机箱群集上的媒体访问控制安全性 (MACsec)
使用 功能浏览器 确认平台和版本对特定功能的支持。
查看 特定于平台的 MACsec 行为 部分,了解与您的平台相关的说明。
媒体访问控制安全 (MACsec) 是一种行业标准安全技术,可为以太网链路上的所有流量提供安全通信。有关更多信息,请参阅以下主题:
了解媒体访问控制安全性 (MACsec)
媒体访问控制安全 (MACsec) 是一种行业标准安全技术,可为以太网链路上的所有流量提供安全通信。MACsec 在直连节点之间的以太网链路上提供点对点安全性,能够识别和阻止大多数安全威胁,包括拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。
MACsec 允许您为几乎所有流量保护以太网链路,包括来自链路层发现协议 (LLDP)、链路聚合控制协议 (LACP)、动态主机配置协议 (DHCP)、地址解析协议 (ARP) 以及其他由于其他安全解决方案的限制而通常无法在以太网链路上保护的协议的帧。MACsec 可以与 IP 安全 (IPsec) 和安全套接字层 (SSL) 等其他安全协议结合使用,以提供端到端网络安全。
本主题包含以下部分:
MACsec 工作原理
MACsec 通过使用安全的点对点以太网链路来提供行业标准的安全性。点对点链路在匹配安全密钥后得到保护。使用静态连接关联密钥 (CAK) 安全模式启用 MACsec 时,将在点对点以太网链路两端的接口之间交换和验证用户配置的预共享密钥。
在点对点以太网链路上启用 MACsec 后,通过该链路的所有流量都将通过使用数据完整性检查和加密(如果配置了)进行 MACsec 保护。
数据完整性检查可验证数据的完整性。MACsec 为遍历 MACsec 保护的点对点以太网链路的所有以太网帧追加一个 8 字节标头和一个 16 字节尾部,接收接口检查标头和尾部,以确保数据在遍历链路时不受损害。如果数据完整性检查检测到流量有任何异常,则流量将被丢弃。
MACsec 还可用于对以太网链路上的所有流量进行加密。MACsec 使用的加密功能可确保监控链路流量的任何人都无法查看以太网帧中的数据。
默认情况下,当使用静态 CAK 安全模式启用 MACsec 时,会为进出接口的所有流量启用加密。
MACsec 配置在支持 MACsec 的接口之间的点对点以太网链路上。如果要在多个以太网链路上启用 MACsec,则必须在每个点对点以太网链路上单独配置 MACsec。
了解连接关联和安全通道
MACsec 在连接关联中配置。当为接口分配连接关联时,将启用 MACsec。
使用静态 CAK 或动态安全模式启用 MACsec 时,必须创建并配置连接关联。系统会自动创建两个安全通道:一个用于入站流量的安全通道,另一个用于出站流量的安全通道。自动创建的安全通道没有任何用户可配置的参数;所有配置均在安全通道之外的连接关联中完成。
了解静态连接关联密钥安全模式
使用静态连接关联密钥 (CAK) 安全模式启用 MACsec 时,将使用两个安全密钥(一个用于保护控制平面流量的连接关联密钥 (CAK) 和一个用于保护数据平面流量的随机生成的安全关联密钥 (SAK))来确保点对点以太网链路的安全。这两个密钥在点对点以太网链路两端的两台设备之间定期交换,以确保链路安全。
在使用静态 CAK 安全模式启用 MACsec 时,最初将使用预共享密钥建立受 MACsec 保护的链路。预共享密钥包括连接关联名称 (CKN) 及其自己的连接关联密钥 (CAK)。CKN 和 CAK 由用户在连接关联中配置,必须在链路的两端匹配,才能在初始启用 MACsec。
成功交换匹配的预共享密钥后,将启用 MACsec 密钥协议 (MKA) 协议。MKA 协议负责维护链路上的 MACsec,并决定点对点链路上的哪台交换机成为密钥服务器。然后,密钥服务器创建一个 SAK,仅与点对点链路另一端的交换机共享,并且该 SAK 用于保护通过该链路的所有数据流量。只要启用了 MACsec,密钥服务器就会继续通过点对点链路定期创建和共享随机创建的 SAK。
通过在链路的两端配置连接关联,可以使用静态 CAK 安全模式启用 MACsec。所有配置都在连接关联内完成,但在安全通道之外。使用静态 CAK 安全模式时,会自动创建两个安全通道(一个用于入站流量,一个用于出站流量)。自动创建的安全通道没有任何用户可配置的参数,这些参数无法在连接关联中配置。
建议使用静态 CAK 安全模式启用 MACsec。静态 CAK 安全模式通过频繁刷新新的随机安全密钥,以及仅在 MACsec 安全的点对点链路上的两台设备之间共享安全密钥来确保安全性。此外,一些可选的 MACsec 功能(重放保护、SCI 标记和从 MACsec 排除流量的功能)仅在使用静态 CAK 安全模式启用 MACsec 时才可用。
SRX 系列防火墙支持 HA 控制和结构链路上的 MACsec,如果在主节点上运行命令 restart 802.1x-protocol-daemon ,机箱群集控制和交换矩阵链路将发生抖动,导致群集节点进入裂脑模式。
MACsec 注意事项
当前无法使用 MACsec 对所有类型的生成树协议帧进行加密。
可以在任意位置定义连接关联,可以是全局关联、特定于节点的关联,也可以是任何其他配置组,只要它对 MACsec 接口配置可见即可。
对于 MACsec 配置,两端必须存在相同的配置。也就是说,每个节点都应包含与另一个节点相同的配置。如果另一端未配置另一个节点或未正确配置 MACsec,则该端口将被禁用并停止转发流量。
配置媒体访问控制安全 (MACsec)
本主题介绍如何在机箱群集中受支持的 SRX 系列防火墙的控制端口和交换矩阵端口上配置 MACsec,以保护群集中对等设备之间的点对点以太网链路。必须独立配置要使用 MACsec 保护的每个点对点以太网链路。您可以使用静态连接关联密钥 (CAK) 安全模式在设备到设备链路上启用 MACsec 加密。
本文档提供了这两个进程的配置步骤。
- 在机箱群集设置上配置 MACsec 时的配置注意事项
- 使用静态连接关联密钥配置 MACsec 安全模式
- 在机箱群集控制端口上配置静态 CAK
- 在机箱群集交换矩阵端口上配置静态 CAK
- 在控制端口上为 SRX1600、SRX2300 和 SRX4300 设备配置静态 CAK
- 在控制端口上配置静态 CAK 以实现SRX4600
- 验证 MACSEC 配置
在机箱群集设置上配置 MACsec 时的配置注意事项
开始之前,请按照以下步骤在控制端口上配置 MACsec:
- 如果机箱群集已启动,请使用
set chassis cluster disable命令将其禁用,然后重新启动两个节点。 - 在控制端口上配置 MACsec 及其属性,如以下机箱群集控制端口上的配置静态 CAK 部分所述。两个节点必须使用相同的配置进行独立配置。
- 在两个节点上使用
set chassis cluster cluster-id id启用机箱群集。重新启动两个节点。
控制端口状态会影响机箱群集的完整性。在控制端口上配置 MACsec 时,请考虑以下事项:
-
任何新的 MACsec 机箱群集端口配置或对现有 MACsec 机箱群集端口配置的修改都需要禁用机箱群集并显示警告消息
Modifying cluster control port CA will break chassis cluster。禁用后,您可以应用上述配置并启用机箱群集。 -
默认情况下,机箱群集同步所有配置。相应地,您必须监控同步不会导致任何 MACsec 配置丢失。否则,机箱群集将发生故障。例如,对于特定于节点的非对称 MACsec 配置,两端应存在相同的配置。也就是说,每个节点都应包含与另一个节点相同的配置。
对于控制端口的 MACsec 配置的任何更改,必须重复上述步骤。
在交换矩阵端口上配置 MACsec 时,请考虑以下事项:
配置 MACsec 会导致链路状态发生变化,进而影响链路的流量能力。配置交换矩阵端口时,请记住有效链路状态。如果交换矩阵链路两端的 MACsec 配置不正确,可能会将链路移动到不合格状态。有关配置结构链路,请注意以下几个要点:
-
形成机箱群集时,链路的两端必须同时配置。
-
不正确的配置可能导致结构故障和结构恢复逻辑错误。
由于可能存在链路故障情况,我们建议在机箱群集的形成过程中配置交换矩阵链路。
使用静态连接关联密钥配置 MACsec 安全模式
您可以通过在点对点以太网链路连接设备上使用静态连接关联密钥 (CAK) 安全模式来启用 MACsec 加密。此过程说明如何使用静态 CAK 安全模式配置 MACsec。
双控制链路上的 MACsec 配置在控制端口 0 [em0] 和控制端口 1 [em1] 上。在收入接口上配置的 MACsec 用于形成结构链路。结构链路配置在结构端口(mge-0/0/1 和 mge-7/0/1)上。
要使用静态 CAK 安全模式配置 MACsec 以保护设备到设备的以太网链路,请执行以下作:
在配置链路另一端的连接关联并包含链路两端匹配的预共享密钥之前,不会启用使用静态 CAK 安全模式的 MACsec。
在机箱群集控制端口上配置静态 CAK
在两台 SRX345 设备上通过机箱群集控制链路建立 CA。
在机箱群集交换矩阵端口上配置静态 CAK
要通过两台 SRX345 设备上的机箱群集交换矩阵链路建立连接关联:
在控制端口上为 SRX1600、SRX2300 和 SRX4300 设备配置静态 CAK
要通过两台SRX1600设备或两台SRX2300设备或SRX4300设备上的机箱群集控制链路配置连接关联。
要查看活动 MACsec 连接的状态,请运行命令 show security macsec connections 。
user@host> show security macsec connections
Interface name: em0
CA name: ca1
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 02:00:00:01:01:04/1
Outgoing packet number: 1914287
Secure associations
AN: 0 Status: inuse Create time: 07:33:26
Inbound secure channels
SC Id: 02:00:00:02:01:04/1
Secure associations
AN: 0 Status: inuse Create time: 07:33:26
Interface name: em1
CA name: ca1
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 02:00:01:01:01:04/1
Outgoing packet number: 108885
Secure associations
AN: 0 Status: inuse Create time: 07:33:26
Inbound secure channels
SC Id: 02:00:01:02:01:04/1
Secure associations
AN: 0 Status: inuse Create time: 07:33:26
要查看 MACsec 密钥协议会话信息,请运行命令 show security mka sessions 。
user@host> show security mka sessions
Interface name: em0
Interface State: Secured - Primary
Member identifier: 7A3FC14B77F5296124A8D22A
CAK name: 12345678
CAK type: primary
Security mode: static
MKA suspended: 0(s)
Transmit interval: 10000(ms)
SAK rekey interval: 0(s)
Preceding Key: enabled
Bounded Delay: disabled
Outbound SCI: 02:00:00:01:01:04/1
Message number: 2713 Key number: 1
MKA ICV Indicator: enabled
Key server: yes Key server priority: 16
Latest SAK AN: 0 Latest SAK KI: 7A3FC14B77F5296124A8D22A/1
MKA Suspend For: disabled MKA Suspend On Request: disabled
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 6A9B3CC75376160D74AAA1E7 (live)
Message number: 2711 Hold time: 57000 (ms)
SCI: 02:00:00:02:01:04/1 Uptime: 07:31:39
Lowest acceptable PN: 1674733
Interface name: em1
Interface State: Secured - Primary
Member identifier: 989CB809BF3759C9EAC10F5A
CAK name: 12345678
CAK type: primary
Security mode: static
MKA suspended: 0(s)
Transmit interval: 10000(ms)
SAK rekey interval: 0(s)
Preceding Key: enabled
Bounded Delay: disabled
Outbound SCI: 02:00:01:01:01:04/1
Message number: 2713 Key number: 1
MKA ICV Indicator: enabled
Key server: yes Key server priority: 16
Latest SAK AN: 0 Latest SAK KI: 989CB809BF3759C9EAC10F5A/1
MKA Suspend For: disabled MKA Suspend On Request: disabled
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 16015BCD3844F12DFA89AB7F (live)
Message number: 2711 Hold time: 57000 (ms)
SCI: 02:00:01:02:01:04/1 Uptime: 07:31:39
Lowest acceptable PN: 111017
查看控制端口和交换矩阵端口的安全状态。控制端口 0 和控制端口 1 都启用了 MACsec,运行命令 show chassis cluster interfaces 。
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Enabled
1 em1 Up Disabled Enabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 et-0/3/0 Up / Up Disabled
fab0 et-0/3/1 Up / Up Disabled
fab1 et-7/3/0 Up / Up Disabled
fab1 et-7/3/1 Up / Up Disabled
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
在控制端口上配置静态 CAK 以实现SRX4600
使用此过程可在两台SRX4600设备上的机箱群集控制链路上建立 CA。
验证 MACSEC 配置
要确认在 控制端口上配置 SRX4600 的静态 CAK 中提供的配置是否工作正常,请执行以下任务:
显示设备上活动 MACsec 连接的状态
目的
验证 MACsec 是否在机箱群集设置上正常运行。
行动
在作模式下,在机箱群集设置的一个或两个节点上输入 show security macsec connections interface interface-name 命令。
{primary:node0}[edit]user@host# show security macsec connectionsInterface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1 Secure associations AN: 3 Status: inuse Create time: 00:01:43 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 3 Status: inuse Create time: 00:01:43
意义
Interface name和 CA name 输出显示 MACsec 连接关联在接口 em0 上可作。当连接关联在接口上不起作用时,不会显示输出。
显示 MACsec 密钥协议 (MKA) 会话信息
目的
显示所有接口的 MACsec 密钥协议 (MKA) 会话信息。
行动
在作模式下,输入 show security mka sessions 命令。
user@host> show security mka sessions
Interface name: em0
Member identifier: B51CXXXX2678A7F5F6C12345
CAK name: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Transmit interval: 10000(ms)
Outbound SCI: 02:00:00:01:01:04/1
Message number: 270 Key number: 8
Key server: yes Key server priority: 16
Latest SAK AN: 3 Latest SAK KI: B51C8XXX2678A7A5B6C54321/8
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 0413427B38817XXXXF054321 (live)
Message number: 8 Hold time: 59000 (ms)
SCI: 02:00:00:02:01:04/1
Lowest acceptable PN: 0
意义
输出显示 MKA 会话的状态。
验证受 MACsec 保护的流量是否通过接口
目的
验证通过接口传输的流量是否受 MACsec 保护。
行动
在作模式下,输入 show security macsec statistics 命令。
user@host> show security macsec statistics interface em0 detail
Interface name: em0
Secure Channel transmitted
Encrypted packets: 2397305
Encrypted bytes: 129922480
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 2397305
Protected packets: 0
Secure Channel received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 131715088
Secure Association received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 0
意义
字段下方Secure Channel transmitted的Encrypted packets行是每次从受 MACsec 保护和加密的接口发送数据包时递增的值。
Accepted packets字段下方Secure Association received的行是每次在接口上接收到通过 MACsec 完整性检查的数据包时递增的值。Decrypted bytes每次接收和解密加密数据包时,Secure Association received输出下的行都会递增。
验证机箱群集端口是否已通过 MACsec 配置进行保护
目的
验证机箱群集端口上是否配置了 MACsec。
行动
在作模式下,输入 show chassis cluster interfaces 命令。
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Enabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-1/1/6 Up / Up Enabled
fab0
fab1 xe-8/1/6 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 2
reth2 Down Not configured
reth3 Down Not configured
reth4 Down Not configured
reth5 Down Not configured
reth6 Down Not configured
reth7 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
意义
Security em0 接口输出下的Control interfaces行显示Secured为,表示从 em0 接口发送的流量由 MACsec 保护和加密。
您也可以使用 show chassis cluster status 命令显示机箱群集的当前状态。
特定于平台的 MACsec 行为
使用 功能浏览器 确认平台和版本对特定功能的支持。
使用下表查看您的平台特定于平台的行为。
| 平台 |
差异 |
|---|---|
| SRX 系列 |
|
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。