Exemplo: Configuração do MACsec em um MPLS CCC em roteadores da Série MX
Este exemplo mostra como permitir que o MACsec proteja tráfego sensível viajando de um usuário em um site para um usuário em outro site por meio de um CCC MPLS básico.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três roteadores da Série MX usados como roteadores PE e provedores na rede MPLS
Um roteador da Série MX usado como roteador CE conectando o site A à rede MPLS
Um roteador MX240, MX480 ou MX960 com o Ethernet MIC gigabit aprimorado de 20 portas (número de modelo MIC-3D-20GE-SFP-E) usado como roteador CE conectando o site B à rede MPLS
Junos OS Release 15.1R1 ou posterior em todos os roteadores da Série MX na rede MPLS (PE1, PE2 ou roteador provedor)
Junos OS Release 15.1R1 ou posterior no roteador CE no local A e no roteador CE no local B
Visão geral e topologia
Neste exemplo, os dados da empresa sensível financeiramente são frequentemente enviados entre um usuário no site A e um usuário no site B. A empresa quer garantir que todo o tráfego de rede que viaja do usuário do site A para o usuário no local B seja altamente seguro e não possa ser visto ou corrupto por um invasor. A empresa está usando a segurança de Camada 2 padrão do setor fornecida pelo MACsec, que fornece criptografia para garantir que os dados não possam ser vistos pelos invasores e verificações de integridade para garantir que os dados transmitidos não sejam corruptos, para proteger todo o tráfego que viaja no CCC através da nuvem MPLS que conecta os sites. As VLANs estão configuradas em ambos os locais para garantir que o tráfego que viaja entre os dois usuários passe pelos locais através do CCC protegido por MACsec.
A rede MPLS neste exemplo inclui dois roteadores de borda (PE) de provedores — PE1 e PE2 — e um roteador de provedor (trânsito). O PE1 conecta o roteador de borda do cliente (CE) no local A à rede MPLS e o PE2 conecta o roteador CE no local B à rede MPLS. O MACsec está habilitado no CCC que conecta os roteadores CE no local A e no local B para proteger o tráfego que viaja entre os locais sobre o CCC. Uma VLAN que inclui as interfaces que conectam os usuários aos roteadores CE, interface ge-0/0/0 no roteador CE no local A e interface ge-0/2 no roteador CE no local B, e as interfaces que conectam os roteadores CE à nuvem MPLS (ge-0/0/0 no local Um roteador CE e xe-0/1/0 no roteador B CE local), é usado para direcionar todo o tráfego entre os usuários para o CCC protegido por MACsec.
A Tabela 1 fornece um resumo dos componentes de rede MPLS nesta topologia.
A Tabela 2 fornece um resumo da associação de conectividade MACsec usada nesta topologia. O MACsec é habilitado criando uma associação de conectividade nas interfaces em cada extremidade de um link. O MACsec é habilitado quando as interfaces em cada extremidade da troca de links trocam chaves pré-compartilhadas — as chaves pré-compartilhadas são definidas na associação de conectividade — para proteger o link para MACsec.
A Tabela 3 fornece um resumo do domínio da ponte e IDs VLAN usados nesta topologia. A VLAN é usada nesta topologia para direcionar toda a comunicação do usuário do site A para o usuário no local B para o CCC protegido por MACsec.
| Descrição do componente | |
|---|---|
PE1 |
Roteador PE. lo0:
ge-0/0/0:
ge-0/0/1:
|
Provedor |
Roteador de provedor. lo0:
ge-0/0/10:
xe-0/0/0:
|
PE2 |
Roteador PE. lo0:
xe-0/1/0
xe-0/1/1
|
lsp_to_pe2_xe1 caminho comutada por rótulos |
Caminho comutada por rótulos de PE1 para PE2. |
lsp_to_pe1_ge0 caminho comutada por rótulos |
Caminho comuto de rótulos de PE2 para PE1. |
| Descrição | da Associação de Conectividade |
|---|---|
ccc-macsec |
Associação de conectividade que permite o MACsec na CCC conectar o site A ao site B. A associação de conectividade está habilitada nas seguintes interfaces:
|
| Descrição do domínio da ponte | |
|---|---|
macsec |
VLAN direcionando o tráfego entre o usuário no local A e o usuário no local B para o CCC protegido por MACsec. O domínio da ponte inclui as seguintes interfaces:
|
Configuração do MPLS
Esta seção explica como configurar o MPLS em cada roteador na rede MPLS.
Ela inclui as seguintes seções:
- Configuração do MPLS no PE1
- Configuração de MPLS no roteador de provedor
- Configuração do MPLS no PE2
- Resultados
Configuração do MPLS no PE1
Configuração rápida da CLI
Para configurar rapidamente a configuração MPLS no roteador PE1, use os seguintes comandos:
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Procedimento passo a passo
Para configurar o MPLS no roteador PE1:
Configure o OSPF com a engenharia de tráfego habilitada:
[edit protocols] user@router-PE1# set ospf traffic-engineering
Configure o OSPF no endereço de loopback e nas interfaces de núcleo:
[edit protocols] user@router-PE1# set ospf area 0.0.0.0 interface lo0.0 user@router-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
Configure o MPLS neste roteador, PE1, com um LSP para o roteador PE2:
[edit protocols] user@router-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Configure o MPLS nas interfaces de núcleo:
[edit protocols] user@router-PE1# set mpls interface ge-0/0/1.0
Configure o RSVP na interface de loopback e nas interfaces de núcleo:
[edit protocols] user@router-PE1# set rsvp interface lo0.0 user@router-PE1# set rsvp interface ge-0/0/1.0
Configure endereços IP para a interface de loopback e as interfaces de núcleo:
[edit] user@router-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@router-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
Configure
family mplsna unidade lógica dos endereços da interface de núcleo:[edit] user@router-PE1# set interfaces ge-0/0/1 unit 0 family mpls
Configure a unidade lógica da interface de borda do cliente como um CCC:
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
Configure o CCC baseado em interface de PE1 a PE2:
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Resultados
Exibir os resultados da configuração:
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
Configuração de MPLS no roteador de provedor
Configuração rápida da CLI
Para configurar rapidamente a configuração MPLS no roteador do provedor, use os seguintes comandos:
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
Procedimento passo a passo
Para configurar o roteador de provedor:
Configure o OSPF com a engenharia de tráfego habilitada:
[edit protocols] user@router-P# set ospf traffic-engineering
Configure o OSPF na interface de loopback e nas interfaces de núcleo:
[edit protocols] user@router-P# set ospf area 0.0.0.0 interface lo0.0 user@router-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@router-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
Configure o MPLS nas interfaces de núcleo do roteador:
[edit protocols] user@router-P# set mpls interface ge-0/0/10.0 user@router-P# set mpls interface xe-0/0/0.0
Configure o RSVP na interface de loopback e nas interfaces de núcleo:
[edit protocols] user@router-P# set rsvp interface lo0.0 user@router-P# set rsvp interface ge-0/0/10.0 user@router-P# set rsvp interface xe-0/0/0.0
Configure endereços IP para a interface de loopback e as interfaces de núcleo:
[edit] user@router-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@router-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@router-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
Configure
family mplsna unidade lógica dos endereços da interface de núcleo:[edit] user@router-P# set interfaces ge-0/0/10 unit 0 family mpls user@router-P# set interfaces xe-0/0/0 unit 0 family mpls
Configure o LSP para o roteador PE2:
[edit] user@router-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Resultados
Exibir os resultados da configuração:
user@router-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
Configuração do MPLS no PE2
Configuração rápida da CLI
Para configurar rapidamente a configuração MPLS no roteador PE2, use os seguintes comandos:
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Procedimento passo a passo
Para configurar o PE2 do roteador:
Configure o OSPF com a engenharia de tráfego habilitada:
[edit protocols] user@router-PE2# set ospf traffic-engineering
Configure o OSPF na interface de loopback e na interface de núcleo:
[edit protocols] user@router-PE2# set ospf area 0.0.0.0 interface lo0.0 user@router-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
Configure o MPLS neste roteador (PE2) com um caminho comuto de rótulo (LSP) para o outro roteador PE (PE1):
[edit protocols] user@router-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
Configure o MPLS na interface de núcleo:
[edit protocols] user@router-PE2# set mpls interface xe-0/1/0.0
Configure o RSVP na interface de loopback e na interface de núcleo:
[edit protocols] user@router-PE2# set rsvp interface lo0.0 user@router-PE2# set rsvp interface xe-0/1/0.0
Configure endereços IP para a interface de loopback e a interface de núcleo:
[edit] user@router-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@router-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
Configure
family mplsna unidade lógica da interface de núcleo:[edit] user@router-PE2# set interfaces xe-0/1/0 unit 0 family mpls
Configure a unidade lógica da interface de borda do cliente como um CCC:
[edit interfaces xe-0/1/1 unit 0] user@router-PE2# set family ccc
Configure o CCC baseado em interface entre os roteadores de borda primários:
[edit protocols] user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Resultados
Exibir os resultados da configuração:
user@router-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
Configuração do MACsec
Esta seção explica como configurar o MACsec em cada roteador na topologia.
Ela inclui as seguintes seções:
- Configuração de MACsec no site um roteador CE para proteger o tráfego até o local B
- Configuração do MACsec no roteador Site B CE para proteger o tráfego até o local A
Configuração de MACsec no site um roteador CE para proteger o tráfego até o local B
Configuração rápida da CLI
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
Procedimento passo a passo
Neste exemplo, o tráfego entre os usuários que frequentemente trocam dados sensíveis financeiramente é enviado entre os sites em um CCC por meio da nuvem MPLS. O MACsec é habilitado no CCC configurando uma associação de conectividade MACsec nas interfaces do site A e roteadores B CE do site que se conectam aos roteadores MPLS PE. As associações de conectividade devem ter nomes de associação de conectividade correspondentes (neste exemplo ccc-macsec), CKNs correspondentes (neste exemplo 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) e CAKs (neste exemplo 228ef255aa23ff6729ee664acb66e91f), a fim de estabelecer uma conexão segura para MACsec.
Para habilitar o MACsec no site de conexão de CCC A ao local B, realize o seguinte procedimento no local Um roteador CE:
Crie a associação de conectividade nomeada ccc-macsece configure o modo de segurança MACsec como
static-cak:[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec security-mode static-cak
Crie a chave pré-compartilhada configurando a CKN e a CAK:
[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
Atribua a associação de conectividade à interface conectada ao roteador PE1:
[edit security macsec] user@router-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
Isso completa as etapas para configurar a associação de conectividade em uma extremidade do CCC. O MACsec não está habilitado até que uma associação de conectividade com chaves pré-compartilhadas correspondentes seja habilitada na extremidade oposta de um link, que neste caso é a interface no roteador B CE do site, do CCC. O processo de configuração da associação de conectividade no roteador B CE do site é descrito na seção a seguir.
Resultados
Exibir os resultados da configuração:
user@router-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuração do MACsec no roteador Site B CE para proteger o tráfego até o local A
Configuração rápida da CLI
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
Procedimento passo a passo
O tráfego viaja do local B ao local A pela rede MPLS usando um CCC. O MACsec é habilitado no CCC configurando uma associação de conectividade MACsec nas interfaces do site A e roteadores B CE do site que se conectam aos roteadores MPLS PE. As associações de conectividade devem ter nomes de associação de conectividade correspondentes (neste exemplo ccc-macsec), CKNs correspondentes (37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) e CAKs correspondentes (228ef255aa23ff6729ee664acb66e91f) a fim de estabelecer uma conexão segura por MACsec.
Para habilitar o MACsec no CCC que conecta o site B ao local A, realize o seguinte procedimento no roteador B CE do local:
Crie a associação de conectividade nomeada ccc-macsece configure o modo de segurança MACsec como
static-cak:[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec security-mode static-cak
Crie a chave pré-compartilhada configurando a CKN e a CAK:
[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
Atribua a associação de conectividade à interface conectada ao roteador PE2:
[edit security macsec] user@router-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
O MACsec é habilitado para o CCC após a troca das chaves pré-compartilhadas, o que é logo após a conclusão desse procedimento.
Resultados
Exibir os resultados da configuração:
user@router-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuração de VLANs para direcionar o tráfego para o CCC protegido por MACsec
Esta seção explica como configurar VLANs no site A e roteadores B CE. O objetivo das VLANs é direcionar o tráfego que você deseja ter o MACsec protegido no CCC protegido por MACsec.
- Configurando o domínio da ponte para direcionar o tráfego para o CCC MACsec no site Um roteador CE
- Configuração do domínio da ponte para direcionar o tráfego para o CCC MACsec no roteador Local B CE
Configurando o domínio da ponte para direcionar o tráfego para o CCC MACsec no site Um roteador CE
Configuração rápida da CLI
[edit] set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/0 set bridge-domains macsec interface ge-0/0/2 set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
Procedimento passo a passo
Para criar um domínio de ponte (VLAN ID 50) que direciona o tráfego do usuário do local A para o CCC protegido por MACsec:
Configure a interface ge-0/0/0 com encapsulamento de VLAN e a família bridge.
user@router-CE-A# set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces ge-0/0/0 unit 0 family bridge vlan-id 50
Configure a interface ge-0/0/2 com encapsulamento de VLAN e a família bridge.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
Defina o domínio da ponte macsec e associe as interfaces, ge-0/0/0 e ge-0/2, com o domínio da ponte.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface ge-0/0/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
Crie o endereço IP para o domínio da ponte macsec:
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
Resultados
Exibir os resultados da configuração:
user@router-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.1/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface ge-0/0/0;
interface ge-0/0/2;
}
}
Configuração do domínio da ponte para direcionar o tráfego para o CCC MACsec no roteador Local B CE
Configuração rápida da CLI
[edit] set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge set interfaces xe-0/1/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/2 set bridge-domains macsec interface xe-0/1/0 set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
Procedimento passo a passo
Para criar um domínio de ponte (VLAN ID 50) para direcionar o tráfego para o usuário no local B no CCC protegido por MACsec:
Configure a interface xe-0/1/0 com encapsulamento de VLAN e a família bridge.
user@router-CE-A# set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces xe-0/1/0 unit 0 family bridge vlan-id 50
Configure a interface ge-0/0/2 com encapsulamento de VLAN e a família bridge.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
Defina o domínio da ponte macsec e associe as interfaces, xe-0/1/0 e ge-0/2, com o domínio da ponte.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface xe-0/1/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
Crie o endereço IP para o domínio da ponte macsec:
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
Resultados
Exibir os resultados da configuração:
user@router-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
xe-0/1/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.2/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface xe-0/1/0;
interface ge-0/0/2;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando a conexão MACsec
- Verificando se o tráfego seguro por MACsec está atravessando os CCCs
- Verificando se os protocolos MPLS e CCC estão habilitados nas interfaces de switch de borda e provedores do provedor
- Verificando as operações de rótulo MPLS
- Verificando a situação dos CCCs MPLS
- Verificação da operação OSPF
- Verificando a situação das sessões de RSVP
Verificando a conexão MACsec
Propósito
Verifique se o MACsec está operacional no CCC.
Ação
Insira o show security macsec connections comando em um ou ambos os switches de borda do cliente (CE).
user@router-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Significado
A Interface name: e CA name: as saídas mostram que a associação de conectividade ccc-macsec está operacional na interface ge-0/0/0. A saída não aparece quando a associação de conectividade não está operacional na interface.
Para verificação adicional de que o MACsec está operacional no CCC, você também pode inserir o show security macsec connections comando no outro switch CE.
Verificando se o tráfego seguro por MACsec está atravessando os CCCs
Propósito
Verifique se o tráfego que atravessa o CCC está protegido por MACsec.
Ação
Insira o show security macsec statistics comando em um ou ambos os switches CE.
user@router-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Significado
A Encrypted packets linha sob a Secure Channel transmitted saída é incrementada cada vez que um pacote é enviado da interface que é protegida e criptografada pelo MACsec. A Encrypted packets saída mostra que 9784 pacotes criptografados e protegidos foram transmitidos da interface ge-0/0/0. Portanto, o tráfego protegido por MACsec está sendo enviado na interface ge-0/0/0.
A Accepted packets linha sob a Secure Association received saída é incrementada cada vez que um pacote que passou pela verificação de integridade do MACsec é recebido na interface. A Decrypted bytes linha sob a Secure Association received saída é incrementada cada vez que um pacote criptografado é recebido e descriptografado. A saída mostra que 9791 pacotes protegidos por MACsec foram recebidos na interface ge-0/0/0, e que 2823555 bytes desses pacotes foram descriptografados com sucesso. Portanto, o tráfego protegido por MACsec está sendo recebido na interface ge-0/0/0.
Para verificação adicional, você também pode inserir o show security macsec statistics comando no outro switch CE.
Verificando se os protocolos MPLS e CCC estão habilitados nas interfaces de switch de borda e provedores do provedor
Propósito
Verifique se o MPLS está habilitado nas interfaces corretas para os switches PE e provedores.
Ação
Insira o show interfaces terse comando em ambos os roteadores PE e no switch do provedor:
user@router-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@router-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@router-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
Significado
A saída confirma que o protocolo MPLS está disponível para as interfaces de switch de provedores que passam pelo tráfego MPLS — xe-0/0/0 e ge-0/10 — e nas interfaces de roteador PE que passam pelo tráfego MPLS, que é a interface ge-0/0/1 no switch e interface PE1 xe-0/1/0 no roteador PE2.
A saída também confirma que o CCC está habilitado nas interfaces de roteador PE voltadas para os switches CE, que são interface ge-0/0/0 no switch PE1 e interface xe-0/1/1 no roteador PE2.
Verificando as operações de rótulo MPLS
Propósito
Verifique qual interface está sendo usada como o início do CCC e qual interface está sendo usada para empurrar o pacote MPLS para o próximo salto.
Ação
Insira um show route forwarding-table family mpls ou ambos os roteadores PE.
user@router-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
Significado
Essa saída confirma que o CCC está configurado na interface ge-0/0/0,0. O switch recebe tráfego de entrada na ge-0/0/1.0 e empurra o rótulo 299952 para o pacote, que sai do switch por meio da interface ge-0/1.0. A saída também mostra que quando o switch recebe um pacote MPLS com rótulo 299856, ele coloca o rótulo e envia o pacote pela interface ge-0/0/0,0
Para verificar melhor as operações de rótulo MPLS, entre show route forwarding-table family mpls no outro roteador PE.
Verificando a situação dos CCCs MPLS
Propósito
Verifique se os CCCs MPLS estão operando.
Ação
Insira o show connections comando nos roteadores PE.
user@router-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@router-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
O show connections comando exibe o status das conexões CCC. Essa saída verifica se as interfaces de CCC e seus LSPs transmitidos e recebidos associados estão Up em ambos os roteadores PE.
Verificação da operação OSPF
Propósito
Verifique se o OSPF está sendo executado.
Ação
Insira o show ospf neighbor comando do provedor ou dos roteadores PE e verifique a State saída.
user@router-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
Significado
A State saída está Full em todas as interfaces usando OSPF, então o OSPF está operando.
Para obter mais verificações sobre OSPF, entre no show ospf neighbor comando dos roteadores PE, além do switch do provedor.
Verificando a situação das sessões de RSVP
Propósito
Verifique a situação das sessões de RSVP.
Ação
Insira o show rsvp session comando e verifique se o estado está funcionando para cada sessão de RSVP.
user@router-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
Significado
Up É State para todas as conexões, então o RSVP está operando normalmente.
Para mais verificações, insira os show rsvp session roteadores de PE, além do roteador do provedor.