MACsec

この章の内容は、次のとおりです。

MACsec について

MACsec は、IEEE 802.1AE 規格ベースのレイヤ 2 ホップバイホップ暗号化であり、これにより、メディア アクセス非依存プロトコルに対してデータの機密性と完全性を確保できます。

MACsec は、暗号化キーにアウトオブバンド方式を使用して、有線ネットワーク上で MAC レイヤの暗号化を提供します。MACsec Key Agreement(MKA)プロトコルでは、必要なセッション キーを提供し、必要な暗号化キーを管理します。

802.1 ae MKA と暗号化はリンク、つまり、リンク (ネットワーク アクセス デバイスと、PC か IP 電話機などのエンドポイント デバイス間のリンク) が直面しているホストのすべてのタイプでサポートされますかにリンクが接続されている他のスイッチまたはルータ。

MACsec は、イーサネット パケットの送信元および宛先 MAC アドレスを除くすべてのデータを暗号化します。ユーザは、送信元と宛先の MAC アドレスの後に最大 50 バイトの暗号化をスキップするオプションもあります。

WAN またはメトロ イーサネット上に MACsec サービスを提供するために、サービス プロバイダーは、Ethernet over Multiprotocol Label Switching(EoMPLS)および L2TPv3 などのさまざまなトランスポート レイヤ プロトコルを使用して、E-Line や E-LAN などのレイヤ 2 透過サービスを提供しています。

EAP-over-LAN(EAPOL)プロトコル データ ユニット(PDU)のパケット本体は、MACsec Key Agreement PDU(MKPDU)と呼ばれます。3 回のハートビート後(各ハートビートは 2 秒)に参加者から MKPDU を受信しなかった場合、ピアはライブ ピア リストから削除されます。たとえば、クライアントが接続を解除した場合、スイッチ上の参加者はクライアントから最後の MKPDU を受信した後、3 回のハートビートが経過するまで MKA の動作を継続します。

APIC ファブリック MACsec

APIC はまたは責任を負う MACsec キーチェーン ディストリビューションのポッド内のすべてのノードに特定のポートのノードになります。サポートされている MACsec キーチェーンし、apic 内でサポートされている MACsec ポリシー ディストリビューションのとおりです。

  • 単一ユーザ提供キーチェーンと 1 ポッドあたりポリシー

  • ユーザが提供されるキーチェーンとファブリック インターフェイスごとのユーザが提供されるポリシー

  • 自動生成されたキーチェーンおよび 1 ポッドあたりのユーザが提供されるポリシー

ノードは、複数のポリシーは、複数のファブリック リンクの導入を持つことができます。これが発生すると、ファブリック インターフェイスごとキーチェーンおよびポリシーが優先して指定の影響を受けるインターフェイス。自動生成されたキーチェーンと関連付けられている MACsec ポリシーでは、最も優先度から提供されます。

APIC MACsec では、2 つのセキュリティ モードをサポートしています。MACsec セキュリティで保護する必要があります 中に、リンクの暗号化されたトラフィックのみを許可する セキュリティで保護する必要があります により、両方のクリアし、リンク上のトラフィックを暗号化します。MACsec を展開する前に セキュリティで保護する必要があります モードでのキーチェーンは影響を受けるリンクで展開する必要がありますまたはリンクがダウンします。たとえば、ポートをオンにできますで MACsec セキュリティで保護する必要があります モードがピアがしているリンクでのキーチェーンを受信する前にします。MACsec を導入することが推奨されて、この問題に対処する セキュリティで保護する必要があります モードとリンクの 1 回すべてにセキュリティ モードを変更 セキュリティで保護する必要があります


(注)  

MACsec インターフェイスの設定変更は、パケットのドロップになります。

MACsec ポリシー定義のキーチェーンの定義に固有の設定と機能の機能に関連する設定で構成されています。キーチェーン定義と機能の機能の定義は、別のポリシーに配置されます。MACsec 1 ポッドあたりまたはインターフェイスごとの有効化には、キーチェーン ポリシーおよび MACsec 機能のポリシーを組み合わせることが含まれます。


(注)  

内部を使用して生成キーチェーンは、ユーザのキーチェーンを指定する必要はありません。

APIC アクセス MACsec

MACsec はリーフ スイッチ L3out インターフェイスと外部のデバイス間のリンクを保護するために使用します。APIC GUI および CLI のユーザを許可するで、MACsec キーとファブリック L3Out インターフェイスの設定を MacSec をプログラムを提供する物理/pc/vpc インターフェイスごと。ピアの外部デバイスが正しい MacSec 情報を使用してプログラムすることを確認するには、ユーザの責任です。

MACSec の注意事項と制約事項

次の注意事項と制約事項に従って MACSec を設定します。

  • Fex ポートは MACsec ではサポートされていません。

  • ポッド レベルでは、必須セキュア モードはサポートされていません。

  • 「デフォルト」名の MACsec ポリシーはサポートされていません。

  • 自動キー生成はファブリック ポートのポッド レベルでのみサポートされます。

  • MACSEC はリモート リーフではサポートされていません。

  • そのノードのファブリック ポートが [必須セキュア] モードの MACsec で実行されている場合、ノードの再起動をクリアしないでください。

  • MACsec を実行しているポッド内のノードのポッドまたはステートレス再起動に新しいノードを追加することで、ノードがポッドに参加するために [必須セキュア] モードを [should-secure] モードに変更する必要があります。

  • ファブリッ のリンクが [should-secure] モードの場合、アップグレー/ダウングレードのみを開始する必要があります。アップグレード/ダウン グレードが完了すると、次にモードを [必須セキュア] に変更できます。[必須セキュア] モードでのアップグレード/ダウングレードは、ノードからファブリックへの接続が失われます。接続の遮断から回復するには、APIC に表示されるノードのファブリック リンクを [should-secure] モードに設定する必要があります。ファブリックが MACsec をサポートしていないバージョンにダウングレードされた場合、ファブリック外のノードが クリーン リブートされる必要があります。

  • PC/VPC インターフェイスでは、PC/VPC インターフェイスごとのポリシー グループによって MACsec を展開できます。ポート セレクタは、特定のポートのセットにポリシーを展開するために使用されます。したがって、L3Out インターフェイスに対応する正しいポート セレクタを作成することはユーザの責任です。

  • 設定がエクスポートされる前に、MACsec ポリシーを [should-secure] モードに設定することをお勧めします。

  • スパイン上のすべてのリンクは、ファブリック リンクと見なされます。ただし、スパイン リンクの IPN 接続を使用するとアクセス リンクとして次のリンクが処理されます。これは、MACsec アクセス ポリシーを次のリンクの MACsec を導入するために使用する必要があることを意味します。

  • MACSEC セッションは、フォームに分をかかるまたは空のキーチェーンに新しいキーが追加されるか、アクティブ キーがキーチェーンから削除切断する可能性があります。

must-secure モードの展開

不正な導入手順に設定されているポリシーの 必須 secure モードが接続の消失で発生することができます。そのような問題を避けるため次の手順に従う必要があります。

  • MACsec [必須セキュア] モードを有効にする前に、各リンク ペアがそれぞれのキーチェーンを持っていることを確認する必要があります。これを確認するために推奨されることは、[should-secure] モードでポリシーを展開し、MACsec セッションが予想されるリンク上でアクティブになったら、モードを [必須セキュア] に変更することです。

  • [必須セキュア] に設定されている MACsec ポリシーでキーチェーンの交換を試行すると、リンクがダウンする原因となる可能性があります。この場合、以下の推奨手順に従う必要があります。

    • 新しいキーチェーンを使用している MACsec ポリシーを [should-secure] モードに変更します。

    • 影響を受けるインターフェイスが [should-secure] モードを使用しているか確認します。

    • 新しいキーチェーンを使用するように MACsec ポリシーを更新します。

    • アクティブな MACsec セッションと関連するインターフェイスが新しいキーチェーンを使用していることを確認します。

    • MACsec ポリシーを [必須セキュア] モードに変更します。

  • [必須セキュア] モードに展開されている MACsec ポリシーを無効/削除するには、次の手順に従う必要があります。

    • MACsec ポリシーを [should-secure] に変更します。

    • 影響を受けるインターフェイスが [should-secure] モードを使用しているか確認します。

    • MACsec ポリシーを無効/削除します。

キーチェーンの定義

  • 開始時刻が [現在] のキーチェーンに 1 個のキーが存在します。must-secure がすぐにアクティブになるキーを持たないキーチェーンで展開される場合、キーが現在時刻になり MACsec セッションが開始されるまでトラフィックはリンク上でブロックされます。should-secure モードが使用されている場合、キーが現在になり、MACsec セッションが開始されるまでトラフィックが暗号化されます。

  • 終了時刻が infinite のキーチェーンに 1 個のキーが存在する必要があります。キーチェーンの期限が切れると、must-secure モードに設定されている影響を受けるインターフェイスでトラフィックがブロックされます。設定されたインターフェイス はセキュア モード暗号化されていないトラフィック送信します。

  • 終了時刻のオーバー ラップし、キーの間に移行すると、MACsec セッションを順番に使用されるキーの開始時刻が残っています。

GUI を使用したファブリック リンクの MACsec の設定

手順

ステップ 1

メニュー バーで、Fabric > Fabric Policies > Policies > MACsec > Interfaces をクリックします。Navigation ウィンドウで、Interfaces を右クリックして Create MACsec Fabric Interface Policy を開き、次の手順を実行します:

  1. Name フィールドに、MACsec ファブリック インターフェイス ポリシーの名前を入力します。

  2. MACsec Parameters フィールドで、以前に設定した MACsec パラメータ ポリシーを選択するか、新しいものを作成します。

  3. MACsec Keychain Policy フィールドで、以前に設定した MACsec パラメータ ポリシーを選択するか、新しいものを作成して、Submit を作成します。

    MACsec Keychain Policy を作成するには、GUI を使用した MACsec キーチェーン ポリシーの設定を参照してください。

ステップ 2

MACsec Fabric Interface Policy をファブリック リーフまたはスパイン ポート ポリシー グループに適用するには、Interfaces > Leaf/Spine Interfaces > Policy Groups > Spine/Leaf Port Policy Group_name をクリックします。Work ウィンドウで、今作成した MACsec Fabric Interface Policy を選択します。

ステップ 3

MACsec Fabric Interface Policy をポッド ポリシー グループに適用するには、ナビゲーション ウィンドウで Pods > Policy Groups > Pod Policy Group_name をクリックします。Work ウィンドウで、今作成した MACsec Fabric Interface Policy を選択します。

GUI を使用したアクセス リンクの MACsec の設定

手順

ステップ 1

メニュー バーで、[ファブリック] > [外部アクセス ポリシー] をクリックします。Navigation ウィンドウで、Policies > Interface > MACsec > Interfaces をクリックし、Interfaces を右クリックして Create MACsec Fabric Interface Policy を開き、次の手順を実行します:

  1. Name フィールドに、MACsec アクセス インターフェイス ポリシーの名前を入力します。

  2. MACsec Parameters フィールドで、以前に設定した MACsec パラメータ ポリシーを選択するか、新しいものを作成します。

  3. MACsec Keychain Policy フィールドで、以前に設定した MACsec パラメータ ポリシーを選択するか、新しいものを作成して、Submit を作成します。

    MACsec Keychain Policy を作成するには、GUI を使用した MACsec キーチェーン ポリシーの設定を参照してください。

ステップ 2

MACsec Access Interface Policy をファブリック リーフまたはスパイン ポート ポリシー グループに適用するには、Interfaces > Leaf/Spine Interfaces > Policy Groups > Spine/Leaf Policy Group_name をクリックします。Work ウィンドウで、今作成した MACsec Fabric Interface Policy を選択します。

APIC GUI を使用した MACsec パラメータの設定

手順

ステップ 1

メニュー バーで、[Fabric] > [Access Policies] の順にクリックします。ナビゲーション ] ペインで、[をクリックする インターフェイス ポリシー > ポリシー ] を右クリックし、 MACsec ポリシー を開く MACsec アクセス パラメータ ポリシーの作成 し、次のアクションを実行します。

  1. Name フィールドに、MACsec アクセス パラメータ ポリシーの名前を入力します。

  2. セキュリティ ポリシー フィールドで、暗号化されたトラフィックのモードを選択し、をクリックして Submit

    (注)   

    MACsec を展開する前に セキュア モードをする必要があります キーチェーンは、影響を受けるインターフェイスに導入する必要があります、またはインターフェイスがダウンします。

ステップ 2

適用する、 MACsec アクセス パラメータ ポリシー リーフまたはナビゲーション ペインで、スパイン ポートのポリシー グループをクリックして インターフェイス ポリシー > ポリシー グループ > スパイン リーフ/ポリシー Group_ 作業 ] ペインで、[、 MACsec アクセス インターフェイス ポリシー だけを作成します。

GUI を使用した MACsec キーチェーン ポリシーの設定

手順

ステップ 1

メニュー バーで Fabric > Fabric Policies > Policies > MACsec > KeyChains をクリックします。Navigation ウィンドウで、KeyChains を右クリックして Create MACsec Keychain Policy を開き、次の手順を実行します:

  1. Name フィールドに、MACsec ファブリック インターフェイス ポリシーの名前を入力します。

  2. MACsec キー ポリシー テーブルを展開して、キー ポリシーを作成します。

ステップ 2

MACsec Policy ダイアログボックスで次の操作を実行します。

  1. Name フィールドに、MACsec キー ポリシーの名前を入力します。

  2. Key Name フィールドにキーの名前を入力します (64 文字までの 16 進数)。

    (注)   

    キーチェーンあたり最大 64 のキーがサポートされています。

  3. Pre-shared Key フィールドに、事前共有キーの情報を入力します。

    (注)   

    • 128 ビットの暗号スイートでは、32 文字の PSK だけが許可されます。

    • 256 ビットの暗号スイートでは、64 文字の PSK だけが許可されます。

  4. Start Time フィールドで、キーが有効になる日付を選択します。

  5. End Time フィールドで、キーの有効期限が切れる日付を選択します。OkSubmit をクリックします。

    (注)   

    キーチェーンで複数のキーを定義する場合には、古いキーから新しいキーへのスムーズな移行を確実にするために、キーの有効期間をオーバーラップさせて定義する必要があります。古いキーの endTime と新しいキーの startTime をオーバー ラップさせてください。

アクセス ポリシーでキーチェーン ポリシーを設定するには、メニュー バーで Fabric > External Access Policies をクリックします。Navigation ウィンドウで Policies > Interface > MACsec > MACsec KeyChain Policies をクリックし、Create MACsec Keychain Policy を右クリックして開き、上記の手順を実行します。

NX-OS スタイルの CLI を使用したMACsecの設定

手順

ステップ 1

アクセス インターフェイスの MACsec セキュリティ ポリシーの設定

例:

apic1# configure
apic1(config)#   template macsec access security-policy accmacsecpol1 
apic1(config-macsec-param)#     cipher-suite gcm-aes-128
apic1(config-macsec-param)#     conf-offset offset-30
apic1(config-macsec-param)#     description 'description for mac sec parameters'
apic1(config-macsec-param)#     key-server-priority 1
apic1(config-macsec-param)#     sak-expiry-time 110
apic1(config-macsec-param)#     security-mode must-secure
aapic1(config-macsec-param)#     window-size 1
apic1(config-macsec-param)#     exit
apic1(config)#
ステップ 2

アクセス インターフェイスの MACsec キー チェーンを設定します。

PSK は、2 通りの方法で設定できます:

(注)   

  • 下のキー 12ab に示すように、psk-string コマンドを使用してインラインで設定します。PSK は、ログに記録され、公開されるため、安全ではありません。

  • キー ab12 で示すように、新しいコマンド Enter PSK stringpsk-string コマンドの後で使用し、個別に入力して設定します。ローカルにエコーされるだけで、ログには記録されないため、PSK は安全です。

例:

apic1# configure
apic1(config)#   template macsec access keychain acckeychainpol1
apic1(config-macsec-keychain)#     description 'macsec key chain kc1'
apic1(config-macsec-keychain)#     key 12ab
apic1(config-macsec-keychain-key)#       life-time start 2017-09-19T12:03:15 end 2017-12-19T12:03:15
apic1(config-macsec-keychain-key)#       psk-string 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)#       exit
apic1(config-macsec-keychain)#     key ab12
apic1(config-macsec-keychain-key)#       life-time start now end infinite
apic1(config-macsec-keychain-key)#       life-time start now end infinite
apic1(config-macsec-keychain-key)# psk-string
Enter PSK string: 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)# exit
apic1(config-macsec-keychain)# exit
apic1(config)#
ステップ 3

アクセス インターフェイスの MACsec インターフェイス ポリシーを設定します:

例:

apic1# configure
apic1(config)#   template macsec access interface-policy accmacsecifpol1
apic1(config-macsec-if-policy)#     inherit macsec security-policy accmacsecpol1 keychain acckeychainpol1
apic1(config-macsec-if-policy)#     exit
apic1(config)#
ステップ 4

MACsec インターフェイス ポリシーをリーフ (またはスパイン) 上のアクセス ンターフェイスに関連付けます:

例:

apic1# configure
apic1(config)#   template macsec access interface-policy accmacsecifpol1
apic1(config-macsec-if-policy)#     inherit macsec security-policy accmacsecpol1 keychain acckeychainpol1
apic1(config-macsec-if-policy)#     exit
apic1(config)
ステップ 5

ファブリック インターフェイス用に MACsec セキュリティ ポリシーを設定します:

例:

apic1# configure
apic1(config)#   template macsec fabric security-policy fabmacsecpol1
apic1(config-macsec-param)#     cipher-suite gcm-aes-xpn-128
apic1(config-macsec-param)#     description 'description for mac sec parameters'
apic1(config-macsec-param)#     window-size 1
apic1(config-macsec-param)#     sak-expiry-time 100
apic1(config-macsec-param)#     security-mode must-secure
apic1(config-macsec-param)#     exit
apic1(config)#
ステップ 6

ファブリック インターフェイス用に MACsec キー チェーンを設定します:

PSK は、2 通りの方法で設定できます:

(注)   

  • 下のキー 12ab に示すように、psk-string コマンドを使用してインラインで設定します。PSK は、ログに記録され、公開されるため、安全ではありません。

  • キー ab12 で示すように、新しいコマンド Enter PSK stringpsk-string コマンドの後で使用し、個別に入力して設定します。ローカルにエコーされるだけで、ログには記録されないため、PSK は安全です。

例:

apic1# configure
apic1(config)#   template macsec fabric security-policy fabmacsecpol1
apic1(config-macsec-param)#     cipher-suite gcm-aes-xpn-128
apic1(config-macsec-param)#     description 'description for mac sec parameters'
apic1(config-macsec-param)#     window-size 1
apic1(config-macsec-param)#     sak-expiry-time 100
apic1(config-macsec-param)#     security-mode must-secure
apic1(config-macsec-param)#     exit
apic1(config)#   template macsec fabric keychain fabkeychainpol1
apic1(config-macsec-keychain)#     description 'macsec key chain kc1'
apic1(config-macsec-keychain)#     key 12ab
apic1(config-macsec-keychain-key)#       psk-string 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)#       life-time start 2016-09-19T12:03:15 end 2017-09-19T12:03:15
apic1(config-macsec-keychain-key)#       exit
apic1(config-macsec-keychain)#     key cd78
apic1(config-macsec-keychain-key)# psk-string
Enter PSK string: 123456789a223456789a323456789abc
apic1(config-macsec-keychain-key)# life-time start now end infinite
apic1(config-macsec-keychain-key)# exit
apic1(config-macsec-keychain)# exit
apic1(config)#
ステップ 7

MACsec インターフェイス ポリシーをリーフ (またはスパイン) 上のファブリック ンターフェイスに関連付けます:

例:

apic1# configure
apic1(config)#   leaf 101
apic1(config-leaf)#     fabric-interface ethernet 1/52-53
apic1(config-leaf-if)#       inherit macsec interface-policy fabmacsecifpol2
apic1(config-leaf-if)#       exit
apic1(config-leaf)#

REST API を使用した MACsec の設定

MACsec ファブリック ポリシーをファブリックのすべてのポッドに適用します。

例:

<fabricInst>
	<macsecFabPolCont>
        <macsecFabParamPol name="fabricParam1"  secPolicy="should-secure" replayWindow="120" >
        </macsecFabParamPol>
        <macsecKeyChainPol name="fabricKC1">
            <macsecKeyPol name="Key1" preSharedKey="0102030405060708090A0B0C0D0E0F100102030405060708090A0B0C0D0E0F10"  keyName="A1A2A3A0" startTime="now" endTime="infinite"/>
        </macsecKeyChainPol>    
    </macsecFabPolCont>
    
    <macsecFabIfPol name="fabricPodPol1" useAutoKeys="0">
        <macsecRsToParamPol tDn="uni/fabric/macsecpcontfab/fabparamp-fabricParam1"/>
        <macsecRsToKeyChainPol tDn="uni/fabric/macsecpcontfab/keychainp-fabricKC1"/>
    </macsecFabIfPol>      
	
    <fabricFuncP>
		<fabricPodPGrp name = "PodPG1">
			<fabricRsMacsecPol tnMacsecFabIfPolName="fabricPodPol1"/>
    	</fabricPodPGrp>
	</fabricFuncP>	
	
    <fabricPodP name="PodP1">
		<fabricPodS name="pod1" type="ALL">
			<fabricRsPodPGrp tDn="uni/fabric/funcprof/podpgrp-PodPG1"/>
    	</fabricPodS>
	</fabricPodP>	

</fabricInst>

リーフ 101 の eth1/4 上で MACsec アクセス ポリシーを適用します。

例:

<infraInfra>
	<macsecPolCont>
        <macsecParamPol name="accessParam1"  secPolicy="should-secure" replayWindow="120" >
        </macsecParamPol>
        <macsecKeyChainPol name="accessKC1">
            <macsecKeyPol name="Key1" preSharedKey="0102030405060708090A0B0C0D0E0F100102030405060708090A0B0C0D0E0F10"  keyName="A1A2A3A0" startTime="now" endTime="infinite"/>
        </macsecKeyChainPol>    
    </macsecPolCont>
    
    <macsecIfPol name="accessPol1">
        <macsecRsToParamPol tDn="uni/infra/macsecpcont/paramp-accessParam1"/>
        <macsecRsToKeyChainPol tDn="uni/infra/macsecpcont/keychainp-accessKC1"/>
    </macsecIfPol>      

    <infraFuncP>
		<infraAccPortGrp name = "LeTestPGrp">
			<infraRsMacsecIfPol tnMacsecIfPolName="accessPol1"/>
    	</infraAccPortGrp>
	</infraFuncP>
	
	<infraHPathS name="leaf">
		<infraRsHPathAtt tDn="topology/pod-1/paths-101/pathep-[eth1/4]" />
		<infraRsPathToAccBaseGrp tDn="uni/infra/funcprof/accportgrp-LeTestPGrp" />
	</infraHPathS>

</infraInfra>

リーフ 101 の Eth1/49 およびスパイン 102 の eth 5/1 上で MACsec ファブリック ポリシーを適用します。

<fabricInst>
	<macsecFabPolCont>
        <macsecFabParamPol name="fabricParam1"  secPolicy="should-secure" replayWindow="120" >
        </macsecFabParamPol>
        <macsecKeyChainPol name="fabricKC1">
            <macsecKeyPol name="Key1" preSharedKey="0102030405060708090A0B0C0D0E0F100102030405060708090A0B0C0D0E0F10"  keyName="A1A2A3A0" startTime="now" endTime="infinite"/>
        </macsecKeyChainPol>    
    </macsecFabPolCont>
    
    <macsecFabIfPol name="fabricPol1" useAutoKeys="0">
        <macsecRsToParamPol tDn="uni/fabric/macsecpcontfab/fabparamp-fabricParam1"/>
        <macsecRsToKeyChainPol tDn="uni/fabric/macsecpcontfab/keychainp-fabricKC1"/>
    </macsecFabIfPol>      

    <fabricFuncP>
		<fabricLePortPGrp name = "LeTestPGrp">
			<fabricRsMacsecFabIfPol tnMacsecFabIfPolName="fabricPol1"/>
    	</fabricLePortPGrp>
	
		<fabricSpPortPGrp name = "SpTestPGrp">
			<fabricRsMacsecFabIfPol tnMacsecFabIfPolName="fabricPol1"/>        
    	</fabricSpPortPGrp>
	</fabricFuncP>
	
	<fabricLFPathS name="leaf">
		<fabricRsLFPathAtt tDn="topology/pod-1/paths-101/pathep-[eth1/49]" />
		<fabricRsPathToLePortPGrp tDn="uni/fabric/funcprof/leportgrp-LeTestPGrp" />
	</fabricLFPathS>
	
	<fabricSpPortP name="spine_profile">
		<fabricSFPortS name="spineIf" type="range">
			<fabricPortBlk name="spBlk" fromCard="5" fromPort="1" toCard="5" toPort="1" />
			<fabricRsSpPortPGrp tDn="uni/fabric/funcprof/spportgrp-SpTestPGrp" />
		</fabricSFPortS>
	</fabricSpPortP>
	
	<fabricSpineP name="SpNode" >
		<fabricRsSpPortP tDn="uni/fabric/spportp-spine_profile" />
		<fabricSpineS name="spsw" type="range">
			<fabricNodeBlk name="node102" to_="102" from_="102" />
		</fabricSpineS>
	</fabricSpineP>
</fabricInst>