配置 MACsec
我们可以配置 MACsec 来保护将您的设备与支持 MACsec 的 MIC 连接的点对点以太网链路。要使用 MACsec 保护的每个点对点以太网链路都必须独立配置。我们可以使用静态连接关联密钥 (CAK) 安全模式在设备到设备链路上启用 MACsec。
您可以在端口模式下配置不同的接口速率(例如 40G、100G 和 10G),在 pic 模式下可以配置特定的接口速率(例如 100G、40G 和 10G)。在 pic 模式下,您只能配置一种类型的接口速度。
自定义时间
要自定义时间,请禁用 NTP 并设置日期。
在运行 Junos OS 的设备上配置 MACsec
要在运行 Junos OS 的设备上配置 MACsec:
使用第 3 层流量配置静态 MACsec
要使用设备 R0 和设备 R1 之间的 ICMP 流量配置静态 MACsec:
在 R0 中:
在 R1 中:
-
通过配置连接关联密钥名称 (CKN) 和连接关联密钥 (CAK) 来创建预共享密钥
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key ckn 2345678922334455667788992223334445556667778889992222333344445555 security-administrator@hostname:fips# prompt security macsec connectivity-association CA1 pre-shared-key cak New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# set security macsec connectivity-association CA1 offset 30
-
设置跟踪选项值。
[edit] security-administrator@hostname:fips# set security macsec traceoptions file MACsec.log security-administrator@hostname:fips# set security macsec traceoptions file size 4000000000 security-administrator@hostname:fips# set security macsec traceoptions flag all
-
将跟踪分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
将 MACsec 安全模式配置为连接关联的静态 cak。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
设置 MKA 传输间隔。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
启用 MKA 安全。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
将连接关联分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1 security-administrator@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24
使用第 3 层流量通过钥匙串配置 MACsec
将两个 macsec 端点设备同步到 NTP,因为对于密钥开始时间触发器,两个设备的时间应相同。要使用设备 R0 和设备 R1 之间的 ICMP 流量,使用钥匙串配置 MACsec:
在 R0 中:
要使用密钥链为 3 层流量配置 MACsec:
在 R1 中:
-
为认证密钥链分配容差值。
[edit] security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
-
创建要使用的机密密码。它是一个十六进制数字字符串,最长可达 64 个字符。如果字符串用引号引起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。
您最多可以配置 64 个密钥。例如,您可以参考以下 4 个键:
[edit] security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 start-time 2018-03-20.20:37 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 start-time 2018-03-20.20:39 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 start-time 2018-03-20.20:43
使用该
prompt命令输入密钥值。例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。您最多可以配置 64 个密钥。例如,您可以参考以下 4 个密钥:
[edit] security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 1 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 2 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 3 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 4 secret New cak (secret): Retype new cak (secret):
-
将预共享钥匙串名称与连接关联相关联。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 security-administrator@hostname:fips# set security macsec connectivity-association CA1 offset 50 security-administrator@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
-
注意:
- 您可以使用非 XPN 密码
AES-GCM-128,AES-GCM-256并且只能对 10G/xe 接口使用 macsec 配置。 - 您可以使用 XPN 密码
AES-GCM-XPN-128,AES-GCM-XPN-256对于 40G 和 100G 速率,可以使用 macsec 配置。您还可以使用 XPN 密码AES-GCM-XPN-128和AES-GCM-XPN-25610G/xe 接口的 macsec 配置(如果支持)。
- 您可以使用非 XPN 密码
-
设置跟踪选项值。
[edit] security-administrator@hostname:fips# set security macsec traceoptions file MACsec.log security-administrator@hostname:fips# set security macsec traceoptions file size 4000000000 security-administrator@hostname:fips# set security macsec traceoptions flag all
-
将跟踪分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
将 MACsec 安全模式配置为连接关联的静态 cak。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
设置 MKA 密钥服务器优先级。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
-
设置 MKA 传输间隔。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
启用 MKA 安全。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
将连接关联分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1 security-administrator@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24
为第 2 层流量配置静态 MACsec
要为设备 R0 和设备 R1 之间的第 2 层流量配置静态 MACsec:
在 R0 中:
在 R1 中:
-
创建要使用的机密密码。它是一个十六进制数字字符串,最长可达 64 个字符。如果字符串用引号引起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。
[edit] security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret):
例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。
-
将预共享钥匙串名称与连接关联相关联。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 security-administrator@hostname:fips# set security macsec connectivity-association CA1 offset 50 security-administrator@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
-
设置跟踪选项值。
[edit] security-administrator@hostname:fips# set security macsec traceoptions file MACsec.log security-administrator@hostname:fips# set security macsec traceoptions file size 4000000000 security-administrator@hostname:fips# set security macsec traceoptions flag all
-
将跟踪分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
将 MACsec 安全模式配置为连接关联的静态 cak。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
设置 MKA 密钥服务器优先级。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
-
设置 MKA 传输间隔。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
启用 MKA 安全。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
将连接关联分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1
-
配置 VLAN 标记。
[edit] security-administrator@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging security-administrator@hostname:fips# set interfaces interface-name1 encapsulation flexible-ethernet-services security-administrator@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlan-bridge security-administrator@hostname:fips# set interfaces interface-name1 unit 100 vlan-id 100 security-administrator@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging security-administrator@hostname:fips# set interfaces interface-name2 encapsulation flexible-ethernet-services security-administrator@hostname:fips# set interfaces interface-name2 unit 100 encapsulation vlan-bridge security-administrator@hostname:fips# set interfaces interface-name2 unit 100 vlan-id 100
为第 2 层流量配置带有钥匙串的 MACsec
将两个 macsec 端点设备同步到 NTP,因为对于密钥开始时间触发器,两个设备的时间应相同。要使用钥匙串为设备 R0 和设备 R1 之间的 ICMP 流量配置 MACsec:
在 R0 中:
在 R1 中:
-
为认证密钥链分配容差值。
[edit] security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
-
创建要使用的机密密码。它是一个十六进制数字字符串,最长可达 64 个字符。如果字符串用引号引起来,则密码可以包含空格。钥匙串的秘密数据用作 CAK。
您最多可以配置 64 个密钥。例如,您可以参考以下 4 个键:
[edit] security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 1 start-time 2018-03-20.20:37 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 start-time 2018-03-20.20:39 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555 security-administrator@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 4 start-time 2018-03-20.20:43
使用该
prompt命令输入密钥值。例如,密钥值为 2345678922334455667788992223334123456789223344556677889922233341。您最多可以配置 64 个密钥。例如,您可以参考以下 4 个密钥:
[edit] security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 0 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 1 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 2 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 3 secret New cak (secret): Retype new cak (secret): security-administrator@hostname:fips# prompt security authentication-key-chains key-chain macsec-kc1 key 4 secret New cak (secret): Retype new cak (secret):
-
将预共享钥匙串名称与连接关联相关联。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1 security-administrator@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
-
设置跟踪选项值。
[edit] security-administrator@hostname:fips# set security macsec traceoptions file MACsec.log security-administrator@hostname:fips# set security macsec traceoptions file size 4000000000 security-administrator@hostname:fips# set security macsec traceoptions flag all
-
将跟踪分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe size 1g security-administrator@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
-
将 MACsec 安全模式配置为连接关联的静态 cak。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
-
设置 MKA 密钥服务器优先级。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 mka key-server-priority 1
-
设置 MKA 传输间隔。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 mka transmit-interval 3000
-
启用 MKA 安全。
[edit] security-administrator@hostname:fips# set security macsec connectivity-association CA1 include-sci
-
将连接关联分配给接口。
[edit] security-administrator@hostname:fips# set security macsec interfaces interface-name connectivity-association CA1
-
配置 VLAN 标记。
[edit] security-administrator@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging security-administrator@hostname:fips# set interfaces interface-name1 encapsulation flexible-ethernet-services security-administrator@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlan-bridge security-administrator@hostname:fips# set interfaces interface-name1 unit 100 vlan-id 100 security-administrator@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging security-administrator@hostname:fips# set interfaces interface-name2 encapsulation flexible-ethernet-services security-administrator@hostname:fips# set interfaces interface-name2 unit 100 encapsulation vlan-bridge security-administrator@hostname:fips# set interfaces interface-name2 unit 100 vlan-id 100
禁用并重新启动 MACsec 会话
要禁用并重新启动 MACsec 会话,请使用以下配置:
-
要禁用 MACsec 会话,请执行以下操作:
user@host# deactivate security macsec
-
要重新启动 MACsec 会话,请执行以下操作:
user@host# run restart dot1x-protocol
或
user@host# activate security macsec