項目一覧

構成の概要
始める前に
静的 CAK モードでの MACsec の設定
ダイナミック CAK モードでの MACsec の設定
スイッチとホスト間のリンクを保護するMACsecの設定

MACsecの設定

構成の概要

メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のほぼすべてのタイプのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。MACsecは、直接接続されたノード間のイーサネットリンクにポイントツーポイントのセキュリティを提供し、サービス拒否、侵入、中間者攻撃、なりすまし、受動的盗聴、プレイバック攻撃など、ほとんどのセキュリティ上の脅威を特定して防止することができます。MACsecはIEEE 802.1AEで標準化されています。

スイッチを接続するポイントツーポイントイーサネットリンクや、スイッチをPC、電話、サーバーなどのホストデバイスに接続するイーサネットリンク上で、MACsecを設定することができます。MACsecを使用して保護する各ポイントツーポイントイーサネットリンクは、個別に設定する必要があります。動的または静的な CAK(接続アソシエーションキー)セキュリティモードを使用して、スイッチ間リンクで MACsec を有効にできます。このドキュメントでは、両方のプロセスについて説明します。

シャーシクラスタ設定でサポートされているSRXシリーズファイアウォールの制御ポートおよびファブリックポートでMACsecを設定する方法については、シャーシクラスタのメディアアクセス制御セキュリティ(MACsec)を参照してください。

手記：

SRXシリーズファイアウォールでは、ルーティングモードでMACsecを設定できます。MACsecは透過モードではありません。

始める前に

MACsec を有効にする前に、インターフェイスメディアの最大送信単位(MTU)とプロトコル MTU の差が、追加の 32 バイトの MACsec オーバーヘッドに対応できるほど大きいことを確認する必要があります。

インターフェイスMTUとプロトコルMTUの設定方法については、メディアMTUとプロトコルMTUを参照してください。

静的 CAK モードでの MACsec の設定

スイッチやルーターを接続するポイントツーポイントイーサネットリンク上で、静的接続アソシエーションキー(CAK)セキュリティモードを使用してMACsecを有効にすることができます。これは、スイッチ間、スイッチ間、またはルーター間リンクです。

ベストプラクティス:

スイッチまたはルーターを接続するリンクでは、静的 CAK セキュリティモードを使用して MACsec を有効にすることを推奨します。静的 CAK セキュリティモードは、新しいランダムセキュアアソシエーションキー(SAK)に頻繁に更新し、MACsec で保護されたポイントツーポイントリンク上の 2 つのデバイス間でのみ SAK を共有することで、セキュリティを確保します。

静的 CAK セキュリティモードを使用して MACsec を有効にすると、ポイントツーポイントイーサネットリンクの両端でデバイス間で事前共有鍵が交換されます。事前共有キーには、CKN(接続アソシエーション名)とCAK(接続アソシエーションキー)が含まれます。CKNとCAKは、接続アソシエーションで手動で設定する必要があり、最初にMACsecを有効にするには、リンクの両端で一致する必要があります。

事前共有鍵が交換され、検証された後、MACsec Key Agreement(MKA)プロトコルにより、リンク上で MACsec が有効になります。MKA は、ポイントツーポイントリンク上の 2 つのデバイスのうちの 1 つをキーサーバとして選択します。その後、キーサーバーは、MACsec で保護されたリンクを介してピアデバイスとのみ共有するランダム化されたセキュリティキーを作成します。ランダム化されたセキュリティキーは、ポイントツーポイントリンクでMACsecを有効にし、維持します。キーサーバーは、MACsecセッションの間、ポイントツーポイントリンクを介してランダムに作成されたセキュリティキーを定期的に作成して共有し続けます。

手記：

リンク障害が原因で MACsec セッションが終了した場合、MKA キーサーバはリンクの復元時にキーサーバを選択し、新しい SAK を生成します。

リンクの両端で接続アソシエーションを設定することで、静的CAKセキュリティモードを使用してMACsecを有効にします。すべての構成は、接続アソシエーション内で行われますが、セキュアチャネルの外部で行われます。静的 CAK セキュリティモードを使用すると、2 つのセキュリティで保護されたチャネル (1 つは受信トラフィック用、もう 1 つは送信トラフィック受信トラフィック用) が自動的に作成されます。自動的に作成されたセキュア・チャネルには、ユーザーが構成可能なパラメーターはありません。すべての構成は、接続性の関連付けで行われます。

静的 CAK セキュリティモードを使用して MACsec を設定するには、次の手順を実行します。

接続性の関連付けを作成します。既存の接続性の関連付けを構成する場合は、この手順を省略できます。
たとえば、 ca1 という名前の接続性の関連付けを作成するには、次のように入力します。
MACsecセキュリティモードを接続アソシエーションのstatic-cakとして設定します。
例えば、接続アソシエーション ca1 で static-cak するように MACsec セキュリティモードを設定するには:
CKN と CAK を設定して、事前共有キーを作成します。
直接接続されたピアは、事前共有鍵を交換して、MACsecセキュアリンクを確立します。事前共有キーには、CKN と CAK が含まれており、これらは 16 進数です。MACsecで保護されたリンクを作成するには、リンクの両端でCKNとCAKが一致する必要があります。

手記：
セキュリティを最大限に高めるには、CKN のすべての桁と CAK のすべての桁を設定することをお勧めします。

CKN のすべての桁、または CAK のすべての桁を設定しない場合、残りのすべての桁はデフォルトで 0 になります。ただし、設定をコミットすると警告メッセージが表示されます。

事前共有鍵が交換され、リンク上の両方のピアによって検証された後、MACsec Key Agreement(MKA)プロトコルがMACsecを有効にします。次に、MKA プロトコルは、直接接続された 2 つのスイッチのうちの 1 つをキーサーバとして選択します。その後、キーサーバーは、MACsecセキュアポイントツーポイントリンクを介して、他のデバイスとランダムなセキュリティを共有します。鍵サーバは、MACsec が有効になっている限り、MACsec で保護されたポイントツーポイントリンクを介してランダムなセキュリティキーを定期的に作成し、他のデバイスと共有し続けます。

接続アソシエーション ca1 で 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 の CKN と 228ef255aa23ff6729ee664acb66e91f の CAK を設定するには:
手記：
インターフェイスに接続アソシエーションをアタッチするまで、MACsecは有効になりません。インターフェイスに接続性の関連付けをアタッチするには、この手順の最後のステップを参照してください。

手記：
FIPSモードでは、 set connectivity-association ca1 pre-shared-key cak コマンドを使用する代わりに、次のコマンドを使用する必要があります。

user@host# prompt connectivity-association ca1 pre-shared-key cak
(EX4300スイッチに接続する場合のみ、EX4300以外のスイッチで必要)SCIタギングを有効にします。
EX4300 または EX4600 スイッチに接続するイーサネットリンクで MACsec を有効にするスイッチで、SCI タグを有効にする必要があります。

SCIタグは、EX4300またはEX4600スイッチ上のMACsec対応インターフェイスを出るパケットに自動的に付加されるため、このオプションはこれらのスイッチでは使用できません。

このオプションは、スイッチをEX4300またはEX4600スイッチ、または SCI タギングを必要とするホストデバイスに接続する場合にのみ使用してください。SCI タグの長さは 8 オクテットであるため、リンク上のすべてのトラフィックに SCI タグを追加すると、不要なオーバーヘッドがかなり増えます。
(オプション)MKA キーサーバのプライオリティを設定します。
鍵サーバーを選択するために MKA プロトコルが使用する鍵サーバーの優先順位を指定します。 priority-number の小さいスイッチがキーサーバとして選択されます。

デフォルトの priority-number は 16 です。

リンクの両側で key-server-priority が同一である場合、MKA プロトコルは下位の MAC アドレスを持つインターフェイスをキーサーバとして選択します。したがって、このステートメントが MACsec で保護されたリンクの両端で設定されていない場合、より低い MAC アドレスを持つインターフェイスがキーサーバーになります。

接続アソシエーション ca1を使用してインターフェイスでMACsecが有効になっている場合に、キーサーバーの優先度を0に変更して、現在のデバイスがキーサーバーとして選択される可能性を高めるには、次の手順に従います。
鍵サーバの優先順位を 255 に変更して、現在の装置が接続アソシエーション ca1 の鍵サーバとして選択される可能性を減らすには、次のようにします。
(オプション)MKA の送信間隔を設定します。
MKA 送信間隔設定は、リンク上の接続を維持するために、MACsec Key Agreement プロトコルデータユニット(PDU)を接続されたデバイスに送信する頻度です。 interval を低くするとリンクの帯域幅オーバーヘッドが増加し、 interval を高くするとMKAプロトコル通信が最適化されます。

デフォルトの interval は2000msです。トラフィック負荷の高い環境では、間隔を 6000 ミリ秒に増やすことをお勧めします。静的 CAK セキュリティモードを使用した MACsec が有効になっている場合、送信間隔の設定はリンクの両端で同一である必要があります。

例えば、接続アソシエーション ca1 がインターフェイスに接続されている場合、MKA の送信間隔を 6000 ミリ秒に増やす場合は、次のようにします。
(オプション)MACsecからプロトコルを除外します。
このオプションを有効にすると、リンク上で送受信される指定されたプロトコルのすべてのパケットに対してMACsecが無効になります。たとえば、Link Level Discovery Protocol(LLDP)をMACsecで保護しない場合は、次のようにします。
このオプションを有効にすると、リンク上で送受信される指定されたプロトコル(この場合はLLDP)のすべてのパケットに対してMACsecが無効になります。このオプションを使用して、一部のプロトコルの制御トラフィックが、MACsecタグなしでMACsecで保護された接続を通過することを許可できます。これにより、MACsecをサポートしていないIP電話などのデバイスとの相互運用性が実現します。
接続の関連付けをインターフェイスに割り当てます。
例えば、接続性アソシエーションca1をインターフェイスxe-0/0/1に割り当てるには、以下を行います。
論理インターフェイスに接続性の関連付けを割り当てるには、次のコマンドを使用します。
手記：
論理インターフェイスに CA を割り当てる場合、以下の制限が適用されます。
- 物理インターフェイスと論理インターフェイスでのCAの設定は、相互に排他的です。
- ネイティブVLAN設定の論理インターフェイスは、MACsecをサポートしていません。
- 論理集約型インターフェイスはMACsecをサポートしていません。
手記：
EX4300アップリンクモジュールでは、アップリンクモジュールに接続された最初のトランシーバがPICモードを決定します。PICはSFPタイプを認識し、すべてのポートをge-またはxe-としてプログラムします。インターフェイスの MACsec 設定が、アップリンクモジュールポートのリンク速度と一致していることを確認します。

インターフェイスへの接続アソシエーションの割り当ては、インターフェイスでMACsecを有効にするための最後の設定ステップです。

静的 CAK セキュリティモードを使用した MACsec は、リンクの反対側の接続アソシエーションも設定されている場合に有効になります。接続アソシエーションには、リンクの両端で一致する事前共有キーが含まれている必要があります。

ダイナミック CAK モードでの MACsec の設定

動的 CAK モードでは、MACsec リンク上のピアノードが 802.1X 認証プロセスの一部としてセキュリティキーを動的に生成します。動的 CAK モードを使用して、スイッチまたはルーターを接続するポイントツーポイントリンクを保護できます。これは、スイッチ間、スイッチとルーター、またはルーターとルーター間の接続です。デバイスは、互いを認証できるように、802.1X認証のオーセンティケータとサプリカントの両方として機能する必要があります。

動的 CAK モードは、キーを手動で構成する必要がないため、静的 CAK モードよりも管理が簡単です。また、キーはRADIUSサーバーから一元管理できます。ただし、静的 CAK モードではより多くの機能が提供されます。

手記：

ダイナミックCAKモードは、論理インターフェイスではサポートされていません。

次の手順は、スイッチまたはルーター間のリンクで動的 CAK モードを設定するためのものです。スイッチとホスト間のリンクで動的 CAK モードを設定するには、スイッチとホスト間のリンクを保護するための MACsec の設定を参照してください。

ダイナミック CAK モードで MACsec を有効にする前に、RADIUS サーバーを設定する必要があります。RADIUS サーバー:

サーバー側の証明書を使用して構成する必要があります。
Extensible Authentication Protocol-トランスポート層セキュリティ(EAP-TLS)認証フレームワークを使用している必要があります。

RADIUS サーバーの設定については、認証用の RADIUS サーバー設定を参照してください。

接続の関連付けを構成する
認定書の設定
802.1X認証を設定する

接続の関連付けを構成する

接続性の関連付けを作成します。既存の接続性の関連付けを構成する場合は、この手順を省略できます。
たとえば、 ca1 という名前の接続性の関連付けを作成するには、次のように入力します。
MACsecセキュリティモードを接続アソシエーションのdynamicとして設定します。
例えば、接続アソシエーション ca1 で dynamic するように MACsec セキュリティモードを設定するには:

接続の関連付けをインターフェイスに割り当てます。

例えば、接続性アソシエーションca1をインターフェイスxe-0/0/1に割り当てるには、以下を行います。

各サプリカントインターフェイスに、ローカル証明書と認証局(CA)証明書を割り当てる必要があります。サプリカントとRADIUSサーバーは、証明書の資格情報を交換することで互いを認証します。ローカル証明書とサーバー証明書は、同じ CA によって署名されている必要があります。公開鍵基盤 (PKI) を使用してローカルで証明書を生成することも、リモートで生成された証明書を読み込むこともできます。

証明書のローカル生成
リモートで生成された証明書の読み込み

証明書のローカル生成

CA 証明書を生成するには、次の手順を実行します。

CA プロファイルを設定します。

失効チェックを無効にします。

証明書を CA に登録します。

ローカル証明書を生成するには、次の手順を実行します。

公開鍵と秘密鍵のペアを生成します。

Simple Certificate Enrollment Protocol(SCEP)を使用してローカル証明書を生成して登録します。

リモートで生成された証明書の読み込み

リモートで生成された証明書を読み込むには、次のようにします。

CA プロファイルを読み込みます。

ローカル証明書を読み込みます。

802.1X認証を設定する

ポイントツーポイントリンクの両端のインターフェイスで、EAP-TLS による 802.1X 認証を構成します。インターフェイスは、デバイスが互いに認証できるように、認証装置とサプリカントの両方として機能する必要があります。

no-reauthenticationオプションを使用して、インターフェイスをオーセンティケータとして設定します。

インターフェイスをサプリカントとして設定します。

認証方法を EAP-TLS として構成します。

ローカル証明書をインターフェイスに割り当てます。

スイッチとホスト間のリンクを保護するMACsecの設定

スイッチとホスト間のリンクで MACsec を設定する場合、802.1X 認証の一部として含まれる MACsec Key Agreement(MKA)キーは、AAA ハンドシェイクの一部として RADIUS サーバーから取得されます。主キーは、独立した認証トランザクションで、RADIUSサーバーからスイッチへ、およびRADIUSサーバーからホストへ渡されます。次に、主キーがスイッチとホストの間で渡され、MACsecで保護された接続が作成されます。

ホストデバイスをスイッチに接続するリンクでMACsecを有効にするには、以下の要件を満たす必要があります。

ホストデバイス:

はMACsecをサポートし、スイッチとのMACsecで保護された接続を有効にできるソフトウェアを実行している必要があります。

スイッチ:

MACsec をサポートする必要があります。
動的接続アソシエーションキー (CAK) セキュリティモードに設定する必要があります。
RADIUS サーバーとの通信には 802.1X 認証を使用する必要があります。

スイッチツーホストリンクでMACsecを有効にする前に、以下を行ってください。

RADIUS サーバーを設定します。RADIUS サーバー:
- 802.1X 認証のユーザーデータベースとして構成する必要があります。
- Extensible Authentication Protocol-トランスポート層セキュリティ(EAP-TLS)認証フレームワークを使用している必要があります。
- スイッチおよびホストに接続できる必要があります。RADIUSサーバーは、スイッチまたはホストから複数ホップ離れている場合があります。
例:802.1X用RADIUSサーバーとEXシリーズスイッチの接続」を参照してください。
ホストデバイスでMACsecを有効にします。

ホストデバイスでMACsecを有効にする手順はホストデバイスによって異なるため、このドキュメントの範囲外です。

ダイナミックCAKセキュリティモードを使用してMACsecを設定し、スイッチとホスト間のイーサネットリンクを保護するには:

接続性の関連付けを作成します。既存の接続性の関連付けを構成する場合は、この手順を省略できます。
たとえば、ca-dynamic1 という名前の接続性の関連付けを作成するには、次のように入力します。
接続アソシエーションのMACsecセキュリティモードをダイナミックとして設定します。
たとえば、接続アソシエーションca-dynamic1でMACsecセキュリティモードをダイナミックに設定するには:
(オプション)must-secure オプションを設定します。
must-secure オプションを有効にすると、インターフェイス上で受信された、MACsec で保護されていないすべてのトラフィックがドロップされます。

must-secureオプションを無効にすると、MACsecをサポートするデバイスからのすべてのトラフィックがMACsecで保護され、MACsecをサポートしないデバイスから受信したトラフィックはネットワークを介して転送されます。

must-secure オプションは、電話や PC などの複数のデバイスが同じイーサネットインターフェイスを介してネットワークにアクセスするシナリオで特に役立ちます。一方のデバイスがMACsecをサポートし、もう一方のデバイスがMACsecをサポートしていない場合、MACsecをサポートしていないデバイスは、MACsecをサポートするデバイスとの間のトラフィックがMACsecで保護されている間、must-secureオプションが無効であれば、ネットワーク経由でトラフィックを送受信し続けることができます。このシナリオでは、MACsecで保護されていないデバイスへのトラフィックは、VLANタグ付きである必要があります。
(ホストデバイスでSCIタグ付けが必要な場合のみ必要)SCIタグ付けを有効にします。
このオプションは、SCI タグを必要とするホストにスイッチを接続する場合にのみ使用してください。SCI タグの長さは 8 オクテットであるため、リンク上のすべてのトラフィックに SCI タグを追加すると、不要なオーバーヘッドがかなり増えます。
(オプション)MKA キーサーバのプライオリティを設定します。
鍵サーバーを選択するために MKA プロトコルが使用する鍵サーバーの優先順位を指定します。 priority-number の小さいスイッチがキーサーバとして選択されます。

デフォルトの priority-number は 16 です。ポイントツーポイントリンクの両側で key-server-priority が同一である場合、MKA プロトコルは下位の MAC アドレスを持つインターフェイスをキーサーバとして選択します。したがって、このステートメントが MACsec で保護されたポイントツーポイントリンクの両端の接続アソシエーションで設定されていない場合、下位の MAC アドレスを持つインターフェイスがキーサーバーになります。

接続アソシエーション ca1 を使用するインターフェイスで MACsec が有効になっている場合に、キーサーバのプライオリティを 0 に変更して、現在のデバイスがキーサーバとして選択される可能性を高めるには:
キーサーバのプライオリティを 255 に変更して、現在のデバイスが接続アソシエーション ca-dynamic1 のキーサーバとして選択される可能性を減らすには、次の手順に従います。
(オプション)MKA の送信間隔を設定します。
MKA 送信間隔設定では、リンク上の MACsec 接続を維持するために、MKA プロトコルデータユニット(PDU)を直接接続されたデバイスに送信する頻度を設定します。間隔を短くすると、リンクの帯域幅のオーバーヘッドが増加します。間隔を長くすると、MKA プロトコル通信が最適化されます。

デフォルトの間隔は 2000 ミリ秒です。トラフィック負荷の高い環境では、間隔を 6000 ミリ秒に増やすことをお勧めします。送信間隔の設定は、リンクの両端で同一である必要があります。

例えば、接続アソシエーション ca-dynamic1 がインターフェイスにアタッチされている場合、MKA の送信間隔を 6000 ミリ秒に増やす場合は、次のようにします。
(オプション)MACsecからプロトコルを除外します。
たとえば、Link Level Discovery Protocol(LLDP)をMACsecで保護したくない場合は、次のようにします。
このオプションを有効にすると、リンク上で送受信される指定されたプロトコル(この場合はLLDP)のすべてのパケットに対してMACsecが無効になります。このオプションを使用して、一部のプロトコルの制御トラフィックが、MACsecタグなしでMACsecで保護された接続を通過することを許可できます。これにより、MACsecをサポートしていないIP電話などのデバイスとの相互運用性が実現します。
接続の関連付けをインターフェイスに割り当てます。
インターフェイスへの接続アソシエーションの割り当ては、インターフェイスでMACsecを有効にするための最後の設定ステップです。例えば、接続性アソシエーションca-dynamic1をインターフェイスxe-0/0/1に割り当てるには:
手記：
EX4300アップリンクモジュールでは、アップリンクモジュールに接続された最初のトランシーバがPICモードを決定します。PICはSFPタイプを認識し、すべてのポートをge-またはxe-としてプログラムします。インターフェイスの MACsec 設定が、アップリンクモジュールポートのリンク速度と一致していることを確認します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放

形容

16.1R2

Junos OS リリース 16.1R2以降、メディアアクセス制御セキュリティ(MACsec)がインターフェイスで有効になっている場合、 [edit interfaces interface- name gigether-options]階層レベルで (flow-control | no-flow-control)ステートメントを使用して設定した設定に関係なく、インターフェイスフロー制御機能がデフォルトで有効になります。MACsec を有効にすると、MACsec PHY によってパケットにヘッダーバイトが追加されます。ラインレートトラフィックでは、MACsec が有効でフロー制御が無効になっている場合、MACsec PHY によって送信されたポーズフレームは、MICの MAC(MXシリーズルーターの拡張 20 ポートギガビットイーサネット MIC)によって終了し、パケット転送エンジンに転送されず、フレーミングエラーが発生します。そのため、インターフェイスでMACsecを有効にすると、そのインターフェイスでもフロー制御が自動的に有効になります。

15.1

Junos OS リリース 15.1 以降では、MACsec を設定して、MACsec 対応の MIC を搭載した MXシリーズルーターを接続するポイントツーポイントイーサネットリンクや、スイッチを PC、電話、サーバーなどのホストデバイスに接続するイーサネットリンク上で保護することができます。