワークを介してサイトBからサイトAに移動します。MPLS PE ルーターに接続するサイト A およびサイト B の CE ルーターのインターフェイスに MACsec 接続アソシエーションを設定することで、CCC で MACsec を有効にします。MACsecセキュア接続を確立するには、接続アソシエーションは、一致する接続アソシエーション名(この例では ccc-macsec)、一致するCKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、一致するCA(228ef255aa23ff6729ee664acb66e91f)を有する必要があります。
サイト B をサイト A に接続する CCC で MACsec を有効にするには、サイト B の CE ルータで次の手順を実行します。
ccc-macsecという名前の接続アソシエーションを作成し、MACsecセキュリティモードを次のように設定
static-cak。[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec security-mode static-cak
CKN と CAK を設定して、事前共有キーを作成します。
[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
ルーターPE2に接続するインターフェイスに接続関連付けを割り当てます。
[edit security macsec] user@router-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
CCC で MACsec が有効になるのは、事前共有鍵が交換された後、つまりこの手順が完了した直後です。
業績
設定の結果の表示:
user@router-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
トラフィックをMACsecで保護されたCCCに誘導するVLANの設定
このセクションでは、サイト A とサイト B の CE ルーターで VLAN を設定する方法について説明します。VLAN の目的は、MACsec で保護するトラフィックを MACsec で保護された CCC に誘導することです。
サイトAのCEルーター上のMACsec CCCにトラフィックを誘導するためのブリッジドメインの設定
CLIクイック構成
[edit] set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/0 set bridge-domains macsec interface ge-0/0/2 set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
手順
サイト A のユーザーからのトラフィックを MACsec で保護された CCC に転送するブリッジ ドメイン(VLAN ID 50)を作成するには:
ge-0/0/0 インターフェイスを VLAN カプセル化とブリッジ ファミリーで設定します。
user@router-CE-A# set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces ge-0/0/0 unit 0 family bridge vlan-id 50
ge-0/0/2インターフェイスをVLANカプセル化とブリッジファミリーで設定します。
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
macsec ブリッジ ドメインを定義し、インターフェイスge-0/0/0およびge-0/0/2をブリッジ ドメインに関連付けます。
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface ge-0/0/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
MACsecブリッジドメインのIPアドレスを作成します。
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
業績
設定の結果の表示:
user@router-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.1/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface ge-0/0/0;
interface ge-0/0/2;
}
}
サイトB CEルーター上のMACsec CCCにトラフィックを誘導するためのブリッジドメインの設定
CLIクイック構成
[edit] set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge set interfaces xe-0/1/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/2 set bridge-domains macsec interface xe-0/1/0 set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
手順
ブリッジドメイン(VLAN ID 50)を作成して、サイトBのユーザーのトラフィックをMACsecで保護されたCCCに誘導するには:
xe-0/1/0 インターフェイスを VLAN カプセル化で設定し、ブリッジ ファミリーを設定します。
user@router-CE-A# set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces xe-0/1/0 unit 0 family bridge vlan-id 50
ge-0/0/2インターフェイスをVLANカプセル化とブリッジファミリーで設定します。
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
macsec ブリッジ ドメインを定義し、インターフェイス xe-0/1/0 および ge-0/0/2 をブリッジ ドメインに関連付けます。
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface xe-0/1/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
MACsecブリッジドメインのIPアドレスを作成します。
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
業績
設定の結果の表示:
user@router-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
xe-0/1/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.2/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface xe-0/1/0;
interface ge-0/0/2;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- MACsec接続の検証
- MACsecで保護されたトラフィックがCCCを通過していることを検証する
- MPLSおよびCCCプロトコルがプロバイダエッジおよびプロバイダスイッチインターフェイスで有効になっていることの確認
- MPLS ラベル動作の検証
- MPLS CCC のステータスの検証
- OSPF 動作確認
- RSVP セッションのステータスの検証
MACsec接続の検証
目的
CCCでMACsecが動作していることを確認します。
アクション
一方または両方の CE(カスタマー エッジ)スイッチで show security macsec connections コマンドを入力します。
user@router-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
意味
Interface name:とCA name:の出力は、ccc-macsec接続アソシエーションがインターフェイスge-0/0/0で動作していることを示しています。接続アソシエーションがインターフェイスで動作していない場合、出力は表示されません。
CCCでMACsecが動作していることをさらに確認するには、もう一方のCEスイッチで show security macsec connections コマンドを入力することもできます。
MACsecで保護されたトラフィックがCCCを通過していることを検証する
目的
CCCを通過するトラフィックがMACsecで保護されていることを確認します。
アクション
一方または両方の CE スイッチで show security macsec statistics コマンドを入力します。
user@router-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
意味
Secure Channel transmitted出力の下のEncrypted packets行は、MACsecによって保護および暗号化されたインターフェイスからパケットが送信されるたびにインクリメントされます。Encrypted packets出力は、9784個の暗号化および保護されたパケットがインターフェイスge-0/0/0から送信されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で送信されます。
Secure Association received出力の下のAccepted packets行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびにインクリメントされます。Secure Association received出力の下のDecrypted bytes行は、暗号化されたパケットが受信および復号化されるたびにインクリメントされます。出力は、9791 MACsecで保護されたパケットがインターフェイスge-0/0/0で受信され、それらのパケットから2823555バイトが正常に復号化されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で受信されます。
さらに確認するには、もう一方の CE スイッチで show security macsec statistics コマンドを入力することもできます。
MPLSおよびCCCプロトコルがプロバイダエッジおよびプロバイダスイッチインターフェイスで有効になっていることの確認
目的
MPLS が PE およびプロバイダー スイッチの正しいインターフェイスで有効になっていることを確認します。
アクション
PE ルーターとプロバイダー スイッチの両方で show interfaces terse コマンドを入力します。
user@router-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@router-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@router-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
意味
この出力では、MPLS プロトコルが、MPLS トラフィックを通過するプロバイダー スイッチ インターフェイス(xe-0/0/0 および ge-0/0/10)と、MPLS トラフィックを通過する PE ルーター インターフェイス(PE1 スイッチ上のインターフェイス ge-0/0/1、PE2 ルーター上のインターフェイス xe-0/1/0)で稼働していることを確認します。
また、出力では、CEスイッチに面したPEルーターインターフェイス(PE1スイッチ上のインターフェイスge-0/0/0およびPE2ルーター上のインターフェイスxe-0/1/1)でCCCが有効になっていることも確認しています。
MPLS ラベル動作の検証
目的
CCC の始点としてどのインターフェースが使われているか、MPLS パケットをネクスト ホップにプッシュするためにどのインターフェースが使われているかを検証します。
アクション
片方または両方の PE ルーターの show route forwarding-table family mpls を入力します。
user@router-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
意味
この出力は、CCC がインターフェイス ge-0/0/0.0 で設定されていることを確認します。スイッチは、ge-0/0/1.0でイングレス トラフィックを受信し、ラベル299952をパケットにプッシュし、インターフェイスge-0/0/1.0を介してスイッチを出ます。また、この出力は、スイッチがラベル 299856 の MPLS パケットを受信すると、ラベルをポップし、インターフェイス ge-0/0/0.0 を介してパケットを送信していることも示しています
MPLS ラベル動作をさらに確認するには、もう一方の PE ルーターの show route forwarding-table family mpls を入力します。
MPLS CCC のステータスの検証
目的
MPLS CCC が動作していることを確認します。
アクション
PE ルーターで show connections コマンドを入力します。
user@router-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@router-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
show connectionsコマンドは、CCC 接続のステータスを表示します。この出力では、CCC インターフェースとそれに関連する送信および受信 LSP が両方の PE ルーターでUpていることを確認します。
OSPF 動作確認
目的
OSPF が実行されていることを確認します。
アクション
プロバイダーまたは PE ルーターに show ospf neighbor コマンドを入力し、 State 出力を確認します。
user@router-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
意味
State出力は、OSPFを使用するすべてのインターフェイスでFullされるため、OSPFは動作しています。
OSPF をさらに確認するには、プロバイダー スイッチに加えて PE ルーターで show ospf neighbor コマンドを入力します。
RSVP セッションのステータスの検証
目的
RSVP セッションのステータスを検証します。
アクション
show rsvp session コマンドを入力し、各 RSVP セッションの状態がアップになっていることを確認します。
user@router-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
意味
Stateはすべての接続でUpしているため、RSVPは正常に動作しています。
さらに確認するには、プロバイダー ルーターに加えて PE ルーターの show rsvp session を入力します。