MACsec の暗号化
MACsec の暗号化
MACsec Key Agreement
証明書ベースの MACsec を使用した MACsec MKA
- 証明書ベースの MACsec を使用する MACsec MKA の前提条件
スイッチ間 MKA MACsec マストセキュアポリシー
ポートチャネルの MKA/MACsec
MACsec 暗号アナウンスメント
- MACsec 暗号アナウンスメントに関する制約事項
MACsec 暗号化の設定方法
MACsec 暗号化に関する追加情報
MACsec 暗号化の機能履歴

MACsec の暗号化

MACsec は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。Catalyst スイッチは、スイッチとホストデバイス間の暗号化に、スイッチからホストへのリンクでの MACsec Key Agreement（MKA）による 802.1AE 暗号化をサポートします。また、スイッチは、MKA ベースの鍵交換プロトコルを使用して、スイッチ間（ネットワーク間デバイス）セキュリティの MACsec 暗号化をサポートします。

（注）

スイッチ間 MACSec が有効な場合、EAP-over-LAN（EAPOL）パケットを除くすべてのトラフィックが暗号化されます。

リンク層セキュリティはスイッチ間のパケット認証とスイッチ間の MACsec 暗号化の両方を含みます（暗号化は任意です）。

表 1. スイッチポートの MACsec サポート
接続	MACsec のサポート
スイッチからホストへ	MACsec MKA の暗号化
スイッチからスイッチへ	MACsec MKA の暗号化

Cisco TrustSec はスイッチ間のリンクにのみ使用され、PC や IP フォンなどのエンドホストに接続されたスイッチポートではサポートされません。MKA は、スイッチからホストへのリンクとスイッチ間リンクでサポートされます。ホスト側のリンクは、IEEE 802.1x の有無にかかわらず異種デバイスを扱うために、一般に柔軟な認証順序を使用し、オプションで MKA ベースの MACsec 暗号化を使用できます。ネットワークエッジアクセストポロジ（NEAT）はコンパクトなスイッチがワイヤリングクローゼットの外側にセキュリティを拡張するために使用されます。

MACsec Key Agreement

802.1AE で定義された MACsec では、暗号化キー入力のためにアウトオブバンド方式を使用することによって、有線ネットワーク上で MAC レイヤの暗号化を実現します。MACsec Key Agreement（MKA）プロトコルでは、必要なセッションキーを提供し、必要な暗号化キーを管理します。MKA と MACsec は、証明書ベース MACsec または事前共有キー（PSK）フレームワークを使用した認証に成功した後に実装されます。

MACsec を使用するスイッチでは、MKA ピアに関連付けられたポリシーに応じて、MACsec フレームまたは非 MACsec フレームを許可します。MACsec フレームは暗号化され、整合性チェック値（ICV）で保護されます。スイッチは MKA ピアからフレームを受信すると、MKA によって提供されたセッションキーを使用してこれらのフレームを暗号化し、正しい ICV を計算します。スイッチはこの ICV をフレーム内の ICV と比較します。一致しない場合は、フレームが破棄されます。また、スイッチは現在のセッションキーを使用して、ICV を暗号化し、セキュアなポート（セキュアな MAC サービスを MKA ピアに提供するために使用されるアクセスポイント）を介して送信されたフレームに追加します。

MKA プロトコルは、基礎となる MACsec プロトコルで使用される暗号キーを管理します。MKA の基本的な要件は 802.1x-REV で定義されています。MKA プロトコルでは 802.1x を拡張し、相互認証の確認によってピアを検出し、MACsec 秘密キーを共有してピアで交換されるデータを保護できます。

EAP フレームワークでは、新しく定義された EAP-over-LAN（EAPOL）パケットとして MKA を実装します。EAP 認証では、データ交換で両方のパートナーで共有されるマスターセッションキー（MSK）を生成します。EAP セッション ID を入力すると、セキュアな接続アソシエーションキー名（CKN）が生成されます。スイッチは、アップリンクおよびダウンリンクの両方のオーセンティケータとして機能します。また、ダウンリンクのキーサーバーとして機能します。これによってランダムなセキュアアソシエーションキー（SAK）が生成され、クライアントパートナーに送信されます。クライアントはキーサーバーではなく、単一の MKA エンティティであるキーサーバーとだけ対話できます。キーの派生と生成の後で、スイッチは定期的にトランスポートをパートナーに送信します。デフォルトの間隔は 2 秒間です。

EAPOL プロトコルデータユニット（PDU）のパケット本体は、MACsec Key Agreement PDU（MKPDU）と呼ばれます。MKA セッションと参加者は、MKA ライフタイム（6 秒間）が経過しても参加者から MKPDU を受信していない場合に削除されます。たとえば、MKA ピアが接続を解除した場合、スイッチ上の参加者は MKA ピアから最後の MKPDU を受信した後、6 秒間が経過するまで MKA の動作を継続します。

（注）

MKPDU の整合性チェック値（ICV）インジケータはオプションです。トラフィックが暗号化されている場合、ICV はオプションではありません。

EAPoL 通知は、キー関連情報のタイプの使用を示します。通知は、サプリカントとオーセンティケータの機能を通知するために使用できます。各側の機能に基づいて、キー関連情報の最大公分母を使用できます。

MKA ポリシー

インターフェイスで MKA を有効にするには、定義された MKA ポリシーをインターフェイスに適用する必要があります。次のオプションを設定可能です。

16 ASCII 文字未満のポリシー名。
物理インターフェイスごとの 0 バイト、30 バイト、または 50 バイトの機密保持（暗号化）オフセット。

ポリシーマップアクションの定義

ここでは、ポリシーマップアクションとその定義について説明します。

Activate：サービステンプレートをセッションに適用します。
Authenticate：セッションの認証を開始します。
Authorize：セッションを明示的に許可します。
Set-domain：クライアントのドメインを明示的に設定します。
Terminate：実行中のメソッドを終了し、セッションに関連付けられているすべてのメソッドの詳細を削除します。
Deactivate：セッションに適用されたサービステンプレートを削除します。適用されない場合、アクションは実行されません。
Set-timer：タイマーを開始し、セッションに関連付けます。タイマーが期限切れになると、開始する必要があるアクションを処理できます。
Authentication-restart：認証を再開します。
Clear-session：セッションを削除します。
Pause：認証を一時停止します。

残りのアクションについては説明の必要はなく、認証に関連したものです。

仮想ポート

仮想ポートは、1 つの物理ポート上の複数のセキュアな接続アソシエーションに使用します。各接続アソシエーション（ペア）は仮想ポートを表します。アップリンクでは、物理ポートごとに 1 つの仮想ポートのみを指定できます。同じポートで同じ VLAN 内のセキュアなセッションとセキュアでないセッションを同時にホストすることはできません。この制限のため、802.1x マルチ認証モードはサポートされません。

この制限の例外は、マルチホストモードで最初の MACsec サプリカントが正常に認証され、スイッチに接続されたハブに接続される場合です。ハブに接続された非 MACsec ホストでは、マルチホストモードであるため、認証なしでトラフィックを送信できます。最初にクライアントが成功した後、他のクライアントでは認証が必要ないため、マルチホストモードの使用は推奨しません。

仮想ポートは、接続アソシエーションの任意の ID を表し、MKA プロトコル外では意味を持ちません。仮想ポートは個々の論理ポート ID に対応します。仮想ポートの有効なポート ID は 0x0002 ～ 0xFFFF です。各仮想ポートは、16 ビットのポート ID に連結された物理インターフェイスの MAC アドレスに基づいて、一意のセキュアチャネル ID（SCI）を受け取ります。

MKA 統計情報

一部の MKA カウンタはグローバルに集約され、その他のカウンタはグローバルとセッション単位の両方で更新されます。また、MKA セッションのステータスに関する情報も取得できます。詳細については、MKA 統計情報の表示を参照してください。

キーライフタイムおよびヒットレスキーロールオーバー

MACsec キーチェーンには、キー ID とオプションのライフタイムが設定された複数の事前共有キー（PSK）を含めることができます。キーのライフタイムには、キーが期限切れになる時刻が指定されます。ライフタイム設定が存在しない場合は、無期限のデフォルトライフタイムが使用されます。ライフタイムが設定されている場合、ライフタイムの期限が切れた後に、MKA はキーチェーン内の次に設定された事前共有キーにロールオーバーします。キーのタイムゾーンは、ローカルまたは UTC を指定できます。デフォルトのタイムゾーンは UTC です。

キーチェーン内に 2 番目のキーを設定し、最初のキーのライフタイムを設定することで、同じキーチェーン内の次のキーにロールオーバーできます。最初のキーのライフタイムが期限切れになると、リスト内の次のキーに自動的にロールオーバーします。同一のキーがリンクの両側で同時に設定されている場合、キーのロールオーバーはヒットレスになります。つまり、キーはトラフィックを中断せずにロールオーバーされます。

すべての参加デバイスで、MACsec キーチェーンを Network Time Protocol（NTP）を使用して同期し、同じタイムゾーンを使用する必要があります。参加しているすべてのデバイスが同期されていない場合、接続アソシエーションキー（CAK）のキー再生成はすべてのデバイスで同時に開始されません。

（注）

キーのライフタイムは、ヒットレスキーロールオーバーを実現するためにオーバーラップする必要があります。

リプレイ保護ウィンドウサイズ

リプレイ保護は、リプレイ攻撃に対抗するために MACsec により提供される機能です。暗号化された各パケットには一意のシーケンス番号が割り当てられ、シーケンスはリモートエンドで確認されます。メトロイーサネットサービスプロバイダーネットワークを介して送信されるフレームは、順序が変更されることが多くあります。これは、ネットワーク内で使用されている優先順位付けとロードバランシングのメカニズムによるものです。

フレームの順序が変更されるプロバイダーネットワーク上で MACsec の使用をサポートするには、リプレイウィンドウが必要です。ウィンドウ内のフレームは順不同で受信できますが、リプレイ保護されません。デフォルトのウィンドウサイズは 0 で、厳密な受信順序が適用されます。リプレイウィンドウのサイズは、0 〜 2³²- 1 の範囲で設定できます。

MACsec、MKA、および 802.1x ホストモード

MACsec と MKA プロトコルは、802.1x シングルホストモード、マルチホストモード、またはマルチドメイン認証（MDA）モードで使用できます。マルチ認証モードはサポートされません。

シングルホストモード

次の図に、MKA を使用して、MACsec で 1 つの EAP 認証済みセッションをセキュアにする方法を示します。

マルチホストモード

標準の（802.1x REV ではない）802.1x マルチホストモードでは、1 つの認証に基づいてポートが開いているか、閉じられています。1 人のユーザー（プライマリセキュアクライアントサービスのクライアントホスト）が認証される場合は、同じポートに接続されているホストに同じレベルのネットワークアクセスが提供されます。セカンダリホストが MACsec サプリカントの場合、認証できず、トラフィックフローは発生しません。非 MACsec ホストであるセカンダリホストは、マルチホストモードであるため、認証なしでネットワークにトラフィックを送信できます。次の図に、標準のマルチホスト非セキュアモードにおける MACsec を示します。

（注）

マルチホストモードは推奨されていません。これは最初にクライアントが成功した後、他のクライアントでは認証が必要ないことから、安全性が低いためです。

標準の（802.1x REV ではない）802.1x マルチドメインモードでは、1 つの認証に基づいてポートが開いているか、閉じられています。プライマリユーザー（データドメインの PC）が認証されると、同じレベルのネットワークアクセスが同じポートに接続されているドメインに提供されます。セカンダリユーザーが MACsec サプリカントの場合、認証できず、トラフィックフローは発生しません。非 MACsec ホストであるセカンダリユーザー（音声ドメインの IP フォン）は、マルチドメインモードであるため、認証なしでネットワークにトラフィックを送信できます。

マルチドメインモード

証明書ベースの MACsec を使用した MACsec MKA

MACsec MKA はスイッチ間リンクでサポートされます。証明書ベースの MACsec を使用して、デバイスのアップリンクポート間で MACsec MKA を設定できます。証明書ベースの MACsec は相互認証を許可し、MSK（マスターセッションキー）を取得します。そのキーから、MKA 操作用の接続アソシエーションキー（CAK）が取得されます。デバイスの証明書は、AAA サーバーへの認証用に、証明書ベースの MACsec を使用して伝送されます。

（注）

証明書ベースの MACsec は、Cisco IOS XE 17.13.1 リリース以降の Cisco Catalyst ESS9300 エンベデッドシリーズスイッチでサポートされています。

証明書ベースの MACsec を使用する MACsec MKA の前提条件

認証局（CA）サーバーがネットワークに設定されていることを確認します。
CA 証明書を生成します。
Cisco Identity Services Engine（ISE）リリース 2.0 が設定されていることを確認します。
両方の参加デバイス（CA サーバーと Cisco Identity Services Engine（ISE））が Network Time Protocol（NTP）を使用して同期されていることを確認します。時間がすべてのデバイスで同期されていないと、証明書は検証されません。
802.1x 認証と AAA がデバイスに設定されていることを確認します。

スイッチ間 MKA MACsec マストセキュアポリシー

入力と出力の両方で must-secure のサポートが有効になります。MKA では、must-secure がサポートされています。must-secure を有効にすると、EAPoL トラフィックのみが暗号化されません。他のトラフィックは暗号化されます。暗号化されないパケットはドロップされます。

（注）

デフォルトでは、Must-secure モードが有効になっています。

ポートチャネルの MKA/MACsec

MKA/MACsec は、ポートチャネルのポートメンバで設定できます。ポートチャネルのポートメンバ間で MKA セッションが確立されるため、MKA/MACsec はポートチャネルに依存しません。

（注）

ポートチャネルは PSK ベースの MACsec ではサポートされますが、証明書ベースの MACsec ではサポートされません。

（注）

ポートチャネルの一部として形成される EtherChannel リンクは、同様であってもなくても構いません。つまり、リンクは MACsec セキュアまたは非 MACsec セキュアのいずれかになれます。ポートチャネルの一方のポートメンバが MACsec に設定されていない場合でも、ポートメンバ間の MKA セッションが確立されます。

ポートチャネルのセキュリティを強化するために、すべてのメンバーポートで MKA/MACsec を有効にすることをお勧めします。

MACsec 暗号アナウンスメント

暗号アナウンスメントを使用すると、サプリカントとオーセンティケータは、それぞれの MACsec 暗号スイート機能を相互にアナウンスできます。サプリカントとオーセンティケータの両方が、サポートされる最大の共通 MACsec 暗号スイートを計算し、MKA セッションの鍵情報と同じものを使用します。

（注）

MKA ポリシーで設定されている MACsec 暗号スイート機能だけが、オーセンティケータからサプリカントにアナウンスされます。

EAPoL アナウンスメントには 2 つのタイプがあります。

非セキュアアナウンスメント（EAPoL PDU）：非セキュアアナウンスメントは、MACsec 暗号スイート機能を非セキュアな方法で伝送する EAPoL アナウンスメントです。これらのアナウンスメントは、認証の前に MKA セッションに使用する鍵の幅を決定するために使用されます。
セキュアアナウンスメント（MKPDU）：セキュアアナウンスメントは、以前は非セキュアアナウンスメントで共有されていた MACsec 暗号スイート機能を再検証します。

セッションが認証されると、EAPoL アナウンスメントを介して受信されたピア機能がセキュアアナウンスメントで再検証されます。機能に不一致がある場合、MKA セッションは切断されます。

MACsec 暗号アナウンスメントに関する制約事項

MACsec 暗号アナウンスメントは、スイッチからホストへのリンクでのみサポートされます。
サプリカントとオーセンティケータ間の MKA セッションは、両方に設定された MACsec 暗号スイート機能が共通の暗号スイートにならない場合でも切断されません。
ホストとスイッチ間の MKA MACsec 256 ビット暗号は、Network Advantage と Network Essentials の両方でサポートされていません。

MACsec 暗号化の設定方法

MACsec 暗号化の前提条件

シスコ以外および IOS XE 以外のデバイスとの相互運用性を可能にするために、デバイスで MACsec 暗号化を設定するときに ssci-based-on-sci コマンドを有効にします。
802.1x 認証と AAA がデバイスに設定されていることを確認します。

証明書ベース MACsec の前提条件

認証局（CA）サーバーがネットワークに設定されていることを確認します。
CA 証明書を生成します。
Cisco Identity Services Engine（ISE）リリース 2.0 が設定されていることを確認します。
両方の参加デバイス（CA サーバーと Cisco Identity Services Engine（ISE））が Network Time Protocol（NTP）を使用して同期されていることを確認します。時間がすべてのデバイスで同期されていないと、証明書は検証されません。

MACsec 暗号化の制約事項

MACsec Key Agreement（MKA）は、ステートフルまたはステートレス両方のハイアベイラビリティではサポートされません。
MKA を使用した MACsec は、ポイントツーポイントリンクでのみサポートされます。
MACsec 設定は、EtherChannel ポートではサポートされません。代わりに、EtherChannel の個々のメンバポートに MACsec 設定を適用できます。MACsec 設定を削除するには、最初に EtherChannel からメンバポートをバンドル解除してから、個々のメンバポートから削除する必要があります。
Cisco Catalyst IE9300 高耐久性シリーズスイッチは、Network Essentials ライセンスで 128 ビット MACsec 暗号化、Network Advantage ライセンスで 256 ビット MACsec 暗号化をサポートしています。
証明書ベースの MACsec は、アクセスセッションがクローズドとして、またはマルチホストモードで設定されている場合にのみサポートされます。他のコンフィギュレーションモードはサポートされません。
パケット番号枯渇キー再生成はサポートされません。
dot1q tag vlan native コマンドがグローバルレベルで設定されている場合、トランクポートでの dot1x 再認証は失敗します。
Precision Time Protocol（PTP）を備えた MACsec はサポートされません。
should-secure アクセスモードは、PSK 認証を使用するスイッチ間ポートでのみサポートされます。
PSK フォールバックキーチェーンは、ポイントツーマルチポイントではサポートされません。
PSK フォールバックキーチェーンは、高可用性設定ではサポートされません。
PSK フォールバックキーチェーンは、1 つのキーのみで無期限にサポートします。
フォールバックキーチェーンで使用される接続アソシエーションキー名（CKN）の ID は、プライマリキーチェーンで使用される CKN ID のいずれとも一致しないようにしてください。
次の制限は、証明書ベースの MACsec にのみ適用されます。
- ポートは、アクセスモードまたはトランクモードである必要があります。
- MKA は、ポートチャネルではサポートされません。
- no switch port の設定されたポートはサポートされません。

MACsec 暗号化の推奨事項

ここでは、MACsec 暗号化の設定に関する推奨事項を示します。

スイッチとホスト間の接続では、機密性（暗号化）オフセットを 0 として使用します。
アクティブセッションの MKA ポリシーまたは MACsec 設定を変更した後、ポートで shutdown コマンドを実行し、no shutdown コマンドを実行して、変更がアクティブセッションに適用されるようにします。
接続アソシエーションキー（CAK）キー再生成オーバーラップタイマーを 30 秒以上に設定します。

MKA および MACsec の設定

デフォルトでは、MACsec は無効です。MKA ポリシーは設定されていません。

MKA ポリシーの設定

MKA プロトコルポリシーを作成するには、特権 EXEC モードで次の手順を実行します。MKA では 802.1x をイネーブルにすることも必要であることに注意してください。

手順の概要

enable
configure terminal
mka policy policy-name
key-server priority
include-icv-indicator
macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}
confidentiality-offset offset-value
ssci-based-on-sci
end
show mka policy

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

mka policy policy-name

例:

Device(config)# mka policy mka_policy

MKA ポリシーを指定して、MKA ポリシーコンフィギュレーションモードを開始します。ポリシー名の長さは最大で 16 文字です。

（注）

MKA ポリシー内のデフォルトの MACsec 暗号スイートは常に「GCM-AES-128」です。デバイスが「GCM-AES-128」および「GCM-AES-256」の両方の暗号方式をサポートしている場合は、ユーザー定義の MKA ポリシーを定義して使用し、必要に応じて、128 および 256 ビット両方の暗号を含めるか、または 256 ビットのみの暗号を含めることを強くお勧めします。

ステップ 4

key-server priority

例:

Device(config-mka-policy)# key-server priority 200

MKA キーサーバオプションを設定し、優先順位を設定します（0 ～ 255 の値）。

（注）

鍵サーバープライオリティの値を 255 に設定した場合、ピアは鍵サーバーになることはできません。鍵サーバーの優先順位の値は MKA PSK に対してのみ有効です。MKA EAPTLS に対しては有効ではありません。

ステップ 5

include-icv-indicator

例:

Device(config-mka-policy)# include-icv-indicator

MKPDU の ICV インジケータを有効にします。ICV インジケータを無効にするには、このコマンドの no 形式を使用します。

ステップ 6

macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}

例:

Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128

128 ビットまたは 256 ビット暗号化により SAK を取得するための暗号スイートを設定します。

ステップ 7

confidentiality-offset offset-value

例:

Device(config-mka-policy)# confidentiality-offset 0

各物理インターフェイスに機密性（暗号化）オフセットを設定します。

（注）

オフセット値は、0、30、または 50 を指定できます。クライアントで Anyconnect を使用している場合は、オフセット 0 を使用することをお勧めします。

ステップ 8

ssci-based-on-sci

例:

Device(config-mka-policy)# ssci-based-on-sci

（任意）Secure Channel Identifier（SCI）値に基づいて Short Secure Channel Identifier（SSCI）値を計算します。SCI 値が高いほど、SSCI 値は低くなります。

ステップ 9

end

例:

Device(config-mka-policy)# end

MKA ポリシーコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 10

show mka policy

例:

Device# show mka policy

MKA ポリシー設定情報を表示します。

スイッチからホストへの MACsec の暗号化設定

音声用に 1 つの MACsec セッションとデータ用に 1 つの MACsec セッションが存在するインターフェイスで MACsec を設定するには、次の手順を実行します。

手順の概要

enable
configureterminal
interface type number
switchport access vlan vlan-id
switchport mode access
macsec
authentication event linksec fail action authorize vlan vlan-id
authentication host-mode multi-domain
authentication linksec policy must-secure
authentication port-control auto
authentication periodic
authentication timer reauthenticate
authentication violation protect
mka policy policy-name
dot1x pae authenticator
spanning-tree portfast
end
show authentication session interface interface-id
show mka sessions

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device>enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configureterminal 例: `Device>configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interface `type number` 例: `Device(config)# interface GigabitEthernet 1/0/1`	MACsec インターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。インターフェイスは物理インターフェイスでなければなりません。
ステップ 4	switchport access vlan vlan-id 例: `Device(config-if)# switchport access vlan 1`	このポートのアクセス VLAN を設定します。
ステップ 5	switchport mode access 例: `Device(config-if)# switchport mode access`	インターフェイスをアクセスポートとして設定します。
ステップ 6	macsec 例: `Device(config-if)# macsec`	インターフェイス上で 802.1ae MACsec を有効にします。macsec コマンドを使用すると、スイッチからホストへのリンクでのみ MKA MACsec が有効になります。
ステップ 7	authentication event linksec fail action authorize vlan vlan-id 例: `Device(config-if)# authentication event linksec fail action authorize vlan 1`	（任意）認証の試行に失敗した後で、ポート上の制限付き VLAN を許可することによって、ユーザー証明書が認識されない認証リンクセキュリティの問題をスイッチが処理することを指定します。
ステップ 8	authentication host-mode multi-domain 例: `Device(config-if)# authentication host-mode multi-domain`	ホストと音声デバイスの両方が、802.1x で許可されたポート上で認証されるように、ポート上の認証マネージャモードを設定します。設定されていない場合、デフォルトのホストモードはシングルです。
ステップ 9	authentication linksec policy must-secure 例: `Device(config-if)# authentication linksec policy must-secure`	LinkSec セキュリティポリシーを設定して、ピアを利用できる場合に、MACsec でセッションをセキュアにします。設定されていない場合、デフォルト値は should secure です。
ステップ 10	authentication port-control auto 例: `Device(config-if)# authentication port-control auto`	ポートでの 802.1x 認証を有効にします。スイッチとクライアント間の認証交換に基づいてポートが許可ステートまたは無許可ステートに変わります。
ステップ 11	authentication periodic 例: `Device(config-if)# authentication periodic`	（任意）このポートの再認証を有効または無効にします。
ステップ 12	authentication timer reauthenticate 例: `Device(config-if)# authentication timer reauthenticate`	（任意）1 から 65535 までの値（秒）を入力します。サーバーから再認証タイムアウト値を取得します。デフォルトの再認証時間は 3600 秒です。
ステップ 13	authentication violation protect 例: `Device(config-if)# configure terminal`	新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続された後に新しいデバイスがそのポートに接続された場合に、予期しない着信 MAC アドレスを破棄するようポートを設定します。設定されていない場合、デフォルトではポートをシャットダウンします。
ステップ 14	mka policy `policy-name` 例: `Device(config-if)# mka policy mka_policy`	既存の MKA プロトコルポリシーをインターフェイスに適用し、インターフェイス上で MKA を有効にします。MKA ポリシーを設定しなかった場合（mka policy グローバルコンフィギュレーションコマンドを入力して）。
ステップ 15	dot1x pae authenticator 例: `Device(config-if)# dot1x pae authenticator`	ポートを 802.1x ポートアクセスエンティティ（PAE）オーセンティケータとして設定します。
ステップ 16	spanning-tree portfast 例: `Device(config-if)# spanning-tree portfast`	関連するすべての VLAN 内のインターフェイスで、スパニングツリー Port Fast を有効にします。Port Fast 機能が有効の場合、インターフェイスはブロッキングステートからフォワーディングステートに直接移行します。その際に、中間のスパニングツリーステートは変わりません
ステップ 17	end 例: `Device(config)# end`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。
ステップ 18	show authentication session interface `interface-id` 例: `Device# show authentication session interface GigabitEthernet 1/0/1`	許可されたセッションのセキュリティステータスを確認します。
ステップ 19	show mka sessions 例: `Device# show mka sessions`	確立された MKA セッションを確認します。

PSK を使用する MACsec MKA の設定

事前共有キー（PSK）を使用して、MACsec MKA ポリシーを設定するには、特権 EXEC モードで次の手順を実行します。

手順の概要

enable
configure terminal
key chain key-chain-name macsec
key hex-string
cryptographic-algorithm {aes-128-cmac | aes-256-cmac}
key-string { [0|6|7] pwd-string | pwd-string}
lifetime local [start timestamp {hh::mm::ss | day | month | year}] [ duration seconds | end timestamp {hh::mm::ss | day | month | year}]
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

key chain key-chain-name macsec

例:

Device(config)# key chain keychain1 macsec

鍵チェーンを設定して、鍵チェーンコンフィギュレーションモードを開始します。

ステップ 4

key hex-string

例:

Device(config-key-chain)# key 1000

鍵チェーン内の各キーの固有識別子を設定し、鍵チェーンのキーコンフィギュレーションモードを開始します。

（注）

128 ビット暗号化の場合は、1 ～ 32 文字の 16 進数キー文字列を使用します。256 ビット暗号の場合は、64 文字の 16 進数キー文字列を使用します。

ステップ 5

cryptographic-algorithm {aes-128-cmac | aes-256-cmac}

例:

Device(config-key-chain)# cryptographic-algorithm aes-128-cmac

128 ビットまたは 256 ビット暗号による暗号化認証アルゴリズムを設定します。

ステップ 6

key-string { [0|6|7] pwd-string | pwd-string}

例:

Device(config-key-chain)# key-string 12345678901234567890123456789012

鍵文字列のパスワードを設定します。16 進数の文字のみを入力する必要があります。

ステップ 7

lifetime local [start timestamp {hh::mm::ss | day | month | year}] [ duration seconds | end timestamp {hh::mm::ss | day | month | year}]

例:

Device(config-key-chain)# lifetime local 12:12:00 July 28 2016 12:19:00 July 28 2016

事前共有鍵の有効期間を設定します。

ステップ 8

end

例:

Device(config-key-chain)# end

キーチェーンコンフィギュレーションモードを終了して、特権 EXEC モードに戻ります。

PSK を使用する MACsec MKA のインターフェイスへの設定

事前共有キー（PSK）を使用する MACsec MKA ポリシーをインターフェイスに設定するには、特権 EXEC モードで次の手順を実行します。

手順の概要

enable
configure terminal
interface interface-id
macsec network-link
mka policy policy-name
mka pre-shared-key key-chain key-chain name [fallback key-chain key-chain name]
macsec replay-protection window-size frame number
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interface interface-id 例: `Device(config-if)# interface GigabitEthernet 0/0/0`	インターフェイスコンフィギュレーションモードを開始します。
ステップ 4	macsec network-link 例: `Device(config-if)# macsec network-link`	インターフェイス上で MACsec を有効にします。
ステップ 5	mka policy policy-name 例: `Device(config-if)# mka policy mka_policy`	MKA ポリシーを設定します。
ステップ 6	mka pre-shared-key key-chain `key-chain name` [fallback key-chain `key-chain name`] 例: `Device(config-if)# mka pre-shared-key key-chain key-chain-name`	MKA 事前共有鍵の鍵チェーン名を設定します。
ステップ 7	macsec replay-protection window-size frame number 例: `Device(config-if)# macsec replay-protection window-size 10`	リプレイ保護の MACsec ウィンドウサイズを設定します。
ステップ 8	end 例: `Device(config-if)# end`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

次のタスク

セッションの実行中に MKA PSK が設定されたインターフェイスで MKA ポリシーを変更することは推奨されません。ただし、変更が必要な場合は、次のようにポリシーを再設定する必要があります。

no macsec network-link コマンドを使用して、各参加ノードの macsec network-link 設定を削除し、既存のセッションを無効にします。
mka policy policy-name コマンドを使用して、各参加ノードのインターフェイスで MKA ポリシーを設定します。
macsec network-link コマンドを使用して、各参加ノードで新しいセッションを有効にします。

証明書ベースの MACsec を使用する MACsec MKA の設定

ポイントツーポイントリンクで MKA による MACsec を設定するには、次のタスクを実行します。

証明書登録の設定
- キーペアの生成
- SCEP 登録の設定
- 証明書の手動設定
認証ポリシーの設定
証明書ベース MACsec 暗号化プロファイルと IEEE 802.1x ログイン情報の設定
インターフェイスで証明書ベース MACsec を使用する MKA MACsec の設定

キーペアの生成

手順の概要

enable
configure terminal
crypto key generate rsa label label-name general-keys modulus size
end
show authentication session interface interface-id

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	crypto key generate rsa label label-name general-keys modulus size 例: `Device(config)# crypto key generate rsa label general-keys modulus 2048`	署名および暗号化用に RSA 鍵ペアを作成します。 label キーワードを使用すると、各鍵ペアにラベルを割り当てることもできます。このラベルは、鍵ペアを使用するトラストポイントによって参照されます。ラベルを割り当てなかった場合、鍵ペアには <Default-RSA-Key> というラベルが自動的に付けられます。追加のキーワードを使用しない場合、このコマンドは汎用 RSA 鍵ペアを 1 つ生成します。法（modulus）が指定されていない場合は、デフォルトの鍵の法である 1024 が使用されます。その他の法サイズを指定するには、modulus キーワードを使用します。
ステップ 4	end 例: `Device(config)# end`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。
ステップ 5	show authentication session interface interface-id 例: `Device# show authentication session interface gigabitethernet 0/1/1`	許可されたセッションのセキュリティステータスを確認します。

SCEP を使用した登録の設定

Simple Certificate Enrollment Protocol（SCEP）は、HTTP を使用して認証局（CA）または登録局（RA）と通信する、シスコが開発した登録プロトコルです。SCEP は、要求および証明書の送受信用に最も一般的に使用される方式です。

手順の概要

enable
configure terminal
crypto pki trustpoint server name
enrollment url url name pem
rsakeypair label
serial-number none
ip-address none
revocation-check crl
auto-enroll percent regenerate
exit
crypto pki authenticate name
end
show crypto pki certificate trustpoint name

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

crypto pki trustpoint server name

例:

Device(config)# crypto pki trustpoint ka

トラストポイントおよび設定された名前を宣言して、CA トラストポイントコンフィギュレーションモードを開始します。

ステップ 4

enrollment url url name pem

例:

Device(ca-trustpoint)# enrollment url http://url:80

デバイスが証明書要求を送信する CA の URL を指定します。

URL 内の IPv6 アドレスは括弧で囲む必要があります。たとえば、http:// [2001:DB8:1:1::1]:80 です。

pem キーワードは、証明書要求に Privacy Enhanced Mail（PEM）の境界を追加します。

ステップ 5

rsakeypair label

例:

Device(ca-trustpoint)# rsakeypair exampleCAkeys

証明書に関連付けるキーペアを指定します。

（注）

rsakeypair 名は、信頼ポイント名と一致している必要があります。

ステップ 6

serial-number none

例:

Device(ca-trustpoint)# serial-number none

none キーワードは、証明書要求にシリアル番号が含まれないことを指定します。

ステップ 7

ip-address none

例:

Device(ca-trustpoint)# ip-address none

none キーワードは、証明書要求に IP アドレスが含まれないことを指定します。

ステップ 8

revocation-check crl

例:

Device(ca-trustpoint)# revocation-check crl

ピアの証明書が取り消されていないことを確認する方法として CRL を指定します。

ステップ 9

auto-enroll percent regenerate

例:

Device(ca-trustpoint)# auto-enroll 90 regenerate

自動登録を有効にします。これにより、クライアントは CA から自動的にロールオーバー証明書を要求できます。

自動登録が有効でない場合、証明書の失効時にクライアントを手動で PKI に再登録する必要があります。

デフォルトでは、デバイスのドメインネームシステム（DNS）名だけが証明書に含められます。

現行の証明書の有効期間が指定のパーセンテージに達したときに、新しい証明書が要求されるように指定するには、percent 引数を使用します。

名前付きの鍵がすでに存在する場合でも、証明書の新しい鍵を生成するには、regenerate キーワードを使用します。

ロールオーバー中の鍵ペアがエクスポート可能な場合、新しい鍵ペアもエクスポート可能です。次のコメントがトラストポイントコンフィギュレーションに表示され、鍵ペアがエクスポート可能かどうかが示されます。「! RSA key pair associated with trustpoint is exportable.」

新しい鍵ペアは、セキュリティ上の問題に対処するために生成することを推奨します。

ステップ 10

exit

例:

Device(ca-trustpoint)# exit

CA トラストポイントコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードに戻ります。

ステップ 11

crypto pki authenticate name

例:

Device(config)# crypto pki authenticate myca

CA 証明書を取得して、認証します。

ステップ 12

end

例:

Device(config)# end

グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 13

show crypto pki certificate trustpoint name

例:

Device# show crypto pki certificate ka

信頼ポイントの証明書に関する情報を表示します。

手動による登録の設定

CA が SCEP をサポートしない場合、またはルータと CA 間のネットワーク接続が不可能な場合。手動での証明書登録を設定するには、次の作業を実行します。

手順の概要

enable
configure terminal
crypto pki trustpoint server name
enrollment url url name pem
rsakeypair label
serial-number none
ip-address none
revocation-check crl
exit
crypto pki authenticate name
crypto pki enroll name
crypto pki import name certificate
end
show crypto pki certificate trustpoint name

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

crypto pki trustpoint server name

例:

Device# crypto pki trustpoint ka

トラストポイントおよび設定された名前を宣言して、CA トラストポイントコンフィギュレーションモードを開始します。

ステップ 4

enrollment url url name pem

例:

Device(ca-trustpoint)# enrollment url http://url:80

デバイスが証明書要求を送信する CA の URL を指定します。

URL 内の IPv6 アドレスは括弧で囲む必要があります。たとえば、http:// [2001:DB8:1:1::1]:80 です。

pem キーワードは、証明書要求に Privacy Enhanced Mail（PEM）の境界を追加します。

ステップ 5

rsakeypair label

例:

Device(ca-trustpoint)#  rsakeypair exampleCAkeys

証明書に関連付けるキーペアを指定します。

ステップ 6

serial-number none

例:

Device(ca-trustpoint)# serial-number none

none キーワードは、証明書要求にシリアル番号が含まれないことを指定します。

ステップ 7

ip-address none

例:

Device(ca-trustpoint)# ip-address none

none キーワードは、証明書要求に IP アドレスが含まれないことを指定します。

ステップ 8

revocation-check crl

例:

Device(ca-trustpoint)# revocation-check crl

ピアの証明書が取り消されていないことを確認する方法として CRL を指定します。

ステップ 9

exit

例:

Device(ca-trustpoint)# exit

CA トラストポイントコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードに戻ります。

ステップ 10

crypto pki authenticate name

例:

Device(config)# crypto pki authenticate myca

CA 証明書を取得して、認証します。

ステップ 11

crypto pki enroll name

例:

Device(config)# crypto pki enroll myca

証明書要求を生成し、証明書サーバーにコピーおよびペーストするために要求を表示します。

プロンプトが表示されたら、登録情報を入力します。たとえば、証明書要求にデバイスの FQDN および IP アドレスを含めるかどうかを指定します。

コンソール端末に対して証明書要求を表示するかについても選択できます。

必要に応じて、Base 64 符号化証明書を PEM ヘッダーを付けて、または付けずに表示します。

ステップ 12

crypto pki import name certificate

例:

Device(config)# crypto pki import myca certificate

許可された証明書を取得するコンソール端末で、TFTP によって証明書をインポートします。

デバイスは、拡張子が「.req」から「.crt」に変更されたことを除いて、要求の送信に使用した同じファイル名を使用して、許可された証明書を TFTP によって取得しようと試みます。用途鍵証明書の場合、拡張子「-sign.crt」および「-encr.crt」が使用されます。

デバイスは、受信したファイルを解析して証明書を検証し、証明書をスイッチの内部証明書データベースに挿入します。

（注）

一部の CA は、証明書要求の用途鍵情報を無視し、汎用目的の証明書を発行します。ご使用の CA が証明書要求の用途鍵情報を無視する場合は、汎用目的の証明書だけをインポートしてください。ルータは、生成される 2 つの鍵ペアのいずれも使用しません。

ステップ 13

end

例:

Device(config)# end

グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 14

show crypto pki certificate trustpoint name

例:

Device# show crypto pki certificate  ka

信頼ポイントの証明書に関する情報を表示します。

802.1x 認証の有効化と AAA の設定

手順の概要

enable
configure terminal
aaa new-model
dot1x system-auth-control
radius server name
address ip_address auth-port port_number acct-port port_number
automate-tester username username
key string
radius-server deadtime minutes
exit
aaa group server radius group_name
server name
exit
aaa authentication dot1x default group group_name
aaa authorization network default group group_name

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `device# enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	aaa new-model 例: `device(config)# aaa new-model`	AAA を有効にします。
ステップ 4	dot1x system-auth-control 例: `device(config)# dot1x system-auth-control`	デバイス上で 802.1X を有効にします。
ステップ 5	radius server `name` 例: `device(config)# radius server ISE`	RADIUS サーバの設定の名前を Protected Access Credential（PAC）のプロビジョニング用に指定し、RADIUS サーバ設定モードを開始します。
ステップ 6	address `ip_address` auth-port `port_number` acct-port `port_number` 例: `device(config-radius-server)# address ipv4 10.64.72.90 auth-port 1645 acct-port 1646`	RADIUS サーバーのアカウンティングおよび認証パラメータの IPv4 アドレスを設定します。
ステップ 7	automate-tester username `username` 例: `device(config-radius-server)# automate-tester username dummy`	RADIUS サーバーの自動テスト機能を有効にします。このようにすると、デバイスは RADIUS サーバーにテスト認証メッセージを定期的に送信し、サーバーからの RADIUS 応答を待機します。成功メッセージは必須ではありません。認証失敗であっても、サーバーが稼働していることを示しているため問題ありません。
ステップ 8	key `string` 例: `device(config-radius-server)# key dummy123`	デバイスと RADIUS サーバーとの間におけるすべての RADIUS 通信用の認証および暗号キーを指定します。
ステップ 9	radius-server deadtime `minutes` 例: `device(config-radius-server)#radius-server deadtime 2`	いくつかのサーバーが使用不能になったときの RADIUS サーバーの応答時間を短くし、使用不能になったサーバーがすぐにスキップされるようにします。
ステップ 10	exit	グローバルコンフィギュレーションモードに戻ります。
ステップ 11	aaa group server radius `group_name` 例: `device(config)# aaa group server radius ISEGRP`	異なる RADIUS サーバーホストを別々のリストと方式にグループ化し、サーバーグループコンフィギュレーションモードを開始します。
ステップ 12	server `name` 例: `device(config)#server ise`
ステップ 13	exit 例: `device(config-radius-server)# exit`	グローバルコンフィギュレーションモードに戻ります。
ステップ 14	aaa authentication dot1x default group `group_name` 例: `device(config)# aaa authentication dot1x default group ISEGRP`	IEEE 802.1x 用にデフォルトの認証サーバグループを設定します。
ステップ 15	aaa authorization network default group `group_name` 例: `device(config)# aaa authorization network default group ISEGRP`	ネットワーク認証のデフォルトグループを設定します。

802.1x MKA MACsec 設定のインターフェイスへの適用

EAP-TLS を使用する MKA MACsec をインターフェイスに適用するには、次のステップを実行します。

手順の概要

enable
configure terminal
interface interface_id
macsec network-link
authentication periodic
authentication timer reauthenticate interval
access-session host-mode multi-domain
access-session closed
access-session port-control auto
dot1x pae both
dot1x credentials profile
dot1x supplicant eap profile profile_name
dot1x authenticator eap profile profile_name
service-policy type control subscriber control_policy_name
exit
show macsec interface
copy running-config startup-config

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `device# enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interface `interface_id` 例: `device(config)# interface te0/1/2`	MACsec インターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。インターフェイスは物理インターフェイスでなければなりません。
ステップ 4	macsec network-link 例: `device(config)# macsec network-link`	インターフェイス上で MACsec をイネーブルにします。
ステップ 5	authentication periodic 例: `device(config)# authentication periodic`	このポートの再認証をイネーブルにします。
ステップ 6	authentication timer reauthenticate interval 例: `device(config)# authentication timer reauthenticate interval`	再認証間隔を設定します。
ステップ 7	access-session host-mode multi-domain 例: `device(config)# access-session host-mode multi-domain`	ホストにインターフェイスへのアクセスを許可します。
ステップ 8	access-session closed 例: `device(config)# access-session closed`	インターフェイスへの事前認証アクセスを防止します。
ステップ 9	access-session port-control auto 例: `device(config)# access-session port-control auto`	ポートの認可状態を設定します。
ステップ 10	dot1x pae both 例: `device(config)# dot1x pae both`	ポートを 802.1X ポートアクセスエンティティ（PAE）のサプリカントおよびオーセンティケータとして設定します。
ステップ 11	dot1x credentials profile 例: `device(config)# dot1x credentials profile`	802.1x クレデンシャルプロファイルをインターフェイスに割り当てます。
ステップ 12	dot1x supplicant eap profile `profile_name` 例: `device(config)# dot1x supplicant eap profile eap1`	EAP-TLS プロファイルをインターフェイスに割り当てます。
ステップ 13	dot1x authenticator eap profile `profile_name` 例: `device(config)# dot1x authenticator eap profile eap1`	802.1x 認証時に使用する EAP-TLS プロファイルを割り当てます。
ステップ 14	service-policy type control subscriber `control_policy_name` 例: `device(config)# service-policy type control subscriber controlPolicy2`	インターフェイスに加入者制御ポリシーを適用します。
ステップ 15	exit 例: `device(config)# exit`	特権 EXEC モードに戻ります。
ステップ 16	show macsec interface 例: `device# show macsec interface`	インターフェイスの MACsec の詳細を表示します。
ステップ 17	copy running-config startup-config 例: `device# copy running-config startup-config`	（任意）コンフィギュレーションファイルに設定を保存します。

PSK を使用する MKA/MACsec のポートチャネルへの設定

事前共有キー（PSK）を使用する MKA ポリシーをインターフェイスに設定するには、特権 EXEC モードで次の手順を実行します。

手順

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

interface interface-id

例:

Device(config-if)# interface gigabitethernet 1/0/3

インターフェイスコンフィギュレーションモードを開始します。

ステップ 4

macsec network-link

例:

Device(config-if)# macsec network-link

インターフェイス上で MACsec を有効にします。レイヤ 2 およびレイヤ 3 ポートチャネルをサポートします。

ステップ 5

mka policy policy-name

例:

Device(config-if)# mka policy mka_policy

MKA ポリシーを設定します。

ステップ 6

mka pre-shared-key key-chain key-chain name [fallback key-chain key-chain name]

例:

Device(config-if)# mka pre-shared-key key-chain key-chain-name

MKA 事前共有キーのキーチェーン名を設定します。

（注）

MKA 事前共有キーは、物理インターフェイスまたはサブインターフェイスで設定できますが、両方で設定することはできません。

ステップ 7

macsec replay-protection window-size frame number

例:

Device(config-if)# macsec replay-protection window-size 0

リプレイ保護の MACsec ウィンドウサイズを設定します。

ステップ 8

channel-group channel-group-number mode {auto | desirable} | {active | passive} | {on}

例:

Device(config-if)# channel-group 3 mode auto active on

チャネルグループ内にポートを設定し、モードを設定します。

（注）

インターフェイスで MACsec を設定しないと、チャネルグループのポートを設定できません。このステップの前に、ステップ 3、4、5、および 6 のコマンドを設定する必要があります。

channel-number の指定できる範囲は 1 ～ 4096 です。ポートチャネルがない場合は、このチャネルグループに関連付けられたポートチャネルが自動的に作成されます。モードには、次のキーワードのいずれか 1 つを選択します。

auto ：PAgP デバイスが検出された場合に限り、PAgP を有効にします。ポートをパッシブネゴシエーションステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケットネゴシエーションを開始することはありません。

（注）

EtherChannel メンバが、スイッチスタックにある異なるスイッチのメンバである場合、auto キーワードはサポートされません。

desirable ：無条件に PAgP を有効にします。ポートをアクティブネゴシエーションステートにします。この場合、ポートは PAgP パケットを送信することによって、相手ポートとのネゴシエーションを開始します。

（注）

EtherChannel メンバが、スイッチスタックにある異なるスイッチのメンバである場合、desirable キーワードはサポートされません。

on ：PAgP または LACP を使用せずにポートが強制的にチャネル化されます。on モードでは、EtherChannel が存在するのは、on モードのポートグループが、on モードの別のポートグループに接続する場合だけです。
active ：LACP デバイスが検出された場合に限り、LACP を有効にします。ポートをアクティブネゴシエーションステートにします。この場合、ポートは LACP パケットを送信することによって、相手ポートとのネゴシエーションを開始します。
passive ：ポート上で LACP を有効にして、ポートをパッシブネゴシエーションステートにします。この場合、ポートは受信する LACP パケットに応答しますが、LACP パケットネゴシエーションを開始することはありません。

ステップ 9

end

例:

Device(config-if)# cend

インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

レイヤ 2 EtherChannel 用のポートチャネル論理インターフェイスの設定

レイヤ 2 EtherChannel 用のポートチャネルインターフェイスを作成するには、次の作業を行います。

手順

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

interface port-channel channel-group-number

例:

Device(config)# interface port-channel 1

ポートチャネルインターフェイスを作成します。

（注）

ポートチャネルインターフェイスを削除するには、このコマンドの no 形式を使用します。

ステップ 4

switchport

例:

Device(config-if)# switchport

レイヤ 3 モードになっているインターフェイスを、レイヤ 2 設定のレイヤ 2 モードに切り替えます。

ステップ 5

switchport mode {access | trunk}

例:

Device(config-if)# switchport mode access

すべてのポートをスタティックアクセスポートとして同じ VLAN に割り当てるか、またはトランクとして設定します。

ステップ 6

end

例:

Device(config-if)# end

インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

レイヤ 3 EtherChannel 用のポートチャネル論理インターフェイスの設定

レイヤ 3 EtherChannel 用のポートチャネルインターフェイスを作成するには、次の作業を行います。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interface interface-id 例: `Device(config)# interface gigabitethernet 1/0/2`	インターフェイスコンフィギュレーションモードを開始します。
ステップ 4	no switchport 例: `Device(config-if)# no switchport`	レイヤ 2 モードになっているインターフェイスを、レイヤ 3 設定用にレイヤ 3 モードに切り替えます。
ステップ 5	ip address `ip-address subnet_mask` 例: `Device(config-if)# ip address 10.2.2.3 255.255.255.254`	EtherChannel に IP アドレスおよびサブネットマスクを割り当てます。
ステップ 6	end 例: `Device(config-if)# end`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

MACsec 暗号アナウンスメントの設定

セキュアアナウンスメントの MKA ポリシーの設定

MKA プロトコルポリシーを作成して MKPDU でセキュアアナウンスメントを有効にするには、特権 EXEC モードで次の手順を実行します。デフォルトでは、セキュアアナウンスメントは無効になっています。

手順

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

mka policy policy-name

例:

Device(config)# mka policy mka_policy

MKA ポリシーを指定して、MKA ポリシーコンフィギュレーションモードを開始します。ポリシー名の長さは最大で 16 文字です。

（注）

MKA ポリシーのデフォルトの MACsec 暗号スイートは GCM-AES-128 です。デバイスが「GCM-AES-128」および「GCM-AES-256」の両方の暗号方式をサポートしている場合は、ユーザー定義の MKA ポリシーを定義して使用し、必要に応じて、128 および 256 ビット両方の暗号を含めるか、または 256 ビットのみの暗号を含めることを強くお勧めします。

ステップ 4

key-server priority

例:

Device(config-mka-policy)# key-server priority 200

MKA キーサーバーオプションを設定し、0 ～ 255 の間で優先順位を設定します。

（注）

キーサーバーの優先順位の値を 255 に設定した場合、ピアはキーサーバーになることはできません。キーサーバーの優先順位の値は MKA PSK に対してのみ有効です。これは MKA EAP-TLS には適用されません。

ステップ 5

send-secure-announcements

例:

Device(config-mka-policy)# send-secure-announcements

セキュアアナウンスメントの送信を有効にします。セキュアアナウンスメントの送信を無効にするには、このコマンドの no 形式を使用します。デフォルトでは、セキュアアナウンスメントは無効になっています。

ステップ 6

macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}

例:

Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128

128 ビットまたは 256 ビット暗号化により SAK を取得するための暗号スイートを設定します。

ステップ 7

end

例:

Device(config-mka-policy)# end

MKA ポリシーコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 8

show mka policy

例:

Device# show mka policy

MKA ポリシーを表示します。

セキュアアナウンスメントのグローバル設定

特権 EXEC モードから始めて、次の手順に従って、すべての MKA ポリシーにわたって安全なアナウンスメントをグローバルに有効にします。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	mka defaults policy send-secure-announcements 例: `Device(config)# mka defaults policy send-secure-announcements`	MKA ポリシーを介した MKPDU でのセキュアアナウンスメントの送信を有効にします。デフォルトでは、セキュアアナウンスメントは無効になっています。
ステップ 4	end 例: `Device(config)# end`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

インターフェイスでの EAPoL アナウンスメントの設定

インターフェイスで EAPoL アナウンスメントを設定するには、特権 EXEC モードで次の手順を実行します。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	interface `interface-id` 例: `Device(config)# interface gigabitethernet 1/0/1`	MACsec インターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。インターフェイスは物理インターフェイスでなければなりません。
ステップ 4	eapol annoucement 例: `Device(config-if)# eapol announcement`	EAPoL アナウンスメントを有効にします。EAPoL アナウンスメントを無効にするには、コマンドの no 形式を使用します。デフォルトでは、EAPoL アナウンスメントは無効になっています。
ステップ 5	end 例: `Device(config-if)# configure terminal`	インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

MACsec 暗号化の設定例

例：MKA および MACsec の設定

次に、MKA ポリシーを作成する例を示します。


Device> enable
Device# configure terminal
Device(config)# mka policy mka_policy
Device(config-mka-policy)# key-server priority 200
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 30
Device(config-mka-policy)# ssci-based-on-sci
Device(config-mka-policy)#end

次は、インターフェイスに MACsec を設定する例です。


Device> enable
Device# configure terminal
Device(config)# interface GigabitEthernet 1/0/1
Device(config-if)# switchport access vlan 1
Device(config-if)# switchport mode access
Device(config-if)# macsec
Device(config-if)#access-session event linksec fail action authorize vlan 1
Device(config-if)# access-session host-mode multi-domain
Device(config-if)# access-session linksec policy must-secure
Device(config-if)# access-session port-control auto
Device(config-if)#authentication periodic
Device(config-if)# authentication timer reauthenticate
Device(config-if)# authentication violation protect
Device(config-if)#mka policy mka_policy
Device(config-if)# dot1x pae authenticator
Device(config-if)# spanning-tree portfast
Device(config-if)#end

例：PSK を使用する MACsec MKA の設定

次に、PSK を使用して、MKA MACsec を設定する例を示します。

Device> enable
Device# configure terminal
Device(config)# Key chain keychain1 macsec
Device(config-keychain)# key 1000
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789012
Device(config-keychain-key)# lifetime local 12:12:00 July 28 2016 12:19:00 July 28 2016
Device(config-keychain-key)# end

次に、PSK を使用して、インターフェイスに MACsec MKA を設定する例を示します。

Device> enable
Device# configure terminal
Device(config)# interface GigabitEthernet 0/0/0
Device(config-if)# mka policy mka_policy
Device(config-if)# mka pre-shared-key key-chain key-chain-name
Device(config-if)# macsec replay-protection window-size 10
Device(config-if)# end

MKA-PSK：CKN 動作の変更

Cisco IOS XE Fuji 16.8.1 リリース以降、MKA PSK セッションの場合、CKN は、固定の 32 バイトではなく、キーの 16 進文字列として設定されている CKN とまったく同じ文字列を使用します。

Device> enable
Device# configure terminal
Device(config)# key chain abc macsec
Device(config-keychain)# key 11
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789013
Device(config-keychain-key)# lifetime local 12:21:00 Sep 9 2015 infinite
Device(config-keychain-key)# end

以下は、上記の設定に対する show mka session コマンドの出力例です。

Device# show mka session

Total MKA Sessions....... 1
Secured Sessions... 1
Pending Sessions... 0
====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server                                            
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN                                                   
====================================================================================================
Et0/0          aabb.cc00.6600/0002     icv            NO                NO                                                    
2              aabb.cc00.6500/0002 1                Secured             11   *Note that the CKN key-string is exactly the same that has been configured for the key as hex-string.*

一方で CKN 動作が変更され、もう一方で CKN 動作が変更されていない 2 つのイメージ間の相互運用性の場合、キーの 16 進数文字列は 64 文字の 16 進数文字列である必要があります。この文字列は、CKN 動作が変更されたイメージを持つデバイスで動作するようにゼロパディングされている必要があります。次の例を参照してください。

CKN キー文字列の動作が変更されていない設定：

Device# configure terminal
Device(config)# key chain abc macsec
Device(config-keychain)# key 11
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789013
Device(config-keychain-key)# lifetime local 12:21:00 Sep 9 2015 infinite
Device(config-keychain-key)# end

CKN キー文字列の動作が変更された設定：

Device# configure terminal
Device(config)# key chain abc macsec
Device(config-keychain)# key 11000000000000000000000000000000000000000000000000000000000000000
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789013
Device(config-keychain-key)# lifetime local 12:21:00 Sep 9 2015 infinite
Device(config-keychain-key)# end

例：証明書ベース MACsec を使用した MACsec MKA の設定

この例では、証明書ベース MACsec を使用した MACsec MKA の設定方法について説明します。

Device> enable
Device# configure terminal
Device(config)# interface Gigabitethernet 1/0/1
Device(config-if)# macsec network-link
Device(config-if)# authentication periodic
Device(config-if)# authentication timer reauthenticate interval
Device(config-if)#access-session host-mode multi-domain
Device(config-if)# access-session closed
Device(config-if)# access-session port-control auto
Device(config-if)# dot1x pae both
Device(config-if)#dot1x credentials profile
Device(config-if)# dot1x supplicant eap profile profile_eap_tls
Device(config-if)#service-policy type control subscriber sub1
Device(config-if)# end

例：PSK を使用する MACsec MKA のポートチャネルへ設定

Etherchannel モード - Static/On

次に、EtherChannel モードがオンのデバイス 1 およびデバイス 2 の設定例を示します。


Device> enable
Device# configure terminal
Device(config)# key chain KC macsec
Device(config-key-chain)# key 1000
Device(config-key-chain)# cryptographic-algorithm aes-128-cmac
Device(config-key-chain)# key-string FC8F5B10557C192F03F60198413D7D45
Device(config-key-chain)# exit
Device(config)# mka policy POLICY
Device(config-mka-policy)# key-server priority 0
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 0
Device(config-mka-policy)# exit
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# channel-group 2 mode on
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# exit
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# channel-group 2 mode on
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# end

レイヤ 2 EtherChannel 設定

デバイス 1


Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2


Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

次に、show etherchannel summary コマンドの出力例を示します。


	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)          -        Te1/0/1(P)  Te1/0/2(P)

レイヤ 3 EtherChannel 設定

デバイス 1


Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.3 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.4 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

次に、show etherchannel summary コマンドの出力例を示します。


	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)          -        Te1/0/1(P)  Te1/0/2(P)

EtherChannel モード - LACP

次に、EtherChannel モードが LACP のデバイス 1 およびデバイス 2 の設定例を示します。


Device> enable
Device# configure terminal
Device(config)# key chain KC macsec
Device(config-key-chain)# key 1000
Device(config-key-chain)# cryptographic-algorithm aes-128-cmac
Device(config-key-chain)# key-string FC8F5B10557C192F03F60198413D7D45
Device(config-key-chain)# exit
Device(config)# mka policy POLICY
Device(config-mka-policy)# key-server priority 0
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 0
Device(config-mka-policy)# exit
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# channel-group 2 mode active
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# exit
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# channel-group 2 mode active
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# end

レイヤ 2 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

次に、show etherchannel summary コマンドの出力例を示します。

	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	------+-------------+-----------+-----------------------------------------------
	2      Po2(SU)         LACP      Te1/1/1(P)  Te1/1/2(P)

レイヤ 3 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.3 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.4 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

次に、show etherchannel summary コマンドの出力例を示します。

	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)         LACP      Te1/1/1(P)  Te1/1/2(P)

EtherChannel モード - PAgP

次に、EtherChannel モードが PAgP のデバイス 1 およびデバイス 2 の設定例を示します。


Device> enable
Device# configure terminal
Device(config)# key chain KC macsec
Device(config-key-chain)# key 1000
Device(config-key-chain)# cryptographic-algorithm aes-128-cmac
Device(config-key-chain)# key-string FC8F5B10557C192F03F60198413D7D45
Device(config-key-chain)# exit
Device(config)# mka policy POLICY
Device(config-mka-policy)# key-server priority 0
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 0
Device(config-mka-policy)# exit
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# channel-group 2 mode desirable
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# exit
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# channel-group 2 mode desirable
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# end

レイヤ 2 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

次に、show etherchannel summary コマンドの出力例を示します。

	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	------+-------------+-----------+-----------------------------------------------
	2      Po2(SU)         PAgP      Te1/1/1(P)  Te1/1/2(P)

レイヤ 3 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.3 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.4 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

次に、show etherchannel summary コマンドの出力例を示します。

	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)         PAgP      Te1/1/1(P)  Te1/1/2(P)

アクティブな MKA セッションの表示

次に、すべてのアクティブな MKA セッションを表示します。

Device# show mka sessions interface Te1/0/1

===============================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server                                            
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN                                                   
=========================================================================================
Te1/0/1        00a3.d144.3364/0025 POLICY           NO                NO                                                    
37             701f.539b.b0c6/0032 1                Secured           1000

例：MACsec 暗号アナウンスメントの設定

次に、セキュアアナウンスメントの MKA ポリシーの設定例を示します。

Device> enable
Device# configure terminal
Device(config)# mka policy mka_policy
Device(config-mka-policy)# key-server 2
Device(config-mka-policy)# send-secure-announcements
Device(config-mka-policy)#macsec-cipher-suite gcm-aes-128confidentiality-offset 0
Device(config-mka-policy)# end

次に、セキュアアナウンスメントのグローバル設定例を示します。

Device> enable
Device# configure terminal
Device(config)# mka defaults policy send-secure-announcements
Device(config)# end

次に、インターフェイスでの EAPoL アナウンスメントの設定例を示します。

Device> enable
Device# configure terminal
Device(config)# interface GigabitEthernet 1/0/1
Device(config-if)# eapol announcement
Device(config-if)# end

次に、EAPoL アナウンスメントが有効になっている show running-config interface interface-name コマンドの出力例を示します。

Device# show running-config interface GigabitEthernet 1/0/1

switchport mode access
 macsec
 access-session host-mode multi-host
 access-session closed
 access-session port-control auto
 dot1x pae authenticator
 dot1x timeout quiet-period 10
 dot1x timeout tx-period 5
 dot1x timeout supp-timeout 10
 dot1x supplicant eap profile peap
 eapol announcement
 spanning-tree portfast
 service-policy type control subscriber Dot1X

次に、セキュアアナウンスメントが無効になっている show mka sessions interface interface-name detail コマンドの出力例を示します。

Device# show mka sessions interface GigabitEthernet 1/0/1 detail


MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89567
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89555       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

次に、セキュアアナウンスメントが無効になっている show mka sessions details コマンドの出力例を示します。

Device# show mka sessions details

MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89572
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89560       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

次に、セキュアアナウンスメントが無効になっている show mka policy policy-name detail コマンドの出力例を示します。

Device# show mka policy p2 detail

MKA Policy Configuration ("p2")
========================
MKA Policy Name........ p2
Key Server Priority.... 2
Confidentiality Offset. 0
Send Secure Announcement..DISABLED
Cipher Suite(s)........ GCM-AES-128

Applied Interfaces...
  GigabitEthernet1/0/1

例：MKA 情報の表示

次に、show mka sessions コマンドの出力例を示します。

Device# show mka sessions


Total MKA Sessions....... 1
      Secured Sessions... 1
      Pending Sessions... 0

====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN
====================================================================================================
Gi1/0/1        204c.9e85.ede4/002b p2               NO                YES
43             c800.8459.e764/002a 1                Secured           0100000000000000000000000000000000000000000000000000000000000000

次に、show mka sessions interface interface-name コマンドの出力例を示します。

Device# show mka sessions interface GigabitEthernet 1/0/1

Summary of All Currently Active MKA Sessions on Interface GigabitEthernet1/0/1...

====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN
====================================================================================================
Gi1/0/1        204c.9e85.ede4/002b p2               NO                YES
43             c800.8459.e764/002a 1                Secured           0100000000000000000000000000000000000000000000000000000000000000

次に、show mka sessions interface interface-name detail コマンドの出力例を示します。

Device# show mka sessions interface GigabitEthernet 1/0/1 detail


MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89567
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89555       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

次に、show mka sessions details コマンドの出力例を示します。

Device# show mka sessions details

MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89572
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89560       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

次に、show mka policy コマンドの出力例を示します。

Device# show mka policy


MKA Policy Summary...

Policy            KS       Delay   Replay  Window Conf   Cipher          Interfaces
Name              Priority Protect Protect Size   Offset Suite(s)        Applied
======================================================================================================
*DEFAULT POLICY*  0        FALSE   TRUE    0      0      GCM-AES-128

p1                1        FALSE   TRUE    0      0      GCM-AES-128

p2                2        FALSE   TRUE    0      0      GCM-AES-128     Gi1/0/1

次に、show mka policy policy-name コマンドの出力例を示します。

Device# show mka policy p2


MKA Policy Summary...

Policy            KS       Delay   Replay  Window Conf   Cipher          Interfaces
Name              Priority Protect Protect Size   Offset Suite(s)        Applied
======================================================================================================
p2                2        FALSE   TRUE    0      0      GCM-AES-128     Gi1/0/1

次に、show mka policy policy-name detail コマンドの出力例を示します。

Device# show mka policy p2 detail

MKA Policy Configuration ("p2")
========================
MKA Policy Name........ p2
Key Server Priority.... 2
Confidentiality Offset. 0
Send Secure Announcement..DISABLED
Cipher Suite(s)........ GCM-AES-128

Applied Interfaces...
  GigabitEthernet1/0/1

次に、show mka statistics interface interface-name コマンドの出力例を示します。

Device# show mka statistics interface GigabitEthernet 1/0/1


MKA Statistics for Session
==========================
Reauthentication Attempts.. 0

CA Statistics
   Pairwise CAKs Derived... 0
   Pairwise CAK Rekeys..... 0
   Group CAKs Generated.... 0
   Group CAKs Received..... 0

SA Statistics
   SAKs Generated.......... 1
   SAKs Rekeyed............ 0
   SAKs Received........... 0
   SAK Responses Received.. 1

MKPDU Statistics
   MKPDUs Validated & Rx... 89585
      "Distributed SAK".. 0
      "Distributed CAK".. 0
   MKPDUs Transmitted...... 89596
      "Distributed SAK".. 1
      "Distributed CAK".. 0

次に、show mka summary コマンドの出力例を示します。

Device# show mka summary

Total MKA Sessions....... 1
      Secured Sessions... 1
      Pending Sessions... 0

====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN
====================================================================================================
Gi1/0/1        204c.9e85.ede4/002b p2               NO                YES
43             c800.8459.e764/002a 1                Secured           0100000000000000000000000000000000000000000000000000000000000000



MKA Global Statistics
=====================
MKA Session Totals
   Secured.................... 1
   Reauthentication Attempts.. 0

   Deleted (Secured).......... 0
   Keepalive Timeouts......... 0

CA Statistics
   Pairwise CAKs Derived...... 0
   Pairwise CAK Rekeys........ 0
   Group CAKs Generated....... 0
   Group CAKs Received........ 0

SA Statistics
   SAKs Generated............. 1
   SAKs Rekeyed............... 0
   SAKs Received.............. 0
   SAK Responses Received..... 1

MKPDU Statistics
   MKPDUs Validated & Rx...... 89589
      "Distributed SAK"..... 0
      "Distributed CAK"..... 0
   MKPDUs Transmitted......... 89600
      "Distributed SAK"..... 1
      "Distributed CAK"..... 0

MKA Error Counter Totals
========================
Session Failures
   Bring-up Failures................ 0
   Reauthentication Failures........ 0
   Duplicate Auth-Mgr Handle........ 0

SAK Failures
   SAK Generation................... 0
   Hash Key Generation.............. 0
   SAK Encryption/Wrap.............. 0
   SAK Decryption/Unwrap............ 0
   SAK Cipher Mismatch.............. 0

CA Failures
   Group CAK Generation............. 0
   Group CAK Encryption/Wrap........ 0
   Group CAK Decryption/Unwrap...... 0
   Pairwise CAK Derivation.......... 0
   CKN Derivation................... 0
   ICK Derivation................... 0
   KEK Derivation................... 0
   Invalid Peer MACsec Capability... 0
MACsec Failures
   Rx SC Creation................... 0
   Tx SC Creation................... 0
   Rx SA Installation............... 0
   Tx SA Installation............... 0

MKPDU Failures
   MKPDU Tx......................... 0
   MKPDU Rx Validation.............. 0
   MKPDU Rx Bad Peer MN............. 0
   MKPDU Rx Non-recent Peerlist MN.. 0

MACsec 暗号化に関する追加情報

標準および RFC


標準/RFC	タイトル
IEEE 802.1AE-2006	Media Access Control（MAC）セキュリティ
IEEE 802.1X-2010	ポートベースのネットワークアクセスコントロール
IEEE 802.1AEbw-2013	Media Access Control（MAC）セキュリティ（IEEE 802.1AE-2006 の修正）：Extended Packet Numbering（XPN）
IEEE 802.1Xbx-2014	ポートベースのネットワークアクセスコントロール（IEEE 802.1X-2010 の修正）
RFC 4493	AES-CMAC アルゴリズム

シスコのテクニカルサポート


説明	リンク
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンラインリソースを提供しています。お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service（Field Notice からアクセス）、Cisco Technical Services Newsletter、Really Simple Syndication（RSS）フィードなどの各種サービスに加入できます。シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。	Cisco.com の [Support & Downloads] ページ

MACsec 暗号化の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。


リリース	機能	機能情報
Cisco IOS XE 17.13.1	証明書ベースの MACsec 暗号化	この機能のサポートは、このリリースで Cisco Catalyst ESS9300 エンベデッドシリーズスイッチに導入されました。
Cisco IOS XE Cupertino 17.8.x	MACSec 暗号化	MACsec は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。この機能のサポートは、このリリースで Cisco Catalyst IE9300 高耐久性シリーズスイッチに導入されました。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。

Cisco Catalyst IE9300 高耐久性シリーズ スイッチ セキュリティ コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： MACsec の暗号化

MACsec の暗号化