MACsec の暗号化

MACsec の暗号化

MACsec は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。Catalyst スイッチは、スイッチとホストデバイス間の暗号化に、スイッチからホストへのリンクでの MACsec Key Agreement(MKA)による 802.1AE 暗号化をサポートします。また、スイッチは、MKA ベースの鍵交換プロトコルを使用して、スイッチ間(ネットワーク間デバイス)セキュリティの MACsec 暗号化をサポートします。


(注)  


スイッチ間 MACSec が有効な場合、EAP-over-LAN(EAPOL)パケットを除くすべてのトラフィックが暗号化されます。


リンク層セキュリティはスイッチ間のパケット認証とスイッチ間の MACsec 暗号化の両方を含みます(暗号化は任意です)。

表 1. スイッチ ポートの MACsec サポート

接続

MACsec のサポート

スイッチからホストへ

MACsec MKA の暗号化

スイッチからスイッチへ

MACsec MKA の暗号化

Cisco TrustSec はスイッチ間のリンクにのみ使用され、PC や IP フォンなどのエンドホストに接続されたスイッチポートではサポートされません。MKA は、スイッチからホストへのリンクとスイッチ間リンクでサポートされます。ホスト側のリンクは、IEEE 802.1x の有無にかかわらず異種デバイスを扱うために、一般に柔軟な認証順序を使用し、オプションで MKA ベースの MACsec 暗号化を使用できます。ネットワーク エッジ アクセス トポロジ(NEAT)はコンパクトなスイッチがワイヤリングクローゼットの外側にセキュリティを拡張するために使用されます。

MACsec Key Agreement

802.1AE で定義された MACsec では、暗号化キー入力のためにアウトオブバンド方式を使用することによって、有線ネットワーク上で MAC レイヤの暗号化を実現します。MACsec Key Agreement(MKA)プロトコルでは、必要なセッション キーを提供し、必要な暗号化キーを管理します。MKA と MACsec は、証明書ベース MACsec または事前共有キー(PSK)フレームワークを使用した認証に成功した後に実装されます。

MACsec を使用するスイッチでは、MKA ピアに関連付けられたポリシーに応じて、MACsec フレームまたは非 MACsec フレームを許可します。MACsec フレームは暗号化され、整合性チェック値(ICV)で保護されます。スイッチは MKA ピアからフレームを受信すると、MKA によって提供されたセッション キーを使用してこれらのフレームを暗号化し、正しい ICV を計算します。スイッチはこの ICV をフレーム内の ICV と比較します。一致しない場合は、フレームが破棄されます。また、スイッチは現在のセッション キーを使用して、ICV を暗号化し、セキュアなポート(セキュアな MAC サービスを MKA ピアに提供するために使用されるアクセス ポイント)を介して送信されたフレームに追加します。

MKA プロトコルは、基礎となる MACsec プロトコルで使用される暗号キーを管理します。MKA の基本的な要件は 802.1x-REV で定義されています。MKA プロトコルでは 802.1x を拡張し、相互認証の確認によってピアを検出し、MACsec 秘密キーを共有してピアで交換されるデータを保護できます。

EAP フレームワークでは、新しく定義された EAP-over-LAN(EAPOL)パケットとして MKA を実装します。EAP 認証では、データ交換で両方のパートナーで共有されるマスター セッション キー(MSK)を生成します。EAP セッション ID を入力すると、セキュアな接続アソシエーション キー名(CKN)が生成されます。スイッチは、アップリンクおよびダウンリンクの両方のオーセンティケータとして機能します。また、ダウンリンクのキー サーバーとして機能します。これによってランダムなセキュア アソシエーション キー(SAK)が生成され、クライアント パートナーに送信されます。クライアントはキー サーバーではなく、単一の MKA エンティティであるキー サーバーとだけ対話できます。キーの派生と生成の後で、スイッチは定期的にトランスポートをパートナーに送信します。デフォルトの間隔は 2 秒間です。

EAPOL プロトコル データ ユニット(PDU)のパケット本体は、MACsec Key Agreement PDU(MKPDU)と呼ばれます。MKA セッションと参加者は、MKA ライフタイム(6 秒間)が経過しても参加者から MKPDU を受信していない場合に削除されます。たとえば、MKA ピアが接続を解除した場合、スイッチ上の参加者は MKA ピアから最後の MKPDU を受信した後、6 秒間が経過するまで MKA の動作を継続します。


(注)  


MKPDU の整合性チェック値(ICV)インジケータはオプションです。トラフィックが暗号化されている場合、ICV はオプションではありません。


EAPoL 通知は、キー関連情報のタイプの使用を示します。通知は、サプリカントとオーセンティケータの機能を通知するために使用できます。各側の機能に基づいて、キー関連情報の最大公分母を使用できます。

MKA ポリシー

インターフェイスで MKA を有効にするには、定義された MKA ポリシーをインターフェイスに適用する必要があります。次のオプションを設定可能です。

  • 16 ASCII 文字未満のポリシー名。

  • 物理インターフェイスごとの 0 バイト、30 バイト、または 50 バイトの機密保持(暗号化)オフセット。

ポリシーマップアクションの定義

ここでは、ポリシーマップアクションとその定義について説明します。

  • Activate:サービステンプレートをセッションに適用します。

  • Authenticate:セッションの認証を開始します。

  • Authorize:セッションを明示的に許可します。

  • Set-domain:クライアントのドメインを明示的に設定します。

  • Terminate:実行中のメソッドを終了し、セッションに関連付けられているすべてのメソッドの詳細を削除します。

  • Deactivate:セッションに適用されたサービステンプレートを削除します。適用されない場合、アクションは実行されません。

  • Set-timer:タイマーを開始し、セッションに関連付けます。タイマーが期限切れになると、開始する必要があるアクションを処理できます。

  • Authentication-restart:認証を再開します。

  • Clear-session:セッションを削除します。

  • Pause:認証を一時停止します。

残りのアクションについては説明の必要はなく、認証に関連したものです。

仮想ポート

仮想ポートは、1 つの物理ポート上の複数のセキュアな接続アソシエーションに使用します。各接続アソシエーション(ペア)は仮想ポートを表します。アップリンクでは、物理ポートごとに 1 つの仮想ポートのみを指定できます。同じポートで同じ VLAN 内のセキュアなセッションとセキュアでないセッションを同時にホストすることはできません。この制限のため、802.1x マルチ認証モードはサポートされません。

この制限の例外は、マルチホスト モードで最初の MACsec サプリカントが正常に認証され、スイッチに接続されたハブに接続される場合です。ハブに接続された非 MACsec ホストでは、マルチホスト モードであるため、認証なしでトラフィックを送信できます。最初にクライアントが成功した後、他のクライアントでは認証が必要ないため、マルチホスト モードの使用は推奨しません。

仮想ポートは、接続アソシエーションの任意の ID を表し、MKA プロトコル外では意味を持ちません。仮想ポートは個々の論理ポート ID に対応します。仮想ポートの有効なポート ID は 0x0002 ~ 0xFFFF です。各仮想ポートは、16 ビットのポート ID に連結された物理インターフェイスの MAC アドレスに基づいて、一意のセキュア チャネル ID(SCI)を受け取ります。

MKA 統計情報

一部の MKA カウンタはグローバルに集約され、その他のカウンタはグローバルとセッション単位の両方で更新されます。また、MKA セッションのステータスに関する情報も取得できます。詳細については、MKA 統計情報の表示を参照してください。

キー ライフタイムおよびヒットレス キー ロールオーバー

MACsec キー チェーンには、キー ID とオプションのライフタイムが設定された複数の事前共有キー(PSK)を含めることができます。キーのライフタイムには、キーが期限切れになる時刻が指定されます。ライフタイム設定が存在しない場合は、無期限のデフォルト ライフタイムが使用されます。ライフタイムが設定されている場合、ライフタイムの期限が切れた後に、MKA はキー チェーン内の次に設定された事前共有キーにロールオーバーします。キーのタイム ゾーンは、ローカルまたは UTC を指定できます。デフォルトのタイム ゾーンは UTC です。

キー チェーン内に 2 番目のキーを設定し、最初のキーのライフタイムを設定することで、同じキーチェーン内の次のキーにロールオーバーできます。最初のキーのライフタイムが期限切れになると、リスト内の次のキーに自動的にロールオーバーします。同一のキーがリンクの両側で同時に設定されている場合、キーのロール オーバーはヒットレスになります。つまり、キーはトラフィックを中断せずにロールオーバーされます。

すべての参加デバイスで、MACsec キーチェーンを Network Time Protocol(NTP)を使用して同期し、同じタイムゾーンを使用する必要があります。参加しているすべてのデバイスが同期されていない場合、接続アソシエーションキー(CAK)のキー再生成はすべてのデバイスで同時に開始されません。


(注)  


キーのライフタイムは、ヒットレス キー ロールオーバーを実現するためにオーバーラップする必要があります。


リプレイ保護ウィンドウ サイズ

リプレイ保護は、リプレイ攻撃に対抗するために MACsec により提供される機能です。暗号化された各パケットには一意のシーケンス番号が割り当てられ、シーケンスはリモートエンドで確認されます。メトロ イーサネット サービス プロバイダー ネットワークを介して送信されるフレームは、順序が変更されることが多くあります。これは、ネットワーク内で使用されている優先順位付けとロードバランシング のメカニズムによるものです。

フレームの順序が変更されるプロバイダーネットワーク上で MACsec の使用をサポートするには、リプレイウィンドウが必要です。ウィンドウ内のフレームは順不同で受信できますが、リプレイ保護されません。デフォルトのウィンドウサイズは 0 で、厳密な受信順序が適用されます。リプレイウィンドウのサイズは、0 〜 232- 1 の範囲で設定できます。

MACsec、MKA、および 802.1x ホスト モード

MACsec と MKA プロトコルは、802.1x シングルホスト モード、マルチホスト モード、またはマルチドメイン認証(MDA)モードで使用できます。マルチ認証モードはサポートされません。

シングルホスト モード

次の図に、MKA を使用して、MACsec で 1 つの EAP 認証済みセッションをセキュアにする方法を示します。

図 1. セキュアなデータ セッションでのシングルホスト モードの MACsec


マルチホスト モード

標準の(802.1x REV ではない)802.1x マルチホスト モードでは、1 つの認証に基づいてポートが開いているか、閉じられています。1 人のユーザー(プライマリ セキュア クライアント サービスのクライアント ホスト)が認証される場合は、同じポートに接続されているホストに同じレベルのネットワーク アクセスが提供されます。セカンダリ ホストが MACsec サプリカントの場合、認証できず、トラフィック フローは発生しません。非 MACsec ホストであるセカンダリ ホストは、マルチホスト モードであるため、認証なしでネットワークにトラフィックを送信できます。次の図に、標準のマルチホスト非セキュア モードにおける MACsec を示します。

図 2. マルチホスト モードの MACsec:非セキュア



(注)  


マルチホスト モードは推奨されていません。これは最初にクライアントが成功した後、他のクライアントでは認証が必要ないことから、安全性が低いためです。

標準の(802.1x REV ではない)802.1x マルチドメイン モードでは、1 つの認証に基づいてポートが開いているか、閉じられています。プライマリ ユーザー(データ ドメインの PC)が認証されると、同じレベルのネットワーク アクセスが同じポートに接続されているドメインに提供されます。セカンダリ ユーザーが MACsec サプリカントの場合、認証できず、トラフィック フローは発生しません。非 MACsec ホストであるセカンダリ ユーザー(音声ドメインの IP フォン)は、マルチドメイン モードであるため、認証なしでネットワークにトラフィックを送信できます。

マルチドメインモード

標準の(802.1x REV ではない)802.1x マルチドメイン モードでは、1 つの認証に基づいてポートが開いているか、閉じられています。プライマリ ユーザー(データ ドメインの PC)が認証されると、同じレベルのネットワーク アクセスが同じポートに接続されているドメインに提供されます。セカンダリ ユーザーが MACsec サプリカントの場合、認証できず、トラフィック フローは発生しません。非 MACsec ホストであるセカンダリ ユーザー(音声ドメインの IP フォン)は、マルチドメイン モードであるため、認証なしでネットワークにトラフィックを送信できます。

証明書ベースの MACsec を使用した MACsec MKA

MACsec MKA はスイッチ間リンクでサポートされます。証明書ベースの MACsec を使用して、デバイスのアップリンクポート間で MACsec MKA を設定できます。証明書ベースの MACsec は相互認証を許可し、MSK(マスターセッションキー)を取得します。そのキーから、MKA 操作用の接続アソシエーションキー(CAK)が取得されます。デバイスの証明書は、AAA サーバーへの認証用に、証明書ベースの MACsec を使用して伝送されます。


(注)  


証明書ベースの MACsec は、Cisco IOS XE 17.13.1 リリース以降の Cisco Catalyst ESS9300 エンベデッド シリーズ スイッチでサポートされています。


証明書ベースの MACsec を使用する MACsec MKA の前提条件

  • 認証局(CA)サーバーがネットワークに設定されていることを確認します。

  • CA 証明書を生成します。

  • Cisco Identity Services Engine(ISE)リリース 2.0 が設定されていることを確認します。

  • 両方の参加デバイス(CA サーバーと Cisco Identity Services Engine(ISE))が Network Time Protocol(NTP)を使用して同期されていることを確認します。時間がすべてのデバイスで同期されていないと、証明書は検証されません。

  • 802.1x 認証と AAA がデバイスに設定されていることを確認します。

スイッチ間 MKA MACsec マストセキュアポリシー

入力と出力の両方で must-secure のサポートが有効になります。MKA では、must-secure がサポートされています。must-secure を有効にすると、EAPoL トラフィックのみが暗号化されません。他のトラフィックは暗号化されます。暗号化されないパケットはドロップされます。


(注)  


デフォルトでは、Must-secure モードが有効になっています。


ポートチャネルの MKA/MACsec

MKA/MACsec は、ポートチャネルのポートメンバで設定できます。ポートチャネルのポートメンバ間で MKA セッションが確立されるため、MKA/MACsec はポートチャネルに依存しません。


(注)  


ポートチャネルは PSK ベースの MACsec ではサポートされますが、証明書ベースの MACsec ではサポートされません。



(注)  


ポートチャネルの一部として形成される EtherChannel リンクは、同様であってもなくても構いません。つまり、リンクは MACsec セキュアまたは非 MACsec セキュアのいずれかになれます。ポートチャネルの一方のポートメンバが MACsec に設定されていない場合でも、ポートメンバ間の MKA セッションが確立されます。


ポートチャネルのセキュリティを強化するために、すべてのメンバーポートで MKA/MACsec を有効にすることをお勧めします。

MACsec 暗号アナウンスメント

暗号アナウンスメントを使用すると、サプリカントとオーセンティケータは、それぞれの MACsec 暗号スイート機能を相互にアナウンスできます。サプリカントとオーセンティケータの両方が、サポートされる最大の共通 MACsec 暗号スイートを計算し、MKA セッションの鍵情報と同じものを使用します。


(注)  


MKA ポリシーで設定されている MACsec 暗号スイート機能だけが、オーセンティケータからサプリカントにアナウンスされます。


EAPoL アナウンスメントには 2 つのタイプがあります。

  • 非セキュアアナウンスメント(EAPoL PDU):非セキュアアナウンスメントは、MACsec 暗号スイート機能を非セキュアな方法で伝送する EAPoL アナウンスメントです。これらのアナウンスメントは、認証の前に MKA セッションに使用する鍵の幅を決定するために使用されます。

  • セキュアアナウンスメント(MKPDU):セキュアアナウンスメントは、以前は非セキュアアナウンスメントで共有されていた MACsec 暗号スイート機能を再検証します。

セッションが認証されると、EAPoL アナウンスメントを介して受信されたピア機能がセキュアアナウンスメントで再検証されます。機能に不一致がある場合、MKA セッションは切断されます。

MACsec 暗号アナウンスメントに関する制約事項

  • MACsec 暗号アナウンスメントは、スイッチからホストへのリンクでのみサポートされます。

  • サプリカントとオーセンティケータ間の MKA セッションは、両方に設定された MACsec 暗号スイート機能が共通の暗号スイートにならない場合でも切断されません。

  • ホストとスイッチ間の MKA MACsec 256 ビット暗号は、Network Advantage と Network Essentials の両方でサポートされていません。

MACsec 暗号化の設定方法

MACsec 暗号化の前提条件

MACsec 暗号化の前提条件

  • シスコ以外および IOS XE 以外のデバイスとの相互運用性を可能にするために、デバイスで MACsec 暗号化を設定するときに ssci-based-on-sci コマンドを有効にします。

  • 802.1x 認証と AAA がデバイスに設定されていることを確認します。

証明書ベース MACsec の前提条件

  • 認証局(CA)サーバーがネットワークに設定されていることを確認します。

  • CA 証明書を生成します。

  • Cisco Identity Services Engine(ISE)リリース 2.0 が設定されていることを確認します。

  • 両方の参加デバイス(CA サーバーと Cisco Identity Services Engine(ISE))が Network Time Protocol(NTP)を使用して同期されていることを確認します。時間がすべてのデバイスで同期されていないと、証明書は検証されません。

MACsec 暗号化の制約事項

  • MACsec Key Agreement(MKA)は、ステートフルまたはステートレス両方のハイアベイラビリティではサポートされません。

  • MKA を使用した MACsec は、ポイントツーポイントリンクでのみサポートされます。

  • MACsec 設定は、EtherChannel ポートではサポートされません。代わりに、EtherChannel の個々のメンバポートに MACsec 設定を適用できます。MACsec 設定を削除するには、最初に EtherChannel からメンバポートをバンドル解除してから、個々のメンバポートから削除する必要があります。

  • Cisco Catalyst IE9300 高耐久性シリーズ スイッチは、Network Essentials ライセンスで 128 ビット MACsec 暗号化、Network Advantage ライセンスで 256 ビット MACsec 暗号化をサポートしています。

  • 証明書ベースの MACsec は、アクセスセッションがクローズドとして、またはマルチホストモードで設定されている場合にのみサポートされます。他のコンフィギュレーション モードはサポートされません。

  • パケット番号枯渇キー再生成はサポートされません。

  • dot1q tag vlan native コマンドがグローバルレベルで設定されている場合、トランクポートでの dot1x 再認証は失敗します。

  • Precision Time Protocol(PTP)を備えた MACsec はサポートされません。

  • should-secure アクセスモードは、PSK 認証を使用するスイッチ間ポートでのみサポートされます。

  • PSK フォールバックキーチェーンは、ポイントツーマルチポイントではサポートされません。

  • PSK フォールバックキーチェーンは、高可用性設定ではサポートされません。

  • PSK フォールバックキーチェーンは、1 つのキーのみで無期限にサポートします。

  • フォールバックキーチェーンで使用される接続アソシエーションキー名(CKN)の ID は、プライマリキーチェーンで使用される CKN ID のいずれとも一致しないようにしてください。

  • 次の制限は、証明書ベースの MACsec にのみ適用されます。

    • ポートは、アクセスモードまたはトランクモードである必要があります。

    • MKA は、ポートチャネルではサポートされません。

    • no switch port の設定されたポートはサポートされません。

MACsec 暗号化の推奨事項

ここでは、MACsec 暗号化の設定に関する推奨事項を示します。

  • スイッチとホスト間の接続では、機密性(暗号化)オフセットを 0 として使用します。

  • アクティブセッションの MKA ポリシーまたは MACsec 設定を変更した後、ポートで shutdown コマンドを実行し、no shutdown コマンドを実行して、変更がアクティブセッションに適用されるようにします。

  • 接続アソシエーションキー(CAK)キー再生成オーバーラップタイマーを 30 秒以上に設定します。

MKA および MACsec の設定

デフォルトでは、MACsec は無効です。MKA ポリシーは設定されていません。

MKA ポリシーの設定

MKA プロトコル ポリシーを作成するには、特権 EXEC モードで次の手順を実行します。MKA では 802.1x をイネーブルにすることも必要であることに注意してください。

手順の概要

  1. enable
  2. configure terminal
  3. mka policy policy-name
  4. key-server priority
  5. include-icv-indicator
  6. macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}
  7. confidentiality-offset offset-value
  8. ssci-based-on-sci
  9. end
  10. show mka policy

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

mka policy policy-name

例:
Device(config)# mka policy mka_policy

MKA ポリシーを指定して、MKA ポリシー コンフィギュレーション モードを開始します。ポリシー名の長さは最大で 16 文字です。

(注)  

 

MKA ポリシー内のデフォルトの MACsec 暗号スイートは常に「GCM-AES-128」です。 デバイスが「GCM-AES-128」および「GCM-AES-256」の両方の暗号方式をサポートしている場合は、ユーザー定義の MKA ポリシーを定義して使用し、必要に応じて、128 および 256 ビット両方の暗号を含めるか、または 256 ビットのみの暗号を含めることを強くお勧めします。

ステップ 4

key-server priority

例:
Device(config-mka-policy)# key-server priority 200

MKA キーサーバオプションを設定し、優先順位を設定します(0 ~ 255 の値)。

(注)  

 

鍵サーバープライオリティの値を 255 に設定した場合、ピアは鍵サーバーになることはできません。鍵サーバーの優先順位の値は MKA PSK に対してのみ有効です。MKA EAPTLS に対しては有効ではありません。

ステップ 5

include-icv-indicator

例:
Device(config-mka-policy)# include-icv-indicator

MKPDU の ICV インジケータを有効にします。ICV インジケータを無効にするには、このコマンドの no 形式を使用します。

ステップ 6

macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}

例:
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128

128 ビットまたは 256 ビット暗号化により SAK を取得するための暗号スイートを設定します。

ステップ 7

confidentiality-offset offset-value

例:
Device(config-mka-policy)# confidentiality-offset 0

各物理インターフェイスに機密性(暗号化)オフセットを設定します。

(注)  

 

オフセット値は、0、30、または 50 を指定できます。クライアントで Anyconnect を使用している場合は、オフセット 0 を使用することをお勧めします。

ステップ 8

ssci-based-on-sci

例:
Device(config-mka-policy)# ssci-based-on-sci

(任意)Secure Channel Identifier(SCI)値に基づいて Short Secure Channel Identifier(SSCI)値を計算します。SCI 値が高いほど、SSCI 値は低くなります。

ステップ 9

end

例:
Device(config-mka-policy)# end
MKA ポリシー コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 10

show mka policy

例:
Device# show mka policy
MKA ポリシー設定情報を表示します。

スイッチからホストへの MACsec の暗号化設定

音声用に 1 つの MACsec セッションとデータ用に 1 つの MACsec セッションが存在するインターフェイスで MACsec を設定するには、次の手順を実行します。

手順の概要

  1. enable
  2. configureterminal
  3. interface type number
  4. switchport access vlan vlan-id
  5. switchport mode access
  6. macsec
  7. authentication event linksec fail action authorize vlan vlan-id
  8. authentication host-mode multi-domain
  9. authentication linksec policy must-secure
  10. authentication port-control auto
  11. authentication periodic
  12. authentication timer reauthenticate
  13. authentication violation protect
  14. mka policy policy-name
  15. dot1x pae authenticator
  16. spanning-tree portfast
  17. end
  18. show authentication session interface interface-id
  19. show mka sessions

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device>enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configureterminal

例:
Device>configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

例:
Device(config)# interface GigabitEthernet 1/0/1

MACsec インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。インターフェイスは物理インターフェイスでなければなりません。

ステップ 4

switchport access vlan vlan-id

例:
Device(config-if)# switchport access vlan 1

このポートのアクセス VLAN を設定します。

ステップ 5

switchport mode access

例:
Device(config-if)# switchport mode access

インターフェイスをアクセス ポートとして設定します。

ステップ 6

macsec

例:
Device(config-if)# macsec

インターフェイス上で 802.1ae MACsec を有効にします。macsec コマンドを使用すると、スイッチからホストへのリンクでのみ MKA MACsec が有効になります。

ステップ 7

authentication event linksec fail action authorize vlan vlan-id

例:
Device(config-if)# authentication event linksec fail action authorize vlan 1

(任意)認証の試行に失敗した後で、ポート上の制限付き VLAN を許可することによって、ユーザー証明書が認識されない認証リンク セキュリティの問題をスイッチが処理することを指定します。

ステップ 8

authentication host-mode multi-domain

例:
Device(config-if)# authentication host-mode multi-domain

ホストと音声デバイスの両方が、802.1x で許可されたポート上で認証されるように、ポート上の認証マネージャ モードを設定します。設定されていない場合、デフォルトのホスト モードはシングルです。

ステップ 9

authentication linksec policy must-secure

例:
Device(config-if)# authentication linksec policy must-secure

LinkSec セキュリティ ポリシーを設定して、ピアを利用できる場合に、MACsec でセッションをセキュアにします。設定されていない場合、デフォルト値は should secure です。

ステップ 10

authentication port-control auto

例:
Device(config-if)# authentication port-control auto

ポートでの 802.1x 認証を有効にします。スイッチとクライアント間の認証交換に基づいてポートが許可ステートまたは無許可ステートに変わります。

ステップ 11

authentication periodic

例:
Device(config-if)# authentication periodic

(任意)このポートの再認証を有効または無効にします。

ステップ 12

authentication timer reauthenticate

例:
Device(config-if)# authentication timer reauthenticate

(任意)1 から 65535 までの値(秒)を入力します。サーバーから再認証タイムアウト値を取得します。デフォルトの再認証時間は 3600 秒です。

ステップ 13

authentication violation protect

例:
Device(config-if)# configure terminal

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続された後に新しいデバイスがそのポートに接続された場合に、予期しない着信 MAC アドレスを破棄するようポートを設定します。設定されていない場合、デフォルトではポートをシャット ダウンします。

ステップ 14

mka policy policy-name

例:
Device(config-if)# mka policy mka_policy

既存の MKA プロトコル ポリシーをインターフェイスに適用し、インターフェイス上で MKA を有効にします。MKA ポリシーを設定しなかった場合(mka policy グローバル コンフィギュレーション コマンドを入力して)。

ステップ 15

dot1x pae authenticator

例:
Device(config-if)# dot1x pae authenticator
ポートを 802.1x ポートアクセスエンティティ(PAE)オーセンティケータとして設定します。

ステップ 16

spanning-tree portfast

例:
Device(config-if)# spanning-tree portfast

関連するすべての VLAN 内のインターフェイスで、スパニングツリー Port Fast を有効にします。Port Fast 機能が有効の場合、インターフェイスはブロッキングステートからフォワーディングステートに直接移行します。その際に、中間のスパニングツリーステートは変わりません

ステップ 17

end

例:
Device(config)# end

インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 18

show authentication session interface interface-id

例:
Device# show authentication session interface GigabitEthernet 1/0/1
許可されたセッションのセキュリティ ステータスを確認します。

ステップ 19

show mka sessions

例:
Device# show mka sessions 

確立された MKA セッションを確認します。

PSK を使用する MACsec MKA の設定

事前共有キー(PSK)を使用して、MACsec MKA ポリシーを設定するには、特権 EXEC モードで次の手順を実行します。

手順の概要

  1. enable
  2. configure terminal
  3. key chain key-chain-name macsec
  4. key hex-string
  5. cryptographic-algorithm {aes-128-cmac | aes-256-cmac}
  6. key-string { [0|6|7] pwd-string | pwd-string}
  7. lifetime local [start timestamp {hh::mm::ss | day | month | year}] [ duration seconds | end timestamp {hh::mm::ss | day | month | year}]
  8. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

key chain key-chain-name macsec

例:
Device(config)# key chain keychain1 macsec

鍵チェーンを設定して、鍵 チェーン コンフィギュレーション モードを開始します。

ステップ 4

key hex-string

例:
Device(config-key-chain)# key 1000

鍵チェーン内の各キーの固有識別子を設定し、鍵チェーンのキー コンフィギュレーション モードを開始します。

(注)  

 

128 ビット暗号化の場合は、1 ~ 32 文字の 16 進数キー文字列を使用します。256 ビット暗号の場合は、64 文字の 16 進数キー文字列を使用します。

ステップ 5

cryptographic-algorithm {aes-128-cmac | aes-256-cmac}

例:
Device(config-key-chain)# cryptographic-algorithm aes-128-cmac

128 ビットまたは 256 ビット暗号による暗号化認証アルゴリズムを設定します。

ステップ 6

key-string { [0|6|7] pwd-string | pwd-string}

例:
Device(config-key-chain)# key-string 12345678901234567890123456789012

鍵文字列のパスワードを設定します。16 進数の文字のみを入力する必要があります。

ステップ 7

lifetime local [start timestamp {hh::mm::ss | day | month | year}] [ duration seconds | end timestamp {hh::mm::ss | day | month | year}]

例:
Device(config-key-chain)# lifetime local 12:12:00 July 28 2016 12:19:00 July 28 2016
事前共有鍵の有効期間を設定します。

ステップ 8

end

例:
Device(config-key-chain)# end
キー チェーン コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

PSK を使用する MACsec MKA のインターフェイスへの設定

事前共有キー(PSK)を使用する MACsec MKA ポリシーをインターフェイスに設定するには、特権 EXEC モードで次の手順を実行します。

手順の概要

  1. enable
  2. configure terminal
  3. interface interface-id
  4. macsec network-link
  5. mka policy policy-name
  6. mka pre-shared-key key-chain key-chain name [fallback key-chain key-chain name]
  7. macsec replay-protection window-size frame number
  8. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface interface-id

例:
Device(config-if)# interface GigabitEthernet 0/0/0

インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

macsec network-link

例:
Device(config-if)# macsec network-link

インターフェイス上で MACsec を有効にします。

ステップ 5

mka policy policy-name

例:
Device(config-if)# mka policy mka_policy

MKA ポリシーを設定します。

ステップ 6

mka pre-shared-key key-chain key-chain name [fallback key-chain key-chain name]

例:
Device(config-if)# mka pre-shared-key key-chain key-chain-name

MKA 事前共有鍵の鍵チェーン名を設定します。

ステップ 7

macsec replay-protection window-size frame number

例:
Device(config-if)# macsec replay-protection window-size 10

リプレイ保護の MACsec ウィンドウ サイズを設定します。

ステップ 8

end

例:
Device(config-if)# end
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
次のタスク
セッションの実行中に MKA PSK が設定されたインターフェイスで MKA ポリシーを変更することは推奨されません。ただし、変更が必要な場合は、次のようにポリシーを再設定する必要があります。
  1. no macsec network-link コマンドを使用して、各参加ノードの macsec network-link 設定を削除し、既存のセッションを無効にします。

  2. mka policy policy-name コマンドを使用して、各参加ノードのインターフェイスで MKA ポリシーを設定します。

  3. macsec network-link コマンドを使用して、各参加ノードで新しいセッションを有効にします。

証明書ベースの MACsec を使用する MACsec MKA の設定

ポイントツーポイント リンクで MKA による MACsec を設定するには、次のタスクを実行します。

  • 証明書登録の設定

    • キー ペアの生成

    • SCEP 登録の設定

    • 証明書の手動設定

  • 認証ポリシーの設定

  • 証明書ベース MACsec 暗号化プロファイルと IEEE 802.1x ログイン情報の設定

  • インターフェイスで証明書ベース MACsec を使用する MKA MACsec の設定

キー ペアの生成

手順の概要

  1. enable
  2. configure terminal
  3. crypto key generate rsa label label-name general-keys modulus size
  4. end
  5. show authentication session interface interface-id

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto key generate rsa label label-name general-keys modulus size

例:
Device(config)# crypto key generate rsa label general-keys  modulus 
2048 

署名および暗号化用に RSA 鍵ペアを作成します。

label キーワードを使用すると、各鍵ペアにラベルを割り当てることもできます。このラベルは、鍵ペアを使用するトラストポイントによって参照されます。ラベルを割り当てなかった場合、鍵ペアには <Default-RSA-Key> というラベルが自動的に付けられます。

追加のキーワードを使用しない場合、このコマンドは汎用 RSA 鍵ペアを 1 つ生成します。法(modulus)が指定されていない場合は、デフォルトの鍵の法である 1024 が使用されます。その他の法サイズを指定するには、modulus キーワードを使用します。

ステップ 4

end

例:
Device(config)# end
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 5

show authentication session interface interface-id

例:
Device# show authentication session interface gigabitethernet 0/1/1

許可されたセッションのセキュリティ ステータスを確認します。

SCEP を使用した登録の設定

Simple Certificate Enrollment Protocol(SCEP)は、HTTP を使用して認証局(CA)または登録局(RA)と通信する、シスコが開発した登録プロトコルです。SCEP は、要求および証明書の送受信用に最も一般的に使用される方式です。

手順の概要

  1. enable
  2. configure terminal
  3. crypto pki trustpoint server name
  4. enrollment url url name pem
  5. rsakeypair label
  6. serial-number none
  7. ip-address none
  8. revocation-check crl
  9. auto-enroll percent regenerate
  10. exit
  11. crypto pki authenticate name
  12. end
  13. show crypto pki certificate trustpoint name

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki trustpoint server name

例:
Device(config)# crypto pki trustpoint ka

トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 4

enrollment url url name pem

例:
Device(ca-trustpoint)# enrollment url http://url:80

デバイスが証明書要求を送信する CA の URL を指定します。

URL 内の IPv6 アドレスは括弧で囲む必要があります。たとえば、http:// [2001:DB8:1:1::1]:80 です。

pem キーワードは、証明書要求に Privacy Enhanced Mail(PEM)の境界を追加します。

ステップ 5

rsakeypair label

例:
Device(ca-trustpoint)# rsakeypair exampleCAkeys

証明書に関連付けるキー ペアを指定します。

(注)  

 

rsakeypair 名は、信頼ポイント名と一致している必要があります。

ステップ 6

serial-number none

例:
Device(ca-trustpoint)# serial-number none

none キーワードは、証明書要求にシリアル番号が含まれないことを指定します。

ステップ 7

ip-address none

例:
Device(ca-trustpoint)# ip-address none

none キーワードは、証明書要求に IP アドレスが含まれないことを指定します。

ステップ 8

revocation-check crl

例:
Device(ca-trustpoint)# revocation-check crl

ピアの証明書が取り消されていないことを確認する方法として CRL を指定します。

ステップ 9

auto-enroll percent regenerate

例:
Device(ca-trustpoint)# auto-enroll 90 regenerate

自動登録を有効にします。これにより、クライアントは CA から自動的にロールオーバー証明書を要求できます。

自動登録が有効でない場合、証明書の失効時にクライアントを手動で PKI に再登録する必要があります。

デフォルトでは、デバイスのドメイン ネーム システム(DNS)名だけが証明書に含められます。

現行の証明書の有効期間が指定のパーセンテージに達したときに、新しい証明書が要求されるように指定するには、percent 引数を使用します。

名前付きの鍵がすでに存在する場合でも、証明書の新しい鍵を生成するには、regenerate キーワードを使用します。

ロールオーバー中の鍵ペアがエクスポート可能な場合、新しい鍵ペアもエクスポート可能です。次のコメントがトラストポイント コンフィギュレーションに表示され、鍵ペアがエクスポート可能かどうかが示されます。「! RSA key pair associated with trustpoint is exportable.」

新しい鍵ペアは、セキュリティ上の問題に対処するために生成することを推奨します。

ステップ 10

exit

例:
Device(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 11

crypto pki authenticate name

例:
Device(config)# crypto pki authenticate myca

CA 証明書を取得して、認証します。

ステップ 12

end

例:
Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 13

show crypto pki certificate trustpoint name

例:
Device# show crypto pki certificate ka

信頼ポイントの証明書に関する情報を表示します。

手動による登録の設定

CA が SCEP をサポートしない場合、またはルータと CA 間のネットワーク接続が不可能な場合。手動での証明書登録を設定するには、次の作業を実行します。

手順の概要

  1. enable
  2. configure terminal
  3. crypto pki trustpoint server name
  4. enrollment url url name pem
  5. rsakeypair label
  6. serial-number none
  7. ip-address none
  8. revocation-check crl
  9. exit
  10. crypto pki authenticate name
  11. crypto pki enroll name
  12. crypto pki import name certificate
  13. end
  14. show crypto pki certificate trustpoint name

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki trustpoint server name

例:
Device# crypto pki trustpoint ka

トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 4

enrollment url url name pem

例:
Device(ca-trustpoint)# enrollment url http://url:80

デバイスが証明書要求を送信する CA の URL を指定します。

URL 内の IPv6 アドレスは括弧で囲む必要があります。たとえば、http:// [2001:DB8:1:1::1]:80 です。

pem キーワードは、証明書要求に Privacy Enhanced Mail(PEM)の境界を追加します。

ステップ 5

rsakeypair label

例:
Device(ca-trustpoint)#  rsakeypair exampleCAkeys

証明書に関連付けるキー ペアを指定します。

ステップ 6

serial-number none

例:
Device(ca-trustpoint)# serial-number none

none キーワードは、証明書要求にシリアル番号が含まれないことを指定します。

ステップ 7

ip-address none

例:
Device(ca-trustpoint)# ip-address none

none キーワードは、証明書要求に IP アドレスが含まれないことを指定します。

ステップ 8

revocation-check crl

例:
Device(ca-trustpoint)# revocation-check crl

ピアの証明書が取り消されていないことを確認する方法として CRL を指定します。

ステップ 9

exit

例:
Device(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 10

crypto pki authenticate name

例:
Device(config)# crypto pki authenticate myca

CA 証明書を取得して、認証します。

ステップ 11

crypto pki enroll name

例:
Device(config)# crypto pki enroll myca

証明書要求を生成し、証明書サーバーにコピーおよびペーストするために要求を表示します。

プロンプトが表示されたら、登録情報を入力します。たとえば、証明書要求にデバイスの FQDN および IP アドレスを含めるかどうかを指定します。

コンソール端末に対して証明書要求を表示するかについても選択できます。

必要に応じて、Base 64 符号化証明書を PEM ヘッダーを付けて、または付けずに表示します。

ステップ 12

crypto pki import name certificate

例:
Device(config)# crypto pki import myca certificate

許可された証明書を取得するコンソール端末で、TFTP によって証明書をインポートします。

デバイスは、拡張子が「.req」から「.crt」に変更されたことを除いて、要求の送信に使用した同じファイル名を使用して、許可された証明書を TFTP によって取得しようと試みます。用途鍵証明書の場合、拡張子「-sign.crt」および「-encr.crt」が使用されます。

デバイスは、受信したファイルを解析して証明書を検証し、証明書をスイッチの内部証明書データベースに挿入します。

(注)  

 

一部の CA は、証明書要求の用途鍵情報を無視し、汎用目的の証明書を発行します。ご使用の CA が証明書要求の用途鍵情報を無視する場合は、汎用目的の証明書だけをインポートしてください。ルータは、生成される 2 つの鍵ペアのいずれも使用しません。

ステップ 13

end

例:
Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 14

show crypto pki certificate trustpoint name

例:
Device# show crypto pki certificate  ka

信頼ポイントの証明書に関する情報を表示します。

802.1x 認証の有効化と AAA の設定

手順の概要

  1. enable
  2. configure terminal
  3. aaa new-model
  4. dot1x system-auth-control
  5. radius server name
  6. address ip_address auth-port port_number acct-port port_number
  7. automate-tester username username
  8. key string
  9. radius-server deadtime minutes
  10. exit
  11. aaa group server radius group_name
  12. server name
  13. exit
  14. aaa authentication dot1x default group group_name
  15. aaa authorization network default group group_name

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
device# enable

特権 EXEC モードを有効にします。パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

例:
device(config)# aaa new-model 

AAA を有効にします。

ステップ 4

dot1x system-auth-control

例:
device(config)# dot1x system-auth-control

デバイス上で 802.1X を有効にします。

ステップ 5

radius server name

例:
device(config)# radius server ISE

RADIUS サーバの設定の名前を Protected Access Credential(PAC)のプロビジョニング用に指定し、RADIUS サーバ設定モードを開始します。

ステップ 6

address ip_address auth-port port_number acct-port port_number

例:
device(config-radius-server)# address ipv4 10.64.72.90 auth-port 1645 acct-port 1646

RADIUS サーバーのアカウンティングおよび認証パラメータの IPv4 アドレスを設定します。

ステップ 7

automate-tester username username

例:
device(config-radius-server)# automate-tester username dummy

RADIUS サーバーの自動テスト機能を有効にします。

このようにすると、デバイスは RADIUS サーバーにテスト認証メッセージを定期的に送信し、サーバーからの RADIUS 応答を待機します。成功メッセージは必須ではありません。認証失敗であっても、サーバーが稼働していることを示しているため問題ありません。

ステップ 8

key string

例:
device(config-radius-server)# key dummy123

デバイスと RADIUS サーバーとの間におけるすべての RADIUS 通信用の認証および暗号キーを指定します。

ステップ 9

radius-server deadtime minutes

例:
device(config-radius-server)#radius-server deadtime 2

いくつかのサーバーが使用不能になったときの RADIUS サーバーの応答時間を短くし、使用不能になったサーバーがすぐにスキップされるようにします。

ステップ 10

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 11

aaa group server radius group_name

例:
device(config)# aaa group server radius ISEGRP

異なる RADIUS サーバー ホストを別々のリストと方式にグループ化し、サーバー グループ コンフィギュレーション モードを開始します。

ステップ 12

server name

例:
device(config)#server ise

ステップ 13

exit

例:
device(config-radius-server)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 14

aaa authentication dot1x default group group_name

例:
device(config)# aaa authentication dot1x default group ISEGRP

IEEE 802.1x 用にデフォルトの認証サーバ グループを設定します。

ステップ 15

aaa authorization network default group group_name

例:
device(config)# aaa authorization network default group ISEGRP

ネットワーク認証のデフォルト グループを設定します。

802.1x MKA MACsec 設定のインターフェイスへの適用

EAP-TLS を使用する MKA MACsec をインターフェイスに適用するには、次のステップを実行します。

手順の概要

  1. enable
  2. configure terminal
  3. interface interface_id
  4. macsec network-link
  5. authentication periodic
  6. authentication timer reauthenticate interval
  7. access-session host-mode multi-domain
  8. access-session closed
  9. access-session port-control auto
  10. dot1x pae both
  11. dot1x credentials profile
  12. dot1x supplicant eap profile profile_name
  13. dot1x authenticator eap profile profile_name
  14. service-policy type control subscriber control_policy_name
  15. exit
  16. show macsec interface
  17. copy running-config startup-config

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:
device# enable

特権 EXEC モードを有効にします。パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface interface_id

例:
device(config)# interface te0/1/2

MACsec インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。インターフェイスは物理インターフェイスでなければなりません。

ステップ 4

macsec network-link

例:
device(config)# macsec network-link

インターフェイス上で MACsec をイネーブルにします。

ステップ 5

authentication periodic

例:
device(config)# authentication periodic

このポートの再認証をイネーブルにします。

ステップ 6

authentication timer reauthenticate interval

例:
device(config)# authentication timer reauthenticate interval

再認証間隔を設定します。

ステップ 7

access-session host-mode multi-domain

例:
device(config)# access-session host-mode multi-domain

ホストにインターフェイスへのアクセスを許可します。

ステップ 8

access-session closed

例:
device(config)# access-session closed

インターフェイスへの事前認証アクセスを防止します。

ステップ 9

access-session port-control auto

例:
device(config)# access-session port-control auto

ポートの認可状態を設定します。

ステップ 10

dot1x pae both

例:
device(config)# dot1x pae both

ポートを 802.1X ポート アクセス エンティティ(PAE)のサプリカントおよびオーセンティケータとして設定します。

ステップ 11

dot1x credentials profile

例:
device(config)# dot1x credentials profile

802.1x クレデンシャル プロファイルをインターフェイスに割り当てます。

ステップ 12

dot1x supplicant eap profile profile_name

例:
device(config)# dot1x supplicant eap profile eap1

EAP-TLS プロファイルをインターフェイスに割り当てます。

ステップ 13

dot1x authenticator eap profile profile_name

例:
device(config)# dot1x authenticator eap profile eap1

802.1x 認証時に使用する EAP-TLS プロファイルを割り当てます。

ステップ 14

service-policy type control subscriber control_policy_name

例:
device(config)# service-policy type control subscriber controlPolicy2

インターフェイスに加入者制御ポリシーを適用します。

ステップ 15

exit

例:
device(config)# exit

特権 EXEC モードに戻ります。

ステップ 16

show macsec interface

例:
device# show macsec interface

インターフェイスの MACsec の詳細を表示します。

ステップ 17

copy running-config startup-config

例:
device# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

PSK を使用する MKA/MACsec のポートチャネルへの設定

事前共有キー(PSK)を使用する MKA ポリシーをインターフェイスに設定するには、特権 EXEC モードで次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface interface-id

例:

Device(config-if)# interface gigabitethernet 1/0/3

インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

macsec network-link

例:

Device(config-if)# macsec network-link

インターフェイス上で MACsec を有効にします。レイヤ 2 およびレイヤ 3 ポートチャネルをサポートします。

ステップ 5

mka policy policy-name

例:

Device(config-if)# mka policy mka_policy

MKA ポリシーを設定します。

ステップ 6

mka pre-shared-key key-chain key-chain name [fallback key-chain key-chain name]

例:

Device(config-if)# mka pre-shared-key key-chain key-chain-name

MKA 事前共有キーのキーチェーン名を設定します。

(注)  

 

MKA 事前共有キーは、物理インターフェイスまたはサブインターフェイスで設定できますが、両方で設定することはできません。

ステップ 7

macsec replay-protection window-size frame number

例:

Device(config-if)# macsec replay-protection window-size 0

リプレイ保護の MACsec ウィンドウ サイズを設定します。

ステップ 8

channel-group channel-group-number mode {auto | desirable} | {active | passive} | {on}

例:

Device(config-if)# channel-group 3 mode auto active on

チャネル グループ内にポートを設定し、モードを設定します。

(注)  

 

インターフェイスで MACsec を設定しないと、チャネルグループのポートを設定できません。このステップの前に、ステップ 3、4、5、および 6 のコマンドを設定する必要があります。

channel-number の指定できる範囲は 1 ~ 4096 です。ポートチャネルがない場合は、このチャネルグループに関連付けられたポートチャネルが自動的に作成されます。モードには、次のキーワードのいずれか 1 つを選択します。

  • auto :PAgP デバイスが検出された場合に限り、PAgP を有効にします。ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケットネゴシエーションを開始することはありません。

    (注)  

     

    EtherChannel メンバが、スイッチスタックにある異なるスイッチのメンバである場合、auto キーワードはサポートされません。

  • desirable :無条件に PAgP を有効にします。ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、相手ポートとのネゴシエーションを開始します。

    (注)  

     

    EtherChannel メンバが、スイッチスタックにある異なるスイッチのメンバである場合、desirable キーワードはサポートされません。

  • on :PAgP または LACP を使用せずにポートが強制的にチャネル化されます。on モードでは、EtherChannel が存在するのは、on モードのポートグループが、on モードの別のポートグループに接続する場合だけです。

  • active :LACP デバイスが検出された場合に限り、LACP を有効にします。ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは LACP パケットを送信することによって、相手ポートとのネゴシエーションを開始します。

  • passive :ポート上で LACP を有効にして、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する LACP パケットに応答しますが、LACP パケットネゴシエーションを開始することはありません。

ステップ 9

end

例:

Device(config-if)# cend
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

レイヤ 2 EtherChannel 用のポートチャネル論理インターフェイスの設定

レイヤ 2 EtherChannel 用のポート チャネル インターフェイスを作成するには、次の作業を行います。
手順
  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface port-channel channel-group-number

例:
Device(config)# interface port-channel 1

ポート チャネル インターフェイスを作成します。

(注)  

 

ポート チャネル インターフェイスを削除するには、このコマンドの no 形式を使用します。

ステップ 4

switchport

例:
Device(config-if)# switchport

レイヤ 3 モードになっているインターフェイスを、レイヤ 2 設定のレイヤ 2 モードに切り替えます。

ステップ 5

switchport mode {access | trunk}

例:
Device(config-if)# switchport mode access

すべてのポートをスタティックアクセス ポートとして同じ VLAN に割り当てるか、またはトランクとして設定します。

ステップ 6

end

例:
Device(config-if)# end
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

レイヤ 3 EtherChannel 用のポートチャネル論理インターフェイスの設定

レイヤ 3 EtherChannel 用のポート チャネル インターフェイスを作成するには、次の作業を行います。

手順
  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface interface-id

例:
Device(config)# interface gigabitethernet 1/0/2

インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

no switchport

例:
Device(config-if)# no switchport

レイヤ 2 モードになっているインターフェイスを、レイヤ 3 設定用にレイヤ 3 モードに切り替えます。

ステップ 5

ip address ip-address subnet_mask

例:
Device(config-if)# ip address 10.2.2.3 255.255.255.254

EtherChannel に IP アドレスおよびサブネット マスクを割り当てます。

ステップ 6

end

例:
Device(config-if)# end
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

MACsec 暗号アナウンスメントの設定

セキュアアナウンスメントの MKA ポリシーの設定

MKA プロトコルポリシーを作成して MKPDU でセキュアアナウンスメントを有効にするには、特権 EXEC モードで次の手順を実行します。デフォルトでは、セキュアアナウンスメントは無効になっています。
手順
  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

mka policy policy-name

例:
Device(config)# mka policy mka_policy

MKA ポリシーを指定して、MKA ポリシー コンフィギュレーション モードを開始します。ポリシー名の長さは最大で 16 文字です。

(注)  

 

MKA ポリシーのデフォルトの MACsec 暗号スイートは GCM-AES-128 です。 デバイスが「GCM-AES-128」および「GCM-AES-256」の両方の暗号方式をサポートしている場合は、ユーザー定義の MKA ポリシーを定義して使用し、必要に応じて、128 および 256 ビット両方の暗号を含めるか、または 256 ビットのみの暗号を含めることを強くお勧めします。

ステップ 4

key-server priority

例:
Device(config-mka-policy)# key-server priority 200

MKA キーサーバーオプションを設定し、0 ~ 255 の間で優先順位を設定します。

(注)  

 

キーサーバーの優先順位の値を 255 に設定した場合、ピアはキーサーバーになることはできません。キーサーバーの優先順位の値は MKA PSK に対してのみ有効です。これは MKA EAP-TLS には適用されません。

ステップ 5

send-secure-announcements

例:
Device(config-mka-policy)# send-secure-announcements

セキュアアナウンスメントの送信を有効にします。セキュアアナウンスメントの送信を無効にするには、このコマンドの no 形式を使用します。デフォルトでは、セキュアアナウンスメントは無効になっています。

ステップ 6

macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}

例:
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128

128 ビットまたは 256 ビット暗号化により SAK を取得するための暗号スイートを設定します。

ステップ 7

end

例:
Device(config-mka-policy)# end
MKA ポリシー コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 8

show mka policy

例:
Device# show mka policy
MKA ポリシーを表示します。

セキュアアナウンスメントのグローバル設定

特権 EXEC モードから始めて、次の手順に従って、すべての MKA ポリシーにわたって安全なアナウンスメントをグローバルに有効にします。
手順
  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

mka defaults policy send-secure-announcements

例:
Device(config)# mka defaults policy send-secure-announcements

MKA ポリシーを介した MKPDU でのセキュアアナウンスメントの送信を有効にします。デフォルトでは、セキュアアナウンスメントは無効になっています。

ステップ 4

end

例:
Device(config)# end
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

インターフェイスでの EAPoL アナウンスメントの設定

インターフェイスで EAPoL アナウンスメントを設定するには、特権 EXEC モードで次の手順を実行します。
手順
  コマンドまたはアクション 目的

ステップ 1

enable

例:
Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface interface-id

例:
Device(config)# interface gigabitethernet 1/0/1

MACsec インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。インターフェイスは物理インターフェイスでなければなりません。

ステップ 4

eapol annoucement

例:
Device(config-if)# eapol announcement

EAPoL アナウンスメントを有効にします。EAPoL アナウンスメントを無効にするには、コマンドの no 形式を使用します。デフォルトでは、EAPoL アナウンスメントは無効になっています。

ステップ 5

end

例:
Device(config-if)# configure terminal
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

MACsec 暗号化の設定例

例:MKA および MACsec の設定

次に、MKA ポリシーを作成する例を示します。

Device> enable
Device# configure terminal
Device(config)# mka policy mka_policy
Device(config-mka-policy)# key-server priority 200
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 30
Device(config-mka-policy)# ssci-based-on-sci
Device(config-mka-policy)#end
次は、インターフェイスに MACsec を設定する例です。

Device> enable
Device# configure terminal
Device(config)# interface GigabitEthernet 1/0/1
Device(config-if)# switchport access vlan 1
Device(config-if)# switchport mode access
Device(config-if)# macsec
Device(config-if)#access-session event linksec fail action authorize vlan 1
Device(config-if)# access-session host-mode multi-domain
Device(config-if)# access-session linksec policy must-secure
Device(config-if)# access-session port-control auto
Device(config-if)#authentication periodic
Device(config-if)# authentication timer reauthenticate
Device(config-if)# authentication violation protect
Device(config-if)#mka policy mka_policy
Device(config-if)# dot1x pae authenticator
Device(config-if)# spanning-tree portfast
Device(config-if)#end

例:PSK を使用する MACsec MKA の設定

次に、PSK を使用して、MKA MACsec を設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# Key chain keychain1 macsec
Device(config-keychain)# key 1000
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789012
Device(config-keychain-key)# lifetime local 12:12:00 July 28 2016 12:19:00 July 28 2016
Device(config-keychain-key)# end
次に、PSK を使用して、インターフェイスに MACsec MKA を設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# interface GigabitEthernet 0/0/0
Device(config-if)# mka policy mka_policy
Device(config-if)# mka pre-shared-key key-chain key-chain-name
Device(config-if)# macsec replay-protection window-size 10
Device(config-if)# end
MKA-PSK:CKN 動作の変更
Cisco IOS XE Fuji 16.8.1 リリース以降、MKA PSK セッションの場合、CKN は、固定の 32 バイトではなく、キーの 16 進文字列として設定されている CKN とまったく同じ文字列を使用します。
Device> enable
Device# configure terminal
Device(config)# key chain abc macsec
Device(config-keychain)# key 11
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789013
Device(config-keychain-key)# lifetime local 12:21:00 Sep 9 2015 infinite
Device(config-keychain-key)# end
以下は、上記の設定に対する show mka session コマンドの出力例です。
Device# show mka session

Total MKA Sessions....... 1
Secured Sessions... 1
Pending Sessions... 0
====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server                                            
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN                                                   
====================================================================================================
Et0/0          aabb.cc00.6600/0002     icv            NO                NO                                                    
2              aabb.cc00.6500/0002 1                Secured             11   *Note that the CKN key-string is exactly the same that has been configured for the key as hex-string.*

一方で CKN 動作が変更され、もう一方で CKN 動作が変更されていない 2 つのイメージ間の相互運用性の場合、キーの 16 進数文字列は 64 文字の 16 進数文字列である必要があります。この文字列は、CKN 動作が変更されたイメージを持つデバイスで動作するようにゼロパディングされている必要があります。次の例を参照してください。

CKN キー文字列の動作が変更されていない設定:
Device# configure terminal
Device(config)# key chain abc macsec
Device(config-keychain)# key 11
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789013
Device(config-keychain-key)# lifetime local 12:21:00 Sep 9 2015 infinite
Device(config-keychain-key)# end
CKN キー文字列の動作が変更された設定:
Device# configure terminal
Device(config)# key chain abc macsec
Device(config-keychain)# key 11000000000000000000000000000000000000000000000000000000000000000
Device(config-keychain-key)# cryptographic-algorithm aes-128-cmac
Device(config-keychain-key)# key-string 12345678901234567890123456789013
Device(config-keychain-key)# lifetime local 12:21:00 Sep 9 2015 infinite
Device(config-keychain-key)# end

例:証明書ベース MACsec を使用した MACsec MKA の設定

この例では、証明書ベース MACsec を使用した MACsec MKA の設定方法について説明します。
Device> enable
Device# configure terminal
Device(config)# interface Gigabitethernet 1/0/1
Device(config-if)# macsec network-link
Device(config-if)# authentication periodic
Device(config-if)# authentication timer reauthenticate interval
Device(config-if)#access-session host-mode multi-domain
Device(config-if)# access-session closed
Device(config-if)# access-session port-control auto
Device(config-if)# dot1x pae both
Device(config-if)#dot1x credentials profile
Device(config-if)# dot1x supplicant eap profile profile_eap_tls
Device(config-if)#service-policy type control subscriber sub1
Device(config-if)# end

例:PSK を使用する MACsec MKA のポートチャネルへ設定

Etherchannel モード - Static/On

次に、EtherChannel モードがオンのデバイス 1 およびデバイス 2 の設定例を示します。


Device> enable
Device# configure terminal
Device(config)# key chain KC macsec
Device(config-key-chain)# key 1000
Device(config-key-chain)# cryptographic-algorithm aes-128-cmac
Device(config-key-chain)# key-string FC8F5B10557C192F03F60198413D7D45
Device(config-key-chain)# exit
Device(config)# mka policy POLICY
Device(config-mka-policy)# key-server priority 0
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 0
Device(config-mka-policy)# exit
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# channel-group 2 mode on
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# exit
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# channel-group 2 mode on
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# end

レイヤ 2 EtherChannel 設定

デバイス 1


Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2


Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end
次に、show etherchannel summary コマンドの出力例を示します。

	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)          -        Te1/0/1(P)  Te1/0/2(P)

レイヤ 3 EtherChannel 設定

デバイス 1


Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.3 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.4 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end
次に、show etherchannel summary コマンドの出力例を示します。

	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)          -        Te1/0/1(P)  Te1/0/2(P)
EtherChannel モード - LACP

次に、EtherChannel モードが LACP のデバイス 1 およびデバイス 2 の設定例を示します。


Device> enable
Device# configure terminal
Device(config)# key chain KC macsec
Device(config-key-chain)# key 1000
Device(config-key-chain)# cryptographic-algorithm aes-128-cmac
Device(config-key-chain)# key-string FC8F5B10557C192F03F60198413D7D45
Device(config-key-chain)# exit
Device(config)# mka policy POLICY
Device(config-mka-policy)# key-server priority 0
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 0
Device(config-mka-policy)# exit
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# channel-group 2 mode active
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# exit
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# channel-group 2 mode active
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# end

レイヤ 2 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end
次に、show etherchannel summary コマンドの出力例を示します。
	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	------+-------------+-----------+-----------------------------------------------
	2      Po2(SU)         LACP      Te1/1/1(P)  Te1/1/2(P)

レイヤ 3 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.3 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.4 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end
次に、show etherchannel summary コマンドの出力例を示します。
	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)         LACP      Te1/1/1(P)  Te1/1/2(P)
EtherChannel モード - PAgP

次に、EtherChannel モードが PAgP のデバイス 1 およびデバイス 2 の設定例を示します。


Device> enable
Device# configure terminal
Device(config)# key chain KC macsec
Device(config-key-chain)# key 1000
Device(config-key-chain)# cryptographic-algorithm aes-128-cmac
Device(config-key-chain)# key-string FC8F5B10557C192F03F60198413D7D45
Device(config-key-chain)# exit
Device(config)# mka policy POLICY
Device(config-mka-policy)# key-server priority 0
Device(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Device(config-mka-policy)# confidentiality-offset 0
Device(config-mka-policy)# exit
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# channel-group 2 mode desirable
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# exit
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# channel-group 2 mode desirable
Device(config-if)# macsec network-link
Device(config-if)# mka policy POLICY
Device(config-if)# mka pre-shared-key key-chain KC
Device(config-if)# end

レイヤ 2 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# switchport
Device(config-if)# switchport mode trunk
Device(config-if)# no shutdown
Device(config-if)# end
次に、show etherchannel summary コマンドの出力例を示します。
	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	------+-------------+-----------+-----------------------------------------------
	2      Po2(SU)         PAgP      Te1/1/1(P)  Te1/1/2(P)

レイヤ 3 EtherChannel 設定

デバイス 1

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.3 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end

デバイス 2

Device> enable
Device# configure terminal
Device(config)# interface port-channel 2
Device(config-if)# no switchport
Device(config-if)# ip address 10.25.25.4 255.255.255.0
Device(config-if)# no shutdown
Device(config-if)# end
次に、show etherchannel summary コマンドの出力例を示します。
	Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


	Number of channel-groups in use: 1
	Number of aggregators:           1

	Group  Port-channel  Protocol    Ports
	------+-------------+-----------+-----------------------------------------------
	2      Po2(RU)         PAgP      Te1/1/1(P)  Te1/1/2(P)
アクティブな MKA セッションの表示
次に、すべてのアクティブな MKA セッションを表示します。
Device# show mka sessions interface Te1/0/1

===============================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server                                            
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN                                                   
=========================================================================================
Te1/0/1        00a3.d144.3364/0025 POLICY           NO                NO                                                    
37             701f.539b.b0c6/0032 1                Secured           1000                                                            

例:MACsec 暗号アナウンスメントの設定

次に、セキュアアナウンスメントの MKA ポリシーの設定例を示します。
Device> enable
Device# configure terminal
Device(config)# mka policy mka_policy
Device(config-mka-policy)# key-server 2
Device(config-mka-policy)# send-secure-announcements
Device(config-mka-policy)#macsec-cipher-suite gcm-aes-128confidentiality-offset 0
Device(config-mka-policy)# end
次に、セキュアアナウンスメントのグローバル設定例を示します。
Device> enable
Device# configure terminal
Device(config)# mka defaults policy send-secure-announcements
Device(config)# end
次に、インターフェイスでの EAPoL アナウンスメントの設定例を示します。
Device> enable
Device# configure terminal
Device(config)# interface GigabitEthernet 1/0/1
Device(config-if)# eapol announcement
Device(config-if)# end
次に、EAPoL アナウンスメントが有効になっている show running-config interface interface-name コマンドの出力例を示します。
Device# show running-config interface GigabitEthernet 1/0/1

switchport mode access
 macsec
 access-session host-mode multi-host
 access-session closed
 access-session port-control auto
 dot1x pae authenticator
 dot1x timeout quiet-period 10
 dot1x timeout tx-period 5
 dot1x timeout supp-timeout 10
 dot1x supplicant eap profile peap
 eapol announcement
 spanning-tree portfast
 service-policy type control subscriber Dot1X

次に、セキュアアナウンスメントが無効になっている show mka sessions interface interface-name detail コマンドの出力例を示します。
Device# show mka sessions interface GigabitEthernet 1/0/1 detail


MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89567
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89555       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
次に、セキュアアナウンスメントが無効になっている show mka sessions details コマンドの出力例を示します。
Device# show mka sessions details

MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89572
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89560       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
次に、セキュアアナウンスメントが無効になっている show mka policy policy-name detail コマンドの出力例を示します。
Device# show mka policy p2 detail

MKA Policy Configuration ("p2")
========================
MKA Policy Name........ p2
Key Server Priority.... 2
Confidentiality Offset. 0
Send Secure Announcement..DISABLED
Cipher Suite(s)........ GCM-AES-128

Applied Interfaces...
  GigabitEthernet1/0/1

例:MKA 情報の表示

次に、show mka sessions コマンドの出力例を示します。
Device# show mka sessions


Total MKA Sessions....... 1
      Secured Sessions... 1
      Pending Sessions... 0

====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN
====================================================================================================
Gi1/0/1        204c.9e85.ede4/002b p2               NO                YES
43             c800.8459.e764/002a 1                Secured           0100000000000000000000000000000000000000000000000000000000000000
次に、show mka sessions interface interface-name コマンドの出力例を示します。
Device# show mka sessions interface GigabitEthernet 1/0/1

Summary of All Currently Active MKA Sessions on Interface GigabitEthernet1/0/1...

====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN
====================================================================================================
Gi1/0/1        204c.9e85.ede4/002b p2               NO                YES
43             c800.8459.e764/002a 1                Secured           0100000000000000000000000000000000000000000000000000000000000000
次に、show mka sessions interface interface-name detail コマンドの出力例を示します。
Device# show mka sessions interface GigabitEthernet 1/0/1 detail


MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89567
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89555       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
次に、show mka sessions details コマンドの出力例を示します。
Device# show mka sessions details

MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI............. 204c.9e85.ede4/002b
Interface MAC Address.... 204c.9e85.ede4
MKA Port Identifier...... 43
Interface Name........... GigabitEthernet1/0/1
Audit Session ID.........
CAK Name (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000
Member Identifier (MI)... D46CBEC05D5D67594543CEAE
Message Number (MN)...... 89572
EAP Role................. NA
Key Server............... YES
MKA Cipher Suite......... AES-128-CMAC

Latest SAK Status........ Rx & Tx
Latest SAK AN............ 0
Latest SAK KI (KN)....... D46CBEC05D5D67594543CEAE00000001 (1)
Old SAK Status........... FIRST-SAK
Old SAK AN............... 0
Old SAK KI (KN).......... FIRST-SAK (0)

SAK Transmit Wait Time... 0s (Not waiting for any peers to respond)
SAK Retire Time.......... 0s (No Old SAK to retire)

MKA Policy Name.......... p2
Key Server Priority...... 2
Delay Protection......... NO
Replay Protection........ YES
Replay Window Size....... 0
Confidentiality Offset... 0
Algorithm Agility........ 80C201
Send Secure Announcement.. DISABLED
SAK Cipher Suite......... 0080C20001000001 (GCM-AES-128)
MACsec Capability........ 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired........... YES

# of MACsec Capable Live Peers............ 1
# of MACsec Capable Live Peers Responded.. 1

Live Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
  38046BA37D7DA77E06D006A9  89560       c800.8459.e764/002a   10

Potential Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------

Dormant Peers List:
  MI                        MN          Rx-SCI (Peer)        KS Priority
  ----------------------------------------------------------------------
次に、show mka policy コマンドの出力例を示します。
Device# show mka policy


MKA Policy Summary...

Policy            KS       Delay   Replay  Window Conf   Cipher          Interfaces
Name              Priority Protect Protect Size   Offset Suite(s)        Applied
======================================================================================================
*DEFAULT POLICY*  0        FALSE   TRUE    0      0      GCM-AES-128

p1                1        FALSE   TRUE    0      0      GCM-AES-128

p2                2        FALSE   TRUE    0      0      GCM-AES-128     Gi1/0/1
次に、show mka policy policy-name コマンドの出力例を示します。
Device# show mka policy p2


MKA Policy Summary...

Policy            KS       Delay   Replay  Window Conf   Cipher          Interfaces
Name              Priority Protect Protect Size   Offset Suite(s)        Applied
======================================================================================================
p2                2        FALSE   TRUE    0      0      GCM-AES-128     Gi1/0/1
次に、show mka policy policy-name detail コマンドの出力例を示します。
Device# show mka policy p2 detail

MKA Policy Configuration ("p2")
========================
MKA Policy Name........ p2
Key Server Priority.... 2
Confidentiality Offset. 0
Send Secure Announcement..DISABLED
Cipher Suite(s)........ GCM-AES-128

Applied Interfaces...
  GigabitEthernet1/0/1
次に、show mka statistics interface interface-name コマンドの出力例を示します。
Device# show mka statistics interface GigabitEthernet 1/0/1


MKA Statistics for Session
==========================
Reauthentication Attempts.. 0

CA Statistics
   Pairwise CAKs Derived... 0
   Pairwise CAK Rekeys..... 0
   Group CAKs Generated.... 0
   Group CAKs Received..... 0

SA Statistics
   SAKs Generated.......... 1
   SAKs Rekeyed............ 0
   SAKs Received........... 0
   SAK Responses Received.. 1

MKPDU Statistics
   MKPDUs Validated & Rx... 89585
      "Distributed SAK".. 0
      "Distributed CAK".. 0
   MKPDUs Transmitted...... 89596
      "Distributed SAK".. 1
      "Distributed CAK".. 0

次に、show mka summary コマンドの出力例を示します。
Device# show mka summary

Total MKA Sessions....... 1
      Secured Sessions... 1
      Pending Sessions... 0

====================================================================================================
Interface      Local-TxSCI         Policy-Name      Inherited         Key-Server
Port-ID        Peer-RxSCI          MACsec-Peers     Status            CKN
====================================================================================================
Gi1/0/1        204c.9e85.ede4/002b p2               NO                YES
43             c800.8459.e764/002a 1                Secured           0100000000000000000000000000000000000000000000000000000000000000



MKA Global Statistics
=====================
MKA Session Totals
   Secured.................... 1
   Reauthentication Attempts.. 0

   Deleted (Secured).......... 0
   Keepalive Timeouts......... 0

CA Statistics
   Pairwise CAKs Derived...... 0
   Pairwise CAK Rekeys........ 0
   Group CAKs Generated....... 0
   Group CAKs Received........ 0

SA Statistics
   SAKs Generated............. 1
   SAKs Rekeyed............... 0
   SAKs Received.............. 0
   SAK Responses Received..... 1

MKPDU Statistics
   MKPDUs Validated & Rx...... 89589
      "Distributed SAK"..... 0
      "Distributed CAK"..... 0
   MKPDUs Transmitted......... 89600
      "Distributed SAK"..... 1
      "Distributed CAK"..... 0

MKA Error Counter Totals
========================
Session Failures
   Bring-up Failures................ 0
   Reauthentication Failures........ 0
   Duplicate Auth-Mgr Handle........ 0

SAK Failures
   SAK Generation................... 0
   Hash Key Generation.............. 0
   SAK Encryption/Wrap.............. 0
   SAK Decryption/Unwrap............ 0
   SAK Cipher Mismatch.............. 0

CA Failures
   Group CAK Generation............. 0
   Group CAK Encryption/Wrap........ 0
   Group CAK Decryption/Unwrap...... 0
   Pairwise CAK Derivation.......... 0
   CKN Derivation................... 0
   ICK Derivation................... 0
   KEK Derivation................... 0
   Invalid Peer MACsec Capability... 0
MACsec Failures
   Rx SC Creation................... 0
   Tx SC Creation................... 0
   Rx SA Installation............... 0
   Tx SA Installation............... 0

MKPDU Failures
   MKPDU Tx......................... 0
   MKPDU Rx Validation.............. 0
   MKPDU Rx Bad Peer MN............. 0
   MKPDU Rx Non-recent Peerlist MN.. 0

MACsec 暗号化に関する追加情報

標準および RFC

標準/RFC タイトル

IEEE 802.1AE-2006

Media Access Control(MAC)セキュリティ

IEEE 802.1X-2010

ポート ベースのネットワーク アクセス コントロール

IEEE 802.1AEbw-2013

Media Access Control(MAC)セキュリティ(IEEE 802.1AE-2006 の修正):Extended Packet Numbering(XPN)

IEEE 802.1Xbx-2014

ポートベースのネットワーク アクセス コントロール(IEEE 802.1X-2010 の修正)

RFC 4493

AES-CMAC アルゴリズム

シスコのテクニカル サポート

説明 リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

Cisco.com の [Support & Downloads] ページ

MACsec 暗号化の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

リリース

機能

機能情報

Cisco IOS XE 17.13.1 証明書ベースの MACsec 暗号化 この機能のサポートは、このリリースで Cisco Catalyst ESS9300 エンベデッド シリーズ スイッチに導入されました。

Cisco IOS XE Cupertino 17.8.x

MACSec 暗号化

MACsec は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。

この機能のサポートは、このリリースで Cisco Catalyst IE9300 高耐久性シリーズ スイッチに導入されました。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。