홈
제품
Red Hat Enterprise Linux
10
네트워킹 구성 및 관리
10.3. nmstatectl을 사용하여 MACsec 연결 구성

10.3. nmstatectl을 사용하여 MACsec 연결 구성

선언적 방식으로 nmstatectl 유틸리티를 통해 MACsec을 사용하도록 이더넷 인터페이스를 구성할 수 있습니다. 예를 들어 YAML 파일에서 이더넷을 통해 연결된 두 호스트 간에 MACsec 연결을 가정하는 네트워크의 원하는 상태를 설명합니다. nmstatectl 유틸리티는 YAML 파일을 해석하고 호스트 전체에서 지속적이고 일관된 네트워크 구성을 배포합니다.

사전 요구 사항

물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
nmstate 패키지가 설치되어 있습니다.

프로세스

MACsec을 구성하는 첫 번째 호스트에서 사전 공유 키에 대한 연결 연결 키(CAK) 및 연결 키 이름(CKN)을 생성합니다.

16바이트 16진수 CAK를 생성합니다.

dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'

# dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
50b71a8ef0bd5751ea76de6d6c98c03a

Copy to Clipboard

Toggle word wrap

32바이트 16진수 CKN을 만듭니다.

dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'

# dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550

Copy to Clipboard

Toggle word wrap

MACsec 연결을 통해 연결하려는 두 호스트에서 다음 단계를 완료합니다.

다음 설정으로 YAML 파일(예: create-macsec-connection.yml )을 생성합니다.

---
routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-interface: macsec0
    next-hop-address: 192.0.2.2
    table-id: 254
  - destination: 192.0.2.2/32
    next-hop-interface: macsec0
    next-hop-address: 0.0.0.0
    table-id: 254
dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb
interfaces:
- name: macsec0
  type: macsec
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 32
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
  macsec:
    encrypt: true
    base-iface: enp0s1
    mka-cak: 50b71a8ef0bd5751ea76de6d6c98c03a
    mka-ckn: f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
    port: 0
    validation: strict
    send-sci: true

---
routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-interface: macsec0
    next-hop-address: 192.0.2.2
    table-id: 254
  - destination: 192.0.2.2/32
    next-hop-interface: macsec0
    next-hop-address: 0.0.0.0
    table-id: 254
dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb
interfaces:
- name: macsec0
  type: macsec
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 32
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
  macsec:
    encrypt: true
    base-iface: enp0s1
    mka-cak: 50b71a8ef0bd5751ea76de6d6c98c03a
    mka-ckn: f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
    port: 0
    validation: strict
    send-sci: true

Copy to Clipboard

Toggle word wrap

mka-cak 및 mka-ckn 매개변수의 이전 단계에서 생성된 CAK 및 CKN을 사용합니다. 이 값은 MACsec 보호 네트워크의 모든 호스트에서 동일해야 합니다.
선택 사항: 동일한 YAML 구성 파일에서 다음 설정을 구성할 수도 있습니다.
- /32 서브넷 마스크가 있는 정적 IPv4 주소 - 192.0.2.1
- /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
- IPv4 기본 게이트웨이 - 192.0.2.2
- IPv4 DNS 서버 - 192.0.2.200
- IPv6 DNS 서버 - 2001:db8:1::ffbb
- DNS 검색 도메인 - example.com

시스템에 설정을 적용합니다.
```
nmstatectl apply create-macsec-connection.yml
```
```
# nmstatectl apply create-macsec-connection.yml
```
Copy to Clipboard Toggle word wrap

검증

현재 상태를 YAML 형식으로 표시합니다.
```
nmstatectl show macsec0
```
```
# nmstatectl show macsec0
```
Copy to Clipboard Toggle word wrap
트래픽이 암호화되었는지 확인합니다.
```
tcpdump -nn -i enp0s1
```
```
# tcpdump -nn -i enp0s1
```
Copy to Clipboard Toggle word wrap
선택 사항: 암호화되지 않은 트래픽을 표시합니다.
```
tcpdump -nn -i macsec0
```
```
# tcpdump -nn -i macsec0
```
Copy to Clipboard Toggle word wrap
MACsec 통계를 표시합니다.
```
ip macsec show
```
```
# ip macsec show
```
Copy to Clipboard Toggle word wrap
각 유형의 보호에 대한 개별 카운터 표시: 무결성 전용(암호화 해제) 및 암호화(암호화)
```
ip -s macsec show
```
```
# ip -s macsec show
```
Copy to Clipboard Toggle word wrap

맨 위로 이동

10.3. nmstatectl을 사용하여 MACsec 연결 구성

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links