日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cisco 9336C スイッチに MACsec 暗号化を設定します

寄稿者

必要に応じて、サイト間で実行される WAN ISL ポートに MACsec 暗号化を設定できます。正しい RCF ファイルを適用したあとに MACsec を設定する必要があります。

注記 MACsec 暗号化は、 WAN ISL ポートにのみ適用できます。

Cisco 9336C スイッチに MACsec 暗号化を設定します

サイト間で実行される WAN ISL ポートにのみ MACsec 暗号化を設定する必要があります。正しい RCF ファイルを適用したあとに MACsec を設定する必要があります。

MACsec のライセンス要件

MACsec にはセキュリティライセンスが必要です。Cisco NX-OS ライセンス方式の詳細およびライセンスの取得方法と適用方法については、を参照してください "『 Cisco NX-OS Licensing Guide 』"

MetroCluster IP構成でCisco MACsec暗号化WAN ISLを有効にします

MetroCluster IP 構成では、 WAN ISL 上の Cisco 9336C スイッチに対して MACsec 暗号化をイネーブルにできます。

手順
  1. グローバルコンフィギュレーションモードを開始します。

    「 configure terminal 」をクリックします

    IP_switch_A_1# configure terminal
    IP_switch_A_1(config)#
  2. デバイスで MACsec と MKA を有効にします。

    「 feature MACsec

    IP_switch_A_1(config)# feature macsec
  3. 実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーします。

    'copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

MACsecキーチェーンとキーを設定します

MACsec キーチェーンまたはキーをコンフィギュレーションに作成できます。

  • キーライフタイムと Hitless Key Rollover *

MACsec キーチェーンには、複数の Pre-Shared Key ( PSK; 事前共有キー)を設定できます。各 PSKs には、キー ID とオプションのライフタイムが設定されています。キーの有効期間は、キーがアクティブになって有効期限が切れるタイミングを指定します。ライフタイム設定がない場合、デフォルトのライフタイムは無制限です。ライフタイムが設定されている場合、ライフタイムが期限切れになると、 MKA はキーチェーン内で設定されている次の事前共有キーにロールオーバーします。キーのタイムゾーンは、 local または UTC です。デフォルトのタイムゾーンは UTC です。キーを同じキーチェーン内の 2 番目のキー(キーチェーン内)にロールオーバーして、最初のキーのライフタイムを設定することができます。最初のキーの有効期間が終了すると、自動的にリスト内の次のキーにロールオーバーされます。リンクの両側で同じキーが同時に設定されている場合、キーのロールオーバーはヒットレスになります(つまり、キーはトラフィックを中断することなくロールオーバーされます)。

手順
  1. グローバルコンフィギュレーションモードを開始します。

    「 configure terminal 」をクリックします

    IP_switch_A_1# configure terminal
    IP_switch_A_1(config)#
  2. 暗号化されたキーオクテット文字列を非表示にするには、「 show running-config 」コマンドと「 show startup-config 」コマンドの出力で、文字列をワイルドカード文字に置き換えます。

    IP_switch_A_1(config)# key-chain macsec-psk no-show
    注記 オクテット文字列は、コンフィギュレーションをファイルに保存するときにも非表示になります。

    デフォルトでは、 PSK キーは暗号化形式で表示され、簡単に復号化できます。このコマンドは、 MACsec キーチェーンにのみ適用されます。

  3. MACsec キーチェーンを作成して一連の MACsec キーを保持し、 MACsec キーチェーンコンフィギュレーションモードを開始します。

    キーチェーン名 MACsec

    IP_switch_A_1(config)# key chain 1 macsec
    IP_switch_A_1(config-macseckeychain)#
  4. MACsec キーを作成し、 MACsec キーコンフィギュレーションモードを開始します。

    「 key key-id 」

    指定できる 16 進数のキー文字列の範囲は 1 ~ 32 で、最大サイズは 64 文字です。

    IP_switch_A_1 switch(config-macseckeychain)# key 1000
    IP_switch_A_1 (config-macseckeychain-macseckey)#
  5. キーのオクテット文字列を設定します。

    「 key-octet-string octet-string octet-string cryptographic-algorithm ae_128_CMAC | aes-256_CMAC 」という形式で指定します

    IP_switch_A_1(config-macseckeychain-macseckey)# key-octet-string abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789
    cryptographic-algorithm AES_256_CMAC
    注記 octet-string 引数には、最大 64 個の 16 進文字を含めることができます。オクテットキーは内部でエンコードされるため、クリアテキストのキーは、「 show running-config macsec 」コマンドの出力には表示されません。
  6. キーの送信ライフタイムを設定します(秒単位)。

    「 send-lifetime start-time duration 」

    IP_switch_A_1(config-macseckeychain-macseckey)# send-lifetime 00:00:00 Oct 04 2020 duration 100000

    デフォルトでは、デバイスは開始時間を UTC として処理します。start-time 引数には、キーがアクティブになる時刻と日付を指定します。duration 引数は、ライフタイムの秒単位の長さです。最大値は 2147483646 秒(約 68 年)です。

  7. 実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーします。

    'copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config
  8. キーチェーン設定を表示します。

    「鍵チェーン名」

    IP_switch_A_1(config-macseckeychain-macseckey)# show key chain 1

MACsecポリシーを設定します

手順
  1. グローバルコンフィギュレーションモードを開始します。

    「 configure terminal 」をクリックします

    IP_switch_A_1# configure terminal
    IP_switch_A_1(config)#
  2. MACsec ポリシーを作成します。

    「 ACSEC ポリシー名」

    IP_switch_A_1(config)# macsec policy abc
    IP_switch_A_1(config-macsec-policy)#
  3. 次のいずれかの暗号、 gcm-aes-128 、 gcm-aes-256 、 gcm-aes-xpN-128 、または gcm-aes-xpN-256 を設定します。

    「 cipher-site name 」

    IP_switch_A_1(config-macsec-policy)# cipher-suite GCM-AES-256
  4. キー交換時にピア間の接続を解除するために、キーサーバの優先度を設定します。

    「 key-server -priority number 」と入力します

    switch(config-macsec-policy)# key-server-priority 0
  5. データおよび制御パケットの処理を定義するセキュリティポリシーを設定します。

    「セキュリティ・ポリシー・セキュリティ・ポリシー」を参照してください

    次のオプションからセキュリティポリシーを選択します。

    • must-secure — MACsec ヘッダーを伝送していないパケットはドロップされます

    • must-secure — MACsec ヘッダーを伝送しないパケットは許可されます ( これがデフォルト値です ) 。

    IP_switch_A_1(config-macsec-policy)# security-policy should-secure
  6. リプレイ保護ウィンドウを設定して、セキュアインターフェイスが設定されたウィンドウサイズより小さいパケットを受け入れないようにします。「 window-size number 」

    注記 リプレイ保護ウィンドウのサイズは、 MACsec が受信して破棄されない最大アウトオブシーケンスフレーム数を表します。指定できる範囲は 0 ~ 596000000 です。
    IP_switch_A_1(config-macsec-policy)# window-size 512
  7. SAK キーの再生成を強制する時間を秒単位で設定します。

    「 SAK-expiry-date time 」

    このコマンドを使用して、予測可能な時間間隔にセッションキーを変更できます。デフォルトは 0 です。

    IP_switch_A_1(config-macsec-policy)# sak-expiry-time 100
  8. 暗号化を開始するレイヤ 2 フレームで、次の機密性オフセットのいずれかを設定します。

    「 conf-offsetconfidentiality offset 」を参照してください

    次のいずれかのオプションを選択します。

    • conf-offset-0 。

    • conf-offset-30 。

    • conf -offset-50 。

      IP_switch_A_1(config-macsec-policy)# conf-offset CONF-OFFSET-0
      注記 このコマンドは、中間スイッチが MPLS タグのようなパケットヘッダー( DMAC 、 smac 、 type )を使用するために必要な場合があります。
  9. 実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーします。

    'copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config
  10. MACsec ポリシー設定を表示します。

    「 MACsec ポリシー」

    IP_switch_A_1(config-macsec-policy)# show macsec policy

インターフェイス上でCisco MACsec暗号化をイネーブルにします

  1. グローバルコンフィギュレーションモードを開始します。

    「 configure terminal 」をクリックします

    IP_switch_A_1# configure terminal
    IP_switch_A_1(config)#
  2. MACsec暗号化で設定したインターフェイスを選択します。

    インターフェイスのタイプと ID を指定できます。イーサネットポートの場合は、イーサネットスロット / ポートを使用します。

    IP_switch_A_1(config)# interface ethernet 1/15
    switch(config-if)#
  3. インターフェイスに設定するキーチェーンとポリシーを追加して、MACsec設定を追加します。

    「MACsec keychain -name policy policy-name」という名前のキーチェーンがあります

    IP_switch_A_1(config-if)# macsec keychain 1 policy abc
  4. MACsec暗号化を設定するすべてのインターフェイスで、ステップ1と2を繰り返します。

  5. 実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーします。

    'copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

MetroCluster IP構成でCisco MACsec暗号化WAN ISLをディセーブルにします

MetroCluster IP 構成では、 WAN ISL 上の Cisco 9336C スイッチに対して MACsec 暗号化を無効にする必要がある場合があります。

手順
  1. グローバルコンフィギュレーションモードを開始します。

    「 configure terminal 」をクリックします

    IP_switch_A_1# configure terminal
    IP_switch_A_1(config)#
  2. デバイスの MACsec 設定を無効にします。

    「 ACSEC SHUTDOWN 」のようになります

    IP_switch_A_1(config)# macsec shutdown
    注記 「 no 」オプションを選択すると、 MACsec 機能が復元されます。
  3. MACsec で設定済みのインターフェイスを選択します。

    インターフェイスのタイプと ID を指定できます。イーサネットポートの場合は、イーサネットスロット / ポートを使用します。

    IP_switch_A_1(config)# interface ethernet 1/15
    switch(config-if)#
  4. インターフェイスに設定されているキーチェーンとポリシーを削除して、MACsec設定を削除します。

    「no MACsec keychain keychain -name policy policy-name」

    IP_switch_A_1(config-if)# no macsec keychain 1 policy abc
  5. MACsec が設定されているすべてのインターフェイスで、ステップ 3 と 4 を繰り返します。

  6. 実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーします。

    'copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

MACsec 構成の確認

手順
  1. コンフィギュレーション内の 2 番目のスイッチで上記の手順 * すべて * を繰り返して、 MACsec セッションを確立します。

  2. 次のコマンドを実行して、両方のスイッチが正常に暗号化されたことを確認します。

    1. 「 How MACsec mka summary 」を実行します

    2. 実行 :'How MACsec mka session`

    3. 実行: 'How MACsec mka statistics ( MACsec mka 統計情報)

      MACsec 設定を確認するには、次のコマンドを使用します。

    コマンドを実行します

    表示される情報

    'How MACsec mka session interface types/port number

    特定のインターフェイスまたはすべてのインターフェイスの MACsec MKA セッション

    「鍵チェーン名」

    キーチェーン設定

    「 MACsec mka の概要」を参照してください

    MACsec MKA 設定

    'How MACsec policy policy-name' 」を参照してください

    特定の MACsec ポリシーまたはすべての MACsec ポリシーの設定