この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IEEE 802.1AE Media Access Control Security(MACsec)標準規格などのレイヤ 2 暗号化プロトコルは、切断通知を受信してクリーンアップを実行するために、eEdge セッションマネージャに登録する必要があります。
セキュアなアソシエーションごとに 1 つの仮想インターフェイスをプロビジョニングする必要があります。
Media Access Control Security(MACsec)標準規格は、シングルホストモードとマルチホストモードでのみサポートされています。リンク層セキュリティポリシーが must-secure に設定され、ホストモードがシングルホストまたはマルチホストに設定されていない場合、接続は閉じられます。
MACsec 標準規格は、マルチ認証モードではサポートされません。
MACsec 標準規格は、MACsec 対応デバイスとホストデバイス間の暗号化のために、ダウンリンクポートでのみ MACsec Key Agreement(MKA)を使用した 802.1AE 暗号化をサポートしています。
以下では、eEdge と MACsec 機能の 統合について説明します。
Media Access Control Security(MACsec)は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。MACsec 暗号化標準規格を導入にすることによって、MACsec Key Agreement(MKA)を使用した802.1AE 暗号化が、MACsec 対応デバイスとホストデバイス間の暗号化用にダウンリンクポートでサポートされます。また、MACsec 対応デバイスは、Cisco TrustSec ネットワーク デバイス アドミッション コントロール(NDAC)および Security Association Protocol(SAP)キー交換を使用して MACsec リンク層デバイス間セキュリティをサポートします。リンク層セキュリティはデバイス間のパケット認証とデバイス間の MACsec 暗号化の両方を含みます(暗号化は任意です)。
Media Access Control Security(MACsec)標準は、暗号キーのために帯域外方式を使用し、有線ネットワークを通じてデータリンク層暗号化を実現します。MACsec Key Agreement(MKA)プロトコルでは、必要なセッションキーを提供し、暗号化キーを管理します。認証に成功した後、MKA と MACsec は、802.1X Extensible Authentication Protocol(EAP; 拡張可能認証プロトコル)フレームワークを使用して実装されます。ホスト側のリンク(ネットワーク アクセス デバイスと、PC や IP フォンなどのエンドポイントデバイス間のリンク)だけが MACsec を使用して保護できます。
MACsec を使用するデバイスでは、クライアントに関連付けられたポリシーに応じて、MACsec フレームまたは非 MACsec フレームが許可されます。MACsec フレームは暗号化され、整合性チェック値(ICV)で保護されます。デバイスはクライアントからフレームを受信すると、MKA によって提供されたセッションキーを使用してこれらのフレームを暗号化し、正しい ICV を計算します。デバイスは計算された ICV の値をフレーム内の ICV と比較します。一致しない場合は、フレームが破棄されます。また、デバイスは現在のセッションキーを使用して、ICV を暗号化し、セキュアなポート(セキュアな MAC サービスをクライアントに提供するために使用されるアクセスポイント)を介して送信されたフレームに追加します。
MKA プロトコルは、基礎となる MACsec プロトコルで使用される暗号化キーを管理します。MKA の基本的な要件は、802.1x-2010 で定義されています。MKA プロトコルでは 802.1X を拡張し、相互認証の確認によってピアを検出し、MACsec 秘密キーを共有してピアで交換されるデータを保護できます。
Extensible Authentication Protocol(EAP; 拡張可能認証プロトコル)フレームワークでは、新たに定義された EAP-over-LAN(EAPOL)パケットとして MKA が導入されます。EAP 認証では、データ交換で両方のパートナーで共有されるマスターセッションキー(MSK)が生成されます。EAP セッション ID を入力すると、セキュアな接続アソシエーション キー名(CKN)が生成されます。デバイスはオーセンティケータであるため、キーサーバーでもあり、ランダムな 128 ビットのセキュア アソシエーション キー(SAK)を生成し、クライアントパートナーに送信します。クライアントはキー サーバではなく、単一の MKA エンティティであるキー サーバとだけ対話できます。キーの派生と生成の後で、デバイスは定期的にトランスポートをパートナーに送信します。デフォルトの間隔は 2 秒間です。
EAPOL プロトコル データ ユニット(PDU)のパケット本体は、MACsec Key Agreement PDU(MKPDU)と呼ばれます。MKA セッションと参加者は、MKA ライフタイム(6 秒間)が経過し、参加者から MKPDU を受信していない場合に削除されます。たとえば、クライアント接続が解除された場合、デバイス上の参加者はそのクライアントから最後の MKPDU を受信してから 6 秒経過するまで MKA の動作を継続します。
Media Access Control Security(MACsec)規格は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。eEdge と MACsec 機能を統合すると、MACsec 標準規格をエンタープライズエッジ(eEdge)デバイスと統合して、セッション認識型ネットワークの機能を強化できます。セッション認識型ネットワークは、エッジデバイスが加入者に対して柔軟かつスケーラブルなサービスを提供できる、ポリシーとアイデンティティベースのフレームワークを提供します。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
enable 例: |
特権 EXEC モードを有効にします。 |
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
service-template template-name 例: |
加入者セッションに適用する一連のサービス ポリシー属性が含まれるテンプレートを定義して、サービス テンプレート コンフィギュレーション モードを開始します。 |
|
ステップ 4 |
linksec policy {must-not-secure | must-secure | should-secure} 例: |
リンクセキュリティポリシーを must-secure として設定します。
|
|
ステップ 5 |
exit 例: |
サービス テンプレート コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
|
ステップ 6 |
policy-map type control subscriber control-policy-name 例: |
加入者セッションに対して制御ポリシーを定義し、制御ポリシーマップ イベントのコンフィギュレーション モードを開始します。 |
|
ステップ 7 |
event authentication-success [ match-all | match-any] 例: |
すべての認証イベントが match であり、制御ポリシーマップ クラスのコンフィギュレーション モードが開始された場合に、制御ポリシーのアクションをトリガーするイベントのタイプを指定します。 |
|
ステップ 8 |
priority-number class { control-class-name | always} [do-all | do-until-failure | do-until-success] 例: |
アクションの 1 つが失敗し、制御ポリシーマップ アクションのコンフィギュレーション モードが開始されるまで、制御クラスが制御ポリシー内のアクションを指定された順序で実行するように指定します。 |
|
ステップ 9 |
action-number activate { policy type control subscriber control-policy-name | service-template template-name [aaa-list list-name] [precedence [replace-all]} 例: |
加入者セッションのコントロール ポリシーをアクティブ化します。 |
|
ステップ 10 |
end 例: |
制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
class-map type control subscriber {match-all | match-any | match-none} control-class-name 例: |
制御ポリシーのアクションが実行される条件を定義する制御クラスを作成し、制御クラスマップ フィルタ コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
match authorization-failure {domain-change-failed | linksec-failed} 例: |
リンク層セキュリティ障害の承認失敗イベントから受信した承認失敗のタイプに基づいて、制御クラスの一致条件を設定します。 |
|
ステップ 4 |
exit 例: |
制御クラス マップ フィルタ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 5 |
policy-map type control subscriber control-policy-name 例: |
加入者セッションに対して制御ポリシーを定義し、制御ポリシーマップ イベントのコンフィギュレーション モードを開始します。 |
|
ステップ 6 |
event authentication-failure [ match-all | match-any] 例: |
セッションの認証が失敗し、制御ポリシーマップ クラス コンフィギュレーション モードが開始された場合に、制御ポリシーのアクションをトリガーするイベントのタイプを指定します。 |
|
ステップ 7 |
priority-number class { control-class-name | always} [do-all | do-until-failure | do-until-success] 例: |
アクションの 1 つが失敗し、制御ポリシーマップ アクションのコンフィギュレーション モードが開始されるまで、制御クラスが制御ポリシー内のアクションを指定された順序で実行するように指定します。 |
|
ステップ 8 |
end 例: |
制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
Device> enable
Device# configure terminal
Device(config)# service-template dot1x-macsec-policy
Device(config-service-template)# linksec policy must-secure
Device(config-service-template)# exit
Device(config)# policy-map type control subscriber cisco-subscriber
Device(config-event-control-policymap)# event authentication-success match-all
Device(config-class-control-policymap)# 10 class always do-until-failure
Device(config-action-control-policymap)# 10 activate service-template dot1x-macsec-policy
Device(config-action-control-policymap)# end
Device# configure terminal
Device(config)# class-map type control subscriber match-all linksec-failure
Device(config-filter-control-classmap)# match authorization-failure linksec-failed
Device(config-class-control-classmap)# exit
Device(config)# policy-map type control subscriber cisco-subscriber
Device(config-event-control-policymap)# event authentication-failure match-all
Device(config-class-control-policymap)# 10 class linksec-failed do-until-failure
Device(config-action-control-policymap)# end次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
| リリース |
機能名 |
機能情報 |
|---|---|---|
| Cisco IOS XE Fuji 16.9.2 |
eEdge と MACsec の統合 |
eEdge と MACsec 機能を統合すると、MACsec 標準規格をエンタープライズエッジ(eEdge)デバイスと統合して、セッション認識型ネットワークの機能を強化できます。 |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com に進みます。
フィードバック