7.2. nmcli를 사용하여 MACsec 연결 구성
nmcli
유틸리티를 사용하여 MACsec을 사용하도록 이더넷 인터페이스를 구성할 수 있습니다. 예를 들어 이더넷을 통해 연결된 두 호스트 간에 MACsec 연결을 생성할 수 있습니다.
절차
MACsec을 구성하는 첫 번째 호스트에서 다음을 수행합니다.
사전 공유 키에 대해 CAK(연결 연결 키) 및 연결 연결 키 이름(CKN)을 만듭니다.
16바이트 16바이트 16진수 CAK를 생성합니다.
# dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"' 50b71a8ef0bd5751ea76de6d6c98c03a
32바이트 16진수 CKN을 생성합니다.
# dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"' f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
- MACsec 연결을 통해 연결하려는 두 호스트 모두에서 다음을 수행합니다.
MACsec 연결을 생성합니다.
# nmcli connection add type macsec con-name macsec0 ifname macsec0 connection.autoconnect yes macsec.parent enp1s0 macsec.mode psk macsec.mka-cak 50b71a8ef0bd5751ea76de6d6c98c03a macsec.mka-ckn f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
이전 단계에서 생성된 CAK 및 CKN을
macsec.mka-cak
및macsec.mka-ckn
매개변수의 사용합니다. MACsec 보호 네트워크의 모든 호스트에서 값이 동일해야 합니다.MACsec 연결에서 IP 설정을 구성합니다.
IPv4
설정을 구성합니다. 예를 들어 정적IPv4
주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를macsec0
연결로 설정하려면 다음을 입력합니다.# nmcli connection modify macsec0 ipv4.method manual ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253'
IPv6
설정을 구성합니다. 예를 들어 정적IPv6
주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를macsec0
연결로 설정하려면 다음을 입력합니다.# nmcli connection modify macsec0 ipv6.method manual ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd'
연결을 활성화합니다.
# nmcli connection up macsec0
검증
트래픽이 암호화되었는지 확인합니다.
# tcpdump -nn -i enp1s0
선택 사항: 암호화되지 않은 트래픽을 표시합니다.
# tcpdump -nn -i macsec0
MACsec 통계를 표시합니다.
# ip macsec show
각 유형의 보호 유형에 대한 개별 카운터 표시: 무결성 전용 (encrypt off) 및 암호화 (encrypt on)
# ip -s macsec show