ソフトウェアによる MACsec
概要
既存のすべての Cisco IOS XE ベースのルータ/スイッチは、特殊なトランシーバを使用して MACsec 暗号化/暗号解読を実行します。このソフトウェア MACsec は、QFP の CDAL インフラストラクチャを使用して暗号化操作を実行します。ハードウェアの選択と比較すると、設定/ステータス/データパスの実行方法が異なるため、機能にいくつかの制限が生じます。
リリース 17.10.1a は、L2 インターフェイスでのみ MACsec をサポートします。MACsec ポートをアクセスモードにする必要があります。暗号化は出力 SVI インターフェイスで行われるため、ポートに使用される VLAN は一意である必要があります。つまり、他のインターフェイスはその VLAN を使用できません。この制限は、QFP に MAC テーブル情報がないために生じています。
(注) |
MACsec はソフトウェアを介して実行されるため、パフォーマンスは L2 インターフェイスのラインレートではありません。 |
出力パケットの場合、SVI は、特定のインターフェイスに関する情報はなく、パケットが VLAN に送信される必要があることのみを認識しています。どのポートを使用するかを決定するのはスイッチチップです。MACsec タグのないパケットはすべて、通常どおり受信できます。発信 L2 パケットも、暗号化や変更なしで出力されます。
NE ライセンスと NA ライセンスの両方が GCM-AES-128 をサポートしています。この機能は、実行中の NPE イメージでは使用できません。
MACsec プロトコルは、IEEE802.1AE で定義されています。
機能の制約事項
-
MACsec は、このリリースのコントローラモードではサポートされていません。
-
MACsec インターフェイスには一意の VLAN ID が必要です。
-
この初期リリースでは、gcm-aes-128 のみがサポートされています。
-
入力側では、明示的および非明示的な SCI の両方がサポートされています。IR1101 はエンドシステムではないため、明示的な SCI パケットのみを送信します。
-
IR1101 は機密性オフセットをサポートしていません。
-
この最初のリリースでは、「完全性のみ」がサポートされていません。
-
gcm-aes-128 の場合、プレーンパケットと比較して、暗号化されたパケットには最大 32 バイトが追加されます。そのため、MTU セットアップは、正しく動作するために 32 を追加する必要があります。
-
MACsec キーは MKA モジュールによって管理されます。そのデバイスでは、MKA が MACsec キーをネゴシエートするために静的キーが必要です。
-
MIB のサポートはありません。
関連資料
詳細については、次を参照してください。
MKA 設定の例
次の例を参照してください。
conf t
aaa new-model
mka policy p1
key-server priority 1
macsec-cipher-suite gcm-aes-128
sak-rekey interval 3600
end
conf t
key chain cak1 macsec
key 414243
cryptographic-algorithm aes-128-cmac
key-string 0 12345678901234567890123456789012
lifetime local 00:00:00 29 November 2021 infinite
end
conf t
int fa 0/0/2
switchport mode access
switchport access vlan 77
mtu 1532
mka policy p1
mka pre-shared-key key-chain cak1
macsec network-link
macsec replay-protection window-size 128
end
コマンドの表示
cpp_cp 内部情報を表示します。
show platform hardware cpp active feature soft-macsec server tx [dp] [item]
show platform hardware cpp active feature soft-macsec server rx [dp] [item]
show platform hardware cpp active feature soft-macsec server control [dp] [item]
その他の show コマンド:
show macsec summary
show macsec status int fa 0/0/2
show macsec statistics int fa 0/0/2A
統計のクリア
Clear macsec statis int fa 0/0/2
テストコマンド
デバッグ用に 10 MKA パケットを出力します。
test platform software smacsec mka-ingress