Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

メディアアクセス制御セキュリティ(MACsec)について

メディアアクセス制御セキュリティ(MACsec)について

メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上でポイントツーポイントのセキュリティを提供します。MACsecは、IEEE規格802.1AEで定義されています。MACsecをIPsec(IP セキュリティ)やSSL(Secure Sockets Layer)などの他のセキュリティプロトコルと組み合わせて使用することで、エンドツーエンドのネットワークセキュリティを提供できます。

MACsecは、サービス拒否、侵入、中間者攻撃、なりすまし、受動的盗聴、プレイバック攻撃など、ほとんどのセキュリティ脅威を特定して防止することができます。MACsecは、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)、および他のセキュリティソリューションでは制限があるため、通常はイーサネットリンクで保護されないその他のプロトコルからのフレームを含む、ほぼすべてのトラフィックについてイーサネットリンクを保護します。

機能エクスプローラーを使用して、MACsecのプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「プラットフォーム固有のMACsec動作」セクションを参照してください。

MACsecの仕組み

ポイントツーポイントイーサネットリンクでMACsecが有効になっている場合、リンクの両端のインターフェイス間で一致するセキュリティキーが交換および検証された後、リンクは保護されます。キーは、MACsecを有効にするために使用されるセキュリティモードに応じて、手動で設定することも、動的に生成することもできます。MACsecセキュリティモードの詳細については、 MACsecセキュリティモードを参照してください。

MACsecは、データ整合性チェックと暗号化を組み合わせて、リンクを通過するトラフィックを保護します。

Data integrity

MACsecは、MACsecで保護されたリンクを通過するすべてのイーサネットフレームに、8バイトヘッダーと16バイトテールを追加します。ヘッダーとテールは、リンクを通過中にデータが侵害されていないことを確認するために、受信インターフェイスによってチェックされます。データ整合性チェックでトラフィックに異常が検出された場合、トラフィックは破棄されます。
Encryption

暗号化により、リンク上のトラフィックを監視している誰にもイーサネットフレーム内のデータを表示できません。MACsec暗号化はオプションであり、ユーザーが設定可能です。必要に応じて、MACsecを有効にして、暗号化されていないデータをMACsecで保護されたリンク上で「クリアテキスト」で送信しながら、データの整合性チェックが確実に実行されるようにすることができます。

手記:

論理インターフェイスでMACsecが有効になっている場合、VLANタグは暗号化されません。MACsecが有効になっている論理インターフェイスで設定されたすべてのVLANタグは、クリアテキストで送信されます。

接続性の関連付け

MACsecは、接続性アソシエーションで設定されます。接続性アソシエーションは、インターフェイスがインバウンドトラフィック用とアウトバウンドトラフィック用の2つのセキュアチャネルを作成するために使用するMACsec属性のセットです。セキュアチャネルは、MACsecで保護されたリンク上でデータの送受信を担当します。

セキュアチャネルは自動的に作成されます。ユーザーが設定可能なパラメーターはありません。すべての設定は、接続アソシエーション内、セキュアチャネルの外で行われます。

接続アソシエーションは、ポイントツーポイントイーサネットリンクの各側にあるMACsec対応インターフェイスに割り当てる必要があります。複数のイーサネットリンクでMACsecを有効にする場合は、各リンクで個別にMACsecを設定する必要があります。MACsecを有効にするには、MACアドレスやポートなどの他のユーザーが設定可能なパラメーターも、リンクの各側のインターフェイスで一致させる必要があります。

MACsec セキュリティ モード

MACsecは、以下のいずれかのセキュリティモードを使用して有効にできます。

  • 静的CAKモード

  • 動的CAKモード

ベストプラクティス:

スイッチまたはルーターを接続するリンクには、静的CAKモードを推奨します。静的CAKモードは、新しいランダムセキュリティキーに頻繁に更新し、MACsecで保護されたポイントツーポイントリンク上の2台のデバイス間でセキュリティキーのみを共有することで、セキュリティを確保します。

静的CAKモード

静的CAKモードを使用してMACsecを有効にすると、コントロールプレーンのトラフィックを保護する接続アソシエーションキー(CAK)と、データプレーンのトラフィックを保護するランダムに生成されたセキュアソシエーションキー(SAK)の2つのセキュリティキーがリンクの保護に使用されます。両方の鍵は、リンクのセキュリティを確保するために、ポイントツーポイントイーサネットリンクの両端で両デバイス間で定期的に交換されます。

静的CAKセキュリティモードを使用してMACsecを有効にする場合、最初に事前共有キーを使用してMACsecで保護されたリンクを確立します。事前共有キーには、CKN(接続アソシエーション名)と独自のCAKが含まれます。CKNとCAKは、接続アソシエーションでユーザーが設定し、MACsecを最初に有効にするためには、リンクの両端で一致する必要があります。

一致する事前共有キーの交換に成功すると、MACsecキーアグリーメント(MKA)プロトコルが有効になります。MKAプロトコルは、リンク上のMACsecを維持する責任を担い、ポイントツーポイントリンク上のどのスイッチがキーサーバーになるかを決定します。次に、鍵サーバーは、ポイントツーポイント リンクのもう一方の端でのみスイッチと共有される SAK を作成し、その SAK を使用してリンクを通過するすべてのデータ トラフィックをセキュリティ保護します。鍵サーバーは、MACsecが有効になっている限り、ポイントツーポイントリンクを介してランダムに作成されたSAKを定期的に作成し、共有し続けます。

手記:

リンク障害によりMACsecセッションが終了した場合、リンクが回復すると、MKA鍵サーバーが鍵サーバーを選択し、新しいSAKを生成します。

手記:

静的CAKセキュリティモードを使用する場合にMACsecで保護された接続を確立するには、MACsecで保護されたスイッチ間リンクの両端のスイッチが、両方ともJunos OSリリース14.1X53-D10以降を使用しているか、両方とも以前のバージョンのJunosを使用している必要があります。

動的CAKモード

動的CAKモードでは、MACsecリンク上のピアノードが、802.1X認証プロセスの一部としてセキュリティキーを動的に生成します。ピアノードは、認証中にRADIUSサーバーからMACsecキー属性を受信し、これらの属性を使用してCAKとCKNを動的に生成します。その後、キーを交換してMACsecで保護された接続を作成します。

動的CAKモードは、キーを手動で設定する必要がないため、静的CAKモードよりも管理が簡単です。また、キーはRADIUSサーバーから一元管理できます。

動的CAKモードを使用して、スイッチとホスト間のリンク、またはスイッチやルーターを接続するリンクを保護できます。スイッチとホストのリンクでは、スイッチは 802.1X オーセンティケータであり、ホストはサプリカントです。スイッチまたはルーターを接続するリンクでは、デバイスが互いに認証できるように、認証者とサプリカントの両方として機能する必要があります。

動的CAKモードは、拡張認証プロトコルトランスポート層セキュリティ(EAP-TLS)を使用した証明書ベースの検証に依存しています。RADIUSサーバーとスイッチングデバイスは、EAP-TLSと公開鍵インフラストラクチャを使用して、動的CAKモードでMACsecをサポートする必要があります。

バーチャルシャーシ内のMACsec

MACsecは、スイッチが バーチャルシャーシ またはバーチャルシャーシファブリック(VCF)で設定されている場合(MACsecをサポートしないスイッチインターフェイスを含む混合バーチャルシャーシまたはVCFのメンバースイッチ上にある場合も含めます。ただし、バーチャルシャーシポート(VCP)でMACsecを有効にして、バーチャルシャーシまたはVCF内のメンバースイッチ間を移動するトラフィックを保護することはできません。

MACsecの制限

  • 現在、すべてのタイプのスパニングツリープロトコルフレームをMACsecを使用して暗号化することはできません。

  • GRES for MACsecが有効になっていない限り、GRES スイッチオーバー中に MACsec トラフィックのドロップが予想されます。MACsecにGRESを設定する方法については、「 リンクタイトルなし 」を参照してください。

プラットフォーム固有のMACsec動作

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォーム固有の動作を確認するには、以下の表を使用して下さい。

プラットホーム

  • EXシリーズ

自動ネゴシエーションが有効になっていて、MACsecが設定されている場合、MACsecをサポートするデバイスEXシリーズPHY84756 1G SFPポートで正しく動作しない可能性があります。回避策として、1G SFPポートPHY84756 MACsecを設定する前に、これらのポートに no- auto-negotiation を設定してください。

関連項目

MACsecライセンスとソフトウェア要件

MACsec機能ライセンス

QFXシリーズ-6C-DWDMおよびQFX10000-30C-Mラインカードを除く、EXシリーズおよびQFXシリーズスイッチでMACsecを設定するには、機能ライセンスが必要です。MACsecライセンスがインストールされていない場合、MACsec機能をアクティブにすることはできません。

MACsecの機能ライセンスを購入される場合は、ジュニパーネットワークス営業担当者(https://www.juniper.net/us/en/contact-us/sales-offices)にお問い合わせください。ジュニパーの営業担当者が、機能ライセンスファイルとライセンスキーを提供します。スイッチのシャーシ シリアル番号を入力するよう求められます。シリアル番号は、 show chassis hardware コマンドを実行することで取得できます。

MACsec機能ライセンスは、独立した機能ライセンスです。EXシリーズまたはQFXシリーズスイッチの一部機能を有効にするために購入する必要のあるEFL(拡張機能ライセンス)またはAFL(アドバンスト機能ライセンス)を購入しても、MACsecを有効にすることはできません。

バーチャルシャーシの導入では、冗長性を確保するために、プライマリロールのデバイス用とバックアップロールのデバイス用の2つのMACsecライセンスキーが推奨されます。モデルと構成によっては、バーチャルシャーシファブリック(VCF)あたりおよびバーチャルシャーシ(VC)ごとに2つのMACsecライセンスが必要になる場合があります。プラットフォームと機能の詳細については、以下のライセンスドキュメントを参照してください。

MACsec機能ライセンスは、他のスイッチライセンスと同様にインストールおよび保守されます。MACsecソフトウェアライセンスの設定と管理の詳細については、 EXシリーズスイッチのライセンス管理(CLI手順) または 新規ライセンスの追加(CLI手順) を参照してください。

MXシリーズルーターのMACsecソフトウェア要件

以下は、MXシリーズルーターのMACsecの主なソフトウェア要件の一部です。

手記:

拡張 20 ポート ギガビット イーサネット MIC(モデル番号 MIC-3D-20GE-SFP-E)を搭載した MXシリーズ ルーターで MACsec を設定する場合、機能ライセンスは必要ありません。

MACsecは、MACsec対応インターフェイスを備えたMXシリーズルーターでサポートされています。

MACsecは、拡張パケット番号(XPN)の有無にかかわらず、128ビットおよび256ビット暗号スイートをサポートします。

MACsecは、事前共有鍵を使用した静的CAKモードでMACsec鍵合意(MKA)プロトコルをサポートします。

MACsecは、物理ポートまたは物理インターフェイスごとに単一の接続アソシエーション(CA)をサポートします。

Junos OSリリース20.3R1以降、MPC7E-10Gラインカードの論理インターフェイスレベルでメディアアクセス制御セキュリティ(MACsec)を設定できるようになりました。この設定により、1つの物理ポートで複数のMACsecキーアグリーメント(MKA)セッションが可能になります。VLANタグはクリアテキストで送信されるため、MACsecを認識しない中間スイッチがVLANタグに基づいてパケットを切り替えることができます。

Junos OSリリース15.1以降、MACsecは、集合型イーサネット(ae-)インターフェイスバンドルのメンバーリンクと、インターフェイスバンドルの一部ではない通常のインターフェイスでもサポートされています。

Junos OSリリース17.3R2以降、MACsecはモジュラーMIC(モデル番号-JNP-MIC1-MACSEC)を搭載したMX10003ルーターで256ビット暗号スイートGCM-AES-256とGCM-AES-XPN-256をサポートします。

Junos OSリリース18.4R2以降、MIC-MACSEC-20GEMICは、256ビット暗号スイートGCM-AES-256およびGCM-AES-XPN-256を提供します。MIC-MACSEC-20GEMICは、以下のハードウェア構成で、20個の1ギガビットイーサネットSFPポートと2個の10ギガビットイーサネットSFP+ポートの両方でMACsecをサポートします。

  • MX80およびMX104ルーターに直接インストールします

  • MX240、MX480、MX960ルーターのMPC1、MPC2、MPC3、MPC2E、MPC3E、MPC2E-NG、MPC3E-NG、MPC3E-NGラインカードにインストール

詳細については、「 MIC-MACSEC-20GEのインターフェイス命名規則 」および 「ルーティングデバイス用のポート速度 」を参照してください。

EXシリーズおよびQFXシリーズスイッチのMACsecソフトウェアイメージ要件

Junos OSリリース16.1以降

Junos OSリリース16.1以降では、標準のJunosイメージをダウンロードしてMACsecを有効にする必要があります。MACsecは、制限付きイメージではサポートされていません。

Junos OSソフトウェアの標準バージョンには暗号化が含まれているため、地域によってはご利用いただけません。このJunos OSソフトウェアの輸出および再輸出は、米国の輸出法に基づいて厳しく管理されています。この Junos OS ソフトウェアの輸出、輸入、使用も、他の国の法律で課せられる規制の対象となります。このバージョンのJunos OSソフトウェアの入手に関してご不明な点がある場合は、 mailto:compliance_helpdesk@juniper.net ジュニパーネットワークス貿易コンプライアンスグループまでお問い合わせください。

Junos OS 16.1以前のリリース

Junos OSリリース16.1より前のリリースでは、MACsecを有効にするには、制御されたバージョンのJunos OSソフトウェアをダウンロードする必要があります。MACsecサポートは、Junos OSリリース16.1より前のリリースの国内バージョンのJunos OSソフトウェアでは利用できません。

Junos OSソフトウェアの制御バージョンには、国内バージョンのJunos OSで利用可能なすべての機能が含まれており、MACsecもサポートしています。国内版のJunos OSソフトウェアは、MACsecをサポートするすべてのスイッチに同梱されているため、MACsecを有効にする前に、お使いのスイッチのJunos OSソフトウェアの制御バージョンをダウンロードしてインストールする必要があります。

Junos OSソフトウェアの制御バージョンには暗号化が含まれているため、すべての地域のお客様が利用できるわけではありません。規制対象バージョンのJunos OSソフトウェアの輸出および再輸出は、米国の輸出法により厳しく規制されています。規制されたバージョンのJunos OSソフトウェアのエクスポート、インポート、および使用も、他の国の法律の下で課せられる規制の対象となります。Junos OSソフトウェアの管理バージョンの取得についてご質問がある場合は、 mailto:compliance_helpdesk@juniper.net の貿易コンプライアンスグループジュニパーネットワークスお問い合わせください。

Junos OS ソフトウェアの取得とダウンロード

パッケージ名を表示することで、ソフトウェア パッケージが Junos OS の標準バージョンか制御バージョンかを識別できます。Junos OSの制御バージョン用のソフトウェアパッケージの名前は、次の形式で示されます。

Junos OSの標準バージョン用のソフトウェアパッケージの名前は、次の形式で示されています。

スイッチで実行されているJunos OSのバージョンを確認するには、 show version コマンドを入力します。 JUNOS Crypto Software Suite の説明が出力に表示される場合は、制御されたバージョンのJunos OSを実行しています。制御されたバージョンのJunos OSを実行している場合は、 show system software コマンドを入力してバージョンを表示します。出力には、ロードされたすべてのソフトウェアパッケージのバージョンも表示されます。

制御バージョンまたは標準バージョンの Junos OS ソフトウェアをスイッチにインストールするプロセスは、他のバージョンの Junos OS ソフトウェアをインストールする場合と同じです。アップグレード手順を完了するには、Junos OSイメージをダウンロードするには request system software add ステートメントを入力し、スイッチを再起動するには request system reboot ステートメントを入力する必要があります。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

解放
形容
23.4R1
Junos OSリリース23.4R1は、QSFP-SFP(QSA)アダプターまたはブレイクアウトアクティブ光ケーブル(AOC)を使用して、MX304ルーター上の1GbEインターフェイスでMACsecをサポートします。1GbEインターフェイスでMACsecをサポートするには、フロー制御が必要ですが、これはデフォルトで有効になっています。
20.4R1-EVO
Junos OS Evolvedリリース20.4R1では、動的な電源管理のサポートが導入されました。MACsecブロックは、MACsec構成に基づいて動的に電源をオン/オフします。インターフェイスでMACsecが設定されている場合、そのポートグループのMACsecブロックの電源がオンになります。ポートグループ内のどのインターフェイスもMACsec用に設定されていない場合、電源はMACsecブロックをバイパスします。電源ブロックの移行中にトラフィックの損失が最小限に抑えられる場合があります。
18.3R1
Junos OSリリース18.4R2以降、MIC-MACSEC-20GEMICは、256ビット暗号スイートGCM-AES-256およびGCM-AES-XPN-256を提供します。
18.2R1
Junos OSリリース18.2R1以降、AES-256はEX9200-40XSラインカードでサポートされています。
15.1
Junos OS リリース 15.1 以降、MACsec は、集合型イーサネット( ae-)インターフェイスバンドルのメンバーリンクと、インターフェイスバンドルの一部ではない通常のインターフェイスでもサポートされています。