Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Segurança de controle de acesso ao meio (MACsec) sobre WAN

O Media Access Control Security (MACsec) é uma solução de camada de link para criptografia ponto a ponto. O MACsec pode ser usado para criptografar conexões de Camada 2 em uma WAN de provedor de serviços para garantir a integridade e a confidencialidade da transmissão de dados.

Carregando MACsec em vários saltos

Para estabelecer uma sessão de MACsec, o MaCsec Key Agreement (MKA) é usado para trocar as chaves necessárias entre os nós peer. As PDUs MKA são transmitidas usando o Protocolo de Autenticação Extensível sobre LAN (EAPoL) como protocolo de transporte. O EAPoL é um protocolo de Camada 2 e normalmente seria processado localmente pelo switch ou roteador e não se propagaria ainda mais.

No caso de nós estarem conectados por meio de uma rede de provedores de serviços, isso apresenta um desafio. A Figura 1 mostra o MACsec transportado por uma rede de provedor de serviços. A MKA deve trocar chaves entre os dispositivos do cliente A e B. Os roteadores de borda, ou dispositivos intermediários, não devem processar os pacotes EAPoL. Em vez disso, eles devem encaminhá-los de forma transparente para o próximo salto.

Figura 1: MACsec transportado por uma rede MACsec Carried over a Service Provider Network de provedor de serviços

O endereço MAC de destino padrão para um pacote EAPoL é um endereço multicast. Em uma rede de provedor de serviços, pode haver dispositivos que consomem esses pacotes, assumindo que os pacotes são destinados a eles. O EAPoL é usado pelo 802.1X e outros métodos de autenticação, o que pode fazer com que os dispositivos derrubem os pacotes, dependendo de sua configuração. Isso faria com que a sessão de MKA falhasse. Para garantir que o pacote EAPoL chegue ao destino correto, você pode alterar o endereço MAC de destino para que a rede do provedor de serviços tunele o pacote em vez de consumi-lo.

Configuração do MACsec no nível de VLAN em interfaces lógicas

O MACsec no nível de VLAN permite várias sessões de MKA em uma única porta física. Isso permite o multiplexação de serviços com criptografia MACsec de conexões de ponto a multiponto em WANs de provedores de serviços.

Para oferecer suporte ao MACsec no nível de VLAN, os pacotes de protocolo MKA são enviados com as tags VLAN configuradas na interface lógica. As tags de VLAN são transmitidas em texto claro, o que permite que switches intermediários que não têm conhecimento do MACsec alternem os pacotes com base nas tags VLAN.

Ao configurar o MACsec, você deve vincular a associação de conectividade a uma interface. Para habilitar o MACsec no nível de VLAN, vincule a associação de conectividade a uma interface lógica usando o seguinte comando:

Para obter detalhes completos da configuração, veja Configuração do MACsec no modo CAK estático.

Configuração do endereço MAC de destino EAPoL para MACsec

O MACsec transmite PDUs MKA usando pacotes EAPoL para estabelecer uma sessão segura. Por padrão, o EAPoL usa um endereço MAC multicast de destino de 01:80:C2:00:00:03. Para evitar que esses pacotes sejam consumidos em uma rede de provedor de serviços, você pode alterar o endereço MAC de destino.

Para configurar o endereço MAC de destino EAPoL, insira um dos seguintes comandos.

Nota:

A configuração deve combinar em ambos os nós peer é a ordem para estabelecer a sessão MACsec.

  • Para configurar o endereço multicast da entidade de acesso à porta:
  • Para configurar um provedor fazer uma ponte entre endereços multicast:
  • Para configurar o endereço multicast LLDP:
  • Para configurar um endereço de destino unicast:

As opções são mapeadas em endereços MAC da seguinte forma:

Endereço EAPoL

Endereço MAC

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00

lldp-multicast

01:80:C2:00:00:0E

destination

configurable unicast address