MACsec

この章で説明する内容は、次のとおりです。

MACsec について

MACsec は、IEEE 802.1AE 規格ベースのレイヤ 2 ホップバイホップ暗号化であり、これにより、メディア アクセス非依存プロトコルに対してデータの機密性と完全性を確保できます。

MACsec は、暗号化キーにアウトオブバンド方式を使用して、有線ネットワーク上で MAC レイヤの暗号化を提供します。MACsec Key Agreement(MKA)プロトコルでは、必要なセッション キーを提供し、必要な暗号化キーを管理します。

802.1 ae MKA と暗号化はリンク、つまり、リンク (ネットワーク アクセス デバイスと、PC か IP 電話機などのエンドポイント デバイス間のリンク) が直面しているホストのすべてのタイプでサポートされますかにリンクが接続されている他のスイッチまたはルータ。

MACsec は、イーサネット パケットの送信元および宛先 MAC アドレスを除くすべてのデータを暗号化します。ユーザは、送信元と宛先の MAC アドレスの後に最大 50 バイトの暗号化をスキップするオプションもあります。

WAN またはメトロ イーサネット上に MACsec サービスを提供するために、サービス プロバイダーは、Ethernet over Multiprotocol Label Switching(EoMPLS)および L2TPv3 などのさまざまなトランスポート レイヤ プロトコルを使用して、E-Line や E-LAN などのレイヤ 2 透過サービスを提供しています。

EAP-over-LAN(EAPOL)プロトコル データ ユニット(PDU)のパケット本体は、MACsec Key Agreement PDU(MKPDU)と呼ばれます。3 回のハートビート後(各ハートビートは 2 秒)に参加者から MKPDU を受信しなかった場合、ピアはライブ ピア リストから削除されます。たとえば、クライアントが接続を解除した場合、スイッチ上の参加者はクライアントから最後の MKPDU を受信した後、3 回のハートビートが経過するまで MKA の動作を継続します。

APIC ファブリック MACsec

APIC はまたは責任を負う MACsec キーチェーン ディストリビューションのポッド内のすべてのノードに特定のポートのノードになります。サポートされている MACsec キーチェーンし、apic 内でサポートされている MACsec ポリシー ディストリビューションのとおりです。

  • 単一ユーザ提供キーチェーンと 1 ポッドあたりポリシー

  • ユーザが提供されるキーチェーンとファブリック インターフェイスごとのユーザが提供されるポリシー

  • 自動生成されたキーチェーンおよび 1 ポッドあたりのユーザが提供されるポリシー

ノードは、複数のポリシーは、複数のファブリック リンクの導入を持つことができます。これが発生すると、ファブリック インターフェイスごとキーチェーンおよびポリシーが優先して指定の影響を受けるインターフェイス。自動生成されたキーチェーンと関連付けられている MACsec ポリシーでは、最も優先度から提供されます。

APIC MACsec では、2 つのセキュリティ モードをサポートしています。MACsec [マスト セキュア(must secure)] は、リンク上で暗号化されたトラフィックのみを許可し、 [セキュアモードを推奨(Should secure mode)] は、リンク上でクリア トラフィックと暗号化トラフィックの両方を許可します。MACsec を展開する前に、 [マスト セキュア(must secure)] モードでのキーチェーンは影響を受けるリンクで展開する必要がありますまたはリンクがダウンします。たとえば、ポートをオンにできますで MACsec [マスト セキュア(must secure)] モードがピアがしているリンクでのキーチェーンを受信する前にします。この問題に対処するには、 MACsec を [セキュアモードを推奨(Should secure mode)] モードで展開し、すべてのリンクが起動したら、セキュリティモードを [マスト セキュア(must secure)]へ変更します。


(注)  

MACsec インターフェイスの設定変更は、パケットのドロップになります。

MACsec ポリシー定義のキーチェーンの定義に固有の設定と機能の機能に関連する設定で構成されています。キーチェーン定義と機能の機能の定義は、別のポリシーに配置されます。MACsec 1 ポッドあたりまたはインターフェイスごとの有効化には、キーチェーン ポリシーおよび MACsec 機能のポリシーを組み合わせることが含まれます。


(注)  

内部を使用して生成キーチェーンは、ユーザのキーチェーンを指定する必要はありません。

APIC アクセス MACsec

MACsec はリーフ スイッチ L3out インターフェイスと外部のデバイス間のリンクを保護するために使用します。APIC GUI および CLI のユーザを許可するで、MACsec キーとファブリック L3Out インターフェイスの設定を MacSec をプログラムを提供する物理/pc/vpc インターフェイスごと。ピアの外部デバイスが正しい MacSec 情報を使用してプログラムすることを確認するには、ユーザの責任です。

スイッチ プロファイルの注意事項および制約事項

MACsec は次のスイッチでサポートされます。

  • N9K-C93108TC-FX3P

  • N9K-C93108TC-FX3(6.0(5) リリース以降)

  • N9K-C93108TC-FX

  • N9K-C93180YC-FX3

  • N9K-C93180YC-FX

  • N9K-C93216TC-FX2

  • N9K-C93240YC-FX2

  • N9K-C9332C

  • N9K-C93360YC-FX2

  • N9K-C9336C-FX2

  • N9K-C9348GC-FXP、10G +のみ

  • N9K-C9364C

  • N9K-C9364D-GX2A

  • N9K-C9348D-GX2A

  • N9K-C9332D-GX2B

  • N9K-C9408(6.0(2) リリース以降)

MACsec は次のライン カードでサポートされます。

  • N9K-X9716D-GX

  • N9K-X9736C-FX

次の注意事項および制約事項に従って、スイッチで MACsec を設定します。

  • MACsec は10G QSA モジュールではサポートされていません。

  • MACsec はリーフ スイッチの 1G の速度ではサポート Cisco ACI されていません。

  • Cisco ACI リーフ スイッチとコンピュータホスト間の MACsec は、シスコによって検証されていません。スイッチ間モードは検証され、サポートされています。

  • MACsec は、ブレークアウト ポートでサポートされています。

  • MACsec はリモート リーフ スイッチでサポートされていません。

  • 銅線ポートを使用する場合、銅線ケーブルは 10G モードでピア デバイス(スタンドアロン N9k)に直接接続する必要があります。

  • ピアの 10G 銅線 SFP モジュールはサポートされません。

  • FEX ポートは MACsec ではサポートされません。

  • 値は、 must-secure モードは、ポッド レベルではサポートされていません。

  • 「default」という名前の MACsec ポリシーはサポートされていません。

  • 自動キー生成は、ファブリック ポートのポッド レベルでのみサポートされます。

  • そのノードのファブリック ポートが must-secure モードに構成されている影響を受けるインターフェイスでトラフィックがブロックされます。

  • MACsecを実行しているポッドへの新しいノードの追加またはポッド内のノードのステートレス再起動 must-secure モードでは、モードを以下に変更する必要があります。 should-secure ノードをポッドに参加させるためです。

  • ファブリック リンクが should-secure モードを使用しているか確認する場合、アップグレードまたはダウングレードを開始のみします。アップグレードまたはダウングレードが完了したら、モードを must-secureに変更します。  must-secure モードでのアップグレードまたは、ダウングレードは、ノードがファブリックへの接続を失います。接続損失から回復するには、ノードのファブリック リンクを should-secure モードで構成する必要があります。これは、 Cisco Application Policy Infrastructure Controller に表示されます(APIC)。ファブリックが MACsec をサポートしていないバージョンにダウングレードされた場合、ファブリック外のノードが クリーン リブートされる必要があります。

  • PC または vPC インターフェイスの場合、MACsec は PC または vPC インターフェイスごとのポリシー グループを使用して展開できます。ポート セレクタは、特定のポートのセットにポリシーを展開するために使用されます。したがって、L3Out インターフェイスに対応する正しいポート セレクタを作成する必要があります。

  • 構成をエクスポートする前に、 should-secure を使用して MACsec ポリシーを構成することをお勧めします。

  • スパイン スイッチ上のすべてのリンクは、ファブリック リンクと見なされます。ただし、スパイン スイッチ リンクを IPN 接続のために使用している場合、そのリンクはアクセス リンクとして扱われます。これらのリンクで MACsec を展開するには、MACsec アクセス ポリシーを使用する必要があります。

  • 5.2(3) リリースでは、 マルチポッド スパイン バックツーバック のサポートが追加されました。次の マルチポッド スパイン バックツーバック での MACsec には、次の注意事項および制約事項が適用されます。

    • バックツーバック リンクはファブリック リンクとして扱われます。スパイン バックツーバック リンクで MACsec を有効にする場合は、MACsec ファブリック ポリシーを作成する必要があります。

      MACsec ファブリックポリシーの作成については、 の「Configuring MACsec for Fabric Links Using the GUI」の手順を参照してください Cisco APIC レイヤ 2 ネットワーク設定ガイド

    • 両方のバックツーバック リンクで同じ MACsec ポリシーを使用する必要があります。ポッド ポリシーを使用した場合は、両方のポッドで同じ MACsec ポリシーを展開する必要があります。

  • リモート リーフ ファブリック リンクを IPN 接続に使用する場合、そのリンクはアクセス リンクとして扱われます。これらのリンクで MACsec を展開するには、MACsec アクセス ポリシーを使用する必要があります。

  • 次の must-secure モードを不適切に導入すると、ファブリックへの接続が失われる可能性があります。このような問題を防ぐために must-secure モードの展開 セクションの指示に従ってください。

  • 新しいキーが空のキーチェーンに追加されるか、アクティブなキーがキーチェーンから削除された場合、MACsec セッションの形成または切断に最大で 1 分かかります。

  • スパイン スイッチのライン カードまたはファブリック モジュールをリロードする前に、 must-secure リンクを should-secure モードに変更する必要があります。リロードが完了し、セッションが should-secure モードで現れた場合、モードを must-secureに変更します。

  • 暗号スイート AES 128 または Extended Packet Numbering(XPN)のない AES 256 を選択する場合は、Security Association Key(SAK)の有効期限を明示的に指定する必要があります。SAK の有効期限値をデフォルト(「無効」)のままにすると、インターフェイスがランダムにアウトオブサービスになる可能性があります。

  • フレームの順序が変更されるプロバイダーネットワーク上で MACsec の使用をサポートするには、リプレイウィンドウが必要です。ウィンドウ内のフレームは順不同で受信できますが、リプレイ保護されません。デフォルトのウィンドウ サイズは 64 です。リプレイ ウィンドウのサイズは、GUI または CLIを使用する場合、0 〜 232-1 Cisco APIC です。XPN 暗号スイートを使用する場合、リプレイ ウィンドウの最大サイズは 2 30-1です。そしてより大きなウィンドウサイズを構成すると、ウィンドウサイズは 2 30-1 と入力します。暗号スイートを非 XPN 暗号スイートに変更した場合、制限はなく、設定されたウィンドウ サイズが使用されます。

  • 5.2(2) リリース以降で Cisco N9K-X9716D-GX ライン カード ファブリック ポートで MACsec を使用していて、それを 5.2(2) より前のリリースにダウングレードした場合、そのような以前のリリースではこのラインカードで MACsec はサポートされません。ただし、MACsec がサポートされていないことによる障害は発生しません。このシナリオでは、ピア リーフ スイッチが MACsec をサポートしている場合、セッションはセキュアな状態で起動します。ただし、スパイン側では、セッションが保留中として表示されます。

  • リンクレベル フロー制御(LLFC)およびプライオリティ フロー制御(PFC)は、MACsec ではサポートされません。

  • Cisco APIC は、クライアントのインフラストラクチャを介した MACsec の受け渡しをサポートしていません。

must-secure モードの展開

  must-secure に構成されているポリシーを展開することで接続が失われる原因になることがあります。そのような問題を避けるため次の手順に従う必要があります。

  • MACsec must-secure モードに構成されている影響を受けるインターフェイスでトラフィックがブロックされます。これを確実にするために、 should-secure モードのポリシーを展開し、 MACsec セッションが予期されるリンクでアクティブになったら、モードを [must-secure]に変更します。

  •   must-secure に構成されている MACsec ポリシーでキーチェーンの交換を試行すると、リンクがダウンする原因となる可能性があります。この場合は、次の手順に従います:

    1. 新しいキーチェーンを使用している MACsec ポリシーを should-secure モードに変更する必要があります。

    2. 影響を受けるインターフェイスが should-secure モードを使用する場合、接続されるインターフェイスを確認します。

    3. 新しいキーチェーンを使用するように MACsec ポリシーを更新します。

    4. アクティブな MACsec セッションと関連するインターフェイスが新しいキーチェーンを使用していることを確認します。

    5. MACsec ポリシーを must-secure モードに変更します。

  •   must-secure モードで展開された MACsec ポリシーを無効化/削除するには、次の手順を実行します:

    1. MACsec ポリシーを should-secureに変更します。

    2. 影響を受けるインターフェイスが should-secure モードを使用しているか確認します。

    3. MACsec ポリシーを無効/削除します。

キーチェーンの定義

  • 開始時刻が [今(now)]のキーチェーンには、1 つのキーが必要です。  must-secure を、即座にアクティブになるキーを持たないキーチェーンで展開した場合、キーの時刻が来て MACsec セッションが開始されるまで、トラフィックはリンク上でブロックされます。  should-secure モードが使用されている場合、キーが現在になり、MACsec セッションが開始されるまでトラフィックが暗号化されます。

  • 終了時刻が [開始(infinite)]のキーチェーンに 1 個のキーが存在する必要があります。キーチェーンの期限が切れると、 must-secure モードに構成されている影響を受けるインターフェイスでトラフィックがブロックされます。  should-secure モードのために構成されたインターフェイスは、暗号化されていないトラフィックを送信します。

  • 終了時刻のオーバー ラップし、キーの間に移行すると、MACsec セッションを順番に使用されるキーの開始時刻が残っています。

GUI を使用したファブリック リンクの MACsec の構成

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [ファブリック ポリシー(Fabric Policies)] > [ポリシー(Policies)] > [MACsec] > [インターフェイス(Interfaces)]。次に ナビゲーション ペインで、 [インターフェイス(Interfaces)] を右クリックし、 [MACsec ファブリック インターフェイス ポリシーの作成(Create MACsec Fabric Interface Policy)] を開き、次のアクションを実行します:

  1.   [名前(Name)] フィールドに、MACsec ファブリック インターフェイス ポリシーの名前を入力します。

  2.   [MACsec パラメータ(MACsec Parameters)] フィールドで、以前に構成した MACsec パラメータ ポリシーを選択するか、新しいものを作成します。

  3.   [Macsec キーチェーン ポリシー(MACsec Keychain Policy)] フィールドで、以前に構成した MACsec パラメータ ポリシーを選択するか、新しいものを作成して、 [送信(Submit)]をクリックします。

      [Macsec キーチェーン ポリシー(MACsec Keychain Policy)]を作成するには、 GUI を使用した MACsec キーチェーン ポリシーの設定を参照します。

ステップ 2

次の [MACsec ファブリック インターフェイス ポリシー(MACsec Fabric Interface Policy)] [ナビゲーション(Navigation)] ペインで、ファブリック リーフまたはスパイン ポート ポリシー グループに適用するには、 [インターフェイス(Interfaces)] > [リーフ/スパイン(Leaf/Spine)][インターフェイス(Interfaces)] > [ポリシー グループ(Policy Group)] > [リーフ/スパイン(Leaf/Spine)][ポート ポリシー Group_(Port Policy Group_name)]をクリックします。次に [作業(Work)] ペインで、先ほど作成した [MACsec ファブリック インターフェイス ポリシー(MACsec Fabric Interface Policy)] を選択します。

ステップ 3

次の [MACsec ファブリック インターフェイス ポリシー(MACsec Fabric Interface Policy)] をポッド ポリシー グループへ適用するには、[ナビゲーション(Navigation)] ペインで、 [ポッド(Pods)] > [ポリシー グループ(Policy Group)] > [ポッド ポリシー Group_(Pod Policy Group_)][名前(name)]をクリックします。次に [作業(Work)] ペインで、 [MACsec ファブリック インターフェイス ポリシー(MACsec Fabric Interface Policy)] を選択します。

GUI を使用したアクセス リンクの MACsec の構成

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [外部アクセス ポリシー(External Access Policies)]をクリックします。次に [ナビゲーション(Navigation)] ペインで、 [ポリシー(Policies)] > [インターフェイス(Interface)] > [MACsec] > [インターフェイス(Interface)] をクリックし、 [インターフェイス(Interfaces)] を右クリックし、 [MACsec ファブリック インターフェイス ポリシーの作成(Create MACsec Fabric Interface Policy)] を開き、次のアクションを実行します:

  1.   [名前(Name)] フィールドに、MACsec アクセス インターフェイス ポリシーの名前を入力します。

  2.   [MACsec パラメータ(MACsec Parameters)] フィールドで、以前に構成した MACsec パラメータ ポリシーを選択するか、新しいものを作成します。

  3.   [Macsec キーチェーン ポリシー(MACsec Keychain Policy)] フィールドで、以前に構成した MACsec パラメータ ポリシーを選択するか、新しいものを作成して、 [送信(Submit)]をクリックします。

      [Macsec キーチェーン ポリシー(MACsec Keychain Policy)]を作成するには、 GUI を使用した MACsec キーチェーン ポリシーの設定を参照します。

ステップ 2

次の MACsec アクセス インターフェイス ポリシー を適用するには、 [インターフェイス(Interfaces)] > [リーフ/スパイン(Leaf/Spine)][インターフェイス(Interfaces)] > [ポリシー グループ(Policy Group)] > [リーフ/スパイン(Leaf/Spine)][ポリシー Group_(Policy Group_name)]をクリックします。次に 作業 ペインで、 [MACsec ファブリック インターフェイス ポリシー(MACsec Fabric Interface Policy)] を選択します。

APIC GUI を使用した MACsec パラメータの構成

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [アクセス ポリシー(Access Policies)]をクリックします。次に [ナビゲーション(Navigation)] ペインで、 [インターフェイス ポリシー(Interface Policies)] > [ポリシー(Policies)] をクリックし、次を開くために [MACsec ポリシー(MACsec policy)] 右クリックし、 [MACsec アクセス パラメータ ポリシーの作成(Create MACsec Access Parameters Policy)] を開き、次のアクションを実行します:

  1.   [名前(Name)] フィールドに、MACsec アクセス パラメータ ポリシーの名前を入力します。

  2.   [セキュリティ ポリシー(Security Policy)] フィールドで、暗号化されたトラフィックのモードを選択し、 [送信(Submit)]をクリックします。

    (注)  

     

      [マスト セキュア モード(Must Secure Mode)]で MACsec を展開する前にキーチェーンは、影響を受けるインターフェイスに導入する必要があります、またはインターフェイスがダウンします。

ステップ 2

ナビゲーション ペインでリーフ または、スパイン ポート ポリシー グループへ [MACsec アクセス パラメータ ポリシー(MACsec Access Parameters Policy)] を適用するには、 [インターフェイス ポリシー(Interface Policies)] > [ポリシー グループ(Policy Groups)] > [スパイン/リーフ ポリシー Group_()Spine/Leaf Policy Group_][名前(name)]を選択します。次に 作業 ペインで、 MACsec アクセス インターフェイス ポリシー を選択します。

GUI を使用した MACsec キーチェーン ポリシーの設定

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [ファブリック ポリシー(Fabric Policies)] > [ポリシー(Policies)] > [MACsec] > [キーチェイン(KeyChains)]をクリックします。  [ナビゲーション(Navigation)] ペインで、 [キーチェーン(KeyChains)] を右クリックして、 [Macsec キーチェーン ポリシーの作成(Create MACsec Keychain Policy)] を開き、次のアクションを実行します:

  1.   [名前(Name)] フィールドに、MACsec ファブリック インターフェイス ポリシーの名前を入力します。

  2. キー ポリシーを作成するために [MACsec キー ポリシー(MACsec Key Policy)] テーブルを展開します。

ステップ 2

  [MACsec キー ポリシー(MACsec Key Policy)] ダイアログ ボックスで、次の操作を実行します:

  1.   [名前(Name)] フィールドに、MACsec キー ポリシーの名前を入力します。

  2.   [キー名(Key Name)] フィールドにキーの名前を入力します(64 文字までの 16 進数)。

    (注)  

     

    キーチェーンあたり最大 64 のキーがサポートされています。

  3.   [事前共有キー(Pre-shared Key)] フィールドに、事前共有キーの情報を入力します。

    (注)  

     

    • 128 ビットの暗号スイートでは、32 文字の PSK だけが許可されます。

    • 256 ビットの暗号スイートでは、64 文字の PSK だけが許可されます。

  4.   [開始時刻(Start Time)] フィールドで、キーが有効になる日付を選択します。

  5.   [終了時間(End Time)] フィールドで、キーの有効期限が切れる日付を選択します。  [OK] コマンドと [送信(Submit)]をクリックします。

    (注)  

     

    キーチェーンで複数のキーを定義する場合には、古いキーから新しいキーへのスムーズな移行を確実にするために、キーの有効期間をオーバーラップさせて定義する必要があります。古いキーの endTime と新しいキーの startTime をオーバー ラップさせてください。

アクセス ポリシーでキーチェーン ポリシーを構成するには、メニュー バーで [ファブリック(Fabric)] > [外部アクセス ポリシー(External Access Policies)]をクリックします。  [ナビゲーション(Navigation)] ペインで、 [ポリシー(Policies)] > Interface > [MACsec] > [MACsec キーチェーン ポリシー(MACsec KeyChain Policies)] をクリックし、 [Macsec キーチェーン ポリシーの作成(Create MACsec Keychain Policy)] を右クリックして開き、上記の手順を実行します。

NX-OS スタイルの CLI を使用した MACsec の構成

手順

ステップ 1

アクセス インターフェイスの MACsec セキュリティ ポリシーの設定

例:

apic1# configure
apic1(config)#   template macsec access security-policy accmacsecpol1 
apic1(config-macsec-param)#     cipher-suite gcm-aes-128
apic1(config-macsec-param)#     conf-offset offset-30
apic1(config-macsec-param)#     description 'description for mac sec parameters'
apic1(config-macsec-param)#     key-server-priority 1
apic1(config-macsec-param)#     sak-expiry-time 110
apic1(config-macsec-param)#     security-mode must-secure
aapic1(config-macsec-param)#     window-size 1
apic1(config-macsec-param)#     exit
apic1(config)#

ステップ 2

アクセス インターフェイスの MACsec キー チェーンを設定します。

PSK は、2 通りの方法で構成できます:

(注)  

 

  • 下のキー 12ab に示すように、 psk-string コマンドを使用してインラインで設定します。PSK は、ログに記録され、公開されるため、安全ではありません。

  • 新しいコマンド Enter PSK stringを個別に入力します。 その後、ey ab12 で説明されているように、 psk-string コマンドを入力します。ローカルにエコーされるだけで、ログには記録されないため、PSK は安全です。

例:

apic1# configure
apic1(config)#   template macsec access keychain acckeychainpol1
apic1(config-macsec-keychain)#     description 'macsec key chain kc1'
apic1(config-macsec-keychain)#     key 12ab
apic1(config-macsec-keychain-key)#       life-time start 2017-09-19T12:03:15 end 2017-12-19T12:03:15
apic1(config-macsec-keychain-key)#       psk-string 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)#       exit
apic1(config-macsec-keychain)#     key ab12
apic1(config-macsec-keychain-key)#       life-time start now end infinite
apic1(config-macsec-keychain-key)#       life-time start now end infinite
apic1(config-macsec-keychain-key)# psk-string
Enter PSK string: 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)# exit
apic1(config-macsec-keychain)# exit
apic1(config)#

ステップ 3

アクセス インターフェイスの MACsec インターフェイス ポリシーを設定します:

例:

apic1# configure
apic1(config)#   template macsec access interface-policy accmacsecifpol1
apic1(config-macsec-if-policy)#     inherit macsec security-policy accmacsecpol1 keychain acckeychainpol1
apic1(config-macsec-if-policy)#     exit
apic1(config)#

ステップ 4

MACsec インターフェイス ポリシーをリーフ (またはスパイン) 上のアクセス ンターフェイスに関連付けます:

例:

apic1# configure
apic1(config)#   template macsec access interface-policy accmacsecifpol1
apic1(config-macsec-if-policy)#     inherit macsec security-policy accmacsecpol1 keychain acckeychainpol1
apic1(config-macsec-if-policy)#     exit
apic1(config)

ステップ 5

ファブリック インターフェイス用に MACsec セキュリティ ポリシーを構成します:

例:

apic1# configure
apic1(config)#   template macsec fabric security-policy fabmacsecpol1
apic1(config-macsec-param)#     cipher-suite gcm-aes-xpn-128
apic1(config-macsec-param)#     description 'description for mac sec parameters'
apic1(config-macsec-param)#     window-size 1
apic1(config-macsec-param)#     sak-expiry-time 100
apic1(config-macsec-param)#     security-mode must-secure
apic1(config-macsec-param)#     exit
apic1(config)#

ステップ 6

ファブリック インターフェイス用に MACsec キー チェーンを構成します:

PSK は、2 通りの方法で構成できます:

(注)  

 

  • 下のキー 12ab に示すように、 PSK 文字列 マンドを使用してインラインで設定します。PSK は、ログに記録され、公開されるため、安全ではありません。

  • 新しいコマンド Enter PSK stringを個別に入力します。 その後、キー ab12 で説明されているように、 psk-string コマンドを入力します。ローカルにエコーされるだけで、ログには記録されないため、PSK は安全です。

例:

apic1# configure
apic1(config)#   template macsec fabric security-policy fabmacsecpol1
apic1(config-macsec-param)#     cipher-suite gcm-aes-xpn-128
apic1(config-macsec-param)#     description 'description for mac sec parameters'
apic1(config-macsec-param)#     window-size 1
apic1(config-macsec-param)#     sak-expiry-time 100
apic1(config-macsec-param)#     security-mode must-secure
apic1(config-macsec-param)#     exit
apic1(config)#   template macsec fabric keychain fabkeychainpol1
apic1(config-macsec-keychain)#     description 'macsec key chain kc1'
apic1(config-macsec-keychain)#     key 12ab
apic1(config-macsec-keychain-key)#       psk-string 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)#       life-time start 2016-09-19T12:03:15 end 2017-09-19T12:03:15
apic1(config-macsec-keychain-key)#       exit
apic1(config-macsec-keychain)#     key cd78
apic1(config-macsec-keychain-key)# psk-string
Enter PSK string: 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)# life-time start now end infinite
apic1(config-macsec-keychain-key)# exit
apic1(config-macsec-keychain)# exit
apic1(config)#

ステップ 7

MACsec インターフェイス ポリシーをリーフ (またはスパイン) 上のファブリック ンターフェイスに関連付けます:

例:

apic1# configure
apic1(config)#   leaf 101
apic1(config-leaf)#     fabric-interface ethernet 1/52-53
apic1(config-leaf-if)#       inherit macsec interface-policy fabmacsecifpol2
apic1(config-leaf-if)#       exit
apic1(config-leaf)#