IEEE802.1ah機能を使う
179
IEEE802.1ah機能を使う
180
[本装置2]
• カスタマーポート :ether1
バックボーンサービス(1)でカプセル化を行う LACPのトンネリング設定を行う(優先順位:5)
:ether2
バックボーンサービス(2)でカプセル化を行う LACPのトンネリング設定を行う(優先順位:5)
:ether3
バックボーンサービス(3)でカプセル化を行う LACPのトンネリング設定を行う(優先順位:5)
• プロバイダーポート :ether25
バックボーンサービス(1,2,3)でデカプセル化を行う
• 仮想MACアドレス :00:22:22:00:00:00
バックボーンサービスで関連付けられるカスタマーポートとプロバイダーポートを、ポート間アクセス制御(ether egress permission)で互いに転送許可ポートとして設定することで、構成により発生する以下の不要なfloodingパケッ トを抑止することができます。
• 同一のサービスインスタンスIDが設定されたバックボーンサービスを利用するカスタマーポート間で発生する floodingパケット
• プロバイダーポートとIEEE802.1ah未使用ポート間、およびプロバイダーポート間で発生するfloodingパケット
上記の設定条件に従ってIEEE802.1ah機能使用時にLACPのトンネリング機能を使用する場合のコマンド例を示 します。
● コマンド
[本装置1]
IEEE802.1ah情報を設定する
# dot1ah use on
# dot1ah s-vlan tpid 8100
# dot1ah b-vlan tpid 88a8
# dot1ah b-sa 00:11:11:00:00:00
バックボーンサービス(1)情報を設定する
# dot1ah service 1 i-sid 100
# dot1ah service 1 b-vlan vid 300
# dot1ah service 1 b-da 0 00:22:22:00:00:00 unicast バックボーンサービス(2)情報を設定する
# dot1ah service 2 i-sid 101
# dot1ah service 2 b-vlan vid 300
# dot1ah service 2 b-da 0 00:22:22:00:00:00 unicast バックボーンサービス(3)情報を設定する
# dot1ah service 3 i-sid 102
# dot1ah service 3 b-vlan vid 300
# dot1ah service 3 b-da 0 00:22:22:00:00:00 unicast カスタマーポートを設定する
# ether 1 egress permission 25
# ether 1 dot1ah mode customer
# ether 1 dot1ah customer service-default forward 1
# ether 2 egress permission 25
# ether 2 dot1ah mode customer
IEEE802.1ah機能を使う
181
[本装置2]
# ether 2 dot1ah customer service-default forward 2
# ether 3 egress permission 25
# ether 3 dot1ah mode customer
# ether 3 dot1ah customer service-default forward 3 LACPのトンネリングを設定する
# ether 1 dot1ah l2tunnel lacp enable 5
# ether 2 dot1ah l2tunnel lacp enable 5
# ether 3 dot1ah l2tunnel lacp enable 5 プロバイダーポートを設定する
# ether 25 vlan tag 300
# ether 25 egress permission 1-3
# ether 25 dot1ah mode provider
# ether 25 dot1ah provider service 0 1
# ether 25 dot1ah provider service 1 2
# ether 25 dot1ah provider service 2 3 設定終了# save
# commit
IEEE802.1ah情報を設定する
# dot1ah use on
# dot1ah s-vlan tpid 8100
# dot1ah b-vlan tpid 88a8
# dot1ah b-sa 00:22:22:00:00:00
バックボーンサービス(1)情報を設定する
# dot1ah service 1 i-sid 100
# dot1ah service 1 b-vlan vid 300
# dot1ah service 1 b-da 0 00:11:11:00:00:00 unicast バックボーンサービス(2)情報を設定する
# dot1ah service 2 i-sid 101
# dot1ah service 2 b-vlan vid 300
# dot1ah service 2 b-da 0 00:11:11:00:00:00 unicast バックボーンサービス(3)情報を設定する
# dot1ah service 3 i-sid 102
# dot1ah service 3 b-vlan vid 300
# dot1ah service 3 b-da 0 00:11:11:00:00:00 unicast カスタマーポートを設定する
# ether 1 egress permission 25
# ether 1 dot1ah mode customer
# ether 1 dot1ah customer service-default forward 1
# ether 2 egress permission 25
# ether 2 dot1ah mode customer
# ether 2 dot1ah customer service-default forward 2
# ether 3 egress permission 25
# ether 3 dot1ah mode customer
# ether 3 dot1ah customer service-default forward 3 LACPのトンネリングを設定する
# ether 1 dot1ah l2tunnel lacp enable 5
# ether 2 dot1ah l2tunnel lacp enable 5
# ether 3 dot1ah l2tunnel lacp enable 5
IEEE802.1ah機能を使う
182 プロバイダーポートを設定する
# ether 25 vlan tag 300
# ether 25 egress permission 1-3
# ether 25 dot1ah mode provider
# ether 25 dot1ah provider service 0 1
# ether 25 dot1ah provider service 1 2
# ether 25 dot1ah provider service 2 3 設定終了# save
# commit
L2暗号機能を使う
183
41 L2 暗号機能を使う
L2暗号機能を使用することで、本装置間の通信セキュリティを確保することができます。
● 設定条件
[本装置1]
• ETHER27ポートを使用する
• 暗号アルゴリズム :AES-CTR-128
• 暗号条件 :送信元IPアドレスがネットワークA(10.10.100.0/24)のフレームのみ 暗号化する
[本装置2]
• ETHER27ポートを使用する
• 暗号アルゴリズム :AES-CTR-128
• 暗号条件 :あて元IPアドレスがネットワークA(10.10.100.0/24)のフレームのみ 暗号化する
上記の設定条件に従って設定を行う場合のコマンド例を示します。
適用機種 SR-S224CP1
本装置1
本装置2 暗号化区間
ネットワークA 10.10.100.0/24
ネットワークB 10.10.101.0/24
ネットワークC 10.10.200.0/24
L2暗号機能を使う
184
本装置 1 を設定する
● コマンド
本装置 2 を設定する
● コマンド ACLを設定する
# acl 100 ip 10.10.100.0/24 any any any
# acl 101 ip any any any any 暗号(送信)情報を設定する
# ether 27 macsec send encrypt aes-ctr-128 text ABCDEFGHIJKLMNOP
# ether 27 macsec send auth aes-xcbc text ABCDEFGHIJKLMNOP 暗号条件を設定する(ACL 100定義条件を暗号化する)
# ether 27 macsec send classifier 0 encrypt 100
暗号条件を設定する(ACL 101定義条件を暗号化しない)
# ether 27 macsec send classifier 1 through 101 復号(受信)情報を設定する
# ether 27 macsec receive encrypt aes-ctr-128 text 0123456789012345
# ether 27 macsec receive auth aes-xcbc text 0123456789012345 設定終了# save
# commit
ACLを設定する
# acl 100 ip any 10.10.100.0/24 any any
# acl 101 ip any any any any 暗号(送信)情報を設定する
# ether 27 macsec send encrypt aes-ctr-128 text 0123456789012345
# ether 27 macsec send auth aes-xcbc text 0123456789012345 暗号条件を設定する(ACL 100定義条件を暗号化する)
# ether 27 macsec send classifier 0 encrypt 100
暗号条件を設定する(ACL 101定義条件を暗号化しない)
# ether 27 macsec send classifier 1 through 101 復号(受信)情報を設定する
# ether 27 macsec receive encrypt aes-ctr-128 text ABCDEFGHIJKLMNOP
# ether 27 macsec receive auth aes-xcbc text ABCDEFGHIJKLMNOP 設定終了# save
# commit
無線LAN管理機能を使う
185