MACsec

Media Access Control Security(MACsec)は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。

MACsec および MACsec Key Agreement(MKA)の詳細、MKA と MACsec の設定方法、Cisco TrustSec MACsec の設定方法など、MACsec に関する情報については、「 Configuring MACsec Encryption 」を参照してください。

この章では、IE 4000、IE 4010、および IE 5000 スイッチに固有の MACsec について次のことを説明します。

blank.gifMACsec の PSK ベース MKA サポート

blank.gif証明書ベースの MACsec 暗号化

注: IE 4000、IE 4010、および IE 5000 では、MACsec は IP サービスイメージにのみ含まれています。

注意事項と制約事項

IE5000 の MACsec に関する注意事項と制約事項は次のとおりです。

blank.gifIE 5000 ダウンリンクの両方のモデルは、IE 4000、IE 4010、Catalyst 9300/3850、および Catalyst IE 3x00 プラットフォームと完全に相互運用できます。

blank.gifIE-5000-16S12P では、別の IE-5000-16S12P または Catalyst 3850 に接続されている場合、アップリンクが完全に機能します。

blank.gifIE-5000-12S12P-10G では、10GE で動作している別の IE-5000-12S12P-10G または 10GE で動作している Catalyst 3850 に接続されている場合、10GE で動作中のアップリンクが完全に機能します。

blank.gifIE 5000 アップリンクが Catalyst 9300 に接続されている場合は、IE 5000 がキーサーバである必要があります。 CSCvs36043

blank.gifIE-5000-12S12P-10G アップリンク MACsec は現在、GE 速度ではサポートされていません。 CSCvs41335

blank.gifIE 5000 および IE 4000 のダウンリンクに接続されている IE-5000-16S12P アップリンクは現在サポートされていません。 CSCvs44292

IE 4000、IE 4010、および IE 5000 シリーズ スイッチに関するその他のガイドラインと制限事項

IE 4000、IE 4010、および IE 5000 のデフォルト動作では、MACsec リンクが保護されるとデータトラフィックが暗号化されます。ただし、リモートピアが MACsec リンクを保護していない場合、これらのスイッチは暗号化されていないデータを送信します。

Cisco IOS XE ベースの IE スイッチ(例:IE3x00)や、9300、9200、9500 などの Cisco Catalyst スイッチは、MACsec セッションの状態に関係なく、常に MACsec リンクを保護します。MACsec リンクが設定されると、トラフィックは暗号化されて送信されます。MACsec 保護リンクで受信した非暗号化トラフィックは、すべてドロップされます。

リンクで MACsec が有効になっている場合、暗号化されたデータのみを受け入れます。これは、REP、PTP、ping などの L2 プロトコルデータフレーム、および CDP、LLDP などの制御フレームがすべて入力側でブロックされることを意味します。L2 プロトコルデータフレームは、出力リンクも MACsec 有効になり、セキュアなチャネルが確立された場合にのみ許可されます。

MACsec Must-Secure 機能を導入すると、4000、IE 4010、および IE 5000 のデフォルトの MACsec 動作が、Cisco IOS-XE ベースの IE スイッチの動作と同期します(IE3x00を含む)。

MACsec Must-Secure 機能の導入

MACsec Must-Secure 機能の実装には、モードを Should-Secure または Must-Secure に設定するコマンドオプションは含まれていません。デフォルトでは、スイッチは 15.2(8)E5 およびそれ以前のリリースでは Should-Secure モードで動作していました。Cisco IOS リリース 15.2(8)E6 以降、スイッチはデフォルトで Must-Secure モードで動作します。

サポートされるモードは以下のとおりです。

blank.gifIE 4000、IE 4010、および IE 5000 は、リリース 15.2(8)E5 で Should-Secure モードをサポートしています。

blank.gifIE 4000、IE 4010、および IE 5000 は、リリース 15.2(8)E6 で Must-Secure モードをサポートしています。

show macsec interface interface-id コマンドを実行して、デバイスが Should-Secure モードに設定されているかどうかを確認します。show コマンド出力に「Access control」フィールドが表示されない場合、デバイスは Should-Secure モードになっています。次に例を示します。

switch# show macsec int gi1/1 | i Access

show コマンドの出力に「Access control: must secure」と表示される場合、デバイスは Must-Secure モードです。

モードを Must-Secure から Should-Secure に変更するには、スイッチを 15.2(8)E5 リリース以前にダウングレードする必要があります。同様に、Should-Secure から Must-Secure に変更するには、スイッチを 15.2(8)E6 リリース以降にアップグレードする必要があります。

暗号スイートのサポート

IOS ベースの IE デバイスは、GCM-AES-128 暗号スイート暗号化アルゴリズムをサポートしていますが、GCM-AES-256 暗号スイートはサポートしていません。

Ping の到達可能性

blank.gifPing はデフォルトのインターフェイス設定(設定なし)で動作します。

blank.gif MACsec ネットワークリンク が Mutual Key Agreement(MKA)なしで設定されている場合、Ping は機能しません。

blank.gifPing は、MKA と MACsec ネットワークリンク がリンクの両側で設定されている場合に機能します。

blank.gifインターフェイスの一方の側で MACsec ネットワークリンク または MKA を削除すると、Ping は機能しません。

MKAでの MACsec/MACsec ネットワークリンクの使用

blank.gif macsec network-link コマンドは、スイッチインターフェイスで MKA でのみ使用してください。MKA を指定せずに MACsec を設定すると、MKA セッションは表示されません。

blank.gifMACsec を有効にし、スイッチ間のリンクを保護するには、 MACsec ネットワークリンク を設定する必要があります。

MACsec/CTS マニュアルによるレイヤ 2 プロトコル

blank.gifPTP、PO、REP などのレイヤ 2 プロトコルは、リリース 15.2(8)E5 以前のバージョンの MACsec と互換性がありました。リリース 15.2(8)E6 以降、レイヤ 2 プロトコルは、ネットワークリンクが保護され、キーチェーンクレデンシャルがデバイスで設定されている場合にのみ機能します。

blank.gifレイヤ 2 プロトコルは、ネットワークリンクが MKA または SAP PMK によって保護され、 macsec network-link または cts manual コマンドを使用して設定されている場合にのみ機能します。

blank.gifMACsec ネットワークリンクがリンクの一方の端でのみ設定されている場合、MACsec トラフィックは通過せず、プロトコルの組み合わせは機能しません。

blank.gifMACsec ネットワークリンクが両方のエンドで設定されている場合、MACsec トラフィックと、統合されたプロトコル機能が送信されます(MKA または SAP PMK がネットワークを保護するために使用される場合)。

キーサーバー優先順位に関する観測

デフォルトのキーサーバー優先順位は 0 に設定されています。明示的に設定されていない場合、デフォルトは 0 になります。

たとえば、Device1 はキーサーバー優先順位 9 に設定され、Device2 はキーサーバー優先順位 10 に設定されます。優先順位値が小さいほど、スイッチがキーサーバーになる優先順位が高くなります。この例では、キーサーバーは show mka session コマンドの出力で Device1 と正しく表示されます(キーサーバーフィールドに「yes」が表示される)。Device1 がキーサーバー優先順位 9 として設定され、Device2 に優先順位が設定されていない場合、優先順位のない Device2(デフォルトは 0)のキーサーバー優先順位が高いと見なされるため、キーサーバーが正しく表示されません。

MACSEC+ MKA 単方向/双方向トラフィックスループット

IE 4000、IE 4010、および IE 5000 の MACSec にはオーバーヘッドがあり、暗号化されていない Layer2 フレームと比較してスループットが低下します。オーバーヘッドは、小さなフレーム(64 バイト)で約 28%、大きなフレーム(1472 バイト)で 2% です。

64 バイトフレームの最大レート 100% で 28% のトラフィック低下が予想されます。したがって、最大レートが 72% の場合、トラフィック損失は発生しません。次の表に、トラフィックのフレームレート損失を示します。

 

表 31 最大レート 100% でのトラフィックフレームレート損失

Frames
合計(%)最大
送信フレーム数
受信した有効なフレーム
損失(%)
64
100
100000
72072
28
128
100
100000
82023
18
256
100
100000
89465
11
512
100
100000
94257
6
1024
100
100000
96996
3
1400
100
100000
97780
2
1472
100
100000
97888
2

 

表 32 最大レート 75% でのトラフィックフレームレート損失

Frames
合計(%)最大
送信フレーム数
受信した有効なフレーム
損失(%)
64
75
100000
95975
4
128
75
100000
100000
[0]
256
75
100000
100000
[0]
512
75
100000
100000
0
1024
75
100000
100000
0
1400
75
100000
100000
0
1472
75
100000
100000
0

 

表 33 最大レート 50% でのトラフィックフレームレート損失

Frames
合計(%)最大
送信フレーム数
受信した有効なフレーム
損失(%)
64
50
100000
100000
0
128
50
100000
100000
[0]
256
50
100000
100000
[0]
512
50
100000
100000
0
1024
50
100000
100000
0
1400
50
100000
100000
0
1472
50
100000
100000
0

 

表 34 最大レート 25% でのトラフィックフレームレート損失
Frames
合計(%)最大
送信フレーム数
受信した有効なフレーム
損失(%)
64
25
100000
100000
0
128
25
100000
100000
[0]
256
25
100000
100000
[0]
512
25
100000
100000
0
1024
25
100000
100000
0
1400
25
100000
100000
0
1472
25
100000
100000
0

MKA-PSK:CKN 動作の変更

IOS XE を実行している Cisco スイッチと相互運用するには、CKN 設定にゼロが付加されている必要があります。Cisco IOS XE Everest リリース 16.6.1 以降では、MKA-PSK セッションで、固定 32 バイトの代わりに、接続アソシエーション キー名(CKN)は、このキーの 16 進文字列として設定されている文字列とまったく同じ文字列を CKN として使用します。

設定例:

configure terminal
key chain KEYCHAINONE macsec
key 1234
cryptographic-algorithm aes-128-cmac
key-string 123456789ABCDEF0123456789ABCDEF0
lifetime local 12:21:00 Sep 9 2015 infinite
end
 

上記の例で、 show mka session コマンドの出力を次に示します。

 

460033.jpg

CKN キー文字列は、16 進数文字列としてキーに設定されたものとまったく同じであることに注意してください。

一方で CKN 動作が変更され、もう一方で CKN 動作が変更されていない 2 つのイメージ間の相互運用性の場合、キーの 16 進数文字列は 64 文字の 16 進数文字列である必要があります。この文字列は、CKN 動作が変更されたイメージを持つデバイスで動作するようにゼロパディングされている必要があります。次の例を参照してください。

CKN キー文字列の動作が変更されていない設定:

config t
key chain KEYCHAINONE macsec
key 1234
cryptographic-algorithm aes-128-cmac
key-string 123456789ABCDEF0123456789ABCDEF0
lifetime local 12:21:00 Sep 9 2015 infinite
 
 
 

出力:

 

460032.jpg
 

CKN キー文字列の動作が変更された設定:

config t
key chain KEYCHAINONE macsec
key 1234000000000000000000000000000000000000000000000000000000000000
cryptographic-algorithm aes-128-cmac
key-string 123456789ABCDEF0123456789ABCDEF0
lifetime local 12:21:00 Sep 9 2015 infinite
 

出力:

 

460031.jpg

MACsec の PSK ベース MKA サポート

このセクションでは、スイッチで事前共有キー(PSK)ベースの MACsec Key Agreement(MKA)MACsec 暗号化を設定する方法について説明します。この機能は、Cisco IOS リリース 15.2(7)E1a 以降に適用されます。

PSK ベース MKA に関する情報

IE スイッチは、スイッチ間のリンクを相互接続するために、ペアワイズマスターキー(PMK)セキュリティ アソシエーション プロトコル(SAP)ベースの MACsec サポートをサポートしています。PMK キーは、スイッチ コンフィギュレーションから静的に取得するか(手動モード)、または dot1X ネゴシエーション中に RADIUS サーバから取得する(動的モード)ことができます。SAP はシスコの独自プロトコルであるため、手動モードではスイッチからホストへの MACsec 接続はサポートされません。

IE スイッチは、スイッチからホストへのリンク上の MACSec で MKA をサポートしています。ここでは、dot1x 認証後に RADIUS サーバからキーが取得されます。ただし、Cisco IOS リリース 15.2(7)E1a より前の IE スイッチプラットフォーム(Cisco IOS を実行)では、手動で設定した PSK キーがサポートされていませんでした。Catalyst IE 3x00 プラットフォーム(Cisco IOS XE を実行)では、スイッチ間接続の場合はスイッチ設定から静的に導出されたキー、およびスイッチからホストへのリンクの場合は RADIUS サーバから動的に導出されたキーの MACsec に対して、PSK ベース MKA のサポートがあります。

Catalyst IE 3x00 プラットフォームには、MACsec の PMK SAP ベースのサポートはありません。したがって、Catalyst IE 3x00 プラットフォームとの相互運用性を確保するために、Cisco IOS ベースの IE スイッチでは MACsec に PSK 機能が追加されます。

PSK ベース MKA の設定

IE 4000、IE 4010、および IE 5000 スイッチで PSK ベース MKA を設定するには、このセクションの手順に従ってください。

MKA の設定

MACsec Key Agreement(MKA)は、キー管理パラメータの設定と制御を可能にします。MKA を設定するには、次のタスクを実行します。

 

 
コマンド
目的

1.blank.gif

enable

例:

Device> enable

特権 EXEC モードを有効にします。

blank.gifパスワードを入力します(要求された場合)。

2.blank.gif

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

3.blank.gif

mka policy policy-name

例:

Device(config)# mka policy MKAPolicy

MKA ポリシーを設定します。

4.blank.gif

key-server priority key-server-priority

例:

Device(config-mka-policy)# key-server priority 200

(任意)MKA キー サーバの優先度を設定します。

5.blank.gif

macsec-cipher-suite {gcm-aes-128 }

例:

Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128

(任意)セキュア アソシエーション キー(SAK)導出のための暗号スイートを設定します。各暗号スイートの各オプションは 1 回だけ繰り返すことができますが、任意の順序で使用できます。

6.blank.gif

replay-protection

例:

Device(config-mka-policy)# replay-protection

(任意)MACsec 動作にリプレイ保護を使用するように MKA を設定します。

7.blank.gif

confidentiality-offset 30

例:

Device(config-mka-policy)# confidentiality-offset 30

(任意)MACsec 操作の機密性オフセットを設定します。

8.blank.gif

end

例:

Device(config-mka-policy)# end

特権 EXEC モードに戻ります。

show mka policy コマンドを使用して、設定を確認できます。次に、 show コマンドの出力例を示します。

 

460030.jpg

インターフェイスでの MACsec および MKA の設定

インターフェイスで MACsec と MKA を設定するには、次のタスクを実行します。

 

 
コマンド
目的

1.blank.gif

enable

例:

Device> enable

特権 EXEC モードを有効にします。

blank.gifパスワードを入力します(要求された場合)。

2.blank.gif

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

3.blank.gif

interface type number

例:

Device(config)# interface GigabitEthernet 1/1

インターフェイス コンフィギュレーション モードを開始します。

4.blank.gif

mka policy policy-name

例:

Device(config-if)# mka policy MKAPolicy

MKA ポリシーを設定します。

5.blank.gif

mka pre-shared-key key-chain key-chain-name

例:

Device(config-if)# mka pre-shared-key key-chain keychain1

MKA pre-shared-key key-chain に keychain1 を設定します。

注: MKA 事前共有キーは、物理インターフェイスまたはサブインターフェイスのいずれかで設定できますが、物理インターフェイスとサブインターフェイスの両方で設定することはできません。

6.blank.gif

macsec network-link

例:

Device(config-if)#macsec network-link

このインターフェイスで PSK MKA MACsec を設定します。これは macsec と相互に排他的です。

7.blank.gif

macsec replay-protection window-size

例:

Device(config-if)# macsec replay-protection window-size 10

リプレイ保護の MACsec ウィンドウ サイズを設定します。

8.blank.gif

end

例:

Device(config-mka-policy)# end

特権 EXEC モードに戻ります。

MKA 事前共有キーの設定

MACsec Key Agreement(MKA)事前共有キーを設定するには、次のタスクを実行します。

 
コマンド
目的

1.blank.gif

enable

例:

Device> enable

特権 EXEC モードを有効にします。

blank.gifパスワードを入力します(要求された場合)。

2.blank.gif

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

3.blank.gif

key chain key-chain-name [ macsec ]

例:

Device(config)# Key chain keychain1 macsec

キー チェーンを設定して、キー チェーン コンフィギュレーション モードを開始します。

4.blank.gif

key hex-string

例:

Device(config-keychain)# key 9ABCD

キーを設定して、キー チェーン コンフィギュレーション モードを開始します。

5.blank.gif

cryptographic-algorithm {gcm-aes-128 }

例:

Device(config-keychain-key)# cryptographic-algorithm gcm-aes-128

暗号化認証アルゴリズムを設定します。

6.blank.gif

key-string {[ 0 | 6 ] pwd-string | 7 | pwd-string }

例:

Device(config-keychain-key)# key-string 0 pwd

キー文字列のパスワードを設定します。

7.blank.gif

lifetime local {{ day month year duration seconds }

例:

Device(config-keychain-key)# lifetime local 16:00:00 Nov 9 2014 duration 6000

キー文字列のライフタイムを設定します。

期間に指定できる範囲は、1 ~ 864000 秒です。

8.blank.gif

end

例:

Device(config-mka-policy)# end

特権 EXEC モードに戻ります。

証明書ベースの MACsec 暗号化

この項では、証明書ベース MACsec 暗号化について説明します。この機能は、Cisco IOS リリース 15.2(8)E 以降に適用されます。

証明書ベース MACsec 暗号化の前提条件

blank.gif証明書ベースの MACsec 暗号化は、IE4000、IE4010、および IE5000 でサポートされています。

blank.gif認証局(CA)サーバーがネットワークに設定されていることを確認します。

blank.gifCA 証明書を生成します。

blank.gifCisco Identity Services Engine(ISE)リリース 2.0 が設定されていることを確認します。『Cisco Identity Services Engine リリース 2.3 管理者ガイド』を参照してください。

blank.gif両方の参加デバイス(CA サーバーと Cisco Identity Services Engine(ISE))が Network Time Protocol(NTP)を使用して同期されていることを確認します。時間がすべてのデバイスで同期されていないと、証明書は検証されません。

blank.gif802.1x 認証と AAA がデバイスに設定されていることを確認します。

証明書ベース MACsec 暗号化の制約事項

blank.gifMKA は、ポート チャネルではサポートされていません。

blank.gifMKA のハイ アベイラビリティはサポートされません。

blank.gifインターフェイスから dot1x pae both を削除すると、dot1x に関連するすべての設定がインターフェイスから削除されます。

blank.gif証明書ベースの MACsec は、access-session host-mode が multiple-host モードで設定されている場合にのみサポートされます。その他のコンフィギュレーション モード(multi-auth、multi-domain、または single-host)はサポートされていません。

証明書ベース MACsec 暗号化に関する情報

MKA MACsec はスイッチ間リンクでサポートされます。Extensible Authentication Protocol(EAP-TLS)による IEE 802.1X ポートベース認証を使用して、デバイスのポート間の MKA MACsec を設定できます。EAP-TLS は相互認証を許可し、MSK(マスター セッション キー)を取得します。そのキーから、MKA プロトコル用の接続アソシエーション キー(CAK)が取得されます。デバイスの証明書は、AAA サーバーへの認証用に、EAP-TLS を使用して伝送されます。

リモート認証を使用して証明書ベースの MACsec 暗号化を設定する方法を含む、証明書ベースの MACsec 暗号化の詳細については、「 Certificate-based MACsec Encryption 」を参照してください。

リモート認証を使用した証明書ベース MACsec 暗号化の設定

リモート認証を使用して MACsec 暗号化を設定するには、次の手順に従います。

blank.gif手動での証明書登録の設定

blank.gif認証ポリシーの設定

blank.gifEAP-TLS プロファイルおよび IEEE 802.1x クレデンシャルの設定

blank.gifインターフェイスでの EAP-TLS を使用した MKA MACsec の設定

手動での証明書登録の設定

ルータと CA 間のネットワーク接続が不可能な場合は、次のタスクを実行して手動で証明書登録を設定します。

 
コマンドまたはアクション
目的

1.blank.gif

enable

特権 EXEC モードを有効にします。

blank.gifプロンプトが表示されたら、パスワードを入力します。

2.blank.gif

configure terminal

グローバル設定モードを開始します。

3.blank.gif

crypto pki trustpoint server name

トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。

4.blank.gif

enrollment terminal

端末(カットアンドペースト)で登録します。

5.blank.gif

rsakeypair label

証明書に関連付けるキー ペアを指定します。

6.blank.gif

serial-number

ルータのシリアル番号を証明書要求で指定します。

7.blank.gif

Subject-name Line

サブジェクト名を宣言します。

次に例を示します。

subject-name cn=MUSTS.mkadt.cisco.com

,OU=CSG Security,O=Cisco Systems,L=Bengaluru,ST=KA,C=IN

8.blank.gif

subject-alt-name Line

サブジェクト代替名を含みます。

9.blank.gif

fqdn Line

完全修飾ドメイン名を含みます。

10.blank.gif

revocation-check none

none キーワードは、失効チェックを無視することを指定します。

11.blank.gif

exit

グローバル コンフィギュレーション モードを終了します。

12.blank.gif

crypto pki authenticate name

CA 証明書を取得して、認証します。

13.blank.gif

crypto pki enroll name

証明書 要求 を生成し、 証明書 サーバ に コピー および ペースト するために 要求 を表示します。

プロンプトが表示されたら、登録情報を入力します。たとえば、証明書要求にデバイスの FQDN および IP アドレスを含めるかどうかを指定します。

コンソール端末 に 対して 証明書 要求を 表示する かに ついて も 選択 でき ます。

必要に応じて、Base 64 符号化証明書を PEM ヘッダーを付けて、または付けずに表示します。

14.blank.gif

crypto pki import name
certificate

許可された証明書を取得するコンソール端末で、TFTP によって証明書をインポートします。

デバイスは、拡張子が「.req」から「.crt」に変更されたことを除いて、要求の送信に使用した同じファイル名を使用して、許可された証明書を TFTP によって取得しようと試みます。用途鍵証明書の場合、拡張子「-sign.crt」および「-encr.crt」が使用されます。

デバイスは、受信したファイルを解析して証明書を検証し、証明書をスイッチの内部証明書データベースに挿入します。

注: 一部の CA は、証明書要求の用途キー情報を無視し、汎用目的の証明書を発行します。ご使用の CA が証明書要求の用途鍵情報を無視する場合は、汎用目的の証明書だけをインポートしてください。ルータは、生成される 2 つの鍵ペアのいずれも使用しません。

15.blank.gif

exit

グローバル コンフィギュレーション モードを終了します。

16.blank.gif

show crypto pki certificates
trustpoint name

信頼ポイントの証明書に関する情報を表示します。

17.blank.gif

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1x 認証の有効化と AAA の設定

 

 
コマンドまたはアクション
目的

1.blank.gif

enable

特権 EXEC モードを有効にします。

blank.gifプロンプトが表示されたら、パスワードを入力します。

2.blank.gif

configure terminal

グローバル設定モードを開始します。

3.blank.gif

aaa new-model

AAA を有効にします。

4.blank.gif

dot1x system-auth-control

デバイス上で 802.1X を有効にします。

5.blank.gif

radius server name

RADIUS サーバの設定の名前を Protected Access Credential(PAC)のプロビジョニング用に指定し、RADIUS サーバ

設定モードを開始します。

6.blank.gif

address i p-address auth-port
port-number acct-port port-number

RADIUS サーバのアカウンティングおよび認証パラメータの IPv4 アドレスを設定します。

7.blank.gif

automate-tester username username

RADIUS サーバーの自動テスト機能を有効にします。

このように する と 、 デバイスは RADIUS サーバに テスト 認証 メッセージを 定期的に 送信し、 サーバ から の RADIUS 応答を 待機 します 。成功メッセージは必須ではありません。認証失敗であっても、サーバが 稼働していることを示しているため問題ありません。

8.blank.gif

key string

デバイスと RADIUS サーバーとの間におけるすべての RADIUS 通信用の認証および暗号鍵を指定します。

9.blank.gif

radius-server dead-time minutes

いくつかのサーバが使用不能になったときの RADIUS サーバの応答時間を短くし、使用不能になったサーバがすぐにスキップされるようにします。

10.blank.gif

exit

グローバル コンフィギュレーション モードに戻ります。

11.blank.gif

aaa group server radius group-name

異なる RADIUS サーバ ホストを別々のリストと方式にグループ化し、サーバ グループ コンフィギュレーション モードを開始します。

12.blank.gif

server name

RADIUS サーバ名を割り当てます。

13.blank.gif

exit

グローバル コンフィギュレーション モードに戻ります。

14.blank.gif

aaa authentication dot1x default group group-name

IEEE 802.1x 用にデフォルトの認証サーバ グループを設定します。

15.blank.gif

aaa authorization network default group group-name

ネットワーク認証のデフォルト グループを設定します。

EAP-TLS プロファイルと 802.1x クレデンシャルの設定

 

 
コマンドまたはアクション
目的

1.blank.gif

enable

特権 EXEC モードを有効にします。

blank.gifプロンプトが表示されたら、パスワードを入力します。

2.blank.gif

configure terminal

グローバル設定モードを開始します。

3.blank.gif

eap profile p rofile-name

EAP プロファイルを設定し 、EAP プロファイル コンフィギュレーション モードを 開始します。

4.blank.gif

method tls

デバイスで EAP-TLS 方式を有効にします。

5.blank.gif

pki-trustpoint name

デフォルトの PKI トラストポイントを設定します。

6.blank.gif

exit

グローバル コンフィギュレーション モードに戻ります。

7.blank.gif

dot1x credentials p rofile-name

802.1x クレデンシャル プロファイルを設定し 、 dot1x クレデンシャル コンフィギュレーション モードを 開始します。

8.blank.gif

username username

認証ユーザ ID を設定します。

9.blank.gif

end

特権 EXEC モードに戻ります。

インターフェイスでの 802.1x MKA MACsec 設定の適用

EAP-TLS を使用して MKA MACsec をインターフェイスに適用するには、次のタスクを実行します。

 

 
コマンドまたはアクション
目的

1.blank.gif

enable

特権 EXEC モードを有効にします。

blank.gifプロンプトが表示されたら、パスワードを入力します。

2.blank.gif

configure terminal

グローバル設定モードを開始します。

3.blank.gif

interface i nterface-id

MACsec インターフェイスを指定し、インターフェイス

設定 モードを開始します。 インターフェイスは 物理 インターフェイスで なければ なりません。

4.blank.gif

macsec network-link

インターフェイス上で MACsec を有効にします。

5.blank.gif

authentication periodic

このポートの再認証をイネーブルにします。

6.blank.gif

access-session host-mode multi-host

ホストにインターフェイスへのアクセスを許可します。

7.blank.gif

access-session closed

インターフェイスへの事前認証アクセスを防止します。

8.blank.gif

access-session port-control auto

ポートの認可状態を設定します。

9.blank.gif

dot1x pae both

ポートを 802.1X ポート アクセス エンティティ(PAE)のサプリカントおよびオーセンティケータとして設定します。

10.blank.gif

dot1x credentials profile

802.1x クレデンシャル プロファイルをインターフェイスに割り当てます。

11.blank.gif

dot1x supplicant eap profile name

EAP-TLS プロファイルをインターフェイスに割り当てます。

 
dot1x authenticator eap profile name

EAP-TLS プロファイルをインターフェイスに割り当てます

12.blank.gif

service-policy type control subscriber
control-policy name

インターフェイスに加入者制御ポリシーを適用します。

13.blank.gif

exit

特権 EXEC モードに戻ります。

14.blank.gif

show macsec interface

インターフェイスの MACsec の詳細を表示します。

15.blank.gif

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

証明書ベース MACsec 暗号化の確認

証明書ベースの MACsec 暗号化の設定を確認するには、次の show コマンドを使用します。次に、出力例を示します。

 

460029.jpg

show access-session interface interface-id details は、指定されたインターフェイスのアクセスセッションに関する詳細情報を表示します。

Device#show access-session interface gi 1/18 details
Interface: GigabitEthernet1/18
MAC Address: 5453.5632.0082
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: scepen.mkadt.cisco.com
Status: Authorized
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 25s
Common Session ID: 000000000000000C0011E814
Acct Session ID: 0x00000001
Handle: 0xC0000001
Current Policy: MUSTS_1
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_MUST_SECURE (priority 150)
Security Policy: Must Secure
Security Status: Link Secured
Server Policies:
Method status list:
Method State
dot1xSupp Authc Success
dot1x Authc Success

証明書ベース MACsec 暗号化の設定例

例: 証明書の登録

暗号 PKI トラストポイントの設定:

crypto pki trustpoint demo
enrollment terminal
serial-number
fqdn MUSTS.mkadt.cisco.com
subject-name cn=MUSTS.mkadt.cisco.com,OU=CSG Security,O=Cisco Systems,L=Bengaluru,ST=KA,C=IN
subject-alt-name MUSTS.mkadt.cisco.com
revocation-check none
rsakeypair demo 2048
!

ルート CA 証明書の手動インストール:

crypto pki authenticate demo

例:802.1x 認証の有効化と AAA の設定

aaa new-model
dot1x system-auth-control
radius server ISE
address ipv4 <ISE ipv4 address> auth-port 1645 acct-port 1646
key <secret configured on ise>
!
aaa group server radius ISEGRP
server name ISE
!
aaa authentication dot1x default group ISEGRP
aaa authorization network default group ISEGRP
!

例:EAP-TLS プロファイルと 802.1x クレデンシャルの設定

eap profile scepen
method tls
pki-trustpoint demo
!
dot1x system-auth-control
dot1x credentials mis
username scepen.mkadt.cisco.com
!

例:インターフェイスでの 802.1 X、PKI、および MACsec の設定の適用

interface GigabitEthernet1/2
switchport mode access
macsec network-link
authentication periodic
access-session host-mode multi-host
access-session closed
access-session port-control auto
dot1x pae both
dot1x authenticator eap profile scepen
dot1x credentials mis
dot1x supplicant eap profile scepen
service-policy type control subscriber MUSTS_1
!