MACsec
Media Access Control Security(MACsec)は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。
MACsec および MACsec Key Agreement(MKA)の詳細、MKA と MACsec の設定方法、Cisco TrustSec MACsec の設定方法など、MACsec に関する情報については、「 Configuring MACsec Encryption 」を参照してください。
この章では、IE 4000、IE 4010、および IE 5000 スイッチに固有の MACsec について次のことを説明します。
■MACsec の PSK ベース MKA サポート
■証明書ベースの MACsec 暗号化
注: IE 4000、IE 4010、および IE 5000 では、MACsec は IP サービスイメージにのみ含まれています。
注意事項と制約事項
IE5000 の MACsec に関する注意事項と制約事項は次のとおりです。
■IE 5000 ダウンリンクの両方のモデルは、IE 4000、IE 4010、Catalyst 9300/3850、および Catalyst IE 3x00 プラットフォームと完全に相互運用できます。
■IE-5000-16S12P では、別の IE-5000-16S12P または Catalyst 3850 に接続されている場合、アップリンクが完全に機能します。
■IE-5000-12S12P-10G では、10GE で動作している別の IE-5000-12S12P-10G または 10GE で動作している Catalyst 3850 に接続されている場合、10GE で動作中のアップリンクが完全に機能します。
■IE 5000 アップリンクが Catalyst 9300 に接続されている場合は、IE 5000 がキーサーバである必要があります。 CSCvs36043
■IE-5000-12S12P-10G アップリンク MACsec は現在、GE 速度ではサポートされていません。 CSCvs41335
■IE 5000 および IE 4000 のダウンリンクに接続されている IE-5000-16S12P アップリンクは現在サポートされていません。 CSCvs44292
MKA-PSK:CKN 動作の変更
IOS XE を実行している Cisco スイッチと相互運用するには、CKN 設定にゼロが付加されている必要があります。Cisco IOS XE Everest リリース 16.6.1 以降では、MKA-PSK セッションで、固定 32 バイトの代わりに、接続アソシエーション キー名(CKN)は、このキーの 16 進文字列として設定されている文字列とまったく同じ文字列を CKN として使用します。
設定例:
key chain KEYCHAINONE macsec
cryptographic-algorithm aes-128-cmac
key-string 123456789ABCDEF0123456789ABCDEF0
lifetime local 12:21:00 Sep 9 2015 infinite
上記の例で、 show mka session コマンドの出力を次に示します。
CKN キー文字列は、16 進数文字列としてキーに設定されたものとまったく同じであることに注意してください。
一方で CKN 動作が変更され、もう一方で CKN 動作が変更されていない 2 つのイメージ間の相互運用性の場合、キーの 16 進数文字列は 64 文字の 16 進数文字列である必要があります。この文字列は、CKN 動作が変更されたイメージを持つデバイスで動作するようにゼロパディングされている必要があります。次の例を参照してください。
CKN キー文字列の動作が変更されていない設定:
key chain KEYCHAINONE macsec
cryptographic-algorithm aes-128-cmac
key-string 123456789ABCDEF0123456789ABCDEF0
lifetime local 12:21:00 Sep 9 2015 infinite
出力:
CKN キー文字列の動作が変更された設定:
key chain KEYCHAINONE macsec
key 1234000000000000000000000000000000000000000000000000000000000000
cryptographic-algorithm aes-128-cmac
key-string 123456789ABCDEF0123456789ABCDEF0
lifetime local 12:21:00 Sep 9 2015 infinite
出力:
MACsec の PSK ベース MKA サポート
このセクションでは、スイッチで事前共有キー(PSK)ベースの MACsec Key Agreement(MKA)MACsec 暗号化を設定する方法について説明します。この機能は、Cisco IOS リリース 15.2(7)E1a 以降に適用されます。
PSK ベース MKA に関する情報
IE スイッチは、スイッチ間のリンクを相互接続するために、ペアワイズマスターキー(PMK)セキュリティ アソシエーション プロトコル(SAP)ベースの MACsec サポートをサポートしています。PMK キーは、スイッチ コンフィギュレーションから静的に取得するか(手動モード)、または dot1X ネゴシエーション中に RADIUS サーバから取得する(動的モード)ことができます。SAP はシスコの独自プロトコルであるため、手動モードではスイッチからホストへの MACsec 接続はサポートされません。
IE スイッチは、スイッチからホストへのリンク上の MACSec で MKA をサポートしています。ここでは、dot1x 認証後に RADIUS サーバからキーが取得されます。ただし、Cisco IOS リリース 15.2(7)E1a より前の IE スイッチプラットフォーム(Cisco IOS を実行)では、手動で設定した PSK キーがサポートされていませんでした。Catalyst IE 3x00 プラットフォーム(Cisco IOS XE を実行)では、スイッチ間接続の場合はスイッチ設定から静的に導出されたキー、およびスイッチからホストへのリンクの場合は RADIUS サーバから動的に導出されたキーの MACsec に対して、PSK ベース MKA のサポートがあります。
Catalyst IE 3x00 プラットフォームには、MACsec の PMK SAP ベースのサポートはありません。したがって、Catalyst IE 3x00 プラットフォームとの相互運用性を確保するために、Cisco IOS ベースの IE スイッチでは MACsec に PSK 機能が追加されます。
PSK ベース MKA の設定
IE 4000、IE 4010、および IE 5000 スイッチで PSK ベース MKA を設定するには、このセクションの手順に従ってください。
MKA の設定
MACsec Key Agreement(MKA)は、キー管理パラメータの設定と制御を可能にします。MKA を設定するには、次のタスクを実行します。
|
|
|
1. |
enable 例:
|
特権 EXEC モードを有効にします。 ■プロンプトが表示されたら、パスワードを入力します。 |
2. |
configure terminal 例:
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
3. |
mka policy policy-name 例:
Device(config)# mka policy MKAPolicy
|
MKA ポリシーを設定します。 |
4. |
key-server priority key-server-priority 例:
Device(config-mka-policy)# key-server priority 200
|
(任意)MKA キー サーバの優先度を設定します。 |
5. |
macsec-cipher-suite {gcm-aes-128 } 例:
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
|
(任意)セキュア アソシエーション キー(SAK)導出のための暗号スイートを設定します。各暗号スイートの各オプションは 1 回だけ繰り返すことができますが、任意の順序で使用できます。 |
6. |
replay-protection 例:
Device(config-mka-policy)# replay-protection
|
(任意)MACsec 動作にリプレイ保護を使用するように MKA を設定します。 |
7. |
confidentiality-offset 30 例:
Device(config-mka-policy)# confidentiality-offset 30
|
(任意)MACsec 操作の機密性オフセットを設定します。 |
8. |
end 例:
Device(config-mka-policy)# end
|
特権 EXEC モードに戻ります。 |
例
show mka policy コマンドを使用して、設定を確認できます。次に、 show コマンドの出力例を示します。
インターフェイスでの MACsec および MKA の設定
インターフェイスで MACsec と MKA を設定するには、次のタスクを実行します。
|
|
|
1. |
enable 例:
|
特権 EXEC モードを有効にします。 ■プロンプトが表示されたら、パスワードを入力します。 |
2. |
configure terminal 例:
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
3. |
interface type number 例:
Device(config)# interface GigabitEthernet 1/1
|
インターフェイス コンフィギュレーション モードを開始します。 |
4. |
mka policy policy-name 例:
Device(config-if)# mka policy MKAPolicy
|
MKA ポリシーを設定します。 |
5. |
mka pre-shared-key key-chain key-chain-name 例:
Device(config-if)# mka pre-shared-key key-chain keychain1
|
MKA pre-shared-key key-chain に keychain1 を設定します。 注: MKA 事前共有キーは、物理インターフェイスまたはサブインターフェイスのいずれかで設定できますが、物理インターフェイスとサブインターフェイスの両方で設定することはできません。 |
6. |
macsec network-link 例:
Device(config-if)#macsec network-link
|
このインターフェイスで PSK MKA MACsec を設定します。これは macsec と相互に排他的です。 |
7. |
macsec replay-protection window-size 例:
Device(config-if)# macsec replay-protection window-size 10
|
リプレイ保護の MACsec ウィンドウ サイズを設定します。 |
8. |
end 例:
Device(config-mka-policy)# end
|
特権 EXEC モードに戻ります。 |
MKA 事前共有キーの設定
MACsec Key Agreement(MKA)事前共有キーを設定するには、次のタスクを実行します。
|
|
|
1. |
enable 例:
|
特権 EXEC モードを有効にします。 ■プロンプトが表示されたら、パスワードを入力します。 |
2. |
configure terminal 例:
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
3. |
key chain key-chain-name [ macsec ] 例:
Device(config)# Key chain keychain1 macsec
|
キー チェーンを設定して、キー チェーン コンフィギュレーション モードを開始します。 |
4. |
key hex-string 例:
Device(config-keychain)# key 9ABCD
|
キーを設定して、キー チェーン コンフィギュレーション モードを開始します。 |
5. |
cryptographic-algorithm {gcm-aes-128 } 例:
Device(config-keychain-key)# cryptographic-algorithm gcm-aes-128
|
暗号化認証アルゴリズムを設定します。 |
6. |
key-string {[ 0 | 6 ] pwd-string | 7 | pwd-string } 例:
Device(config-keychain-key)# key-string 0 pwd
|
キー文字列のパスワードを設定します。 |
7. |
lifetime local {{ day month year duration seconds } 例:
Device(config-keychain-key)# lifetime local 16:00:00 Nov 9 2014 duration 6000
|
キー文字列のパスワードを設定します。 |
8. |
end 例:
Device(config-mka-policy)# end
|
特権 EXEC モードに戻ります。 |
証明書ベースの MACsec 暗号化
この項では、証明書ベース MACsec 暗号化について説明します。この機能は、Cisco IOS リリース 15.2(8)E 以降に適用されます。
証明書ベース MACsec 暗号化の前提条件
■証明書ベースの MACsec 暗号化は、IE4000、IE4010、および IE5000 でサポートされています。
■認証局(CA)サーバがネットワークに設定されていることを確認します。
■CA 証明書を生成します。
■Cisco Identity Services Engine(ISE)リリース 2.0 が設定されていることを確認します。『Cisco Identity Services Engine リリース 2.3 管理者ガイド』を参照してください。
■両方の参加デバイス(CA サーバと Cisco Identity Services Engine(ISE))が Network Time Protocol(NTP)を使用して同期されていることを確認します。時間がすべてのデバイスで同期されていないと、証明書は検証されません。
■802.1x 認証と AAA がデバイスに設定されていることを確認します。
証明書ベース MACsec 暗号化の制約事項
■MKA は、ポート チャネルではサポートされていません。
■MKA のハイ アベイラビリティはサポートされません。
■インターフェイスから dot1x pae both を削除すると、dot1x に関連するすべての設定がインターフェイスから削除されます。
■証明書ベースの MACsec は、access-session host-mode が multiple-host モードで設定されている場合にのみサポートされます。その他のコンフィギュレーション モード(multi-auth、multi-domain、または single-host)はサポートされていません。
証明書ベース MACsec 暗号化に関する情報
MKA MACsec はスイッチ間リンクでサポートされます。Extensible Authentication Protocol(EAP-TLS)による IEE 802.1X ポートベース認証を使用して、デバイスのポート間の MKA MACsec を設定できます。EAP-TLS は相互認証を許可し、MSK(マスター セッション キー)を取得します。そのキーから、MKA プロトコル用の接続アソシエーション キー(CAK)が取得されます。デバイスの証明書は、AAA サーバへの認証用に、EAP-TLS を使用して伝送されます。
リモート認証を使用して証明書ベースの MACsec 暗号化を設定する方法を含む、証明書ベースの MACsec 暗号化の詳細については、 Certificate-based MACsec Encryption を参照してください。
リモート認証を使用した証明書ベース MACsec 暗号化の設定
リモート認証を使用して MACsec 暗号化を設定するには、次の手順に従います。
■手動での証明書登録の設定
■認証ポリシーの設定
■EAP-TLS プロファイルおよび IEEE 802.1x クレデンシャルの設定
■インターフェイスでの EAP-TLS を使用した MKA MACsec の設定
手動での証明書登録の設定
ルータと CA 間のネットワーク接続が不可能な場合は、次のタスクを実行して手動で証明書登録を設定します。
|
|
|
1. |
|
特権 EXEC モードを有効にします。 ■プロンプトが表示されたら、パスワードを入力します。 |
2. |
|
グローバル コンフィギュレーション モードを開始します。 |
3. |
crypto pki trustpoint
server name
|
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
4. |
|
端末(カットアンドペースト)で登録します。 |
5. |
|
証明書に関連付けるキー ペアを指定します。 |
6. |
|
ルータのシリアル番号を証明書要求で指定します。 |
7. |
|
サブジェクト名を宣言します。 次に例を示します。 subject-name cn=MUSTS.mkadt.cisco.com ,OU=CSG Security,O=Cisco Systems,L=Bengaluru,ST=KA,C=IN |
8. |
|
サブジェクト代替名を含みます。 |
9. |
|
完全修飾ドメイン名を含みます。 |
10. |
|
none キーワードは、失効チェックを無視することを指定します。 |
11. |
|
グローバル コンフィギュレーション モードを終了します。 |
12. |
crypto pki authenticate
name
|
CA 証明書を取得して、認証します。 |
13. |
|
証明書 要求 を生成し、証明書 サーバ に コピー および ペースト するために 要求 を表示します。 プロンプトが表示されたら、登録情報を入力します。たとえば、証明書要求にデバイスの FQDN および IP アドレスを含めるかどうかを指定します。 コンソール端末 に 対して 証明書 要求を 表示する かに ついて も 選択 でき ます。 必要に応じて、Base 64 符号化証明書を PEM ヘッダーを付けて、または付けずに表示します。 |
14. |
|
許可された証明書を取得するコンソール端末で、TFTP によって証明書をインポートします。 デバイスは、拡張子が「.req」から「.crt」に変更されたことを除いて、要求の送信に使用した同じファイル名を使用して、許可された証明書を TFTP によって取得しようと試みます。用途キー証明書の場合、拡張子「-sign.crt」および「-encr.crt」が使用されます。 デバイスは、受信したファイルを解析して証明書を検証し、証明書をスイッチの内部証明書データベースに挿入します。 注: 一部の CA は、証明書要求の用途キー情報を無視し、汎用目的の証明書を発行します。ご使用の CA が証明書要求の用途キー情報を無視する場合は、汎用目的の証明書だけをインポートしてください。ルータは、生成される 2 つのキー ペアのいずれも使用しません。 |
15. |
|
グローバル コンフィギュレーション モードを終了します。 |
16. |
show crypto pki certificates
|
信頼ポイントの証明書に関する情報を表示します。 |
17. |
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
802.1x 認証の有効化と AAA の設定
|
|
|
1. |
|
特権 EXEC モードを有効にします。 ■プロンプトが表示されたら、パスワードを入力します。 |
2. |
|
グローバル コンフィギュレーション モードを開始します。 |
3. |
|
AAA をイネーブルにします。 |
4. |
dot1x system-auth-control
|
デバイス上で 802.1X を有効にします。 |
5. |
|
RADIUS サーバの設定の名前を Protected Access Credential(PAC)のプロビジョニング用に指定し、RADIUS サーバ設定モードを開始します。 |
6. |
address i
p-address auth-port
port-number acct-port
port-number
|
RADIUS サーバのアカウンティングおよび認証パラメータの IPv4 アドレスを設定します。 |
7. |
automate-tester username
username
|
RADIUS サーバの自動テスト機能を有効にします。 このように する と 、デバイスは RADIUS サーバに テスト 認証 メッセージを 定期的に 送信し、サーバ から の RADIUS 応答を 待機 します 。成功メッセージは必須ではありません。認証失敗であっても、サーバが 稼働していることを示しているため問題ありません。 |
8. |
|
デバイスと RADIUS サーバとの間におけるすべての RADIUS 通信用の認証および暗号キーを指定します。 |
9. |
radius-server dead-time
minutes
|
いくつかのサーバが使用不能になったときの RADIUS サーバの応答時間を短くし、使用不能になったサーバがすぐにスキップされるようにします。 |
10. |
|
グローバル コンフィギュレーション モードに戻ります。 |
11. |
aaa group server radius
group-name
|
異なる RADIUS サーバ ホストを別々のリストと方式にグループ化し、サーバ グループ コンフィギュレーション モードを開始します。 |
12. |
|
RADIUS サーバ名を割り当てます。 |
13. |
|
グローバル コンフィギュレーション モードに戻ります。 |
14. |
aaa authentication dot1x default group
group-name
|
IEEE 802.1x 用にデフォルトの認証サーバ グループを設定します。 |
15. |
aaa authorization network default group
group-name
|
ネットワーク認証のデフォルト グループを設定します。 |
EAP-TLS プロファイルと 802.1x クレデンシャルの設定
|
|
|
1. |
|
特権 EXEC モードを有効にします。 ■プロンプトが表示されたら、パスワードを入力します。 |
2. |
|
グローバル コンフィギュレーション モードを開始します。 |
3. |
eap profile p
rofile-name
|
EAP プロファイルを設定し 、EAP プロファイル コンフィギュレーション モードを 開始します。 |
4. |
|
デバイスで EAP-TLS 方式を有効にします。 |
5. |
|
デフォルトの PKI トラストポイントを設定します。 |
6. |
|
グローバル コンフィギュレーション モードに戻ります。 |
7. |
dot1x credentials p
rofile-name
|
802.1x クレデンシャル プロファイルを設定し 、dot1x クレデンシャル コンフィギュレーション モードを 開始します。 |
8. |
|
認証ユーザ ID を設定します。 |
9. |
|
特権 EXEC モードに戻ります。 |
インターフェイスでの 802.1x MKA MACsec 設定の適用
EAP-TLS を使用して MKA MACsec をインターフェイスに適用するには、次のタスクを実行します。
|
|
|
1. |
|
特権 EXEC モードを有効にします。 ■プロンプトが表示されたら、パスワードを入力します。 |
2. |
|
グローバル コンフィギュレーション モードを開始します。 |
3. |
|
MACsec インターフェイスを指定し、インターフェイス設定 モードを開始します。インターフェイスは 物理 インターフェイスで なければ なりません。 |
4. |
|
インターフェイス上で MACsec をイネーブルにします。 |
5. |
|
このポートの再認証をイネーブルにします。 |
6. |
access-session host-mode multi-host
|
ホストにインターフェイスへのアクセスを許可します。 |
7. |
|
インターフェイスへの事前認証アクセスを防止します。 |
8. |
access-session port-control auto
|
ポートの認可状態を設定します。 |
9. |
|
ポートを 802.1X ポート アクセス エンティティ(PAE)のサプリカントおよびオーセンティケータとして設定します。 |
10. |
dot1x credentials profile
|
802.1x クレデンシャル プロファイルをインターフェイスに割り当てます。 |
11. |
dot1x supplicant eap profile
name
|
EAP-TLS プロファイルをインターフェイスに割り当てます。 |
|
dot1x authenticator eap profile
name
|
EAP-TLS プロファイルをインターフェイスに割り当てます |
12. |
service-policy type control subscriber
|
インターフェイスに加入者制御ポリシーを適用します。 |
13. |
|
特権 EXEC モードに戻ります。 |
14. |
|
インターフェイスの MACsec の詳細を表示します。 |
15. |
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
証明書ベース MACsec 暗号化の確認
証明書ベースの MACsec 暗号化の設定を確認するには、次の show コマンドを使用します。次に、出力例を示します。
show access-session interface interface-id details は、指定されたインターフェイスのアクセスセッションに関する詳細情報を表示します。
Device#show access-session interface gi 1/18 details
Interface: GigabitEthernet1/18
MAC Address: 5453.5632.0082
User-Name: scepen.mkadt.cisco.com
Oper host mode: multi-host
Periodic Acct timeout: N/A
Common Session ID: 000000000000000C0011E814
Acct Session ID: 0x00000001
Service Template: DEFAULT_LINKSEC_POLICY_MUST_SECURE (priority 150)
Security Policy: Must Secure
Security Status: Link Secured
例:証明書の登録
暗号 PKI トラストポイントの設定:
ルート CA 証明書の手動インストール:
crypto pki authenticate demo
例:802.1x 認証の有効化と AAA の設定
dot1x system-auth-control
address ipv4 <ISE ipv4 address> auth-port 1645 acct-port 1646
key <secret configured on ise>
aaa group server radius ISEGRP
aaa authentication dot1x default group ISEGRP
aaa authorization network default group ISEGRP
例:EAP-TLS プロファイルと 802.1x クレデンシャルの設定
dot1x system-auth-control
username scepen.mkadt.cisco.com
例:インターフェイスでの 802.1 X、PKI、および MACsec の設定の適用
interface GigabitEthernet1/2
access-session host-mode multi-host
access-session port-control auto
dot1x authenticator eap profile scepen
dot1x supplicant eap profile scepen
service-policy type control subscriber MUSTS_1