Skip to main content
ONTAP MetroCluster
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Cisco 9336C 스위치에서 MACsec 암호화를 구성합니다

기여자
PDF
참고 MACsec 암호화는 WAN ISL 포트에만 적용할 수 있습니다.

Cisco 9336C 스위치에서 MACsec 암호화를 구성합니다

사이트 간에 실행되는 WAN ISL 포트에서만 MACsec 암호화를 구성해야 합니다. 올바른 RCF 파일을 적용한 후 MACsec을 구성해야 합니다.

MACsec에 대한 라이센스 요구 사항

MACsec에는 보안 라이센스가 필요합니다. Cisco NX-OS 라이센스 체계에 대한 전체 설명 및 라이센스 취득 및 적용 방법은 을 참조하십시오 "Cisco NX-OS 라이센스 가이드 를 참조하십시오"

MetroCluster IP 구성에서 Cisco MACsec 암호화 WAN ISL을 활성화합니다

MetroCluster IP 구성에서 WAN ISL의 Cisco 9336C 스위치에 대해 MACsec 암호화를 설정할 수 있습니다.

단계

  1. 글로벌 구성 모드 시작:

    '터미널 구성'을 선택합니다

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. 장치에서 MACsec 및 MKA 활성화:

    피처 MACsec

    IP_switch_A_1(config)# feature macsec

  3. 실행 중인 구성을 시작 구성으로 복사합니다.

    'copy running-config startup-config'를 선택합니다

    IP_switch_A_1(config)# copy running-config startup-config

MACsec 키 체인 및 키를 구성합니다

구성에 MACsec 키 체인 또는 키를 만들 수 있습니다.

  • 키 수명 및 Hitless 키 롤오버 *

MACsec 키 체인은 미리 공유된 여러 키(PSK)를 가질 수 있으며, 각 키는 키 ID와 수명(옵션)으로 구성됩니다. 키 수명은 키가 활성화되고 만료되는 시간을 지정합니다. 수명 구성이 없을 경우 기본 수명은 무제한입니다. 수명이 구성되면 MKA는 수명이 만료된 후 키체인에 구성된 다음 사전 공유 키로 롤오버합니다. 키의 표준 시간대는 로컬 또는 UTC입니다. 기본 표준 시간대는 UTC입니다. 두 번째 키(키 체인)를 구성하고 첫 번째 키의 수명을 구성하면 동일한 키 체인 내의 두 번째 키로 키를 롤오버할 수 있습니다. 첫 번째 키의 수명이 만료되면 목록의 다음 키로 자동 롤오버됩니다. 같은 키가 링크의 양쪽에서 동시에 구성된 경우 키 롤오버는 무단위(즉, 키가 트래픽 중단 없이 롤오버됨)입니다.

단계

  1. 글로벌 구성 모드로 들어갑니다.

    '터미널 구성'을 선택합니다

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. 암호화된 키 옥텟 문자열을 숨기려면 'show running-config' 및 'show startup-config' 명령의 출력에서 문자열을 와일드카드 문자로 바꿉니다.

    IP_switch_A_1(config)# key-chain macsec-psk no-show
    참고 설정을 파일에 저장할 때 옥텟 문자열도 숨겨집니다.

    기본적으로 PSK 키는 암호화된 형식으로 표시되며 쉽게 해독할 수 있습니다. 이 명령은 MACsec 키 체인에만 적용됩니다.

  3. MACsec 키 세트를 보류하고 MACsec 키 체인 구성 모드로 전환하기 위해 MACsec 키 체인을 생성합니다.

    키 체인 이름 MACsec

    IP_switch_A_1(config)# key chain 1 macsec
IP_switch_A_1(config-macseckeychain)#

  4. MACsec 키를 만들고 MACsec 키 구성 모드를 입력합니다.

    키 ID

    범위는 1 ~ 32자의 16진수 키 문자열이며 최대 크기는 64자입니다.

    IP_switch_A_1 switch(config-macseckeychain)# key 1000
IP_switch_A_1 (config-macseckeychain-macseckey)#

  5. 키에 대한 옥텟 문자열을 구성합니다.

    'key-octet-string octet-string 암호화 알고리즘 AES_128_CMAC|AES_256_CMAC'

    IP_switch_A_1(config-macseckeychain-macseckey)# key-octet-string abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789
cryptographic-algorithm AES_256_CMAC
    참고 8진수 문자열 인수는 최대 64자의 16진수 문자를 포함할 수 있습니다. 옥텟키는 내부적으로 인코딩되므로 'show running-config MACsec' 명령의 출력에는 일반 텍스트의 키가 나타나지 않는다.

  6. 키의 전송 수명 구성(초):

    '수명 종료 시작-시간 지속 기간'을 선택합니다

    IP_switch_A_1(config-macseckeychain-macseckey)# send-lifetime 00:00:00 Oct 04 2020 duration 100000

    기본적으로 장치는 시작 시간을 UTC로 처리합니다. start-time 인수는 키가 활성화되는 날짜와 시간입니다. duration 인수는 초 단위의 수명 길이입니다. 최대 길이는 2147483646초(약 68년)입니다.

  7. 실행 중인 구성을 시작 구성으로 복사합니다.

    'copy running-config startup-config'를 선택합니다

    IP_switch_A_1(config)# copy running-config startup-config

  8. 키 체인 구성을 표시합니다.

    키 체인 이름

    IP_switch_A_1(config-macseckeychain-macseckey)# show key chain 1

MACsec 정책을 구성합니다

단계

  1. 글로벌 구성 모드 시작:

    '터미널 구성'을 선택합니다

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. MACsec 정책 만들기:

    'macsec policy name'입니다

    IP_switch_A_1(config)# macsec policy abc
IP_switch_A_1(config-macsec-policy)#

  3. GCM-AES-128, GCM-AES-256, GCM-AES-XPN-128 또는 GCM-AES-XPN-256 중 하나를 구성합니다.

    암호-스위트 이름

    IP_switch_A_1(config-macsec-policy)# cipher-suite GCM-AES-256

  4. 키 교환 중에 피어 간의 연결을 끊도록 키 서버 우선 순위를 구성합니다.

    키-서버-우선 순위 번호

    switch(config-macsec-policy)# key-server-priority 0

  5. 데이터 처리 및 제어 패킷을 정의할 수 있도록 보안 정책을 구성합니다.

    보안정책

    다음 옵션 중에서 보안 정책을 선택합니다.

    • 필수 보안 — MACsec 헤더를 전달하지 않는 패킷은 삭제됩니다

    • 보안 — MACsec 헤더를 전달하지 않는 패킷이 허용됩니다(기본값).

    IP_switch_A_1(config-macsec-policy)# security-policy should-secure

  6. 보안된 인터페이스가 설정된 윈도 크기보다 작은 패킷을 허용하지 않도록 재생 보호 윈도우를 설정한다

    참고 재생 보호 창 크기는 MACsec이 수락하고 폐기하지 않는 최대 시퀀스 초과 프레임을 나타냅니다. 범위는 0에서 596000000 사이입니다. 
    IP_switch_A_1(config-macsec-policy)# window-size 512

  7. SAK 키를 강제로 다시 입력하다

    'AK-expiry-time'입니다

    이 명령을 사용하여 세션 키를 예측 가능한 시간 간격으로 변경할 수 있습니다. 기본값은 0입니다.

    IP_switch_A_1(config-macsec-policy)# sak-expiry-time 100

  8. 암호화가 시작되는 계층 2 프레임에서 다음 기밀 오프셋 중 하나를 구성합니다.

    'conf-offset기밀성 오프셋'

    다음 옵션 중에서 선택합니다.

    • conf-offset-0.

    • conf-offset-30

    • conf-offset-50.

      IP_switch_A_1(config-macsec-policy)# conf-offset CONF-OFFSET-0
      참고 이 명령은 MPLS 태그와 같은 패킷 헤더(dmac, smac, etype)를 사용하기 위해 중간 스위치에 필요할 수 있습니다.

  9. 실행 중인 구성을 시작 구성으로 복사합니다.

    'copy running-config startup-config'를 선택합니다

    IP_switch_A_1(config)# copy running-config startup-config

  10. MACsec 정책 구성을 표시합니다.

    마초 정책

    IP_switch_A_1(config-macsec-policy)# show macsec policy

인터페이스에서 Cisco MACsec 암호화를 활성화합니다

  1. 글로벌 구성 모드 시작:

    '터미널 구성'을 선택합니다

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. MACsec 암호화로 구성한 인터페이스를 선택합니다.

    인터페이스 유형 및 ID를 지정할 수 있습니다. 이더넷 포트의 경우 이더넷 슬롯/포트를 사용합니다.

    IP_switch_A_1(config)# interface ethernet 1/15
switch(config-if)#

  3. 인터페이스에서 구성할 키 체인 및 정책을 추가하여 MACsec 구성을 추가합니다.

    macsec keychain-name policy-name'입니다

    IP_switch_A_1(config-if)# macsec keychain 1 policy abc

  4. MACsec 암호화를 구성할 모든 인터페이스에서 1단계와 2단계를 반복합니다.

  5. 실행 중인 구성을 시작 구성으로 복사합니다.

    'copy running-config startup-config'를 선택합니다

    IP_switch_A_1(config)# copy running-config startup-config

MetroCluster IP 구성에서 Cisco MACsec 암호화 WAN ISL을 비활성화합니다

MetroCluster IP 구성에서 WAN ISL의 Cisco 9336C 스위치에 대한 MACsec 암호화를 비활성화해야 할 수 있습니다.

단계

  1. 글로벌 구성 모드 시작:

    '터미널 구성'을 선택합니다

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. 장치에서 MACsec 구성 비활성화:

    '시스템 종료'

    IP_switch_A_1(config)# macsec shutdown
    참고 ""아니오" 옵션을 선택하면 MACsec 기능이 복원됩니다.

  3. MACsec로 이미 구성한 인터페이스를 선택합니다.

    인터페이스 유형 및 ID를 지정할 수 있습니다. 이더넷 포트의 경우 이더넷 슬롯/포트를 사용합니다.

    IP_switch_A_1(config)# interface ethernet 1/15
switch(config-if)#

  4. MACsec 구성을 제거하기 위해 인터페이스에 구성된 키 체인 및 정책을 제거합니다.

    MACsec keychain keychain-name policy-name 없음

    IP_switch_A_1(config-if)# no macsec keychain 1 policy abc

  5. MACsec이 구성된 모든 인터페이스에서 3단계와 4단계를 반복합니다.

  6. 실행 중인 구성을 시작 구성으로 복사합니다.

    'copy running-config startup-config'를 선택합니다

    IP_switch_A_1(config)# copy running-config startup-config

MACsec 구성을 확인하는 중입니다

단계

  1. MACsec 세션을 설정하려면 구성 내 두 번째 스위치에 대한 이전 절차의 * ALL * 을 반복합니다.

  2. 다음 명령을 실행하여 두 스위치가 모두 성공적으로 암호화되었는지 확인합니다.

    1. 'How MACsec MKA summary'를 실행합니다

    2. 'How MACsec MKA SESSION'을 실행하십시오

    3. 'How MACsec MKA statistics'를 실행합니다

      다음 명령을 사용하여 MACsec 구성을 확인할 수 있습니다.

    명령

    다음에 대한 정보를 표시합니다.

    'How MACsec MKA session interface typeslot/port number'

    특정 인터페이스 또는 모든 인터페이스에 대한 MACsec MKA 세션

    키 체인 이름

    키 체인 구성

    '하세초 MKA 요약 정보

    MACsec MKA 구성

    마초 정책 정책 이름

    특정 MACsec 정책 또는 모든 MACsec 정책의 구성