[index] CentreCOM x950シリーズ コマンドリファレンス 5.5.1
モード: MKAポリシーモード
カテゴリー: L2スイッチング / MACsec
(config-mka-policy)# macsec replay-protection window-size <0-4294967295>
(config-mka-policy)# no macsec replay-protection
MACsecのリプレイ防止機能を有効にし、同機能のウィンドウサイズを設定する。
no形式で実行した場合はリプレイ防止機能を無効にする。
初期設定は有効(ウィンドウサイズは0)。
MACsecでは、MACsecフレームの送信時に連番のパケット番号(PN)を付与する(1から開始して送信順に1ずつ増やしていく)。
リプレイ防止機能が有効な場合は、受信したMACsecフレームのパケット番号(PN)をチェックし、「最小許容PN」(Lowest Acceptable PN)より小さい番号を持つフレームを破棄することで、同じフレームを繰り返し送りつけるリプレイ攻撃を防止する。
「最小許容PN」は、「これまでに受信した最大のPN + 1(次PN = Next PN)」から「ウィンドウサイズ」を引いた値に設定される。
たとえば、ウィンドウサイズが初期値「0」の場合は、「これまでに受信した最大のPN + 1」が最小許容PNとなるため、受信済みのフレームよりも大きいPNを持つフレームしか受け入れない、すなわち、フレームの順序入れ替えをいっさい許容しない設定となる。
ウィンドウサイズを1より大きく設定した場合は、指定した数だけ受信PNの後戻りを許容するが、その分リプレイ防止の効果は小さくなる。
<0-4294967295> |
MACsecリプレイ防止機能のウィンドウサイズ。初期値は0 | ||||
■ MACsecのリプレイ防止機能を有効化し、ウィンドウサイズを20に設定する。
awplus(config-mka-policy)# macsec replay-protection window-size 20 ↓
awplus(config-mka-policy)# macsec replay-protection window-size 0 ↓
awplus(config-mka-policy)# no macsec replay-protection ↓
mka policy (グローバルコンフィグモード)
|
+- macsec replay-protection window-size(MKAポリシーモード)
show macsec(特権EXECモード)
show mka policy(特権EXECモード)
(C) 2018 - 2021 アライドテレシスホールディングス株式会社
PN: 613-002656 Rev.U