Cisco NCS 540 シリーズ ルータ(IOS XR リリース 6.3.x)システム セキュリティ コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco NCS 540 シリーズ ルータ(IOS XR リリース 6.3.x)システム セキュリティ コンフィギュレーション ガイド

Chapter Title

MACSec の設定

検索結果

Updated:
2018年7月17日

章のタイトル: MACSec の設定

MACSec の設定

このモジュールでは、NCS 540 Network Convergence System ルータで Media Access Control Security(MACsec)暗号化を設定する方法について説明します。MACsec は、2 台の MACsec 対応ルータ間におけるパケット暗号化を定めたレイヤ 2 IEEE 802.1 AE 標準規格です。

MACSec 暗号化について

セキュリティ違反は、OSI モデルのどのレイヤでも発生する可能性があります。レイヤ 2 では、MAC アドレス スプーフィング、ARP スプーフィング、DHCP サーバに対するサービス妨害(DoS)攻撃、VLAN ホッピングなどが一般的な違反です。

MACSec は物理メディア上のデータを保護し、上位レイヤでデータを侵害できないようにします。その結果、MACSec 暗号化は、上位層で IPsec や SSL などの他の暗号化方式よりも優先されます。MACSec は、プロバイダー エッジ(PE)ルータに接続するカスタマー エッジ(CE)ルータ インターフェイスと、すべてのプロバイダー ルータ インターフェイスで構成されています。

MKA 認証プロセス

MACSec は、GCM-AES アルゴリズムを使用してフレーム単位でセキュア MAC サービスを提供します。MACSec は、MACSec Key Agreement(MKA)プロトコルを使用してセッション キーを交換し、暗号キーを管理します。

MACSec 暗号化プロセスを次の図と説明に示します。

図 1. MKA 暗号化プロセス


ステップ 1:2 つのルータ間で最初にリンクが確立されると、それらはピアになります。相互ピア認証は、事前共有キー(PSK)を設定することによって行われます。

ステップ 2:ピア認証が成功すると、ピア間に接続アソシエーションが形成され、セキュアな接続アソシエーション キー名(CKN)が交換されます。交換後、MKA ICV は事実上の秘密キーである接続アソシエーション キー(CAK)で検証されます。

ステップ 3:設定されたキー サーバの優先順位に基づいて、ルータ間でキー サーバが選択されます。優先順位の値が低いと、ルータがキー サーバになる優先順位が高くなります。値が設定されていない場合は、デフォルト値 16 がルータのキー サーバの優先順位の値になります。優先順位の値が最も低いと、そのルータがキー サーバとして設定され、もう一方のルータはキー クライアントとして機能します。キー サーバの選択には、次のルールが適用されます。

  • キー サーバの優先順位と SCI の数値が低いほど、最も高い優先順位が与えられます。

  • 各ルータは、ピアがキー サーバとして別のルータを選択していない場合、またはキー サーバとして機能しないことを条件として、キー サーバとして最も高い優先順位をアドバタイズするピアを選択します。

  • 最も優先順位の高いキー サーバが引き分けの場合は、最も優先順位の高い SCI を持つルータがキー サーバ(KS)として選択されます。

ステップ 4:ピア間にセキュリティ アソシエーションが形成されます。キー サーバは、セキュア アソシエーション キー(SAK)を生成してキー クライアント(ピア)配布します。各セキュア チャネルは、セキュリティ アソシエーション(SA)の重複したシーケンスによってサポートされています。各 SA は新しいセキュア アソシエーション キー(SAK)を使用します。

ステップ 5:暗号化されたデータがピア間で交換されます。

MACSec のフレーム形式

フレーム内の MACSec ヘッダーは、次の図に示すように 3 つのコンポーネントで構成されています。

図 2. MACSec のフレーム形式

  • SecTAG:セキュリティ タグは 8 ~ 16 バイトの長さで、フレームに使用される SAK を識別します。セキュア チャネル識別子(SCI)のエンコーディングでは、セキュリティ タグの長さは 16 バイトで、エンコーディングなしでは 8 バイトの長さです(SCI エンコーディングはオプションです)。セキュリティ タグは、フレームが順不同で受信された場合にリプレイ保護も行います。

  • セキュア データ:これは、MACSec を使用して暗号化されたフレーム内のデータであり、2 オクテット以上の長さにすることができます。

  • ICV:ICV はフレームの整合性チェックを提供し、暗号スイートに応じて通常 8 ~ 16 バイトの長さです。予想される ICV と一致しないフレームはポートで廃棄されます。

MACsec 暗号化利用のメリット

  • データの完全性チェック:完全性チェックを実行するために、整合性チェック値(ICV)が使用されます。ICV は、保護されたデータ ユニットとともに送信され、再計算されて、データの変更を検出するために受信側で比較されます。

  • データ暗号化:ポートがアウトバウンド フレームを暗号化し、MACsec で暗号化されたインバウンド フレームを復号化できるようにします。

  • リプレイ防御:フレームがネットワークで送信される際、順序付けられたシーケンスからフレームが抜け出す可能性が高くなります。MACsec では、指定された数の順不同フレームを受け入れる設定可能枠が提供されます。

  • 暗号化されていないトラフィックのサポート:暗号化されていないデータをサポートするように設定した場合、それらのデータもポートから転送できます。

ライン カードでの MACsec のサポート

MACsec テクノロジーは、36 ポート 100 GE ライン カードでのみサポートされています。

MACSec PSK

事前共有キーには、接続アソシエーション キー名(CKN)および接続アソシエーション キー(CAK)が含まれています。事前共有キーは、静的 CAK セキュリティ モードを使用する MACsec を有効にするために、ポイントツーポイント リンクの両端で 2 つのデバイス間で交換されます。事前共有キーが正常に確認され交換された後で、MACsec Key Agreement(MKA)プロトコルが有効になります。事前共有キー CKN と CAK は、リンクの両端で一致する必要があります。

MACSec PSK 設定の詳細については、「インターフェイスでの MACSec 設定の適用」の項の ステップ 3 を参照してください。

フォールバック PSK

フォールバックは、プライマリ PSK がセキュアな MKA セッションを起動できない場合のセッション回復メカニズムです。これにより、PSK は常に MACSec の暗号化と復号化を実行するために利用可能になります。

  • プライマリ キーの CAK ロールオーバーでは、最新のアクティブ キーが一致しない場合、フォールバック キーが一致していれば、システムは現在のアクティブ キーからフォールバック キーへのヒットレス ロールオーバーを実行します。

  • セッションがフォールバックで起動していて、プライマリの最新のアクティブなキー設定の不一致がピア間で修正された場合、システムはフォールバックからプライマリの最新のアクティブなキーへのヒットレス ロールオーバーを実行します。


(注)  

有効なフォールバック PSK(CKN と CAK)は、有効期間を無期限で設定する必要があります。フォールバック PSK が CAK の不一致ありで設定されている場合、唯一の回復メカニズムは、すべてのアソシエーション メンバー上の新しい PSK 構成セット(フォールバック PSK キーチェーンとプライマリ PSK チェーンの両方でその順序で)をプッシュすることです。

次に、フォールバック PSK で保護されたセッションのサンプル syslog を示します。

%L2-MKA-5-SESSION_SECURED_WITH_FALLBACK_PSK : (Hu0/1/0/0) MKA session secured, CKN:ABCD

MACSec フォールバック PSK 設定の詳細については、「インターフェイスでの MACSec 設定の適用」の項の ステップ 3 を参照してください。

MACSec 暗号化の設定と確認

この項で説明するように、MACsec は物理イーサネット インターフェイスまたはインターフェイス バンドル(リンク バンドル)で設定できます。

次の項では、説明した展開モードで MACsec 設定を構成して検証する手順について説明します。

ルータ インターフェイスに MACsec を設定する前に、MACsec キーチェーンを定義する必要があります。MACsec ポリシーを指定せずにルータに MACsec キーチェーンを適用すると、デフォルトのポリシーが適用されます。デフォルトの MACsec ポリシーは、デフォルト値であらかじめ設定されています。事前設定された値のいずれかを変更する必要がある場合は、別の MACsec ポリシーを作成します。

MACsec の設定には、次の手順が含まれます。

  1. MACsec キーチェーンの作成

  2. ユーザ定義 MACsec ポリシーの作成

  3. 物理インターフェイスでの MACsec 設定の適用

MACSec キーチェーンの作成

MACsec キーチェーンは、暗号化された情報を交換する必要のあるピアを認証するために使用されるキーの集合です。キーチェーンの作成中に、キー、パスワードを含むキー文字列、暗号化アルゴリズム、およびキーの有効期間を定義します。

MACSec キーチェーンのキーワード

説明

Key

MACSec キーまたは CKN の長さは、最大 64 文字です。キーの文字数は偶数でなければなりません。奇数の文字数を入力すると、MACSec コンフィギュレーション モードが終了します。

Key-string

MACSec キー文字列または CAK の長さは、32 文字または 64 文字のいずれかです(AES-128 の場合は 32、AES-256 の場合は 64)。

Lifetime

このフィールドは、キーの有効期間を指定します。開始時刻と終了時刻が含まれます。有効期限の値を [infinite] に設定することをお勧めします。

MACSec キーチェーンの設定に関するガイドライン

MACSec キーチェーン管理には、次の構成ガイドラインがあります。

  • MKA プロトコルは、キーチェーンで使用可能な最新のアクティブなキーを使用します。このキーには、既存の現在アクティブなキーのセットからの最新の開始時刻が含まれています。show key chain keychain-name コマンドを使用して、この値を確認できます。

  • 現在アクティブなキーを削除したり有効期限が切れると、MKA セッションがダウンし、トラフィックの衝突が発生します。キーの有効期間は無期限に設定することをお勧めします。フォールバックが設定されている場合、プライマリ キーチェーンのアクティブなキーの期限切れまたは削除時にフォールバックを使用してトラフィックが保護されます。

  • キーのロールオーバー(CAK ロールオーバー)を正常に行うには、新しいキーを最新のアクティブ キーになるように設定し、現在のキーが期限切れになる前に有効にする必要があります。

  • 現在のキーから新しいキーへのヒットレス CAK ロールオーバーの場合は、少なくとも 1 分間オーバーラップさせることをお勧めします。

  • 開始時刻と有効期限は将来のタイムスタンプを使用して設定でき、これによって、管理エージェントの介入なしに毎日の CAK ローテーションの一括設定が可能になります。

手順

ステップ 1

グローバル コンフィギュレーション モードを開始し、MACsec キーチェーンの名前を指定します(例:mac_chain)。

例:

 

RP/0/RP0/CPU0:router(config)# keychain mac_chain
ステップ 2

MACsec キーの名前を入力します。

キーの長さは最大 64 文字にできます。キーの文字数は偶数でなければなりません。奇数の文字数を入力すると、MACsec コンフィギュレーション モードが終了します。

例:


RP/0/RP0/CPU0:router(config-mac_chain-MacSec) # key 1234abcd5678

フォールバックの事前共有キー(PSK)を設定して、MACsec の暗号化と復号化を実行する際に PSK を常に使用できるようにすることもできます。プライマリ PSK とともにフォールバック PSK を使用することで、プライマリ PSK が不一致の場合、またはプライマリ PSK 用のアクティブなキーがなくても、セッションがアクティブのまま維持されます。

設定されたキーは、ピア間で交換される CKN です。

(注)   
Cisco IOS XR リリース 6.1.3 より前のソフトウェアを実行している MACsec サーバと相互運用するように MACsec を設定する場合は、MACsec キーの長さが 64 文字であることを確認してください。余分なゼロ文字を MACseckey に追加して、64 文字の長さにすることができます。キーの長さが 64 文字未満の場合、認証は失敗します。
ステップ 3

キーに使用されるキー文字列と暗号化アルゴリズムを入力します。

例:

キー文字列は、MKA プロトコルによる ICV 検証に使用される CAK です。

! For AES 128-bit encryption 

RP/0/RP0/CPU0:router(config-mac_chain-MacSec-1234abcd5678)# 
key-string 12345678123456781234567812345678 cryptographic-algorithm AES-128-CMAC

! For AES 256-bit encryption

RP/0/RP0/CPU0:router(config-mac_chain-MacSec-1234abcd5678)# 
key-string 1234567812345678123456781234567812345678123456781234567812345678 cryptographic
-algorithm AES-256-CMAC
(注)   
この例では、AES 256 ビット暗号化アルゴリズムを使用しているため、キー文字列の長さは 64 文字の 16 進数文字です。256 ビットの暗号化アルゴリズムでは、クラッキングされるハッキングの追加の巡回が必要となるより大きなキーが使用されます。256 ビットのアルゴリズムでは、大規模な多数のセキュリティ攻撃に対するセキュリティが向上し、128 ビットアルゴリズムによって提供されるセキュリティが含まれています。
ステップ 4

存続期間とも呼ばれる MACsec キー(CKN)の有効期間を入力します。

存続期間は、2 つの日付の間の有効期間(例:2014 年 1 月 1 日から 2014 年 12 月 31 日まで)、または無期限の有効期間として秒単位で設定できます。

このキーは、設定した時刻(HH:MM:SS 形式)から有効になります。期間は秒単位で設定されます。

例:



RP/0/RP0/CPU0:router(config- mac_chain-MacSec-1234abcd5678)# lifetime 05:00:00 01 
January 2015 duration 1800
有効期間を定義された期間に設定する例:


RP/0/RP0/CPU0:router(config-mac_chain-MacSec-1234abcd5678)# lifetime 05:00:00 20 
february 2015 12:00:00 30 september 2015

有効期間を無期限に設定する例:



RP/0/RP0/CPU0:router(config- mac_chain-MacSec-1234abcd5678)# lifetime 
05:00:00 01 January 2015 infinite
(注)   
キーが期限切れになると、MACsec セッションは切断され、show macsec mka session コマンドを実行しても情報は表示されません。show macsec mka interface detail コマンドを実行すると、出力には、PSK 情報に ***アクティブ キーがありません(No Active Keys Present)*** と表示されます。
ステップ 5

設定をコミットします。

例:

RP/0/RP0/CPU0:router(config- mac_chain-MacSec-1234abcd5678)# exit
RP/0/RP0/CPU0:router (config)# commit
これで、MACsec キーチェーンの設定は完了です。

タイプ 6 パスワード暗号化を使用した MACsec 事前共有キー(PSK)の保護

タイプ 6 パスワード暗号化機能を使用すると、MACsec プレーン テキスト キー文字列(CAK)をタイプ 6 暗号化形式で安全に保存できます。

マスター キーは、Advanced Encryption Standard(AES)対称暗号を使用してルータ構成内のすべてのプレーン テキスト MACsec キー文字列(CAK)を暗号化するために使用されるパスワードまたはキーです。マスター キーはルーター構成には保存されず、ルータに接続している間は表示も取得もできません。

タイプ 6 パスワードの暗号化は、マスター キーが設定されている場合にのみ有効です。タイプ 6 パスワードの暗号化は現在、NCS-55A1-36H-SE-S ルータで利用できます。

マスター キーの設定およびタイプ 6 パスワード暗号化機能の有効化

タイプ 6 暗号化のマスター キーを設定し、MACsec キー(キー文字列/CAK)を保護するための Advanced Encryption Standard(AES)パスワード暗号化機能を有効にできます。

手順

  コマンドまたはアクション 目的
ステップ 1

key config-key password-encryption [delete]

例:

マスター キーの設定
Router# key config-key password-encryption
New password Requirements: Min-length 6, Max-length 64 
Characters restricted to [A-Z][a-z][0-9] 
Enter new key : 
Enter confirm key :

例:

マスター キーの変更
Router# key config-key password-encryption 
New password Requirements: Min-length 6, Max-length 64 
Characters restricted to [A-Z][a-z][0-9] 
Enter old key : 
Enter new key : 
Enter confirm key :

例:

マスター キーの削除
Router# key config-key password-encryption delete

マスター キーの設定

マスター キーを、タイプ 6 パスワード暗号化機能で使用するように設定します。マスター キーは、6 ~ 64 文字の英数字を使用できます。

マスター キーの変更

マスター キーがすでに設定されている場合、新しいマスター キーを入力する前に現在のマスター キーを入力するように求められます。

マスター キーを変更すると、既存のすべてのタイプ 6 形式のキー文字列が新しいマスター キーで再度暗号化されます。タイプ 6 のキー文字列が存在する場合は、新しいマスター キーを使用した再暗号化を有効にするための password6 configuration aes コマンドが存在することを確認してください。ない場合、マスター キーの更新操作は失敗します。

マスター キーの削除

このコマンドの delete 形式を使用すると、いつでもマスター キーを削除できます。

(注)   

マスター キーを削除する前に、no password6 encryption aes コマンドを使用して password6 encryption aes コマンドを無効にしてから、commit コマンドを設定する必要があります。

注意     

MKA セッションがタイプ 6 キーを使用してアップしていた場合、マスター キーを削除すると MACSec トラフィックがダウンします。トラフィックの混乱を避けるために、両方のピアで最新のタイムスタンプを使用して有効期間が無期限の新しい PSK キー ペアのセット(キー(CKN)とキー文字列(CAK))を設定し、新しく設定された CKN と CAK への CAK キー再生成が正常に行われることを確認してください。

ステップ 2

configure terminal

例:

Router# configure terminal 
Router(config)#

グローバル コンフィギュレーション モードを開始します。
ステップ 3

[no] password6 encryption aes

例:

Router(config)# password6 encryption aes

タイプ 6 パスワード暗号化機能をイネーブルまたはディセーブルにします。

マスター キーを設定する前にタイプ 6/AES パスワード暗号化機能を有効にした場合、パスワードの暗号化は行われません。
ステップ 4

commit

例:

Router(config)# commit

実行コンフィギュレーション ファイルに変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。

MACSec 事前共有キー(PSK)の設定

始める前に

key config-key password-encryption コマンドを使用してマスター キーを設定し、password6 encryption aes コマンドを使用してタイプ 6 暗号化機能を有効にしてください。

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Router# configure terminal 
Router(config)#

グローバル コンフィギュレーション モードを開始します。
ステップ 2

key chain key chain name macsec

例:

Router(config)# key chain kc1 macsec
Router(config-kc1-MacSec)#

MACsec サブモードでキー チェーンを設定します。
ステップ 3

key hex string of even length and max 64 bytes

例:

Router(config-kc1-MacSec)# key 1111
Router(config-kc1-MacSec-1111)#

64 バイトまでの偶数長の 16 進文字列として MACsec CKN を設定します。

注意     

MACsec サブモードから終了する奇数長の 16 進数文字列を設定します。その場合は、ステップ 2 から繰り返して MACsec サブモードを再度開始します。
ステップ 4

key-string hex string of length 32 bytes or 64 bytes cryptographic-algorithm {aes-128-cmac | aes-256-cmac}

例:

32 バイトの 16 進数 CAK の設定
Router(config-kc1-MacSec-1111)# 
key-string 12345678901234567890123456789022
 cryptographic-algorithm  aes-128-cmac

例:

64 バイトの 16 進数 CAK の設定
Router(config-kc1-MacSec-1111)# 
key-string 
1234567890123456789012345678902212345678901234567890123456789022 
cryptographic-algorithm aes-256-cmac

対応する MKA(コントロール プレーン)暗号化アルゴリズム(aes-128-cmac/aes-256-cmac)を使用して 32 バイトの 16 進数文字列または 64 バイトの 16 進数文字列のプレーン テキスト CAK を設定します。
ステップ 5

lifetime {hh:mm:ss} {1-31} month year infinite

例:

Router(config-kc1-MacSec-1111)#
lifetime 00:00:00 1 january 2017 infinite

MACsec PSK の有効期間を設定します。

(注)   

有効期間を設定しないと、MACsec PSK は非アクティブなキーになります。
ステップ 6

commit

例:

Router(config)# commit

実行コンフィギュレーション ファイルに変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。

ステップ 7

show running-config key chain keychain name

例:

Router# show running-config key chain kc1
key chain kc1
 macsec
  key 1111
     key-string password6
     5d63525a58594657565e6845446842465965554862424c5
     95d696554694a424c59655f504a575e6648484c484b4646
     535d49675e535a60644e6045654a655f666858414142
       cryptographic-algorithm aes-128-cmac
         lifetime 00:00:00 january 01 2017 infinite
  !
 !
!

(オプション)タイプ 6 の暗号化されたキー文字列を表示します。

ユーザ定義 MACSec ポリシーの作成

手順

ステップ 1

グローバル コンフィギュレーション モードを開始し、MACSec ポリシーの名前(mac_policy)を入力します。

例:

RP/0/RP0/CPU0:router# configure 
RP/0/RP0/CPU0:router(config)# macsec-policy mac_policy
ステップ 2

MACSec 暗号化に使用する暗号スイートを設定します。

例:


RP/0/RP0/CPU0:router(config-mac_policy)# cipher-suite GCM-AES-XPN-256
RP/0/RP0/CPU0:router(config-mac_policy)#GCM-AES-128 
GCM-AES-256 
GCM-AES-XPN-128 
GCM-AES-XPN-256
(注)   
この例では、GCM-AES-XPN-256 暗号化アルゴリズムを使用しています。256 ビットの暗号化アルゴリズムでは、クラッキングされるハッキングの追加の巡回が必要となるより大きなキーが使用されます。256 ビットのアルゴリズムでは、大規模な多数のセキュリティ攻撃に対するセキュリティが向上し、128 ビットアルゴリズムによって提供されるセキュリティが含まれています。Extended Packet Numbering(XPN)は、データが高速リンクを介して送信されている間にキーのロールオーバー数を減らすために使用されます。したがって、上位のデータ ポートには GCM-AES-XPN-256 暗号化アルゴリズムを使用することを強く推奨します。
ステップ 3

MACSec 暗号化の機密性オフセットを設定します。

例:

RP/0/RP0/CPU0:router(config-mac_policy)# conf-offset CONF-OFFSET-30
ステップ 4

キー サーバの優先順位を入力します。

0 ~ 255 の値を入力できます。値が低いと、キー サーバとして選択される優先順位が高くなります。

この例では、値 0 によってルータがキー サーバとして設定され、もう一方のルータはキー クライアントとして機能します。キー サーバは、2 つのルータ間で SAK を生成して管理します。デフォルトのキー サーバのプライオリティ値は 16 です。

例:

RP/0/RP0/CPU0:router(config-mac_policy)# key-server-priority 0
ステップ 5

セキュリティ ポリシー パラメータ、Must-Secure または Should-Secure を設定します。

Must-Secure:Must-Secure では、MACSec によって暗号化されたトラフィックのみのフローが強制されます。したがって、MKA セッションが保護されない限り、トラフィックは廃棄されます。

例:

RP/0/RP0/CPU0:router(config-mac_policy)# security-policy must-secure

Should-Secure:Should-Secure では、MKA セッションが保護されるまで、暗号化されていないトラフィックのフローが許可されます。MKA セッションが保護された後、Should-Secure ポリシーは、暗号化されたトラフィックのみのフローを強制します。

例:

RP/0/RP0/CPU0:router(config-mac_policy)# security-policy should-secure
表 1. MACSec セキュリティ ポリシー

MKA

保護された MKA セッション

保護されていない MKA セッション

セキュリティ ポリシー

Must-secure

暗号化されたトラフィック

トラフィックのドロップ(Tx なし、Rx なし)

Should-secure

暗号化されたトラフィック

プレーン テキストまたは暗号化されていないトラフィック
ステップ 6

MACSec ポリシーの下でデータ遅延保護を設定します。

データ遅延保護により、MKA 参加者は、MACSec によって保護されたデータ フレームが 2 秒以上遅延していないことを確認できます。各 SecY は MKA を使用して、送信に使用された最も低い PN を 2 秒以内に SAK に伝えます。2 秒以上遅延したトラフィックは、遅延保護が有効になっているインターフェイスで拒否されます。

デフォルトでは、データ遅延保護機能は無効になっています。MACSec インターフェイスに接続された MACSec-policy の下に delay-protection コマンドを設定すると、そのインターフェイスでデータ遅延保護機能が有効になります。

例:

RP/0/RP0/CPU0:router# configure terminal
RP/0/RP0/CPU0:router(config)# macsec-policy mp1
RP/0/RP0/CPU0:router(config-macsec-policy)# delay-protection 
RP/0/RP0/CPU0:router(config-macsec-policy)# commit

確認:

次の show コマンドの出力は、データ遅延保護機能が有効であることを確認します。

例:

RP/0/RP0/CPU0:router# show macsec mka session interface GigabitEthernet 0/1/0/1 detail
MKA Policy Name         : mp1
Key Server Priority     : 16
Delay Protection        : TRUE
Replay Window Size      : 64
Confidentiality Offset  : 0
Algorithm Agility       : 80C201
SAK Cipher Suite        : (NONE)
MACSec Capability       : 3 (MACSec Integrity, Confidentiality, & Offset)
MACSec Desired          : YES
ステップ 7

リプレイ保護ウィンドウのサイズを設定します。

例:

RP/0/RP0/CPU0:router(config-mac_policy)# window-size 64

これにより、許容される順不同フレームの最大値が決まります。0 ~ 1024 の値を設定できます。
ステップ 8

ポートに到着するフレームの ICV を設定します。

例:


RP/0/RP0/CPU0:router(config-mac_policy)# include-icv-indicator

このパラメータによって、送信された MACSec Key Agreement PDU(MKPDU)の一部としてオプションの ICV インジケータが含まれるように設定されます。この設定は、MACSec が IOS XR バージョン 6.1.3 より前にソフトウェアを実行するルータと相互運用するために必要です。この設定は、ICV インジケータが MKPDU に存在することを想定した他のベンダーの MACSec 実装と MACSec が相互運用するサービス プロバイダーの WAN 設定でも重要になります。

ステップ 9

設定をコミットし、グローバル コンフィギュレーション モードを終了します。

例:

RP/0/RP0/CPU0:router(config-mac_policy)# exit
RP/0/RP0/CPU0:router(config)# commit
RP/0/RP0/CPU0:router(config)# exit
ステップ 10

MACSec ポリシー設定を確認します。

例:



RP/0/RP0/CPU0:router# show running-config macsec-policy

macsec-policy mac_policy 
conf-offset CONF-OFFSET-30 
security-policy must-secure
window-size 64
cipher-suite GCM-AES-XPN-256
key-server-priority 0
include-icv-indicator
これで、MACSec ポリシーの設定は完了です。

インターフェイスでの MACSec 設定の適用

MACSec サービス設定は、CE ルータのホスト側インターフェイスに適用されます。

MACSec インターフェイス設定のガイドライン

MACSec インターフェイスを設定するためのガイドラインは次のとおりです。

  • プライマリ PSK およびフォールバック PSK に異なるキーチェーンを設定します。

  • フォールバック PSK はプライマリ キーの不一致時に MACSec セッションを回復することを目的としているため、プライマリ PSK とフォールバック PSK の両方を同時に更新することはお勧めしません。

始める前に


(注)  
IS-IS インスタンスの下で、lsp-mtu コマンドを使用して、MACSec が有効になっている各ルータ上のリンクステート パケット(LSP)の最大伝送ユニット(MTU)サイズを設定します。MACSec のオーバーヘッドを考慮に入れて、LSP MTU をインターフェイスの MTU より 32 バイト少なく設定する必要があります。

手順

ステップ 1

グローバル コンフィギュレーション モードを開始します。

例:

RP/0/RP0/CPU0:router# configure
ステップ 2

インターフェイス コンフィギュレーション モードを開始します。

例:

RP/0/RP0/CPU0:router(config)# interface Te0/3/0/1/4
ステップ 3

インターフェイスに MACSec 設定を適用します。

MACSec PSK 設定

インターフェイスに MACSec PSK 設定を適用するには、次のコマンドを使用します。

例:



RP/0/RP0/CPU0:router(config-if)# macsec psk-keychain mac_chain policy mac_policy
RP/0/RP0/CPU0:router(config-if)# exit

MACSec ポリシーを使用せずに物理インターフェイスに MACSec 設定を適用するには、次のコマンドを使用します。

例:


RP/0/RP0/CPU0:router(config-if)# macsec psk-keychain script_key_chain2
RP/0/RP0/CPU0:router(config-if)# exit

MACSec フォールバック PSK 設定

フォールバック PSK を使用して物理インターフェイスに MACSec 設定を適用するには、次のコマンドを使用します。

例:


RP/0/RP0/CPU0:router(config-if)# macsec psk-keychain mac_chain fallback-psk-keychain fallback_mac_chain policy mac_policy
RP/0/RP0/CPU0:router(config-if)# exit

フォールバック PSK の設定はオプションです。フォールバック PSK が設定されている場合、プライマリ PSK とともにフォールバック PSK を使用することで、プライマリ PSK が不一致の場合、またはプライマリ PSK 用のアクティブなキーがなくても、セッションがアクティブのまま維持されます。
ステップ 4

設定をコミットします。

例:

RP/0/RP0/CPU0:router(config)# commit

IOS XR での MACSec 暗号化の検証

特権 EXEC モードで関連するコマンドを実行することによって、IOS XR 上の MACSec 暗号化を検証できます。検証手順は、L2VPN または L3VPN ネットワーク上の MACSec 暗号化の場合と同じです。

MACSec 暗号化が正しく構成されているかどうかを確認するには、次の手順を実行します。

手順

ステップ 1

MACSec ポリシー設定を確認します。

例:



RP/0/RP0/CPU0:router# show macsec policy mac_policy

============================================================================

Policy      Cipher         Key-Svr     Window  Conf

name        Suite          Priority    Size    Offset

=============================================================================

mac_policy GCM-AES-XPN-256  0          64      30

表示される値と設定した値が異なる場合は、show run macsec-policy コマンドを実行して設定を確認してください。

ステップ 2

それぞれのインターフェイスで MACSec の設定を確認します。

設定されたインターフェイス バンドル(MPLS ネットワーク)で MACSec 暗号化を検証できます。

例:



RP/0/RP0/CPU0:router# show macsec mka summary

NODE: node0_0_CPU0

==================================================================
Interface     Status    Cipher Suite      KeyChain
==================================================================

Fo0/0/0/1/0   Secured   GCM-AES-XPN-256   mac_chain

Total MACSec Sessions : 1
     Secured Sessions : 1
     Pending Sessions : 0

RP/0/RP0/CPU0:router# show macsec mka session interface Fo0/0/0/1/0  
===================================================================================
      Interface         Local-TxSCI       # Peers         Status         Key-Server
===================================================================================
    Fo0/0/0/1/0      d46d.5023.3709/0001      1           Secured          YES

出力の [Status] フィールドで、それぞれのインターフェイスが [Secured] であることを確認します。MACSec 暗号化が正常に設定されていない場合は、[Pending] や [Init] などのステータスが表示されます。

(注)   
VPLS ネットワークでは、マルチポイント インターフェイス上の設定のため、表示されるライブ ピアの数は 2 以上です。

入力された設定のトラブルシューティングを行うには、特権 EXEC モードで show run macsec-policy コマンドを実行します。

ステップ 3

MACSec の設定後に、ルータのインターフェイスがネイバーとピアリングしているかどうかを確認します。MACSec PSK 検証では、MKA が使用しているプライマリ キーとフォールバック キー(CAK)の不整合または不一致が検出され、オペレータが不一致を修正できます。

例:

show macsec mka session interface interfacedetail コマンドは、[Peer CAK] フィールドにピア検証ステータスを伝えます。このフィールドの値は Match または Mismatch となります。

次の show コマンドの出力は、プライマリ キーとフォールバック キー(CAK)が両方のピア エンドで一致していることを確認します。

  • RP/0/RP0/CPU0:router# show macsec mka session detail
Peers Status:
  Last Tx MKPDU          : 2017 Sep 02 11:24:52.369
  Peer Count             : 1
  RxSCI                  : 008A960060900001
  MI                     : C2213E81C953A202C08DB999
  Peer CAK         : Match
  Latest Rx MKPDU        : 2017 Sep 02 11:24:53.360
Fallback Data:
  CKN                    : ABCD
  MI                     : 84E724B4BA07CE414FEA84EF
  MN                     : 8
  Peers Status:
    Last Tx MKPDU        : 2017 Sep 02 11:24:52.369
    Peer Count           : 1
    RxSCI                : 008A960060900001
    MI                   : D2B902453F90389BD3385F84
    Peer CAK       : Match
    Latest Rx MKPDU      : 2017 Sep 02 11:24:53.360

  • Syslog

    %L2-MKA-6-MKPDU_ICV_SUCCESS: (Hu0/5/0/1), ICV verification success for RxSCI(008a.9600.6090/0001), CKN(1000) 
%L2-MKA-6-FALLBACK_PSK_MKPDU_ICV_SUCCESS: (Hu0/5/0/1), ICV verification success for RxSCI(008a.9600.6090/0001), CKN(FFFF)

次の show コマンドの出力は、プライマリ キーとフォールバック キー(CAK)が両方のピア エンドで一致していないことを確認します。

  • RP/0/RP0/CPU0:router# show macsec mka session detail
Peers Status:
Last Tx MKPDU          : 2017 Sep 02 11:24:52.369
Peer Count             : 1
RxSCI                  : 008A960060900001
MI                     : C2213E81C953A202C08DB999
Peer CAK         : Mismatch
Latest Rx MKPDU        : 2017 Sep 02 11:24:53.360
Fallback Data:
CKN                    : ABCD
MI                     : 84E724B4BA07CE414FEA84EF
MN                     : 8
Peers Status:
  Last Tx MKPDU         : 2017 Sep 02 11:24:52.369
  Peer Count            : 1
  RxSCI                 : 008A960060900001
  MI                    : D2B902453F90389BD3385F84
  Peer CAK        : Mismatch
  Latest Rx MKPDU       : 2017 Sep 02 11:24:53.360

  • Syslog

    %L2-MKA-3-MKPDU_ICV_FAILURE: (Hu0/5/0/1), ICV verification failed for RxSCI(008a.9600.6090/0001), CKN(1111)
%L2-MKA-3-FALLBACK_PSK_MKPDU_ICV_FAILURE: (Hu0/5/0/1), ICV verification failed for RxSCI(008a.9600.6090/0001), CKN(9999)

次の出力内の [#Peers] フィールドは、物理インターフェイス Fo0/0/0/1/0 に設定したピアの存在を確認します。この出力にピアの数が正確に反映されていない場合は、show run コマンドを実行して、インターフェイス上のピア設定を確認します。 


RP/0/RP0/CPU0:router# show macsec mka session

NODE: node0_0_CPU0

================================================================
Interface    Local-TxSCI           # Peers   Status  Key-Server
================================================================

Fo0/0/0/1/0  001d.e5e9.aa39/0005      1      Secured  YES
(注)   
MKA セッションのステータスがピア数 [0 (Zero)] で [Secured] と表示されている場合は、リンクがローカルに保護されている(Tx)ことを意味します。これは、そのピアからの Rx パケット(MKA パケット)がないことが原因で生じる MKA ピア損失によるものです。
ステップ 4

各インターフェイス上で MKA セッションが MACsec で保護されているかどうかを確認します。

例:

RP/0/RP0/CPU0:router# show macsec mka session interface Fo0/0/0/1/0 detail 
MKA Detailed Status for MKA Session
===================================
Status: SECURED - Secured MKA Session with MACsec

Local Tx-SCI            : 6219.8864.e338/0001
Local Tx-SSCI           : 1
Interface MAC Address   : 6219.8864.e338
MKA Port Identifier     : 1
Interface Name          : Hu0/5/0/26
CAK Name (CKN)          : 2222000000000000000000000000000000000000000000000000000000000000
CA Authentication Mode  : PRIMARY-PSK
Keychain                : kc
Member Identifier (MI)  : 89766F3FE9445FDCDD714CCE
Message Number (MN)     : 25711
Authenticator           : NO
Key Server              : NO
MKA Cipher Suite        : AES-256-CMAC

Latest SAK Status       : Rx & Tx
Latest SAK AN           : 0
Latest SAK KI (KN)      : E3D39135831AFBCDA7AA9DBB00000001 (1)
Old SAK Status          : FIRST-SAK
Old SAK AN              : 0
Old SAK KI (KN)         : FIRST-SAK (0)

SAK Transmit Wait Time  : 0s (Not waiting for any peers to respond)
SAK Retire Time         : 0s (No Old SAK to retire)
Time to SAK Rekey       : NA
MKA Policy Name         : *DEFAULT POLICY*
Key Server Priority     : 16
Replay Window Size      : 64
Confidentiality Offset  : 0
Algorithm Agility       : 80C201
SAK Cipher Suite        : 0080C20001000004 (GCM-AES-XPN-256)
MACsec Capability       : 3 (MACsec Integrity, Confidentiality, & Offset)
MACsec Desired          : YES

# of MACsec Capable Live Peers           : 1
# of MACsec Capable Live Peers Responded : 0

Live Peer List:
  MI                        MN          Rx-SCI (Peer)        SSCI KS-Priority
  ---------------------------------------------------------------------------

出力の [Status] フィールドは、MKA セッションが MACsec 暗号化で保護されているかどうかを確認します。出力には、インターフェイスおよびその他の MACsec パラメータに関する情報も表示されます。

ステップ 5

MACsec セッション カウンタの統計情報を確認します。

例:



RP/0/RP0/CPU0:router# show macsec mka statistics interface Fo0/0/0/1/0 


MKA Statistics for Session on interface (Fo0/0/0/1/0)
=======================================================
Reauthentication Attempts.. 0

CA Statistics
Pairwise CAKs Derived... 0
Pairwise CAK Rekeys..... 0
Group CAKs Generated.... 0
Group CAKs Received..... 0

SA Statistics
SAKs Generated.......... 3
SAKs Rekeyed............ 2
SAKs Received........... 0
SAK Responses Received.. 3

MKPDU Statistics
MKPDUs Transmitted...... 5425
"Distributed SAK".. 8
"Distributed CAK".. 0
MKPDUs Validated & Rx... 4932
"Distributed SAK".. 0
"Distributed CAK".. 0

MKA IDB Statistics
MKPDUs Tx Success.......... 5425
MKPDUs Tx Fail............. 0
MKPDUS Tx Pkt build fail... 0
MKPDUs Rx CA Not found..... 0
MKPDUs Rx Error............ 0
MKPDUs Rx Success.......... 4932

MKPDU Failures
   MKPDU Rx Validation (ICV).............. 0
   MKPDU Rx Bad Peer MN................... 0
   MKPDU Rx Non-recent Peerlist MN........ 0
   MKPDU Rx Drop SAKUSE, KN mismatch...... 0
   MKPDU Rx Drop SAKUSE, Rx Not Set....... 0
   MKPDU Rx Drop SAKUSE, Key MI mismatch.. 0
   MKPDU Rx Drop SAKUSE, AN Not in Use.... 0
   MKPDU Rx Drop SAKUSE, KS Rx/Tx Not Set. 0

SAK Failures
   SAK Generation................... 0
   Hash Key Generation.............. 0
   SAK Encryption/Wrap.............. 0
   SAK Decryption/Unwrap............ 0

カウンタには、送信済み、検証済み、および受信済みの MACsec PDU が表示されます。出力には、送信エラーも表示されます(ある場合)。
これで、IOS-XR での MACsec 暗号化の検証は完了です。

ルータでの MACSec 暗号化の検証

特権 EXEC モードで関連するコマンドを実行することによって、ルータ ハードウェア上の MACsec 暗号化を検証できます。

MACsec 暗号化が正しく構成されているかどうかを確認するには、次の手順を実行します。

手順

ステップ 1

インターフェイス上の MACsec 暗号化およびハードウェア インターフェイス記述子ブロック(IDB)情報を確認します。

例:


RP/0/RP0/CPU0:router# show macsec ea idb interface Fo0/0/0/1/0


IDB Details:
if_sname : Fo0/0/0/1/0
if_handle : 0x3480
Replay window size : 64
Local MAC : 00:1d:e5:e9:aa:39
Rx SC Option(s) : Validate-Frames Replay-Protect
Tx SC Option(s) : Protect-Frames Always-Include-SCI
Security Policy : MUST SECURE
Sectag offset : 8
Rx SC 1
Rx SCI : 001de5e9b1bf0019
Peer MAC : 00:1d:e5:e9:b1:bf
Stale : NO
SAK Data
SAK[0] : ***
SAK Len : 32
HashKey[0] : ***
HashKey Len : 16
Conf offset : 30
Cipher Suite : GCM-AES-XPN-256
CtxSalt[0] : 83 c3 7b ad 7b 6f 63 16 09 8f f3 d2
Rx SA Program Req[0]: 2015 Oct 09 15:20:53.082
Rx SA Program Rsp[0]: 2015 Oct 09 15:20:53.092

Tx SC
Tx SCI : 001de5e9aa39001a
Active AN : 0
Old AN : 255
Next PN : 1, 0, 0, 0
SAK Data
SAK[0] : ***
SAK Len : 32
HashKey[0] : ***
HashKey Len : 16
Conf offset : 30
Cipher Suite : GCM-AES-XPN-256
CtxSalt[0] : 83 c3 7b ae 7b 6f 63 16 09 8f f3 d2
Tx SA Program Req[0]: 2015 Oct 09 15:20:55.053
Tx SA Program Rsp[0]: 2015 Oct 09 15:20:55.064

[if_handle] フィールドには、IDB インスタンスの場所が提供されます。

[Replay window size] フィールドには、設定されたウィンドウ サイズが表示されます。

[Security Policy] フィールドには、設定されたセキュリティ ポリシーが表示されます。

[Local Mac] フィールドには、ルータの MAC アドレスが表示されます。

[Peer Mac] フィールドには、ピアの MAC アドレスが表示されます。これにより、2 つのルータ間にピア関係が形成されていることが確認できます。

ステップ 2

手順 1 で取得した IDB ハンドルを使用して、プラットフォームのハードウェア情報を確認します。

例:



RP/0/RP0/CPU0:router# show macsec platform hardware 
idb location 0/0/CPU0 | b 3480

if_handle : 0x00003480
NPPort : 099 [0x063]
LdaPort : 016 [0x010] SerdesPort : 000 [0x000]
NetSoftPort : 061 [0x03d] SysSoftPort : 062 [0x03e]
Active AN : 0x00000000 Idle AN : 0x000000ff
Match-All Tx SA : 0x80010001 Match-All Rx SA : 0x00010001
Match-All Tx Flow : 0x80000003 Match-All Rx Flow : 0x00000003
Bypass Tx SA : 0x80000000 Bypass Rx SA : 0x00000000
Tx SA[0] : 0x80020002 Tx Flow[0] : 0x8000000c
Tx SA[1] : 0xffffffff Tx Flow[1] : 0xffffffff
Tx SA[2] : 0xffffffff Tx Flow[2] : 0xffffffff
Tx SA[3] : 0xffffffff Tx Flow[3] : 0xffffffff
Rx SA[0] : 0x00020002 Rx Flow[0] : 0x0000000c
Rx SA[1] : 0xffffffff Rx Flow[1] : 0xffffffff
Rx SA[2] : 0xffffffff Rx Flow[2] : 0xffffffff
Rx SA[3] : 0xffffffff Rx Flow[3] : 0xffffffff
ステップ 3

手順 2 で取得したトランスミッタ SA を使用して、ハードウェアにプログラミングされた MACsec SA 情報を確認します。

例:



RP/0/RP0/CPU0:router# show macsec platform hardware sa 
0x80020002 interface Fo0/0/0/1/0 location 0/0/CPU0

MACSEC HW SA Details:
Action Type : 0x00000003
Direction : Egress
Dest Port : 0x00000000
Conf Offset : 00000030
Drop Type : 0x00000002
Drop NonResvd : 0x00000000
SA In Use : YES
ConfProtect : YES
IncludeSCI : YES
ProtectFrame : YES
UseEs : NO
UseSCB : NO
SCI : 00 1d e5 e9 aa 39 00 05
Replay Window : 64 MacsecCryptoAlgo : 7
Direction : Egress AN : 0
AES Key Len : 256 X-Packet Number : 0x0000000000000000
CtxSalt : f8d88dc3e1c5e6a94ca2299

出力には、AES キー、Auth キー、その他のパラメータなど、暗号化の詳細が表示されます。
ステップ 4

ハードウェアでプログラミングされた MACsec セキュア チャネル(SC)情報を確認します。

例:



RP/0/RP0/CPU0:router# show macsec platform hardware msc 
interface Fo0/0/0/1/0 location 0/0/CPU0


MACSEC HW Cfg Details:
Mode : 0x5
Counter Clear on Read : 0x0
SA Fail Mask : 0xffff
Global SecFail Mask : 0xffffffff
Latency : 0xff
StaticBypass : 0x0
Should secure : 0x0
Global Frame Validation : 0x2
Ctrl Pkt CC Bypass : 0x1
NonCtrl Pkt CC Bypass : 0x1
Sequence Number Threshold : 0xbfffffb8
Sequence Number Threshold 64bit : 0x000002fffffffffd
Non Matching Non Control Pkts Programming
      Untagged : Bypass: 0x0 DestPort : 0x2, DropType : 0x2
      Tagged : Bypass: 0x0 DestPort : 0x2, DropType : 0x2
      BadTagged : Bypass: 0x0 DestPort : 0x2, DropType : 0x2
      KayTagged : Bypass: 0x0 DestPort : 0x2, DropType : 0x2
Non Matching Control Pkts Programming
      Untagged : Bypass: 0x1 DestPort : 0x2, DropType : 0xffffffff
      Tagged : Bypass: 0x0 DestPort : 0x2, DropType : 0x2
      BadTagged : Bypass: 0x0 DestPort : 0x2, DropType : 0x2
      KayTagged : Bypass: 0x0 DestPort : 0x2, DropType : 0x2
これで、ルータのハードウェアでの MACsec 暗号化の検証は完了です。

これで、MACsec 暗号化の設定と検証は完了です。

MACSec SecY 統計

以下の方法は、暗号化、復号化、ハードウェア統計などの MACSec SecY 統計を照会するために使用されます。

  • CLI

  • SNMP MIB

CLI を使用した SNMP 統計の照会

次の例に、CLI を使用して SNMP 統計情報を照会する方法を示します。MACsec SecY 統計情報の詳細を表示するには、show macsec secy statistics interface interface name コマンドを使用します。 

Router# show macsec secy statistics interface GigabitEthernet 0/1/0/0 SC
Interface Statistics
    InPktsUntagged     :  0
    InPktsNoTag        :  1
    InPktsBadTag       :  2
    InPktsUnknownSCI   :  3
    InPktsNoSCI        :  4
    InPktsOverrun      :  5
    InOctetsValidated  :  6
    InOctetsDecrypted  :  7
    OutPktsUntagged    :  8
    OutPktsTooLong     :  9
    OutOctetsProtected :  10
    OutOctetsEncrypted :  11
SC Statistics
  TxSC Statistics
    OutPktsProtected   : 12
    OutPktsEncrypted   : 13
    OutOctetsProtected : 14
    OutOctetsEncrypted : 15
    OutPktsTooLong     : 16
    TxSA Statistics
      TxSA 0: 
        OutPktsProtected : 17
        OutPktsEncrypted : 18
        NextPN           : 19
      TxSA 1: 
        OutPktsProtected : 20
        OutPktsEncrypted : 21
        NextPN           : 22
      TxSA 2: 
        OutPktsProtected : 23
        OutPktsEncrypted : 24
        NextPN           : 25
      TxSA 3: 
        OutPktsProtected : 26
        OutPktsEncrypted : 27
        NextPN           : 28
    RxSC Statistics
     RxSC 1: 0
      InPktsUnchecked     : 29
      InPktsDelayed       : 30
      InPktsLate          : 31
      InPktsOK            : 32
      InPktsInvalid       : 33
      InPktsNotValid      : 34
      InPktsNotUsingSA    : 35
      InPktsUnusedSA      : 36
      InPktsUntaggedHit   : 37
      InOctetsValidated   : 38
      InOctetsDecrypted   : 39
    RxSA Statistics
      RxSA 0: 
        InPktsUnusedSA      : 44
        InPktsNotUsingSA    : 43
        InPktsNotValid      : 42
        InPktsInvalid       : 41
        InPktsOK            : 40
        NextPN              : 45
      RxSA 1: 
        InPktsUnusedSA      : 50
        InPktsNotUsingSA    : 49
        InPktsNotValid      : 48
        InPktsInvalid       : 47
        InPktsOK            : 46
        NextPN              : 51
      RxSA 2: 
        InPktsUnusedSA      : 56
        InPktsNotUsingSA    : 55
        InPktsNotValid      : 54
        InPktsInvalid       : 53
        InPktsOK            : 52
        NextPN              : 57
      RxSA 3: 
        InPktsUnusedSA      : 62
        InPktsNotUsingSA    : 61
        InPktsNotValid      : 60
        InPktsInvalid       : 59
        InPktsOK            : 58
        NextPN              : 63

MACSec SNMP MIB(IEEE8021-SECY-MIB)

IEEE8021-SECY-MIB は、IOS XR MACSec 対応ライン カードを使用して動作する MAC セキュリティ エンティティ(SecY)MIB への Simple Network Management Protocol(SNMP)アクセスを提供します。IEEE8021-SECY-MIB は、SecY データ、暗号化、復号化、およびハードウェア統計を照会するために使用されます。SecY MIB データは、制御ポートでのみ照会されます。

IEEE8021-SECY-MIB のオブジェクト ID は 1.0.8802.1.1.3 です。IEEE8021-SECY-MIB には、MACSec 制御ポート インターフェイス インデックスの詳細な属性を指定する次のテーブルが含まれています。

表 2. IEEE8021-SECY-MIB のテーブル

テーブル

OID

secyIfTable

1.0.8802.1.1.3.1.1.1

secyTxSCTable

1.0.8802.1.1.3.1.1.2

secyTxSATable

1.0.8802.1.1.3.1.1.3

secyRxSCTable

1.0.8802.1.1.3.1.1.4

secyRxSATable

1.0.8802.1.1.3.1.1.5

secyCipherSuiteTable

1.0.8802.1.1.3.1.1.6

secyTxSAStatsTable

1.0.8802.1.1.3.1.1.7

secyTxSCStatsTable

1.0.8802.1.1.3.1.1.8

secyRxSAStatsTable

1.0.8802.1.1.3.1.1.9

secyRxSCStatsTable

1.0.8802.1.1.3.1.1.10

secyStatsTable

1.0.8802.1.1.3.1.1.11

詳細については、次の URL で SecY IEEE MIB を参照してください。

http://www.ieee802.org/1/files/public/MIBs/IEEE8021-SECY-MIB-200601100000Z.txt

secyIfTable

次の表に、MAC セキュリティ エンティティによってサポートされる各インターフェイスのシステム レベルの情報を表します。この表のインデックス タプルは secyIfInterfaceIndex です。

表 3. secyIfTable

オブジェクト

オブジェクト ID

secyIfInterfaceIndex

1.0.8802.1.1.3.1.1.1.1.1

secyIfMaxPeerSCs

1.0.8802.1.1.3.1.1.1.1.2

secyIfRxMaxKeys

1.0.8802.1.1.3.1.1.1.1.3

secyIfTxMaxKeys

1.0.8802.1.1.3.1.1.1.1.4

secyIfProtectFramesEnable

1.0.8802.1.1.3.1.1.1.1.5

secyIfValidateFrames

1.0.8802.1.1.3.1.1.1.1.6

secyIfReplayProtectEnable

1.0.8802.1.1.3.1.1.1.1.7

secyIfReplayProtectWindow

1.0.8802.1.1.3.1.1.1.1.8

secyIfCurrentCipherSuite

1.0.8802.1.1.3.1.1.1.1.9

secyIfAdminPt2PtMAC

1.0.8802.1.1.3.1.1.1.1.10

secyIfOperPt2PtMAC

1.0.8802.1.1.3.1.1.1.1.11

secyIfIncludeSCIEnable

1.0.8802.1.1.3.1.1.1.1.12

secyIfUseESEnable

1.0.8802.1.1.3.1.1.1.1.13

secyIfUseSCBEnable

1.0.8802.1.1.3.1.1.1.1.14

secyTxSCTable

次の表に、MAC セキュリティ エンティティによってサポートされる各送信 SC のステータスに関する情報を示します。この表のインデックス タプルは secyIfInterfaceIndex です。

表 4. secyTxSCTable

オブジェクト

オブジェクト ID

secyTxSCI

1.0.8802.1.1.3.1.1.2.1.1

secyTxSCState

1.0.8802.1.1.3.1.1.2.1.2

secyTxSCEncodingSA

1.0.8802.1.1.3.1.1.2.1.3

secyTxSCEncipheringSA

1.0.8802.1.1.3.1.1.2.1.4

secyTxSCCreatedTime

1.0.8802.1.1.3.1.1.2.1.5

secyTxSCStartedTime

1.0.8802.1.1.3.1.1.2.1.6

secyTxSCStoppedTime

1.0.8802.1.1.3.1.1.2.1.7

secyTxSATable

次の表に、MAC セキュリティ エンティティによってサポートされる各送信 SA のステータスに関する情報を示します。この表のインデックス タプルは {secyIfInterfaceIndex, secyTxSA} です。

表 5. secyTxSATable

オブジェクト

オブジェクト ID

secyTxSA

1.0.8802.1.1.3.1.1.3.1.1

secyTxSAState

1.0.8802.1.1.3.1.1.3.1.2

secyTxSANextPN

1.0.8802.1.1.3.1.1.3.1.3

secyTxSAConfidentiality

1.0.8802.1.1.3.1.1.3.1.4

secyTxSASAKUnchanged

1.0.8802.1.1.3.1.1.3.1.5

secyTxSACreatedTime

1.0.8802.1.1.3.1.1.3.1.6

secyTxSAStartedTime

1.0.8802.1.1.3.1.1.3.1.7

secyTxSAStoppedTime

1.0.8802.1.1.3.1.1.3.1.8

secyRxSCTable

次の表に、MAC セキュリティ エンティティによってサポートされる各受信 SC のステータスに関する情報を示します。この表のインデックス タプルは {secyIfInterfaceIndex, secyRxSCI} です。

表 6. secyRxSCTable

オブジェクト

オブジェクト ID

secyRxSCI

1.0.8802.1.1.3.1.1.4.1.1

secyRxSCState

1.0.8802.1.1.3.1.1.4.1.2

secyRxSCCurrentSA

1.0.8802.1.1.3.1.1.4.1.3

secyRxSCCreatedTime

1.0.8802.1.1.3.1.1.4.1.4

secyRxSCStartedTime

1.0.8802.1.1.3.1.1.4.1.5

secyRxSCStoppedTime

1.0.8802.1.1.3.1.1.4.1.6

secyRxSATable

次の表に、MAC セキュリティ エンティティによってサポートされる各受信 SA のステータスに関する情報を示します。この表のインデックス タプルは {secyIfInterfaceIndex, secyRxSCI, secyRxSA} です。

表 7. secyRxSATable

オブジェクト

オブジェクト ID

secyRxSA

1.0.8802.1.1.3.1.1.5.1.1

secyRxSAState

1.0.8802.1.1.3.1.1.5.1.2

secyRxSANextPN

1.0.8802.1.1.3.1.1.5.1.3

secyRxSASAKUnchanged

1.0.8802.1.1.3.1.1.5.1.4

secyRxSACreatedTime

1.0.8802.1.1.3.1.1.5.1.5

secyRxSAStartedTime

1.0.8802.1.1.3.1.1.5.1.6

secyRxSAStoppedTime

1.0.8802.1.1.3.1.1.5.1.7

secyCipherSuiteTable

次の表は、MAC セキュリティ エンティティの選択可能な暗号スイートの一覧です。この表のインデックス タプルは {secyCipherSuiteIndex} です。

表 8. secyCipherSuiteTable

オブジェクト

オブジェクト ID

secyCipherSuiteIndex

1.0.8802.1.1.3.1.1.6.1.1

secyCipherSuiteId

1.0.8802.1.1.3.1.1.6.1.2

secyCipherSuiteName

1.0.8802.1.1.3.1.1.6.1.3

secyCipherSuiteCapability

1.0.8802.1.1.3.1.1.6.1.4

secyCipherSuiteProtection

1.0.8802.1.1.3.1.1.6.1.5

secyCipherSuiteProtectionOffset

1.0.8802.1.1.3.1.1.6.1.6

secyCipherSuiteDataLengthChange

1.0.8802.1.1.3.1.1.6.1.7

secyCipherSuiteICVLength

1.0.8802.1.1.3.1.1.6.1.8

secyCipherSuiteRowStatus

1.0.8802.1.1.3.1.1.6.1.9

secyTxSAStatsTable

次の表には、MAC セキュリティ エンティティ内の各送信 SA の統計オブジェクトが含まれています。

表 9. secyTxSAStatsTable

オブジェクト

オブジェクト ID

secyTxSAStatsProtectedPkts

1.0.8802.1.1.3.1.2.1.1.1

secyTxSAStatsEncryptedPkts

1.0.8802.1.1.3.1.2.1.1.2

secyTxSCStatsProtectedPkts

1.0.8802.1.1.3.1.2.2.1.1

secyTxSCStatsEncryptedPkts

1.0.8802.1.1.3.1.2.2.1.4

secyTxSCStatsOctetsProtected

1.0.8802.1.1.3.1.2.2.1.10

secyTxSCStatsOctetsEncrypted

1.0.8802.1.1.3.1.2.2.1.11

secyTxSCStatsTable

次の表には、MAC セキュリティ エンティティ内の各送信 SC の統計オブジェクトが含まれています。

表 10. secyTxSCStatsTable

オブジェクト

オブジェクト ID

secyTxSCStatsProtectedPkts

1.0.8802.1.1.3.1.2.2.1.1

secyTxSCStatsEncryptedPkts

1.0.8802.1.1.3.1.2.2.1.4

secyTxSCStatsOctetsProtected

1.0.8802.1.1.3.1.2.2.1.10

secyTxSCStatsOctetsEncrypted

1.0.8802.1.1.3.1.2.2.1.11

secyRxSAStatsTable

次の表には、MAC セキュリティ エンティティ内の各受信 SA の統計オブジェクトが含まれています。

表 11. secyRxSAStatsTable

オブジェクト

オブジェクト ID

secyRxSAStatsUnusedSAPkts

1.0.8802.1.1.3.1.2.3.1.1

secyRxSAStatsNoUsingSAPkts

1.0.8802.1.1.3.1.2.3.1.4

secyRxSAStatsNotValidPkts

1.0.8802.1.1.3.1.2.3.1.13

secyRxSAStatsInvalidPkts

1.0.8802.1.1.3.1.2.3.1.16

secyRxSAStatsOKPkts

1.0.8802.1.1.3.1.2.3.1.25

secyRxSCStatsTable

次の表には、MAC セキュリティ エンティティ内の各受信 SC の統計オブジェクトが含まれています。

表 12. secyRxSCStatsTable

オブジェクト

オブジェクト ID

secyRxSCStatsUnusedSAPkts

1.0.8802.1.1.3.1.2.4.1.1

secyRxSCStatsNoUsingSAPkts

1.0.8802.1.1.3.1.2.4.1.2

secyRxSCStatsLatePkts

1.0.8802.1.1.3.1.2.4.1.3

secyRxSCStatsNotValidPkts

1.0.8802.1.1.3.1.2.4.1.4

secyRxSCStatsInvalidPkts

1.0.8802.1.1.3.1.2.4.1.5

secyRxSCStatsDelayedPkts

1.0.8802.1.1.3.1.2.4.1.6

secyRxSCStatsUncheckedPkts

1.0.8802.1.1.3.1.2.4.1.7

secyRxSCStatsOKPkts

1.0.8802.1.1.3.1.2.4.1.8

secyRxSCStatsOctetsValidated

1.0.8802.1.1.3.1.2.4.1.9

secyRxSCStatsOctetsDecrypted

1.0.8802.1.1.3.1.2.4.1.10

secyStatsTable

次の表に、MAC セキュリティ エンティティによってサポートされる各 Secy の統計情報のオブジェクトを示します。

表 13. secyStatsTable

オブジェクト

オブジェクト ID

secyStatsTxUntaggedPkts

1.0.8802.1.1.3.1.2.5.1.1

secyStatsTxTooLongPkts

1.0.8802.1.1.3.1.2.5.1.2

secyStatsRxUntaggedPkts

1.0.8802.1.1.3.1.2.5.1.3

secyStatsRxNoTagPkts

1.0.8802.1.1.3.1.2.5.1.4

secyStatsRxBadTagPkts

1.0.8802.1.1.3.1.2.5.1.5

secyStatsRxUnknownSCIPkts

1.0.8802.1.1.3.1.2.5.1.6

secyStatsRxNoSCIPkts

1.0.8802.1.1.3.1.2.5.1.7

secyStatsRxOverrunPkts

1.0.8802.1.1.3.1.2.5.1.8

MACsec 制御ポート インターフェイス インデックスの取得

制御されたポートの ifindex は、次のコマンドを使用して取得できます。

  • IfMib[OID: 1.3.6.1.2.1.31.1.1.1] で snmpwalk コマンド 

    rtr1.0/1/CPU0/ $ snmpwalk -v2c -c public 10.0.0.1  1.3.6.1.2.1.31.1.1.1.1
SNMPv2-SMI::mib-2.31.1.1.1.1.3 = STRING: "GigabitEthernet0/1/0/0"
SNMPv2-SMI::mib-2.31.1.1.1.1.18 = STRING: "MACSecControlled0/1/0/0"
SNMPv2-SMI::mib-2.31.1.1.1.1.19 = STRING: "MACSecUncontrolled0/1/0/0"

  • show snmp interface コマンド 

    Router#show  snmp interface 
ifName : GigabitEthernet0/1/0/0  ifIndex : 3
ifName : MACSecControlled0/1/0/0  ifIndex : 18
ifName : MACSecUncontrolled0/1/0/0  ifIndex : 19

SNMP クエリの例

次の例では、設定されている SNMP コミュニティがパブリックで、ボックスの管理 IP が 10.0.0.1 であると仮定しています。

ルータの SECY MIB 全体で SNMP ウォークを実行するには、次のコマンドを使用します。

snmpwalk -v2c -c public 10.0.0.1 1.0.8802.1.1.3

MacsecControlled0/1/0/0 の ifindex 18 を使用して、インターフェイス Gi0/1/0/0 の TxSCI を取得するために secyTxSCTable でクエリを実行するには、次のコマンドを使用します。

snmpget -v2c -c public 10.0.0.1 iso.0.8802.1.1.3.1.1.2.1.1.18

MACsec の関連コマンド

SNMP の結果を確認するには、次のコマンドを使用できます。

コマンド

説明

show macsec mka session detail

デバイス上のすべての MACsec Key Agreement(MKA)セッションの詳細を表示します。

show macsec mka interface detail

インターフェイスの MACsec MKA ステータスを確認します。

show macsec ea idb interface

インターフェイス上の MACsec 暗号化およびハードウェア インターフェイス記述子ブロック(IDB)情報を確認します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ