Skip to main content
ONTAP MetroCluster
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar el cifrado MACsec en switches Cisco 9336C

Colaboradores
PDF
Nota El cifrado MACsec sólo se puede aplicar a los puertos WAN ISL.

Configurar el cifrado MACsec en switches Cisco 9336C

Solo debe configurar el cifrado MACsec en los puertos ISL WAN que se ejecuten entre los sitios. Debe configurar MACsec después de aplicar el archivo RCF correcto.

Requisitos de licencia para MACsec

MACsec requiere una licencia de seguridad. Para obtener una explicación completa del esquema de licencias de Cisco NX-OS y de cómo obtener y solicitar licencias, consulte "Guía de licencias de Cisco NX-OS"

Habilita ISL WAN de cifrado Cisco MACsec en configuraciones IP de MetroCluster

Puede habilitar el cifrado MACsec para los switches Cisco 9336C en los ISL WAN en una configuración IP MetroCluster.

Pasos

  1. Entre al modo de configuración global:

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. Active MACsec y MKA en el dispositivo:

    feature macsec

    IP_switch_A_1(config)# feature macsec

  3. Copie la configuración en ejecución en la configuración de inicio:

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

Configure una cadena de claves y claves MACsec

Puede crear una cadena de claves o claves MACsec en su configuración.

Key Lifetime y Hless Key Rollover

Una cadena de claves MACsec puede tener varias claves precompartidas (PSK), cada una configurada con un ID de clave y una vida útil opcional. El período de vida de una clave especifica el momento en que se activa y caduca la clave. En ausencia de una configuración de por vida, la vida útil predeterminada es ilimitada. Cuando se configura una vida útil, MKA se desplaza hasta la siguiente clave previamente compartida configurada en la cadena de claves después de que expire la vida útil. La zona horaria de la clave puede ser local o UTC. La zona horaria predeterminada es UTC. Una tecla puede pasar a una segunda clave dentro de la misma cadena de claves si configura la segunda tecla (en la cadena de claves) y configura una vida útil para la primera tecla. Cuando caduca la vida útil de la primera clave, ésta se desplaza automáticamente a la siguiente clave de la lista. Si la misma clave está configurada en ambos lados del enlace al mismo tiempo, la sustitución de la clave es inútil (es decir, la clave se desplaza sin interrupción del tráfico).

Pasos

  1. Entre en el modo de configuración global:

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. Para ocultar la cadena de octeto de clave cifrada, reemplace la cadena por un carácter comodín en la salida del show running-config y.. show startup-config comandos:

    IP_switch_A_1(config)# key-chain macsec-psk no-show
    Nota La cadena de octeto también se oculta cuando se guarda la configuración en un archivo.

    De forma predeterminada, las claves PSK se muestran en formato cifrado y se pueden descifrar fácilmente. Este comando sólo se aplica a las cadenas de teclas MACsec.

  3. Cree una cadena de claves MACsec para mantener un conjunto de claves MACsec e introduzca el modo de configuración de la cadena de claves MACsec:

    key chain name macsec

    IP_switch_A_1(config)# key chain 1 macsec
IP_switch_A_1(config-macseckeychain)#

  4. Cree una tecla MACsec e introduzca el modo de configuración de la tecla MACsec:

    key key-id

    El intervalo va de 1 a 32 dígitos hexadecimales de la cadena de clave y el tamaño máximo es de 64 caracteres.

    IP_switch_A_1 switch(config-macseckeychain)# key 1000
IP_switch_A_1 (config-macseckeychain-macseckey)#

  5. Configure la cadena de octeto para la clave:

    key-octet-string octet-string cryptographic-algorithm AES_128_CMAC | AES_256_CMAC

    IP_switch_A_1(config-macseckeychain-macseckey)# key-octet-string abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789
cryptographic-algorithm AES_256_CMAC
    Nota El argumento octeto-string puede contener hasta 64 caracteres hexadecimales. La clave de octeto se codifica internamente, por lo que la clave en texto sin cifrar no aparece en el resultado del show running-config macsec comando.

  6. Configure una vida útil de envío para la clave (en segundos):

    send-lifetime start-time duration duration

    IP_switch_A_1(config-macseckeychain-macseckey)# send-lifetime 00:00:00 Oct 04 2020 duration 100000

    De forma predeterminada, el dispositivo considera la hora de inicio como UTC. El argumento de hora de inicio es la hora del día y la fecha en que la clave se activa. El argumento duración es la duración de la vida en segundos. La longitud máxima es de 2147483646 segundos (aproximadamente 68 años).

  7. Copie la configuración en ejecución en la configuración de inicio:

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

  8. Muestra la configuración de la cadena de teclas:

    show key chain name

    IP_switch_A_1(config-macseckeychain-macseckey)# show key chain 1

Configure una directiva de MACsec

Pasos

  1. Entre al modo de configuración global:

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. Crear una directiva de MACsec:

    macsec policy name

    IP_switch_A_1(config)# macsec policy abc
IP_switch_A_1(config-macsec-policy)#

  3. Configure uno de los siguientes cifrados: GCM-AES-128, GCM-AES-256, GCM-AES-XPN-128 o GCM-AES-XPN-256:

    cipher-suite name

    IP_switch_A_1(config-macsec-policy)# cipher-suite GCM-AES-256

  4. Configure la prioridad del servidor de claves para romper el vínculo entre iguales durante un intercambio de claves:

    key-server-priority number

    switch(config-macsec-policy)# key-server-priority 0

  5. Configure la directiva de seguridad para definir el manejo de los paquetes de datos y de control:

    security-policy security policy

    Elija una directiva de seguridad entre las siguientes opciones:

    • Seguro obligatorio — los paquetes que no transportan encabezados MACsec se han eliminado

    • Debería-Secure — los paquetes que no portan encabezados MACsec están permitidos (éste es el valor predeterminado)

    IP_switch_A_1(config-macsec-policy)# security-policy should-secure

  6. Configure la ventana de protección de repetición de modo que la interfaz segura no acepte un paquete menor que el tamaño de ventana configurado: window-size number

    Nota El tamaño de la ventana de protección de reproducción representa el máximo de tramas fuera de secuencia que MACsec acepta y no se descartan. El intervalo es de 0 a 596000000. 
    IP_switch_A_1(config-macsec-policy)# window-size 512

  7. Configure el tiempo en segundos para forzar una reclave SAK:

    sak-expiry-time time

    Puede usar este comando para cambiar la clave de sesión por un intervalo de tiempo previsible. El valor predeterminado es 0.

    IP_switch_A_1(config-macsec-policy)# sak-expiry-time 100

  8. Configure uno de los siguientes desplazamientos de confidencialidad en la trama de capa 2 donde comienza el cifrado:

    conf-offsetconfidentiality offset

    Elija entre las siguientes opciones:

    • CONF-OFFSET-0.

    • CONF-OFFSET-30.

    • CONF-OFFSET-50.

      IP_switch_A_1(config-macsec-policy)# conf-offset CONF-OFFSET-0
      Nota Este comando puede ser necesario para que los conmutadores intermedios utilicen encabezados de paquete (dmac, smac, etype) como etiquetas MPLS.

  9. Copie la configuración en ejecución en la configuración de inicio:

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

  10. Mostrar la configuración de directivas de MACsec:

    show macsec policy

    IP_switch_A_1(config-macsec-policy)# show macsec policy

Active el cifrado Cisco MACsec en las interfaces

  1. Entre al modo de configuración global:

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. Seleccione la interfaz que configuró con el cifrado MACsec.

    Puede especificar el tipo de interfaz y la identidad. En el caso de un puerto Ethernet, utilice el puerto o la ranura ethernet.

    IP_switch_A_1(config)# interface ethernet 1/15
switch(config-if)#

  3. Agregue la cadena de claves y la directiva que se van a configurar en la interfaz para agregar la configuración de MACsec:

    macsec keychain keychain-name policy policy-name

    IP_switch_A_1(config-if)# macsec keychain 1 policy abc

  4. Repita los pasos 1 y 2 en todas las interfaces en las que se va a configurar el cifrado MACsec.

  5. Copie la configuración en ejecución en la configuración de inicio:

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

Deshabilita los ISL de WAN de cifrado Cisco MACs en las configuraciones IP de MetroCluster

Es posible que deba deshabilitar el cifrado MACsec para los switches Cisco 9336C en los ISL WAN en una configuración IP de MetroCluster.

Pasos

  1. Entre al modo de configuración global:

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. Desactive la configuración de MACsec en el dispositivo:

    macsec shutdown

    IP_switch_A_1(config)# macsec shutdown
    Nota Al seleccionar la opción "'no'" se restaura la función MACsec.

  3. Seleccione la interfaz que ya ha configurado con MACsec.

    Puede especificar el tipo de interfaz y la identidad. En el caso de un puerto Ethernet, utilice el puerto o la ranura ethernet.

    IP_switch_A_1(config)# interface ethernet 1/15
switch(config-if)#

  4. Elimine la cadena de claves y la directiva configuradas en la interfaz para eliminar la configuración de MACsec:

    no macsec keychain keychain-name policy policy-name

    IP_switch_A_1(config-if)# no macsec keychain 1 policy abc

  5. Repita los pasos 3 y 4 en todas las interfaces en las que esté configurado MACsec.

  6. Copie la configuración en ejecución en la configuración de inicio:

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

Verificación de la configuración de MACsec

Pasos

  1. Repita todos de los procedimientos anteriores en el segundo interruptor de la configuración para establecer una sesión de MACsec.

  2. Ejecute los siguientes comandos para verificar que ambos switches estén cifrados correctamente:

    1. Ejecución: show macsec mka summary

    2. Ejecución: show macsec mka session

    3. Ejecución: show macsec mka statistics

      Puede verificar la configuración de MACsec mediante los siguientes comandos:

    Comando

    Muestra información acerca de…​

    show macsec mka session interface typeslot/port number

    La sesión MACsec MKA para una interfaz específica o para todas las interfaces

    show key chain name

    La configuración de la cadena de claves

    show macsec mka summary

    La configuración de MACsec MKA

    show macsec policy policy-name

    La configuración para una directiva específica de MACsec o para todas las directivas de MACsec