Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 MACsec

总结

配置 MACsec

我们可以配置 MACsec 来保护连接 SRX380 与支持 MACsec 的 MIC 的点对点以太网链路。必须独立配置要使用 MACsec 保护的每个点对点以太网链路。我们可以使用静态连接关联密钥 (CAK) 安全模式在设备到设备链路上启用 MACsec。

在 SRX380 上,仅 44 个 10 千兆或 1 千兆以太网端口支持 MACsec。在本节中,这些端口用于配置 MACSec。

在运行 Junos OS 的设备上配置 MACsec

要在运行 Junos OS 的设备上配置 MACsec:

  1. 将 MACsec 安全模式配置为连接关联。
  2. 通过配置连接关联密钥名称 (CKN) 和连接关联密钥 (CAK) 创建预共享密钥。
  3. 设置 MACsec 密钥协议 (MKA) 安全通道详细信息。
  4. 将 MKA 设置为安全模式。
  5. 分配配置的连接关联与指定的 MACsec 接口。

使用 ICMP 流量配置静态 MACsec

要在设备 R0 和设备 R1 之间使用 ICMP 流量配置静态 MACsec:

在 R0 中:

  1. 通过配置连接关联密钥名称 (CKN) 和连接关联密钥 (CAK) 创建预共享密钥
  2. 设置追踪选项值。
  3. 将跟踪分配给接口。
  4. 将连接关联的 MACsec 安全模式配置为 static-cak。
  5. 设置 MKA 密钥服务器优先级。
  6. 设置 MKA 传输间隔。
  7. 启用 MKA 安全。
  8. 将连接关联分配给接口。

在 R1 中:

  1. 通过配置连接关联密钥名称 (CKN) 和连接关联密钥 (CAK) 创建预共享密钥

  2. 设置追踪选项值。

  3. 将跟踪分配给接口。

  4. 将连接关联的 MACsec 安全模式配置为 static-cak。

  5. 设置 MKA 传输间隔。

  6. 启用 MKA 安全。

  7. 将连接关联分配给接口。

使用 ICMP 流量配置带钥匙串的 MACsec

要使用设备 R0 和设备 R1 之间的 ICMP 流量配置带有钥匙串的 MACsec:

在 R0 中:

  1. 为身份验证密钥链分配容差值。
  2. 创建要使用的密钥密码。它是一串长达 64 个字符的十六进制数字。如果字符串用引号括起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。

  3. 预共享钥匙串名称与连接关联相关联。
    注意:

    密码值也可以设置为 cipher-suite gcm-aes-128
  4. 设置追踪选项值。
  5. 将跟踪分配给接口。
  6. 将连接关联的 MACsec 安全模式配置为 static-cak。
  7. 设置 MKA 密钥服务器优先级。
  8. 设置 MKA 传输间隔。
  9. 启用 MKA 安全。
  10. 将连接关联分配给接口。

要为 ICMP 流量配置使用密钥串的 MACsec:

在 R1 中:

  1. 为身份验证密钥链分配容差值。

  2. 创建要使用的密钥密码。它是一串长达 64 个字符的十六进制数字。如果字符串用引号括起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。

  3. 将预共享钥匙串名称与连接关联相关联。

  4. 设置追踪选项值。

  5. 将跟踪分配给接口。

  6. 将连接关联的 MACsec 安全模式配置为 static-cak。

  7. 设置 MKA 密钥服务器优先级。

  8. 设置 MKA 传输间隔。

  9. 启用 MKA 安全。

  10. 将连接关联分配给接口。

为第 2 层流量配置静态 MACsec

要为设备 R0 和设备 R1 之间的第 2 层流量配置静态 MACsec:

在 R0 中:

  1. 设置 MKA 密钥服务器优先级。
  2. 创建要使用的密钥密码。它是一串长达 64 个字符的十六进制数字。如果字符串用引号括起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。

    例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。

  3. 预共享钥匙串名称与连接关联相关联。
  4. 设置追踪选项值。
  5. 将跟踪分配给接口。
  6. 将连接关联的 MACsec 安全模式配置为 static-cak。
  7. 设置 MKA 密钥服务器优先级。
  8. 设置 MKA 传输间隔。
  9. 启用 MKA 安全。
  10. 将连接关联分配给接口。
  11. 配置 VLAN 标记。
  12. 配置桥接域。

在 R1 中:

  1. 创建要使用的密钥密码。它是一串长达 64 个字符的十六进制数字。如果字符串用引号括起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。

    例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。

  2. 将预共享钥匙串名称与连接关联相关联。

  3. 设置追踪选项值。

  4. 将跟踪分配给接口。

  5. 将连接关联的 MACsec 安全模式配置为 static-cak。

  6. 设置 MKA 密钥服务器优先级。

  7. 设置 MKA 传输间隔。

  8. 启用 MKA 安全。

  9. 将连接关联分配给接口。

  10. 配置 VLAN 标记。

  11. 配置桥接域。

为第 2 层流量配置使用密钥串的 MACsec

要为设备 R0 和设备 R1 之间的 ICMP 流量配置带有钥匙串的 MACsec,请执行以下操作:

在 R0 中:

  1. 为身份验证密钥链分配容差值。
  2. 创建要使用的密钥密码。它是一串长达 64 个字符的十六进制数字。如果字符串用引号括起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。

  3. 预共享钥匙串名称与连接关联相关联。
  4. 设置追踪选项值。
  5. 将跟踪分配给接口。
  6. 将连接关联的 MACsec 安全模式配置为 static-cak。
  7. 设置 MKA 密钥服务器优先级。
  8. 设置 MKA 传输间隔。
  9. 启用 MKA 安全。
  10. 将连接关联分配给接口。
  11. 配置 VLAN 标记。
  12. 配置桥接域。

在 R1 中:

  1. 为身份验证密钥链分配容差值。

  2. 创建要使用的密钥密码。它是一串长达 64 个字符的十六进制数字。如果字符串用引号括起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。

  3. 将预共享钥匙串名称与连接关联相关联。

  4. 设置追踪选项值。

  5. 将跟踪分配给接口。

  6. 将连接关联的 MACsec 安全模式配置为 static-cak。

  7. 设置 MKA 密钥服务器优先级。

  8. 设置 MKA 传输间隔。

  9. 启用 MKA 安全。

  10. 将连接关联分配给接口。

  11. 配置 VLAN 标记。

  12. 配置桥接域。