MACsec および IPsec 暗号化のサポート

MACsec および IPsec 暗号化のサポート

IR1101 の Cisco IOS XE 17.14.1 から、LAN ポートで MACsec を、WAN ポートで IPsec を設定して、機密性の高いトラフィックを保護できます。このトラフィックは DA 設備から移動します。IR1101 ルータは DA 設備に接続し、レイヤ 2 で MACsec 暗号化を使用し、LTE または WAN ポートを介して IPsec トンネルを作成できるようにします。


(注)  

シスコは、IR1101 の should secure MACsec モードのみをサポートしています。このモードでは、セキュアな状態でも暗号化されていないトラフィックが許可されます。

制限事項:

IR1101 は must secure モードをサポートしていません。

IPsec および MACsec の設定の詳細については、次のガイドを参照してください。

ソフトウェアによる MACsec

概要

既存のすべての Cisco IOS XE ベースのルータ/スイッチは、特殊なトランシーバを使用して MACsec 暗号化/暗号解読を実行します。このソフトウェア MACsec は、QFP の CDAL インフラストラクチャを使用して暗号化操作を実行します。ハードウェアの選択と比較すると、設定/ステータス/データパスの実行方法が異なるため、機能にいくつかの制限が生じます。

リリース 17.10.1a は、L2 インターフェイスでのみ MACsec をサポートします。MACsec ポートをアクセスモードにする必要があります。暗号化は出力 SVI インターフェイスで行われるため、ポートに使用される VLAN は一意である必要があります。つまり、他のインターフェイスはその VLAN を使用できません。この制限は、QFP に MAC テーブル情報がないために生じています。


(注)  
MACsec はソフトウェアを介して実行されるため、パフォーマンスは L2 インターフェイスのラインレートではありません。

(注)  

シスコでは、IR1101 の should secure MACsec モードのみをサポートしています。このモードでは、セキュアな状態でも暗号化されていないトラフィックが許可されます。

制限事項:

IR1101 は、must secure モードをサポートしていません。

出力パケットの場合、SVI は、特定のインターフェイスに関する情報はなく、パケットが VLAN に送信される必要があることのみを認識しています。どのポートを使用するかを決定するのはスイッチチップです。MACsec タグのないパケットはすべて、通常どおり受信できます。発信 L2 パケットも、暗号化や変更なしで出力されます。

NE ライセンスと NA ライセンスの両方が GCM-AES-128 をサポートしています。この機能は、実行中の NPE イメージでは使用できません。

MACsec プロトコルは、IEEE802.1AE で定義されています。

機能の制約事項

  • MACsec は、このリリースのコントローラモードではサポートされていません。

  • MACsec インターフェイスには一意の VLAN ID が必要です。

  • この初期リリースでは、gcm-aes-128 のみがサポートされています。

  • 入力側では、明示的および非明示的な SCI の両方がサポートされています。IR1101 はエンドシステムではないため、明示的な SCI パケットのみを送信します。

  • IR1101 は機密性オフセットをサポートしていません。

  • この最初のリリースでは、「完全性のみ」がサポートされていません。

  • gcm-aes-128 の場合、プレーンパケットと比較して、暗号化されたパケットには最大 32 バイトが追加されます。そのため、MTU セットアップは、正しく動作するために 32 を追加する必要があります。

  • MACsec キーは MKA モジュールによって管理されます。そのデバイスでは、MKA が MACsec キーをネゴシエートするために静的キーが必要です。

  • MIB のサポートはありません。

  • IP デバイストラッキング(IPDT)は、ホストとスイッチ間の MACsec 設定ではサポートされません。

関連資料

詳細については、次を参照してください。

MKA 設定の例

次の例を参照してください。

conf t
   aaa new-model
   mka policy p1
       key-server priority 1
       macsec-cipher-suite gcm-aes-128
       sak-rekey interval 3600
end
conf t 
   key chain cak1 macsec
      key 414243
         cryptographic-algorithm aes-128-cmac
         key-string 0 12345678901234567890123456789012
         lifetime local 00:00:00 29 November 2021 infinite
end
conf t
   int fa 0/0/2
      switchport mode access
      switchport access vlan 77
      mtu 1532
      mka policy p1
      mka pre-shared-key key-chain cak1
      macsec network-link
      macsec replay-protection window-size 128
end

コマンドの表示

cpp_cp 内部情報を表示します。

show platform hardware cpp active feature soft-macsec server tx [dp] [item]
show platform hardware cpp active feature soft-macsec server rx [dp] [item]
show platform hardware cpp active feature soft-macsec server control [dp] [item]

その他の show コマンド:

show macsec summary
show macsec status int fa 0/0/2
show macsec statistics int fa 0/0/2A

統計のクリア

Clear macsec statis int fa 0/0/2

テストコマンド

デバッグ用に 10 MKA パケットを出力します。

test platform software smacsec mka-ingress