MACsec の設定
この章では、Cisco NX-OS デバイスに MACsec を設定する手順について説明します。
MACsec について
Media Access Control Security(MACsec)である IEEE 802.1AE と MACsec Key Agreement(MKA)プロトコルは、イーサネット リンク上でセキュアな通信を提供します。次の機能があります。
-
ライン レート暗号化機能を提供します。
-
レイヤ 2 で強力な暗号化を提供することで、データの機密性を確保します。
-
整合性チェックを行い、転送中にデータを変更できないことを保証します。
-
中央集中型ポリシーを使用して選択的に有効にでき、MACsec 非対応コンポーネントがネットワークにアクセスできるようにしながら、必要に応じて適用することができます。
-
レイヤ 2 ではホップバイホップ ベースでパケットを暗号化します。これにより、ネットワークは、既存のポリシーに従って、トラフィックを検査、モニター、マーク、転送できます。その点で、パケットの内容をネットワーク デバイスから隠すエンドツーエンド レイヤ 3 暗号化技術とは異なっています。
キー ライフタイムおよびヒットレス キー ロールオーバー
MACsec キー チェーンには、キー ID とオプションのライフタイムが設定された複数の事前共有キー(PSK)を含めることができます。キーのライフタイムでは、キーがいつ有効になり、いつ期限切れになるかが指定されます。ライフタイム設定が存在しない場合は、無期限のデフォルト ライフタイムが使用されます。ライフタイムが構成されている場合に、ライフタイムの期限が切れると、MKA はキー チェーン内で次に構成された事前共有キーにロール オーバーします。キーのタイム ゾーンは、ローカルまたは UTC を指定できます。デフォルトの時間帯は UTC です。
MACsec キーチェーンを設定するには、MACsec キーチェーンとキーの設定を参照してください。
どのキーも、同じキーチェーンの中の 2 番目のキーにロールオーバーできます。 それには 2 番目のキーを構成し、最初のキーではライフタイムを構成します。最初のキーのライフタイムが期限切れになると、リスト内の次のキーに自動的にロールオーバーします。同一のキーがリンクの両側で同時に構成されていた場合、キーのロール オーバーはノーヒットになります。つまり、キーはトラフィックを中断せずにロールオーバーされます。
フォールバック キー
MACsec セッションは、キー/キー名(CKN)のミスマッチで、またはスイッチとピア間のキーの期限が切れて、失敗する可能性があります。MACsec セッションが失敗した場合、フォールバック キーが設定されていれば、フォールバック セッションが引き継ぐことができます。フォールバック セッションは、プライマリ セッションの障害によるダウンタイムを防止し、ユーザが障害の原因となっている主要な問題を修正できるようにします。フォールバック キーは、プライマリ セッションの開始に失敗した場合のバックアップ セッションも提供します。この機能はオプションです。
MACsec フォールバックキーを設定するには、MACsec フォールバック キーの設定を参照してください。
MACSec の注意事項と制約事項
MACsec に関する注意事項と制約事項は次のとおりです。
-
MACsec は、次のインターフェイス タイプでサポートされます。
-
レイヤ 2 スイッチポート(アクセスとトランク)access and trunk)
-
レイヤ 3 ルーテッド インターフェイス(サブインターフェイスなし)
(注)
レイヤ 3 ルーテッド インターフェイスで MACsec を有効にすると、そのインターフェイスで定義されているすべてのサブインターフェイスでも暗号化が有効になります。ただし、同じレイヤ 3 ルーテッド インターフェイスのサブインターフェイスのサブセットで MACsec を選択的に有効にすることはサポートされていません。
-
個々のレイヤ 2 およびレイヤ 3 ポート チャネル メンバー(サブインターフェイスなし)
-
-
Secure Channel Identified(SCI)エンコーディングは、Cisco Nexus 3600 シリーズ スイッチでは無効にできません。
-
リリース 10.x からダウングレードする場合、MACsec のサポートは Cisco Nexus ToR スイッチでは使用できません。
-
MKA は、MACsec でサポートされている唯一のキー交換プロトコルです。Security Association Protocol(SAP)はサポートされていません。
-
リンクレベル フロー制御(LLFC)およびプライオリティ フロー制御(PFC)は、MACsec ではサポートされません。
-
同じインターフェイスに対する複数の MACsec ピア(異なる SCI 値)はサポートされません。
-
macsec shutdown コマンドを使用して MACsec を無効にすると、MACsec 設定を保持できます。
-
MACsec セッションは、最新の Rx および最新の Tx フラグが Tx SA のインストール後に最初に廃止されたキーサーバからのパケットを受け入れるのに寛容です。MACsec セッションは、セキュアな状態に収束します。
-
Cisco NX-OS リリース 10.1(1) 以降では、ポリシーがインターフェイスによって参照されている間に MACSec ポリシーを変更できます。
-
Cisco Nexus リリース 10.1(1) 以降では、MACsec は Cisco Nexus N3KC3636C-R プラットフォーム スイッチでサポートされます。
-
N3K-C3636C-R:MACsec は、緑色でマークされた N3K-C3636C-R の次の 8 つのポートでサポートされます [ポート 29 ~ 36]。
(注)
Cisco Nexus N3K-C3636C-R プラットフォーム スイッチでは、MACsec がポートで構成済みまたは未構成の場合のどちらでも、MACsec セキュリティポリシー タイプに関係なく、ポートフラップが発生します。
-
Cisco Nexus 3600 シリーズ スイッチは、QSA が使用されている場合、MACsec 対応ポートで MACsec をサポートしません。
-
MACsec はブレークアウト ポートではサポートされません。また、MACsec が構成されている場合、N3K-C3636C-R のポート 29 からポート 36 までの 8 つのポートではブレークアウトがサポートされません。
-
MACsec ポリシーの conf-offset パラメータが動的に変更された場合、パケットは短期間ドロップされます。ポリシーがポートでアクティブでない場合は、静的構成でのみ conf-offset パラメータを変更してください。
-
Cisco Nexus リリース 10.3(3)F 以降、MACsec は Cisco N3K-C36180YC-R スイッチでサポートされますが、次の制限があります:
-
MACsec は、Eth1/49、Eth1/51、Eth1/52、Eth1/53、および Eth1/54 ポートでのみサポートされます。
-
Eth1/50 ポートでは MACsec がリンクをダウンさせるため、構成しないでください。
-
キーチェーンの制限:
-
MACsec キーのオクテット文字列は上書きできません。代わりに、新しいキーまたは新しいキーチェーンを作成する必要があります。
-
end または exit を入力すると、キーチェーンの新しいキーが設定されます。エディタ モードのデフォルトのタイムアウト値は 6 秒です。キーがキー オクテット文字列または 6 秒間の送信ライフタイムで設定されていない場合、MACsec セッションを起動するために不完全な情報が使用され、セッションが承認保留状態のままになる可能性があります。設定の完了後に MACsec セッションがコンバージされない場合は、ポートをシャットダウン/非シャットダウンすることをお勧めします。
-
指定したキーチェーンでは、キーの有効期間を重複させて、有効なキーの不在期間を避ける必要があります。キーがアクティブ化されない期間が発生すると、セッション ネゴシエーションが失敗し、トラフィックがドロップされる可能性があります。MACsec キー ロールオーバーでは、現在アクティブなキーの中で最も遅い開始時刻のキーが優先されます。
フォールバックの制限:
-
MACsecセッションが古いプライマリキーで保護されている場合、最新のアクティブなプライマリ キーが一致しない場合、フォールバック セッションには進みません。そのため、セッションは古いプライマリ キーで保護されたままになり、ステータスが古い CA のキー再生成として表示されます。プライマリ PSK の新しいキーの MACsec セッションは init 状態になります。
-
フォールバック キーチェーンでは、無期限のキーを 1 つだけ使用します。複数のキーはサポートされていません。
-
フォールバック キー チェーンで使用されるキー ID(CKN)は、プライマリ キー チェーンで使用されるキー ID(CKN)のいずれとも一致しないようにしてください。
-
一度設定すると、インターフェイスのすべての MACsec 設定が削除されない限り、インターフェイスのフォールバック設定は削除できません。
MACsec ポリシーの制限:
-
MACsec セッションがセキュアになる前に、BPDU パケットを送信できます。
レイヤ 2 トンネリング プロトコル(L2TP)の制限:
-
MACsec は、dot1q トンネリングまたは L2TP 用に設定されたポートではサポートされません。
-
非ネイティブ VLAN のトランク ポートで STP が有効になっている場合、L2TP は機能しません。
統計の制限:
-
MACsec モードと非 MACsec モード(通常のポート シャットダウン/非シャットダウン)の間の移行中に発生する CRC エラーはほとんどありません。
-
IEEE8021-SECY-MIB OID secyRxSAStatsOKPkts、secyTxSAStatsProtectedPkts、および secyTxSAStatsEncryptedPkts は最大 32 ビットのカウンタ値しか伝送できませんが、トラフィックは 32 ビットを超える可能性があります。
MACsec の有効化
MACsec および MKA コマンドにアクセスする前に、MACsec 機能を有効にする必要があります。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します |
|
ステップ 2 |
feature macsec 例: |
デバイスで MACsec および MKA を有効にします。 |
|
ステップ 3 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
MACsec の無効化
Cisco NX-OS リリース 10.1(1) 以降では、MACsec 機能を無効にしても、この機能が非アクティブ化されるだけで、関連する MACsec 設定は削除されません。
MACsec の無効化には、次の条件があります。
-
MACsec shutdown はグローバルコマンドであり、インターフェイス レベルでは使用できません。
-
macsec shutdown、show macsec mka session/summary、show macsec mka session detail、およびshow macsec mka/secy statisticsコマンドは、「Macsec is shutdown」メッセージを表示します。ただし、show macsec policy および show key chain コマンドは出力を表示します。
-
連続する MACsec ステータスが macsec shutdown から no macsec shutdown に変更された場合、またはその逆の場合は、ステータス変更の間に 30 秒の間隔が必要です。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します |
||
|
ステップ 2 |
macsec shutdown 例: |
デバイスの MACsec 設定を無効にします。no オプションは、MACsec 機能を復元します。 |
||
|
ステップ 3 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。この手順は、スイッチのリロード後に MACsec をシャットダウン状態に維持する場合にのみ必要です。
|
MACsec キーチェーンとキーの設定
デバイスに MACsec キーチェーンとキーを作成できます。
(注) |
MACsec キーチェーンのみが MKA セッションをコンバージします。 |
始める前に
MACsec が有効であることを確認します。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル設定モードを開始します。 |
||
|
ステップ 2 |
(任意) [no] key-chain macsec-psk no-show 例: |
(任意)
show running-config および show startup-config コマンドの出力で、暗号化されたキー オクテット文字列をワイルドカード文字に置き換えて非表示にします。デフォルトでは、PSK キーは暗号化形式で表示され、簡単に復号化できます。このコマンドは、MACsec キーチェーンにのみ適用されます。
|
||
|
ステップ 3 |
key chain namemacsec 例: |
MACSec キーチェーンを作成して MACSec キーのセットを保持し、MACSec キーチェーン設定モードを開始します。 |
||
|
ステップ 4 |
key key-id 例: |
MAC secキーを作成し、MACsec キー設定モードを開始します。範囲は 1〜32 オクテットで、最大サイズは 64 です。
|
||
|
ステップ 5 |
key-octet-string octet-string cryptographic-algorithm {AES_128_CMAC | AES_256_CMAC} 例: |
そのキーの octet ストリングを設定します。octet-string 引数には、最大 64 文字の 16 進数文字を含めることができます。octet キーは内部でエンコードされるため、クリア テキストのキーは show running-config macsec コマンドの出力に表示されません。 キーオクテット文字列には、次のものが含まれます。
|
||
|
ステップ 6 |
send-lifetime start-time duration duration 例: |
キーの送信ライフタイムを設定します。デフォルトでは、デバイスは開始時間を UTC として扱います。 start-time 引数は、キーがアクティブになる日時です。duration 引数はライフタイムの長さ(秒)です。最大値は 2147483646 秒(約 68 年)です。 |
||
|
ステップ 7 |
(任意) show key chain name 例: |
(任意)
キーチェーンの設定を表示します。 |
||
|
ステップ 8 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
MACsec フォールバック キーの設定
Cisco NX-OS リリース 10.1(1) 以降では、プライマリ セッションがスイッチとピア間のキー/キー名(CKN)のミスマッチまたはキーの有効期限の結果として失敗した場合にバックアップ セッションを開始するよう、デバイスのフォールバック キーを設定できます。
始める前に
MACsec が有効になっており、プライマリおよびフォールバック キーチェーンとキー ID が設定されていることを確認します。「MACsec キーチェーンとキーの設定」を参照してください。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
interface name 例: |
設定するインターフェイスを指定します。インターフェイス タイプと ID を指定できます。イーサネット ポートの場合は、「ethernet slot / port」を使用します。 |
||
|
ステップ 3 |
macsec keychain keychain-name policy policy-name fallback-keychain keychain-name 例: |
キー/キー ID のミスマッチまたはキーの期限切れによる MACsec セッションの失敗後に使用するフォールバック キーチェーンを指定します。フォールバックキー ID は、プライマリ キーチェーンのキー ID と一致してはなりません。 フォールバック キーチェーン名を変更して同じコマンドを再発行することで、MACsec 設定を削除せずに、各インターフェイスのフォールバック キーチェーン設定を対応するインターフェイスで変更できます。
「MACsec キーチェーンとキーの設定」を参照してください。 |
||
|
ステップ 4 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
MACsec ポリシーの設定
異なるパラメータを使用して複数の MACSec ポリシーを作成できます。しかし、1 つのインターフェイスでアクティブにできるポリシーは 1 つのみです。
始める前に
MACsec が有効であることを確認します。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
|
ステップ 2 |
macsec policy name 例: |
MACsec ポリシーを作成します。 |
|
ステップ 3 |
cipher-suite name 例: |
次のいずれかの暗号方式を構成します。 GCM-AES-128、GCM-AES-256、GCM-AES-XPN-128、または GCM-AES-XPN-256。 |
|
ステップ 4 |
key-server-priority number 例: |
キー交換中はピア間の接続が解除されるように、キー サーバのプライオリティを設定します。範囲は0(最高)〜 255(最低)で、デフォルト値は 16 です。 |
|
ステップ 5 |
security-policy name 例: |
次のいずれかのセキュリティ ポリシーを設定して、データおよび制御パケットの処理を定義します。
|
|
ステップ 6 |
window-size number 例: |
インターフェイスが、設定されたウィンドウ サイズ未満のパケットを受け入れないように、再生保護ウィンドウを設定します。範囲は 0 ~ 596000000 です。 |
|
ステップ 7 |
sak-expiry-time time 例: |
SAK キー再生成を強制する時間を秒単位で設定します。このコマンドを使用して、セッション キーを予測可能な時間間隔に変更できます。デフォルトは 0 です。 |
|
ステップ 8 |
conf-offset name 例: |
暗号化を開始するレイヤ 2 フレームの機密性オフセットの 1 つとして、CONF-OFFSET-0、CONF-OFFSET-30、またはCONF-OFFSET-50 のいずれかを設定します。 このコマンドは、中間スイッチがパケット ヘッダー {dmac、smac、etype} を MPLS タグのように使用するために必要です。 |
|
ステップ 9 |
(任意) show macsec policy 例: |
(任意)
MACSec ポリシー設定を表示します。 |
|
ステップ 10 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
PSK のローテーション
手順
|
ステップ 1 |
no sak-expiry-time コマンドを使用して、MACsec ポリシーから SAK 期限切れタイマーを削除します。 設定内のポリシーの数だけ、SAK の有効期限タイマーを削除する必要があります。インターフェイスごとに削除する必要はありません。ポリシーを 1 つだけ定義してすべてのインターフェイスに適用した場合は、このポリシーからのみ SAK の有効期限タイマーを削除する必要があります。 |
|
ステップ 2 |
2 分間待機します。 |
|
ステップ 3 |
key key-id コマンドを使用して、キーチェーンの下に新しいキーをプログラムします。 |
|
ステップ 4 |
新しいキーとのセッションがセキュア化されたら、no key key-id コマンドを使用して古いキーを削除します。 |
|
ステップ 5 |
2 分間待機します。 |
|
ステップ 6 |
sak-expiry-timer 60 コマンドを使用して、SAK キー再生成タイマーを MACsec ポリシーに追加します。 |
MACsec 設定の確認
MACsec 設定情報を表示するには、次のいずれかの作業を実行します。
|
コマンド |
目的 |
|---|---|
|
show key chain name |
キーチェーンの設定を表示します。 |
|
show macsec mka session [interface type slot/port] [detail] |
特定のインターフェイスまたはすべてのインターフェイスの MACsec MKA セッションに関する情報を表示します。 |
|
show macsec mka session details |
MAC アドレスに関する情報を表示します。 |
|
show macsec mka summary |
MACsec MKA 設定を表示します。 |
|
show macsec policy [policy-name] |
特定の MACsec ポリシーまたはすべての MACsec ポリシーの設定を表示します。 |
|
show running-config macsec |
MACsec の実行コンフィギュレーション情報を表示します。 |
次に、すべてのインターフェイスの MACsec MKA セッションに関する情報を表示する例を示します。
switch(config)# show macsec mka session
Interface Local-TxSCI # Peers Status Key-Server Auth Mode
------------------ -------------------------------- ------------------ ------------------ ------------------ ------------------
Ethernet1/29 6c8b.d3db.e968/0001 1 Secured No PRIMARY-PSK
Ethernet1/30 6c8b.d3db.e96c/0001 1 Secured No PRIMARY-PSK
Ethernet1/31 6c8b.d3db.e970/0001 1 Secured Yes PRIMARY-PSK
Ethernet1/32 6c8b.d3db.e974/0001 1 Secured Yes PRIMARY-PSK
Ethernet1/33 6c8b.d3db.e978/0001 1 Secured Yes PRIMARY-PSK
Ethernet1/34 6c8b.d3db.e97c/0001 1 Secured Yes PRIMARY-PSK
Ethernet1/35 6c8b.d3db.e980/0001 1 Secured Yes PRIMARY-PSK
Ethernet1/36 6c8b.d3db.e984/0001 1 Secured No PRIMARY-PSK
------------------ -------------------------------- ------------------ ------------------ ------------------ ------------------
Total Number of Sessions : 8
Secured Sessions : 8
Pending Sessions : 0
switch(config)# 次に、特定のインターフェイスの MACsec MKA セッションに関する情報を表示する例を示します。前の例で説明したテーブルの一般的な要素に加えて、現在の MACsec セッション タイプを定義する認証モードも示します。
switch(config)# show macsec mka session interface e1/35
Interface Local-TxSCI # Peers Status Key-Server Auth Mode
------------------ -------------------------------- ------------------ ------------------ ------------------ ------------------
Ethernet1/35 6c8b.d3db.e980/0001 1 Secured Yes PRIMARY-PSK
switch(config)# 次に、特定のイーサネット インターフェイスの MACsec MKA セッションに関する詳細情報を表示する例を示します。
switch(config)# show macsec mka session interface e1/35 details
Detailed Status for MKA Session
-----------------------------------
Interface Name : Ethernet1/35
Session Status : SECURED - Secured MKA Session with MACsec
Local Tx-SCI : 6c8b.d3db.e980/0001
Local Tx-SSCI : 2
MKA Port Identifier : 2
CAK Name (CKN) : 2006
CA Authentication Mode : PRIMARY-PSK
Member Identifier (MI) : 50BE8367F1C6D0AB1C442229
Message Number (MN) : 1048
MKA Policy Name : mpsr1
Key Server Priority : 1
Key Server : Yes
Include ICV : Yes
SAK Cipher Suite : GCM-AES-128
SAK Cipher Suite (Operational) : GCM-AES-128
Replay Window Size : 148809600
Confidentiality Offset : CONF-OFFSET-30
Confidentiality Offset (Operational): CONF-OFFSET-30
Latest SAK Status : Rx & TX
Latest SAK AN : 0
Latest SAK KI : 50BE8367F1C6D0AB1C44222900000021
Latest SAK KN : 33
Last SAK key time : 11:23:53 pst Tue Dec 15 2020
CA Peer Count : 1
Eapol dest mac : 0180.c200.0003
Ether-type : 0x888e
Peer Status:
Peer MI : 37AFE73EC8617FD32F70E21A
RxSCI : 6c8b.d3db.e984/0001
Peer CAK : Match
Latest Rx MKPDU : 11:24:52 pst Tue Dec 15 2020
Fallback Data:
Fallback CKN : FB2004
Fallback MI : 849D72D5F6A900F5B0718C78
Fallback MN : 0x3d6
Fallback Peer:
Peer MI : 8DCE8CBE67B474D2C2955F58
RxSCI : 6c8b.d3db.e984/0001
Peer CAK : Match
Latest Rx MKPDU : 11:24:52 pst Tue Dec 15 2020
switch(config)# 次に、MACsec MKA 設定を表示する例を示します。
switch# show macsec mka summary
Interface MACSEC-policy Keychain
------------------ -------------------------------- ------------------------
Ethernet2/13 1 1/10000000000000000
Ethernet2/14 1 1/10000000000000000
switch# 次に、すべての MACsec ポリシーの設定を表示する例を示します。
switch# show macsec policy
MACSec Policy Cipher Pri Window Offset Security SAK Rekey time ICV Indicator
-------------------------------- ---------------- ---- ------------ -------- --------------
-------------- -------------
system-default-macsec-policy GCM-AES-XPN-256 16 148809600 0 should-secure
pn-rollover FALSE
tests1 GCM-AES-XPN-256 16 148809600 0 should-secure
pn-rollover FALSE
tests2 GCM-AES-XPN-256 16 148809600 0 should-secure
pn-rollover FALSE
tests3 GCM-AES-256 16 148809600 0 should-secure
pn-rollover FALSE次の例では、key-chain macsec-psk no-show コマンドが構成されていない場合に show running-config および show startup-config コマンドの出力のキー オクテット文字列を表示します:
key chain KC256-1 macsec
key 2000
key-octet-string 7 075e701e1c5a4a5143475e5a527d7c7c706a6c724306170103555a5c57510b051e47080
a05000101005e0e50510f005c4b5f5d0b5b070e234e4d0a1d0112175b5e cryptographic-algorithm AES_256_CMAC
次の例では、key-chain macsec-psk no-show コマンドが構成されている場合に show running-config および show startup-config コマンドの出力のキー オクテット文字列を表示します:
key chain KC256-1 macsec
key 2000
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
MACsec 統計の表示
次のコマンドを使用して、MACsec 統計情報を表示できます。
|
コマンド |
目的 |
|---|---|
|
show macsec mka statistics [interface type slot/port] |
MACsec MKA 統計情報を表示します。 |
|
show macsec secy statistics [interface type slot/port] |
MACsec セキュリティ統計情報を表示します。 |
次に、特定のイーサネット インターフェイスの MACsec MKA 統計情報の例を示します。
switch# show macsec mka statistics interface ethernet 1/29
MKA Statistics for Session on interface (Ethernet1/29)
=======================================================
CA Statistics
Pairwise CAK Rekeys..... 0
SA Statistics
SAKs Generated.......... 0
SAKs Rekeyed............ 0
SAKs Received........... 0
SAK Responses Received.. 0
MKPDU Statistics
MKPDUs Transmitted...... 41
"Distributed SAK".. 0
MKPDUs Validated & Rx... 41
"Distributed SAK".. 0
MKA IDB Statistics
MKPDUs Tx Success.......... 82
MKPDUs Tx Fail............. 0
MKPDUS Tx Pkt build fail... 0
MKPDUS No Tx on intf down.. 0
MKPDUS No Rx on intf down.. 0
MKPDUs Rx CA Not found..... 0
MKPDUs Rx Error............ 0
MKPDUs Rx Success.......... 82
MKPDU Failures
MKPDU Rx Validation ..................... 0
MKPDU Rx Bad Peer MN..................... 0
MKPDU Rx Non-recent Peerlist MN.......... 0
MKPDU Rx Drop SAKUSE, KN mismatch........ 0
MKPDU Rx Drop SAKUSE, Rx Not Set......... 0
MKPDU Rx Drop SAKUSE, Key MI mismatch.... 0
MKPDU Rx Drop SAKUSE, AN Not in Use...... 0
MKPDU Rx Drop SAKUSE, KS Rx/Tx Not Set... 0
MKPDU Rx Drop Packet, Ethertype Mismatch. 0
MKPDU Rx Drop Packet, DestMAC Mismatch... 0
SAK Failures
SAK Generation................... 0
Hash Key Generation.............. 0
SAK Encryption/Wrap.............. 0
SAK Decryption/Unwrap............ 0
CA Failures
ICK Derivation................... 0
KEK Derivation................... 0
Invalid Peer MACsec Capability... 0
MACsec Failures
Rx SA Installation............... 0
Tx SA Installation............... 0
switch(config)#
次に、特定のイーサネット インターフェイスの MACsec セキュリティ統計情報を表示する例を示します。
(注) |
Rx および Tx 統計情報の非制御パケットと制御パケットには、次の違いがあります。
|
switch(config)# show macsec secy statistics interface e1/29
Interface Ethernet1/29 MACSEC SecY Statistics:
--------------------------------------------
Interface Rx Statistics:
Unicast Uncontrolled Pkts: 8067779
Multicast Uncontrolled Pkts: 14
Broadcast Uncontrolled Pkts: 0
Uncontrolled Pkts - Rx Drop: 0
Uncontrolled Pkts - Rx Error: 0
Unicast Controlled Pkts: N/A (N3K-C3636C-R not supported)
Multicast Controlled Pkts: N/A (N3K-C3636C-R not supported)
Broadcast Controlled Pkts: N/A (N3K-C3636C-R not supported)
Controlled Pkts: 8056748
Controlled Pkts - Rx Drop: N/A (N3K-C3636C-R not supported)
Controlled Pkts - Rx Error: N/A (N3K-C3636C-R not supported)
In-Octets Uncontrolled: 37641828280 bytes
In-Octets Controlled: 37324295914 bytes
Input rate for Uncontrolled Pkts: N/A (N3K-C3636C-R not supported)
Input rate for Uncontrolled Pkts: N/A (N3K-C3636C-R not supported)
Input rate for Controlled Pkts: N/A (N3K-C3636C-R not supported)
Input rate for Controlled Pkts: N/A (N3K-C3636C-R not supported)
Interface Tx Statistics:
Unicast Uncontrolled Pkts: N/A (N3K-C3636C-R not supported)
Multicast Uncontrolled Pkts: N/A (N3K-C3636C-R not supported)
Broadcast Uncontrolled Pkts: N/A (N3K-C3636C-R not supported)
Uncontrolled Pkts - Rx Drop: N/A (N3K-C3636C-R not supported)
Uncontrolled Pkts - Rx Error: N/A (N3K-C3636C-R not supported)
Unicast Controlled Pkts: N/A (N3K-C3636C-R not supported)
Multicast Controlled Pkts: N/A (N3K-C3636C-R not supported)
Broadcast Controlled Pkts: N/A (N3K-C3636C-R not supported)
Controlled Pkts: 8049279
Controlled Pkts - Rx Drop: N/A (N3K-C3636C-R not supported)
Controlled Pkts - Rx Error: N/A (N3K-C3636C-R not supported)
Out-Octets Uncontrolled: N/A (N3K-C3636C-R not supported)
Out-Octets Controlled: 37262189352 bytes
Out-Octets Common: 37699748491 bytes
Output rate for Uncontrolled Pkts: N/A (N3K-C3636C-R not supported)
Output rate for Uncontrolled Pkts: N/A (N3K-C3636C-R not supported)
Output rate for Controlled Pkts: N/A (N3K-C3636C-R not supported)
Output rate for Controlled Pkts: N/A (N3K-C3636C-R not supported)
SECY Rx Statistics:
Transform Error Pkts: N/A (N3K-C3636C-R not supported)
Control Pkts: 0
Untagged Pkts: N/A (N3K-C3636C-R not supported)
No Tag Pkts: 0
Bad Tag Pkts: 0
No SCI Pkts: 0
Unknown SCI Pkts: 0
Tagged Control Pkts: N/A (N3K-C3636C-R not supported)
SECY Tx Statistics:
Transform Error Pkts: N/A (N3K-C3636C-R not supported)
Control Pkts: 0
Untagged Pkts: N/A (N3K-C3636C-R not supported)
SAK Rx Statistics for AN [0]:
Unchecked Pkts: 0
Delayed Pkts: 0
Late Pkts: 0
OK Pkts: 8056748
Invalid Pkts: 0
Not Valid Pkts: 0
Not-Using-SA Pkts: 0
Unused-SA Pkts: 0
Decrypted In-Octets: 36952542946 bytes
Validated In-Octets: 0 bytes
SAK Tx Statistics for AN [0]:
Encrypted Protected Pkts: 8049279
Too Long Pkts: N/A (N3K-C3636C-R not supported)
SA-not-in-use Pkts: N/A (N3K-C3636C-R not supported)
Encrypted Protected Out-Octets: 36909704659 bytes
switch(config)# MACsec の設定例
次に、ユーザ定義の MACsec ポリシーを設定し、そのポリシーをインターフェイスに適用する例を示します。
switch(config)# macsec policy mpsr1
switch(config-macsec-policy)# cipher-suite GCM-AES-128
switch(config-macsec-policy)# key-server-priority 1
switch(config-macsec-policy)# window-size 1000
switch(config-macsec-policy)# conf-offset CONF-OFFSET-30
switch(config-macsec-policy)# security-policy must-secure
switch(config-macsec-policy)# sak-expiry-time 60
switch(config-macsec-policy)# include-icv-indicator
switch(config-macsec-policy)# interface e1/35-36
switch(config-if-range)# macsec keychain ksr policy mpsr1
switch(config-if-range)# show macsec mka session
Interface Local-TxSCI # Peers Status Key-Server Auth Mode
------------------ -------------------------------- ------------------ ------------------ ------------------ ------------------
Ethernet1/35 6c8b.d3db.e980/0001 1 Secured Yes PRIMARY-PSK
Ethernet1/36 6c8b.d3db.e984/0001 1 Secured No PRIMARY-PSK
------------------ -------------------------------- ------------------ ------------------ ------------------ ------------------
switch(config-if-range)# show macsec mka summary
Interface Status Cipher (Operational) Key-Server MACSEC-policy Keychain Fallback-keychain
------------------ -------- ---------------------- ------------ -------------------------------- -------------------------------- --------------------------------
Ethernet1/35 Secured GCM-AES-128 Yes mpsr1 ksr no keychain
Ethernet1/36 Secured GCM-AES-128 No mpsr1 ksr no keychain
switch(config-if-range)# show running-config macsec
!Command: show running-config macsec
!Running configuration last done at: Tue Dec 15 11:41:53 2020
!Time: Tue Dec 15 11:45:06 2020
version 10.1(1) Bios:version 01.14
feature macsec
macsec policy mpsr1
cipher-suite GCM-AES-128
key-server-priority 1
window-size 1000
conf-offset CONF-OFFSET-30
sak-expiry-time 60
include-icv-indicator
interface Ethernet1/35
macsec keychain ksr policy mpsr1
interface Ethernet1/36
macsec keychain ksr policy mpsr1次に、MACsec キーチェーンを設定し、インターフェイスにシステムデフォルトの MACsecポリシーを追加する例を示します。
switch(config)# key chain ksr macsec
switch(config-macseckeychain)# key 2006
switch(config-macseckeychain-macseckey)# key-octet-string 1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef cryptographic-algorithm AES_256_CMAC
switch(config-macseckeychain-macseckey)# interface e1/35-36
switch(config-if-range)# macsec keychain ksr
switch(config-if-range)# show running-config macsec
!Command: show running-config macsec
!Running configuration last done at: Tue Dec 15 11:53:10 2020
!Time: Tue Dec 15 11:54:40 2020
version 10.1(1) Bios:version 01.14
feature macsec
interface Ethernet1/35
macsec keychain ksr policy system-default-macsec-policy
interface Ethernet1/36
macsec keychain ksr policy system-default-macsec-policy
switch(config-if-range)# show macsec mka summary
Interface Status Cipher (Operational) Key-Server MACSEC-policy Keychain Fallback-keychain
------------------ -------- ---------------------- ------------ -------------------------------- -------------------------------- --------------------------------
Ethernet1/35 Secured GCM-AES-XPN-256 Yes system-default-macsec-policy ksr no keychain
Ethernet1/36 Secured GCM-AES-XPN-256 No system-default-macsec-policy ksr no keychain
switch(config-if-range)# show macsec mka session
Interface Local-TxSCI # Peers Status Key-Server Auth Mode
------------------ -------------------------------- ------------------ ------------------ ------------------ ------------------
Ethernet1/35 6c8b.d3db.e980/0001 1 Secured Yes PRIMARY-PSK
Ethernet1/36 6c8b.d3db.e984/0001 1 Secured No PRIMARY-PSK
------------------ -------------------------------- ------------------ ------------------ ------------------ ------------------
Total Number of Sessions : 2
Secured Sessions : 2
Pending Sessions : 0
switch(config-if-range)#XML の例
MACsec は、| xml を使用したスクリプト用に次の show コマンドの XML 出力をサポートします。
-
show key chain name | xml
-
show macsec mka session interface interface slot/port details |xml
-
show macsec mka statistics interface interface slot/port |xml
-
show macsec mka summary |xml
-
show macsec policy name |xml
-
show macsec secy statistics interface interface slot/port |xml
-
show running-config macsec |xml
次に、上記の各 show コマンドの出力例を示します。
例 1:キーチェーンの構成を表示します
switch(config)# show key chain "ksr" | xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<nf:rpc-reply xmlns="http://www.cisco.com/nxos:1.0:rpm" xmlns:nf="urn:ietf:params:xml:ns:netconf:base:1.0">
<nf:data>
<show>
<key>
<chain>
<__XML__OPT_Cmd_rpm_show_keychain_cmd_keychain>
<keychain>ksr</keychain>
<__XML__OPT_Cmd_rpm_show_keychain_cmd___readonly__>
<__readonly__>
<TABLE_keychain>
<ROW_keychain>
<chain_name>ksr</chain_name>
<TABLE_key>
<ROW_key>
<key_id>2006</key_id>
<key_string>075e731f1a5c4f524f4b5b0d06292f212e62677147524054590f095951570a061e470b0b030604020c520b07055b5301155756085f535976141759180714160e0a</key_string>
<crypto_algo>AES_256_CMAC</crypto_algo>
<send_valid>true</send_valid>
</ROW_key>
</TABLE_key>
</ROW_keychain>
</TABLE_keychain>
</__readonly__>
</__XML__OPT_Cmd_rpm_show_keychain_cmd___readonly__>
</__XML__OPT_Cmd_rpm_show_keychain_cmd_keychain>
</chain>
</key>
</show>
</nf:data>
</nf:rpc-reply>
]]>]]>
switch(config)# 例 2:特定のインターフェイスの MACsec MKA セッションに関する情報を表示します
switch(config)# show macsec mka session interface e1/35 details | xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<nf:rpc-reply xmlns="http://www.cisco.com/nxos:1.0:cts" xmlns:nf="urn:ietf:params:xml:ns:netconf:base:1.0">
<nf:data>
<show>
<macsec>
<mka>
<session>
<__XML__OPT_Cmd_show_macsec_mka_session_interface>
<interface>
<__XML__INTF_ifname>
<__XML__PARAM_value>
<__XML__INTF_output>Ethernet1/35</__XML__INTF_output>
</__XML__PARAM_value>
</__XML__INTF_ifname>
</interface>
<__XML__OPT_Cmd_show_macsec_mka_session_details>
<details/>
<__XML__OPT_Cmd_show_macsec_mka_session___readonly__>
<__readonly__>
<TABLE_mka_session_details>
<ROW_mka_session_details>
<ifname>Ethernet1/35</ifname>
<status>SECURED - Secured MKA Session with MACsec</status>
<sci>6c8b.d3db.e980/0001</sci>
<ssci>2</ssci>
<port_id>2</port_id>
<ckn>2006</ckn>
<ca_auth_mode>PRIMARY-PSK</ca_auth_mode>
<mi>5AABE0AB9CC867AB0FF40F7D</mi>
<mn>3550</mn>
<policy>system-default-macsec-policy</policy>
<ks_prio>16</ks_prio>
<keyserver>Yes</keyserver>
<include_icv_indicator>No</include_icv_indicator>
<cipher>GCM-AES-XPN-256</cipher>
<cipher_operational>GCM-AES-XPN-256</cipher_operational>
<window>148809600</window>
<conf_offset>CONF-OFFSET-0</conf_offset>
<conf_offset_operational>CONF-OFFSET-0</conf_offset_operational>
<sak_status>Rx & TX</sak_status>
<sak_an>0</sak_an>
<sak_ki>5AABE0AB9CC867AB0FF40F7D00000001</sak_ki>
<sak_kn>1</sak_kn>
<last_sak_rekey_time>11:53:25 pst Tue Dec 15 2020</last_sak_rekey_time>
<peer_count>1</peer_count>
<mac_addr>0180.c200.0003</mac_addr>
<ether_type>0x888e</ether_type>
<TABLE_mka_peer_status>
<ROW_mka_peer_status>
<peer_mi>27FC36C2BFAFBDBC65419A40</peer_mi>
<rxsci>6c8b.d3db.e984/0001</rxsci>
<icv_status>Match</icv_status>
<last_rx_time>13:51:39 pst Tue Dec 15 2020</last_rx_time>
</ROW_mka_peer_status>
</TABLE_mka_peer_status>
</ROW_mka_session_details>
</TABLE_mka_session_details>
</__readonly__>
</__XML__OPT_Cmd_show_macsec_mka_session___readonly__>
</__XML__OPT_Cmd_show_macsec_mka_session_details>
</__XML__OPT_Cmd_show_macsec_mka_session_interface>
</session>
</mka>
</macsec>
</show>
</nf:data>
</nf:rpc-reply>
]]>]]>
switch(config)# 例 3:MACsec MKA 統計を表示します
switch(config)# show macsec mka statistics interface e1/29 | xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<nf:rpc-reply xmlns="http://www.cisco.com/nxos:1.0:cts" xmlns:nf="urn:ietf:params:xml:ns:netconf:base:1.0">
<nf:data>
<show>
<macsec>
<mka>
<statistics>
<__XML__OPT_Cmd_some_macsec_mka_statistics_interface>
<interface>
<__XML__INTF_ifname>
<__XML__PARAM_value>
<__XML__INTF_output>Ethernet1/29</__XML__INTF_output>
</__XML__PARAM_value>
</__XML__INTF_ifname>
</interface>
<__XML__OPT_Cmd_some_macsec_mka_statistics___readonly__>
<__readonly__>
<TABLE_mka_intf_stats>
<ROW_mka_intf_stats>
<ifname2>Ethernet1/29</ifname2>
<TABLE_ca_stats>
<ROW_ca_stats>
<ca_stat_ckn>2002</ca_stat_ckn>
<ca_stat_pairwise_cak_rekey>0</ca_stat_pairwise_cak_rekey>
<sa_stat_sak_generated>0</sa_stat_sak_generated>
<sa_stat_sak_rekey>0</sa_stat_sak_rekey>
<sa_stat_sak_received>2</sa_stat_sak_received>
<sa_stat_sak_response_rx>0</sa_stat_sak_response_rx>
<mkpdu_stat_mkpdu_tx>4335</mkpdu_stat_mkpdu_tx>
<mkpdu_stat_mkpdu_tx_distsak>0</mkpdu_stat_mkpdu_tx_distsak>
<mkpdu_stat_mkpdu_rx>4335</mkpdu_stat_mkpdu_rx>
<mkpdu_stat_mkpdu_rx_distsak>2</mkpdu_stat_mkpdu_rx_distsak>
</ROW_ca_stats>
</TABLE_ca_stats>
<TABLE_idb_stats>
<ROW_idb_stats>
<ca_stat_pairwise_cak_rekey>0</ca_stat_pairwise_cak_rekey>
<sa_stat_sak_generated>0</sa_stat_sak_generated>
<sa_stat_sak_rekey>0</sa_stat_sak_rekey>
<sa_stat_sak_received>2</sa_stat_sak_received>
<sa_stat_sak_response_rx>0</sa_stat_sak_response_rx>
<mkpdu_stat_mkpdu_tx>4335</mkpdu_stat_mkpdu_tx>
<mkpdu_stat_mkpdu_tx_distsak>0</mkpdu_stat_mkpdu_tx_distsak>
<mkpdu_stat_mkpdu_rx>4335</mkpdu_stat_mkpdu_rx>
<mkpdu_stat_mkpdu_rx_distsak>2</mkpdu_stat_mkpdu_rx_distsak>
<idb_stat_mkpdu_tx_success>8666</idb_stat_mkpdu_tx_success>
<idb_stat_mkpdu_tx_fail>0</idb_stat_mkpdu_tx_fail>
<idb_stat_mkpdu_tx_pkt_build_fail>0</idb_stat_mkpdu_tx_pkt_build_fail>
<idb_stat_mkpdu_no_tx_on_intf_down>0</idb_stat_mkpdu_no_tx_on_intf_down>
<idb_stat_mkpdu_no_rx_on_intf_down>0</idb_stat_mkpdu_no_rx_on_intf_down>
<idb_stat_mkpdu_rx_ca_notfound>0</idb_stat_mkpdu_rx_ca_notfound>
<idb_stat_mkpdu_rx_error>0</idb_stat_mkpdu_rx_error>
<idb_stat_mkpdu_rx_success>8666</idb_stat_mkpdu_rx_success>
<idb_stat_mkpdu_failure_rx_integrity_check_error>0</idb_stat_mkpdu_failure_rx_integrity_check_error>
<idb_stat_mkpdu_failure_invalid_peer_mn_error>0</idb_stat_mkpdu_failure_invalid_peer_mn_error>
<idb_stat_mkpdu_failure_nonrecent_peerlist_mn_error>0</idb_stat_mkpdu_failure_nonrecent_peerlist_mn_error>
<idb_stat_mkpdu_failure_sakuse_kn_mismatch_error>0</idb_stat_mkpdu_failure_sakuse_kn_mismatch_error>
<idb_stat_mkpdu_failure_sakuse_rx_not_set_error>0</idb_stat_mkpdu_failure_sakuse_rx_not_set_error>
<idb_stat_mkpdu_failure_sakuse_key_mi_mismatch_error>0</idb_stat_mkpdu_failure_sakuse_key_mi_mismatch_error>
<idb_stat_mkpdu_failure_sakuse_an_not_in_use_error>0</idb_stat_mkpdu_failure_sakuse_an_not_in_use_error>
<idb_stat_mkpdu_failure_sakuse_ks_rx_tx_not_set_error>0</idb_stat_mkpdu_failure_sakuse_ks_rx_tx_not_set_error>
<idb_stat_mkpdu_failure_sakuse_eapol_ethertype_mismatch_error>0</idb_stat_mkpdu_failure_sakuse_eapol_ethertype_mismatch_error>
<idb_stat_mkpdu_failure_sakuse_eapol_destmac_mismatch_error>0</idb_stat_mkpdu_failure_sakuse_eapol_destmac_mismatch_error>
<idb_stat_sak_failure_sak_generate_error>0</idb_stat_sak_failure_sak_generate_error>
<idb_stat_sak_failure_hash_generate_error>0</idb_stat_sak_failure_hash_generate_error>
<idb_stat_sak_failure_sak_encryption_error>0</idb_stat_sak_failure_sak_encryption_error>
<idb_stat_sak_failure_sak_decryption_error>0</idb_stat_sak_failure_sak_decryption_error>
<idb_stat_sak_failure_ick_derivation_error>0</idb_stat_sak_failure_ick_derivation_error>
<idb_stat_sak_failure_kek_derivation_error>0</idb_stat_sak_failure_kek_derivation_error>
<idb_stat_sak_failure_invalid_macsec_capability_error>0</idb_stat_sak_failure_invalid_macsec_capability_error>
<idb_stat_macsec_failure_rx_sa_create_error>0</idb_stat_macsec_failure_rx_sa_create_error>
<idb_stat_macsec_failure_tx_sa_create_error>0</idb_stat_macsec_failure_tx_sa_create_error>
</ROW_idb_stats>
</TABLE_idb_stats>
</ROW_mka_intf_stats>
</TABLE_mka_intf_stats>
</__readonly__>
</__XML__OPT_Cmd_some_macsec_mka_statistics___readonly__>
</__XML__OPT_Cmd_some_macsec_mka_statistics_interface>
</statistics>
</mka>
</macsec>
</show>
</nf:data>
</nf:rpc-reply>
]]>]]>
switch(config)#例 4:MACsec MKA 構成を表示します
switch(config)# show macsec mka summary | xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<nf:rpc-reply xmlns="http://www.cisco.com/nxos:1.0:cts" xmlns:nf="urn:ietf:params:xml:ns:netconf:base:1.0">
<nf:data>
<show>
<macsec>
<mka>
<__XML__OPT_Cmd_some_macsec_summary>
<__XML__OPT_Cmd_some_macsec___readonly__>
<__readonly__>
<TABLE_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/29</ifname>
<status>Secured</status>
<cipher>GCM-AES-128</cipher>
<keyserver>No</keyserver>
<policy>mpd1</policy>
<keychain>kd</keychain>
<fallback_keychain>fbkd</fallback_keychain>
</ROW_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/30</ifname>
<status>Secured</status>
<cipher>GCM-AES-128</cipher>
<keyserver>No</keyserver>
<policy>mpd2</policy>
<keychain>kd</keychain>
<fallback_keychain>fbkd</fallback_keychain>
</ROW_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/31</ifname>
<status>Secured</status>
<cipher>GCM-AES-128</cipher>
<keyserver>Yes</keyserver>
<policy>mps1</policy>
<keychain>ks</keychain>
<fallback_keychain>fbks</fallback_keychain>
</ROW_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/32</ifname>
<status>Secured</status>
<cipher>GCM-AES-128</cipher>
<keyserver>Yes</keyserver>
<policy>mps2</policy>
<keychain>ks</keychain>
<fallback_keychain>fbks</fallback_keychain>
</ROW_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/33</ifname>
<status>Secured</status>
<cipher>GCM-AES-128</cipher>
<keyserver>Yes</keyserver>
<policy>mpsr1</policy>
<keychain>ksr</keychain>
<fallback_keychain>fbksr</fallback_keychain>
</ROW_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/34</ifname>
<status>Secured</status>
<cipher>GCM-AES-128</cipher>
<keyserver>Yes</keyserver>
<policy>mpsr2</policy>
<keychain>ksr</keychain>
<fallback_keychain>fbksr</fallback_keychain>
</ROW_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/35</ifname>
<status>Secured</status>
<cipher>GCM-AES-XPN-256</cipher>
<keyserver>Yes</keyserver>
<policy>system-default-macsec-policy</policy>
<keychain>ksr</keychain>
<fallback_keychain>no keychain</fallback_keychain>
</ROW_mka_summary>
<ROW_mka_summary>
<ifname>Ethernet1/36</ifname>
<status>Secured</status>
<cipher>GCM-AES-XPN-256</cipher>
<keyserver>No</keyserver>
<policy>system-default-macsec-policy</policy>
<keychain>ksr</keychain>
<fallback_keychain>no keychain</fallback_keychain>
</ROW_mka_summary>
</TABLE_mka_summary>
</__readonly__>
</__XML__OPT_Cmd_some_macsec___readonly__>
</__XML__OPT_Cmd_some_macsec_summary>
</mka>
</macsec>
</show>
</nf:data>
</nf:rpc-reply>
]]>]]>
switch(config)# 例 5:特定の MACsec ポリシーの構成を表示します
switch(config)# show macsec policy mpsr1 | xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<nf:rpc-reply xmlns="http://www.cisco.com/nxos:1.0:cts" xmlns:nf="urn:ietf:params:xml:ns:netconf:base:1.0">
<nf:data>
<show>
<macsec>
<policy>
<__XML__OPT_Cmd_show_macsec_policy_policy_name>
<policy_name>mpsr1</policy_name>
<__XML__OPT_Cmd_show_macsec_policy___readonly__>
<__readonly__>
<TABLE_macsec_policy>
<ROW_macsec_policy>
<name>mpsr1</name>
<cipher_suite>GCM-AES-128</cipher_suite>
<keyserver_priority>1</keyserver_priority>
<window_size>1000</window_size>
<conf_offset>30</conf_offset>
<security_policy>should-secure</security_policy>
<sak-expiry-time>60</sak-expiry-time>
<include_icv_indicator>TRUE</include_icv_indicator>
</ROW_macsec_policy>
</TABLE_macsec_policy>
</__readonly__>
</__XML__OPT_Cmd_show_macsec_policy___readonly__>
</__XML__OPT_Cmd_show_macsec_policy_policy_name>
</policy>
</macsec>
</show>
</nf:data>
</nf:rpc-reply>
]]>]]>
switch(config)# 例 6:MACsec セキュリティ統計を表示します
switch(config)# show macsec secy statistics interface e1/29 | xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<nf:rpc-reply xmlns="http://www.cisco.com/nxos:1.0:cts" xmlns:nf="urn:ietf:params:xml:ns:netconf:base:1.0">
<nf:data>
<show>
<macsec>
<secy>
<statistics>
<__XML__OPT_Cmd_some_macsec_secy_statistics_interface>
<interface>
<__XML__INTF_ifname>
<__XML__PARAM_value>
<__XML__INTF_output>Ethernet1/29</__XML__INTF_output>
</__XML__PARAM_value>
</__XML__INTF_ifname>
</interface>
<__XML__OPT_Cmd_some_macsec_secy_statistics___readonly__>
<__readonly__>
<TABLE_statistics>
<ROW_statistics>
<ifname2>Ethernet1/29</ifname2>
<in_pkts_unicast_uncontrolled>6536205587</in_pkts_unicast_uncontrolled>
<in_pkts_multicast_uncontrolled>10775</in_pkts_multicast_uncontrolled>
<in_pkts_broadcast_uncontrolled>0</in_pkts_broadcast_uncontrolled>
<in_rx_drop_pkts_uncontrolled>0</in_rx_drop_pkts_uncontrolled>
<in_rx_err_pkts_uncontrolled>0</in_rx_err_pkts_uncontrolled>
<in_pkts_unicast_controlled>N/A (N3K-C3636C-R not supported)</in_pkts_unicast_controlled>
<in_pkts_multicast_controlled>N/A (N3K-C3636C-R not supported)</in_pkts_multicast_controlled>
<in_pkts_broadcast_controlled>N/A (N3K-C3636C-R not supported)</in_pkts_broadcast_controlled>
<in_pkts_controlled>5173107800</in_pkts_controlled>
<in_rx_drop_pkts_controlled>N/A (N3K-C3636C-R not supported)</in_rx_drop_pkts_controlled>
<in_rx_err_pkts_controlled>N/A (N3K-C3636C-R not supported)</in_rx_err_pkts_controlled>
<in_octets_uncontrolled>30491280431357</in_octets_uncontrolled>
<in_octets_controlled>23935220809548</in_octets_controlled>
<input_rate_uncontrolled_pps>N/A (N3K-C3636C-R not supported)</input_rate_uncontrolled_pps>
<input_rate_uncontrolled_bps>N/A (N3K-C3636C-R not supported)</input_rate_uncontrolled_bps>
<input_rate_controlled_pps>N/A (N3K-C3636C-R not supported)</input_rate_controlled_pps>
<input_rate_controlled_bps>N/A (N3K-C3636C-R not supported)</input_rate_controlled_bps>
<out_pkts_unicast_uncontrolled>N/A (N3K-C3636C-R not supported)</out_pkts_unicast_uncontrolled>
<out_pkts_multicast_uncontrolled>N/A (N3K-C3636C-R not supported)</out_pkts_multicast_uncontrolled>
<out_pkts_broadcast_uncontrolled>N/A (N3K-C3636C-R not supported)</out_pkts_broadcast_uncontrolled>
<out_rx_drop_pkts_uncontrolled>N/A (N3K-C3636C-R not supported)</out_rx_drop_pkts_uncontrolled>
<out_rx_err_pkts_uncontrolled>N/A (N3K-C3636C-R not supported)</out_rx_err_pkts_uncontrolled>
<out_pkts_unicast_controlled>N/A (N3K-C3636C-R not supported)</out_pkts_unicast_controlled>
<out_pkts_multicast_controlled>N/A (N3K-C3636C-R not supported)</out_pkts_multicast_controlled>
<out_pkts_broadcast_controlled>N/A (N3K-C3636C-R not supported)</out_pkts_broadcast_controlled>
<out_pkts_controlled>5173113173</out_pkts_controlled>
<out_rx_drop_pkts_controlled>N/A (N3K-C3636C-R not supported)</out_rx_drop_pkts_controlled>
<out_rx_err_pkts_controlled>N/A (N3K-C3636C-R not supported)</out_rx_err_pkts_controlled>
<out_octets_uncontrolled>N/A (N3K-C3636C-R not supported)</out_octets_uncontrolled>
<out_octets_controlled>23946219872208</out_octets_controlled>
<out_octets_common>30664229104600</out_octets_common>
<output_rate_uncontrolled_pps>N/A (N3K-C3636C-R not supported)</output_rate_uncontrolled_pps>
<output_rate_uncontrolled_bps>N/A (N3K-C3636C-R not supported)</output_rate_uncontrolled_bps>
<output_rate_controlled_pps>N/A (N3K-C3636C-R not supported)</output_rate_controlled_pps>
<output_rate_controlled_bps>N/A (N3K-C3636C-R not supported)</output_rate_controlled_bps>
<in_pkts_transform_error>N/A (N3K-C3636C-R not supported)</in_pkts_transform_error>
<in_pkts_control>0</in_pkts_control>
<in_pkts_untagged>N/A (N3K-C3636C-R not supported)</in_pkts_untagged>
<in_pkts_no_tag>0</in_pkts_no_tag>
<in_pkts_badtag>0</in_pkts_badtag>
<in_pkts_no_sci>0</in_pkts_no_sci>
<in_pkts_unknown_sci>0</in_pkts_unknown_sci>
<in_pkts_tagged_ctrl>N/A (N3K-C3636C-R not supported)</in_pkts_tagged_ctrl>
<out_pkts_transform_error>N/A (N3K-C3636C-R not supported)</out_pkts_transform_error>
<out_pkts_control>0</out_pkts_control>
<out_pkts_untagged>N/A (N3K-C3636C-R not supported)</out_pkts_untagged>
<TABLE_rx_sa_an>
<ROW_rx_sa_an>
<rx_sa_an>2</rx_sa_an>
<in_pkts_unchecked>0</in_pkts_unchecked>
<in_pkts_delayed>0</in_pkts_delayed>
<in_pkts_late>0</in_pkts_late>
<in_pkts_ok>1951781408</in_pkts_ok>
<in_pkts_invalid>0</in_pkts_invalid>
<in_pkts_not_valid>0</in_pkts_not_valid>
<in_pkts_not_using_sa>0</in_pkts_not_using_sa>
<in_pkts_unused_sa>0</in_pkts_unused_sa>
<in_octets_decrypted>8952613134278</in_octets_decrypted>
<in_octets_validated>0</in_octets_validated>
</ROW_rx_sa_an>
</TABLE_rx_sa_an>
<TABLE_tx_sa_an>
<ROW_tx_sa_an>
<tx_sa_an>2</tx_sa_an>
<out_pkts_encrypted_protected>1951773387</out_pkts_encrypted_protected>
<out_pkts_too_long>N/A (N3K-C3636C-R not supported)</out_pkts_too_long>
<out_pkts_sa_not_inuse>N/A (N3K-C3636C-R not supported)</out_pkts_sa_not_inuse>
<out_octets_encrypted_protected>8952606203313</out_octets_encrypted_protected>
</ROW_tx_sa_an>
</TABLE_tx_sa_an>
</ROW_statistics>
</TABLE_statistics>
</__readonly__>
</__XML__OPT_Cmd_some_macsec_secy_statistics___readonly__>
</__XML__OPT_Cmd_some_macsec_secy_statistics_interface>
</statistics>
</secy>
</macsec>
</show>
</nf:data>
</nf:rpc-reply>
]]>]]>
switch(config)#例 7:MACsec の実行構成情報を表示します
switch(config)# show running-config macsec | xml
!Command: show running-config macsec
!Running configuration last done at: Tue Dec 15 11:53:10 2020
!Time: Tue Dec 15 13:58:58 2020
version 10.1(1) Bios:version 01.14
******************************************
This may take time. Please be patient.
******************************************
<?xml version="1.0"?>
<nf:rpc xmlns:nf="urn:ietf:params:xml:ns:netconf:base:1.0" xmlns="http://www.cisco.com/nxos:10.1.1.:configure_" xmlns:m="http://www.cisco.com/nxos:10.1.1.:_exec"
xmlns:m1="http://www.cisco.com/nxos:10.1.1.:configure__macsec-policy" xmlns:m2="http://www.cisco.com/nxos:10.1.1.:configure__if-ethernet-all" message-id="1">
<nf:get-config>
<nf:source>
<nf:running/>
</nf:source>
<nf:filter>
<m:configure>
<m:terminal>
<feature>
<macsec/>
</feature>
<macsec>
<policy>
<__XML__PARAM__policy_name>
<__XML__value>mpd1</__XML__value>
<m1:cipher-suite>
<m1:__XML__PARAM__suite>
<m1:__XML__value>GCM-AES-128</m1:__XML__value>
</m1:__XML__PARAM__suite>
</m1:cipher-suite>
<m1:conf-offset>
<m1:__XML__PARAM__offset>
<m1:__XML__value>CONF-OFFSET-30</m1:__XML__value>
</m1:__XML__PARAM__offset>
</m1:conf-offset>
</__XML__PARAM__policy_name>
</policy>
</macsec>
<macsec>
<policy>
<__XML__PARAM__policy_name>
<__XML__value>mpd2</__XML__value>
<m1:cipher-suite>
<m1:__XML__PARAM__suite>
<m1:__XML__value>GCM-AES-128</m1:__XML__value>
</m1:__XML__PARAM__suite>
</m1:cipher-suite>
<m1:conf-offset>
<m1:__XML__PARAM__offset>
<m1:__XML__value>CONF-OFFSET-30</m1:__XML__value>
</m1:__XML__PARAM__offset>
</m1:conf-offset>
<m1:security-policy>
<m1:__XML__PARAM__policy>
<m1:__XML__value>must-secure</m1:__XML__value>
</m1:__XML__PARAM__policy>
</m1:security-policy>
</__XML__PARAM__policy_name>
</policy>
</macsec>
<macsec>
<policy>
<__XML__PARAM__policy_name>
<__XML__value>mps1</__XML__value>
<m1:cipher-suite>
<m1:__XML__PARAM__suite>
<m1:__XML__value>GCM-AES-128</m1:__XML__value>
</m1:__XML__PARAM__suite>
</m1:cipher-suite>
<m1:key-server-priority>
<m1:__XML__PARAM__pri>
<m1:__XML__value>1</m1:__XML__value>
</m1:__XML__PARAM__pri>
</m1:key-server-priority>
<m1:conf-offset>
<m1:__XML__PARAM__offset>
<m1:__XML__value>CONF-OFFSET-30</m1:__XML__value>
</m1:__XML__PARAM__offset>
</m1:conf-offset>
<m1:sak-expiry-time>
<m1:__XML__PARAM__ts>
<m1:__XML__value>60</m1:__XML__value>
</m1:__XML__PARAM__ts>
</m1:sak-expiry-time>
<m1:include-icv-indicator/>
</__XML__PARAM__policy_name>
</policy>
</macsec>
<macsec>
<policy>
<__XML__PARAM__policy_name>
<__XML__value>mps2</__XML__value>
<m1:cipher-suite>
<m1:__XML__PARAM__suite>
<m1:__XML__value>GCM-AES-128</m1:__XML__value>
</m1:__XML__PARAM__suite>
</m1:cipher-suite>
<m1:key-server-priority>
<m1:__XML__PARAM__pri>
<m1:__XML__value>1</m1:__XML__value>
</m1:__XML__PARAM__pri>
</m1:key-server-priority>
<m1:window-size>
<m1:__XML__PARAM__size>
<m1:__XML__value>1000</m1:__XML__value>
</m1:__XML__PARAM__size>
</m1:window-size>
<m1:conf-offset>
<m1:__XML__PARAM__offset>
<m1:__XML__value>CONF-OFFSET-30</m1:__XML__value>
</m1:__XML__PARAM__offset>
</m1:conf-offset>
<m1:security-policy>
<m1:__XML__PARAM__policy>
<m1:__XML__value>must-secure</m1:__XML__value>
</m1:__XML__PARAM__policy>
</m1:security-policy>
<m1:sak-expiry-time>
<m1:__XML__PARAM__ts>
<m1:__XML__value>60</m1:__XML__value>
</m1:__XML__PARAM__ts>
</m1:sak-expiry-time>
<m1:include-icv-indicator/>
</__XML__PARAM__policy_name>
</policy>
</macsec>
<macsec>
<policy>
<__XML__PARAM__policy_name>
<__XML__value>mpsr1</__XML__value>
<m1:cipher-suite>
<m1:__XML__PARAM__suite>
<m1:__XML__value>GCM-AES-128</m1:__XML__value>
</m1:__XML__PARAM__suite>
</m1:cipher-suite>
<m1:key-server-priority>
<m1:__XML__PARAM__pri>
<m1:__XML__value>1</m1:__XML__value>
</m1:__XML__PARAM__pri>
</m1:key-server-priority>
<m1:window-size>
<m1:__XML__PARAM__size>
<m1:__XML__value>1000</m1:__XML__value>
</m1:__XML__PARAM__size>
</m1:window-size>
<m1:conf-offset>
<m1:__XML__PARAM__offset>
<m1:__XML__value>CONF-OFFSET-30</m1:__XML__value>
</m1:__XML__PARAM__offset>
</m1:conf-offset>
<m1:sak-expiry-time>
<m1:__XML__PARAM__ts>
<m1:__XML__value>60</m1:__XML__value>
</m1:__XML__PARAM__ts>
</m1:sak-expiry-time>
<m1:include-icv-indicator/>
</__XML__PARAM__policy_name>
</policy>
</macsec>
<macsec>
<policy>
<__XML__PARAM__policy_name>
<__XML__value>mpsr2</__XML__value>
<m1:cipher-suite>
<m1:__XML__PARAM__suite>
<m1:__XML__value>GCM-AES-128</m1:__XML__value>
</m1:__XML__PARAM__suite>
</m1:cipher-suite>
<m1:key-server-priority>
<m1:__XML__PARAM__pri>
<m1:__XML__value>1</m1:__XML__value>
</m1:__XML__PARAM__pri>
</m1:key-server-priority>
<m1:window-size>
<m1:__XML__PARAM__size>
<m1:__XML__value>1000</m1:__XML__value>
</m1:__XML__PARAM__size>
</m1:window-size>
<m1:conf-offset>
<m1:__XML__PARAM__offset>
<m1:__XML__value>CONF-OFFSET-30</m1:__XML__value>
</m1:__XML__PARAM__offset>
</m1:conf-offset>
<m1:security-policy>
<m1:__XML__PARAM__policy>
<m1:__XML__value>must-secure</m1:__XML__value>
</m1:__XML__PARAM__policy>
</m1:security-policy>
<m1:sak-expiry-time>
<m1:__XML__PARAM__ts>
<m1:__XML__value>60</m1:__XML__value>
</m1:__XML__PARAM__ts>
</m1:sak-expiry-time>
<m1:include-icv-indicator/>
</__XML__PARAM__policy_name>
</policy>
</macsec>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/29</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>kd</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>mpd1</m2:__XML__value>
<m2:fallback-keychain>
<m2:__XML__PARAM__fallback_kc_name>
<m2:__XML__value>fbkd</m2:__XML__value>
</m2:__XML__PARAM__fallback_kc_name>
</m2:fallback-keychain>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/30</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>kd</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>mpd2</m2:__XML__value>
<m2:fallback-keychain>
<m2:__XML__PARAM__fallback_kc_name>
<m2:__XML__value>fbkd</m2:__XML__value>
</m2:__XML__PARAM__fallback_kc_name>
</m2:fallback-keychain>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/31</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>ks</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>mps1</m2:__XML__value>
<m2:fallback-keychain>
<m2:__XML__PARAM__fallback_kc_name>
<m2:__XML__value>fbks</m2:__XML__value>
</m2:__XML__PARAM__fallback_kc_name>
</m2:fallback-keychain>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/32</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>ks</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>mps2</m2:__XML__value>
<m2:fallback-keychain>
<m2:__XML__PARAM__fallback_kc_name>
<m2:__XML__value>fbks</m2:__XML__value>
</m2:__XML__PARAM__fallback_kc_name>
</m2:fallback-keychain>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/33</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>ksr</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>mpsr1</m2:__XML__value>
<m2:fallback-keychain>
<m2:__XML__PARAM__fallback_kc_name>
<m2:__XML__value>fbksr</m2:__XML__value>
</m2:__XML__PARAM__fallback_kc_name>
</m2:fallback-keychain>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/34</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>ksr</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>mpsr2</m2:__XML__value>
<m2:fallback-keychain>
<m2:__XML__PARAM__fallback_kc_name>
<m2:__XML__value>fbksr</m2:__XML__value>
</m2:__XML__PARAM__fallback_kc_name>
</m2:fallback-keychain>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/35</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>ksr</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>system-default-macsec-policy</m2:__XML__value>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
<interface>
<__XML__PARAM__interface>
<__XML__value>Ethernet1/36</__XML__value>
<m2:macsec>
<m2:keychain>
<m2:__XML__PARAM__keychain_name>
<m2:__XML__value>ksr</m2:__XML__value>
<m2:policy>
<m2:__XML__PARAM__policy_name>
<m2:__XML__value>system-default-macsec-policy</m2:__XML__value>
</m2:__XML__PARAM__policy_name>
</m2:policy>
</m2:__XML__PARAM__keychain_name>
</m2:keychain>
</m2:macsec>
</__XML__PARAM__interface>
</interface>
</m:terminal>
</m:configure>
</nf:filter>
</nf:get-config>
</nf:rpc>
]]>]]>
switch(config)#MIB
MACsec は次の MIB をサポートします。
-
IEEE8021-SECY-MIB
-
CISCO-SECY-EXT-MIB
フィードバック