Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

FIPS 模式下的媒体访问控制安全 (MACsec) 概述

媒体访问控制安全 (MACsec) 是一项 802.1AE IEEE 行业标准安全技术,可为以太网链路上的所有流量提供安全通信。MACsec 在直连节点之间的以太网链路上提供点对点安全性,能够识别和阻止大多数安全威胁,包括拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。

MACsec 允许您为几乎所有流量保护点对点以太网链路,包括来自链路层发现协议 (LLDP)、链路聚合控制协议 (LACP)、动态主机配置协议 (DHCP)、地址解析协议 (ARP) 以及其他由于其他安全解决方案的限制而通常无法在以太网链路上保护的协议。MACsec 可以与 IP 安全 (IPsec) 和安全套接字层 (SSL) 等其他安全协议结合使用,以提供端到端网络安全。

MACsec 在 IEEE 802.1AE 中进行了标准化。IEEE 802.1AE标准可以在IEEE组织网站上看到,网址为 IEEE 802.1:桥接和管理

算法的每个实现都通过一系列已知答案测试 (KAT) 自检和加密算法验证 (CAV) 进行检查。以下加密算法是专门为 MACsec 添加的。

  • 高级加密标准 (AES) - 密报验证代码 (CMAC)

  • 高级加密标准 (AES) 密钥包装

连接关联密钥名称 (CKN) 和连接关联密钥 (CAK) 的预共享密钥配置:

注意:

在上面的命令 set security macsec connectivity-association ca_name pre-shared-key ckn ckn 中,您需要为 ca_name 变量选项定义用户定义的名称,并为变量选项定义十六进制格式 ckn 的用户定义连接关联键名称。

在直接连接的链路之间交换预共享密钥,以建立 MACsec 安全链路。预共享密钥包括 CKN 和 CAK。链路两端的 CKN 和 CAK 必须匹配,才能创建受 MACsec 保护的链路。

如果配置 128 位密码套件,则 CAK 可以是 32 位十六进制数。如果配置 256 位密码套件,则 CAK 可以是 64 位十六进制数。

注意:

为了最大限度地提高安全性,我们建议您配置 CKN 的全部 64 位数字和 CAK 的所有 32 位数字。如果未配置 CKN 的全部 64 位数字或 CAK 的全部 32 位数字,系统会自动将所有剩余数字配置为 0。但是,在提交配置时,您将收到一条警告消息。

链路两端成功交换预共享密钥并验证后,MACsec 密钥协议 (MKA) 协议将启用和管理安全链路。然后,MKA 协议选择两个直接连接的设备中的一个作为密钥服务器。然后,密钥服务器通过 MACsec 安全点对点链路与其他设备共享随机安全性。只要启用了 MACsec,密钥服务器就会继续通过受 MACsec 保护的点对点链路定期创建随机安全密钥并与其他设备共享。

例如,ypu 可以配置连接关联的 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 CKN 和 CAK 228ef255aa23ff6729ee664acb66e91f