06.07.

2017 80 ­ Network Group Encryption

80 ­ Network Group Encryption
Contents
1. 80.1 Overview
1.1. Licensing
1.2. 5620 SAM management of NGE
2. 80.2 Configuration
2.1. Global encryption label
2.2. Key groups
3. 80.3 Key updates
4. 80.4 NGE statistics
4.1. Rekeying operation statistics
5. 80.5 Workflow for NGE management
6. 80.6 NGE management procedures
6.1. Procedure 80­1 To create the NGE global encryption label
6.2. Procedure 80­2 To create an NGE key group
6.3. Procedure 80­3 To add an object to a key group
6.4. Procedure 80­4 To manually execute a rekeying scheduled task
6.5. Procedure 80­5 To view rekeying results and statistics
6.6. Procedure 80­6 To disable encryption on an SDP or a VPRN service

80 — Network Group Encryption
80.1 Overview 
80.2 Configuration 
80.3 Key updates 
80.4 NGE statistics 
80.5 Workflow for NGE management 
80.6 NGE management procedures 
 

80.1 Overview
Network Group Encryption, or NGE, is a mechanism for the end­to­end encryption of MPLS­based traffic at the
service level that does not require meshes of IPsec tunnels at the network layer. NGE is supported on 7705 SAR
devices. See the device documentation for information about the chassis variants that support NGE, and for detailed
information about NGE operation on an NE.
NGE provides the following types of encryption to secure MPLS service traffic:
SDP encryption for the following service types:
VLL

VPRN with L3 spoke­SDP termination

IES with L3 spoke­SDP termination

VPLS with spoke and mesh SDPs

routed VPLS service into a VPRN or IES

service encryption for MP­BGP VPRNs
5620 SAM NGE management minimizes network downtime in the event of a catastrophic failure such as a natural
disaster, and maintains network security functions and critical network traffic transmission during events such as
unexpected NE reboots and link disruptions.
https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 1/8
06.07.2017 80 ­ Network Group Encryption

The 5620 SAM acts as the key server for the participating NGE NEs. A 5620 SAM operator assigns encryption and
authentication keys to a key group. The operator then associates SDPs and services for inbound and outbound traffic
with the key group, as required, and the 5620 SAM distributes the key group to each NE that hosts an associated
SDP or service site. The keys in a key group are randomly generated by the 5620 SAM using the FIPS 140­2
standard.
 

Licensing
Using the 5620 SAM to enable NGE on an NE consumes one 5620 SAM NGE license. Removing the NGE
configuration on an NE frees one license.
An NGE license is not required for the discovery of an NGE­capable device such as the 7705 SAR, even if an NGE
configuration exists on the device, as the 5620 SAM does not recognize discovered NGE configurations.
From the Sites tab of the Group Encryption Label properties form, you can view a list of the consumed NGE
licenses, and remove sites that no longer require NGE.
 

5620 SAM management of NGE
The 5620 SAM has a comprehensive suite of NGE functions that include the following:
network­wide encryption configuration and management

selective key distribution only to service sites associated with a key group

automatic NGE configuration of sites added to an encrypted VPRN service

key synchronization among participating NEs

co­ordinated key updates without service degradation

fault tolerance using 5620 SAM and NE redundancy functions

fault management using alarms

statistics collection
The 5620 SAM uses SNMP to deploy general NGE attributes to NEs, and SSH2 sessions to configure the key
values. You can use an existing SSH2 user account on each NE, or, to facilitate the tracking of key value
configuration activity, you can use the UserNGE account. The 5620 SAM creates the account on each participating
NGE NE, and uses the account only for creating and updating key values. The 5620 SAM user activity log records all
NGE configuration activity.
In a key group, a 5620 SAM operator specifies the service objects that are to be encrypted using the key group, and
then initiates the encryption. The 5620 SAM then deploys the key group to each NE associated with the service
objects, for example, the two NEs associated with an SDP, or the sites in an MP­BGP VPRN service.
The 5620 SAM subsequently configures the key group for outbound traffic, and then the key group for inbound traffic,
on each NE. The NGE key group associations are displayed on the properties form of each associated service
object.
The 5620 SAM ensures that the keys on all NEs in a key group are synchronized. If a key value on an NE is
modified using a CLI, the 5620 SAM raises an alarm.
If a service object associated with a key group is deleted by the 5620 SAM or through a CLI, the 5620 SAM removes
the object association from the key group.
A connectivity loss between the 5620 SAM and participating NEs does not affect the existing encrypted services.

Note 1 ­ The 5620 SAM raises a ConfigurationUnknown alarm if an NGE configuration on an NE is
detected during device discovery or created using a CLI. 
Note 2 ­ The 5620 SAM raises a ConfigurationMismatch alarm if the NGE configuration on an NE is
modified using a CLI. 
 

https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 2/8
06.07.2017 80 ­ Network Group Encryption

80.2 Configuration
You can configure NGE using a 5620 SAM GUI or OSS client.
 

Global encryption label
5620 SAM NGE management requires a global encryption label that is used as a common NGE identifier by all
participating NEs in the managed network. A global encryption label is intended to be set once, for permanent use,
and cannot be modified. A global encryption label can be deleted only if no key groups exist in the 5620 SAM and no
local key groups exist on NEs.
If the deployment of a global encryption label fails, the 5620 SAM and NE labels do not match, or a global encryption
label is detected during device discovery, an alarm is raised.

Note 1 ­ An attempt to create a static MPLS ingress label is blocked if the label has the same value as
the NGE group encryption label. 
Note 2 ­ An attempt to create the group encryption label is blocked if the label has the same value as a
static MPLS ingress label in the network. 
Note 3 ­ If the 5620 SAM discovers an NE that supports NGE, and the NE has a static MPLS ingress
label that matches the group encryption label, an alarm is raised. 
 

Key groups
NGE deployment to one or more NEs requires a key group that contains the NGE keys. A key group defines the
algorithms that the 5620 SAM uses to generate the encryption and authorization keys. A key group also contains a
list of the current security associations, or SAs, between the key group and the service objects that use the key
group.
After you create a key group, you cannot modify the encryption and authentication algorithms; if such changes are
required, you must create a new key group and delete the previous key group.
After the initial key group deployment, you can use a scheduled task for the regular and automatic replacement of the
keys in the key group. See "Key updates" in this section.

Note ­ You cannot delete a key group if any SDPs or service objects are associated with the key
group. 

80.3 Key updates
For increased security, Alcatel­Lucent recommends the frequent replacement of the keys in a key group, which is
called a rekeying operation. For each key group, you can configure a rekeying scheduled task that defines how often
the 5620 SAM generates and deploys a new key set to each NE associated with the key group. The rekeying
mechanism ensures that there is no service degradation during rekeying.
You can configure only one rekeying scheduled task per key group. While a rekeying scheduled task is in progress,
the following operations are blocked:
manual encryption of service objects

addition or removal of SDPs or VPRN services
If a key group is deleted, the rekeying scheduled task associated with the key group is also deleted.

Note 1 ­ A rekeying scheduled task cannot use a schedule in which a delay is configured. 
Note 2 ­ The execution of a rekeying scheduled task is skipped if a manual encryption operation using
the same key group is in progress. 
Note 3 ­ You cannot modify a scheduled task. If a change to a scheduled task is required, you must
create a new scheduled task and delete the current scheduled task. 

https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 3/8
06.07.2017 80 ­ Network Group Encryption

A rekeying operation has the following stages:
deploy new key

set new key as active outbound

delete old key
If a rekeying operation fails, the operation resumes from the failed stage during the next run of the scheduled task, or
during the next manual rekeying operation. If the failure is the result of a primary main server failure in a redundant
5620 SAM system, the operation resumes after a server activity switch when the standby main server assumes the
primary main server role.
After a rekeying operation, the 5620 SAM verifies that each key is correctly set by comparing the CRC checksums
of the local and 5620 SAM key values. If the verification is delayed or unable to complete, an alarm is raised.
If a rekeying operation is unable to complete before the next rekeying operation is to begin, for example, when a large
number of NEs are rekeyed using a schedule of high frequency, or connectivity to an NE is lost, the 5620 SAM
raises an alarm and attempts the rekeying during the next scheduled task run.
You can view the results of rekeying scheduled task runs, which include the old and new CRC checksum values,
from the properties form of the task; see Procedure 80­5.
The 5620 SAM also raises alarms for the following rekeying faults:
failure to create an SA between a key group and service object

failure to delete an existing SA between a key group and service object
 

80.4 NGE statistics
You can collect NGE statistics for a key group on demand, and schedule NGE statistics collection using a MIB entry
policy. The statistics are displayed on the Statistics tab of a key group properties form. See chapter 11 for information
about configuring MIB entry policies.
NGE statistics can also be viewed and collected from the Statistics tab of the following object properties forms:
card slot

daughter card slot

VPRN spoke SDP binding
 

Rekeying operation statistics
The 5620 SAM monitors rekeying operations, and records statistics about the duration of rekeying operations for
troubleshooting and assurance purposes. The statistics describe the duration of key replacement activities.
If the statistics reveal that rekeying activity is taking an increasing or excessive long time, investigation may be
required to identify the cause of the latency; see Procedure 80­5 for information about viewing the rekeying operation
statistics.
 

80.5 Workflow for NGE management
The following is the sequence of high­level actions required to manage NGE.
1.  Enable SSH2 for the secure key transfers.
i.  Ensure that SSH2 is enabled on each NE that is to participate in NGE; see Procedure 11­3.

ii.  Enable SSH2 host key persistence on devices that support host key persistence; see Procedure 11­4.

iii.  Create a mediation policy that specifies SSH2 as the CLI protocol; see Procedure 11­5.

Note ­ If you specify SNMPv3 in the mediation policy, ensure that the associated
SNMPv3 user has console access enabled. 

https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 4/8
06.07.2017 80 ­ Network Group Encryption

iv.  Apply the SSH2 mediation policy as the Security Mediation Policy in each discovery rule associated
with an NE that is to participate in NGE; see Procedure 11­11.
2.  Configure the global encryption label; see Procedure 80­1.

3.  Create a key group to specify the security algorithms, encrypt SDPs and VPRN services, and create a
rekeying scheduled task; see Procedure 80­2.

4.  As required, add objects to a key group, and encrypt the objects; see Procedure 80­3.

5.  If required, manually execute a rekeying scheduled task; see Procedure 80­4.

6.  View the results of one or more rekeying operations; see Procedure 80­5.

7.  Remove the NGE security from one or more objects; see Procedure 80­6.
 

80.6 NGE management procedures
Use the following procedures to manage NGE functions.
 

Procedure 80­1 To create the NGE global encryption label

1.  Choose Manage Network Group Encryption from the 5620 SAM main menu. The Manage Network Group

Encryption form opens.

2.  Click Create Group Encryption Label. The Group Encryption Label (Create) form opens.

3.  Configure the Group Encryption Label parameter.

4.  Click OK. The Group Encryption Label (Create) form closes.

5.  Close the Manage Network Group Encryption form.

 
 

Procedure 80­2 To create an NGE key group

1.  Choose Manage Network Group Encryption from the 5620 SAM main menu. The Manage Network Group

Encryption form opens.

2.  Click Create Key Group. The Key Group (Create) form opens.

3.  Configure the Encryption Algorithm and Authentication Algorithm parameters.

4.  Click Apply. The 5620 SAM generates the encryption and authentication keys; the key values are displayed in
the Security Associations panel.

5.  Click on the Encryption tab. The SDP sub­tab is displayed.

6.  Add one or more service objects to the key group.
i.  Click on the SDPs or VPRN Services sub­tab, depending on the type of object that you need to add.

Note ­ The far­end site of an SDP must support NGE and be managed by the 5620
SAM. 

https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 5/8
06.07.2017 80 ­ Network Group Encryption

ii.  Click Add and use the form that opens to choose one or more objects.
7.  To apply the NGE encryption keys to one or more objects, select the objects and click Encrypt.

8.  Click Yes to confirm the action. The 5620 SAM deploys the key group and keys to the participating NEs. The
indicators in the Execution Status panel on the General tab display the status of the operation.
If the deployment is successful, the indicators read as follows:
Execution State—Encryption

Last Execution Status—Success

9.  To create a rekeying scheduled task, perform the following steps.

Note ­ For maximum security, Alcatel­Lucent recommends that you create a rekeying scheduled
task, when ensures that the keys in a key group are updated regularly. 

i.  Click on the Rekey Schedule tab.

ii.  Configure the parameters.

iii.  Click Select and use the form that opens to choose or create a schedule.

Note ­ You cannot use a schedule that has a Frequency value of Per Second or Per
Minute. 

iv.  Click OK to save your changes and close the form. A rekeying scheduled task is created.
10.  Click OK to save your changes and close the Key Group (Create) form.

11.  Close the Manage Network Group Encryption form.

 
 

Procedure 80­3 To add an object to a key group

Perform this procedure to add an SDP or a VPRN service to an existing key group.
1.  Choose Manage Network Group Encryption from the 5620 SAM main menu. The Manage Network Group
Encryption form opens.

2.  Choose Key Group from the drop­down menu and click Search. The 5620 SAM NGE key groups are listed.

3.  Select a key group and click Properties. The Key Group (Edit) form opens.

4.  Click on the Encryption tab.

5.  Click on the SDP or VPRN Service sub­tab, depending on the type of object that you need to add.

Note ­ The far­end site of an SDP must support NGE and be managed by the 5620 SAM. 

6.  Click Add and use the form that opens to choose one or more objects.

7.  To apply the NGE encryption keys to the objects, select the objects and click Encrypt.

8.  Click Yes to confirm the action. The 5620 SAM deploys the key group and keys to the participating NEs. The
indicators in the Execution Status panel on the General tab display the status of the operation.
If the deployment is successful, the indicators read as follows:

https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 6/8
06.07.2017 80 ­ Network Group Encryption

Execution State—Encryption

Last Execution Status—Success

9.  Close the Key Group (Edit) form.

10.  Close the Manage Network Group Encryption form.

 
 

Procedure 80­4 To manually execute a rekeying scheduled task

Perform this procedure to run a rekeying scheduled task on demand.
1.  Choose Manage Network Group Encryption from the 5620 SAM main menu. The Manage Network Group
Encryption form opens.

2.  Choose Key Group from the drop­down menu and click Search. The 5620 SAM NGE key groups are listed.

3.  Select a key group and click Properties. The Key Group (Edit) form opens.

4.  Click on the Rekey Schedule tab.

5.  Click Execute. The 5620 SAM performs the rekeying operation.

6.  If required, view the rekeying results, as described in Procedure 80­5.

7.  Close the Key Group (Edit) form.

8.  Close the Manage Network Group Encryption form.

 
 

Procedure 80­5 To view rekeying results and statistics

Perform this procedure to view the results of one or more rekeying operations.
1.  Choose Manage Network Group Encryption from the 5620 SAM main menu. The Manage Network Group
Encryption form opens.

2.  Choose Key Group from the drop­down menu and click Search. The 5620 SAM NGE key groups are listed.

3.  Select a key group and click Properties. The Key Group (Edit) form opens.

4.  Click on the Rekey Schedule tab.

5.  Click on the Results tab. The scheduled task results for all runs are listed.

6.  To view a result, select the result and click Properties. The Rekey Schedule Result form opens.

7.  View the information, as required.

8.  Close the Rekey Schedule Result form.

9.  To view statistics about the rekeying task runs, perform the following steps.
i.  Click on the Rekey Times tab.

ii.  View the information, which describes the minimum, maximum, and average durations of new key set
deployment and previous key set removal.
10.  Close the Key Group (Edit) form.

11.  Close the Manage Network Group Encryption form.

https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 7/8
06.07.2017 80 ­ Network Group Encryption

 
 

Procedure 80­6 To disable encryption on an SDP or a VPRN service

Perform this procedure to remove the NGE encryption from an encrypted object.
1.  Choose Manage Network Group Encryption from the 5620 SAM main menu. The Manage Network Group
Encryption form opens.

2.  Choose Key Group from the drop­down menu and click Search. The 5620 SAM NGE key groups are listed.

3.  Select a key group and click Properties. The Key Group (Edit) form opens.

4.  Click on the Encryption tab.

5.  Click on the SDP or VPRN Service sub­tab, depending on the type of object on which you need to disable
encryption.

6.  Select one or more objects and click Disable Encryption. You can disable encryption only on objects that have
a status of Encryption Enabled.

7.  Click Yes to confirm the action. The 5620 SAM removes the service association between the key group and
the object, and if the object is the only object using the key group, removes the key group and keys from the
NE. The indicators in the Execution Status panel on the General tab display the status of the operation.
If the operation is successful, the indicators read as follows:
Execution State—Disable Encryption

Last Execution Status—Success

8.  Close the Key Group (Edit) form.

9.  Close the Manage Network Group Encryption form.

https://infocenter.alcatel­lucent.com/public/5620SAM130R6A/advanced/print.jsp?topic=/SAM_UG/html/sam_service_nge.html&cp=17_1_5_12 8/8