Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:通过 EX 系列交换机上的 MPLS CCC 配置 MACsec

此示例说明如何使 MACsec 通过基本 MPLS CCC 保护从一个站点的用户到另一站点的用户的敏感流量。

要求

此示例使用以下硬件和软件组件:

  • 三个 EX4550 交换机,用作 MPLS 网络中的 PE 和提供商交换机

  • 一台 EX4550 交换机用作 CE 交换机,用于将站点 A 连接到 MPLS 网络

  • 一台 EX4200 交换机安装了 SFP+ MACsec 上行链路模块,该模块用作 CE 交换机,将站点 B 连接到 MPLS 网络

  • 在 MPLS 网络中的所有 EX4550 交换机上运行的 Junos OS 版本 12.2R1 或更高版本(PE1、PE2 或提供商交换机)

  • Junos OS 版本 13.2X50-D15(受控版本)或更高版本在站点 A 的 CE 交换机和 B 站点的 CE 交换机上运行

    注意:

    必须下载受控的瞻博网络 Junos 操作系统 (Junos OS) 软件版本才能启用 MACsec。MACsec 软件支持在默认安装在交换机上的 Junos OS 软件的国内版本中不可用。受控版本的 Junos OS 软件包括国内版本的 Junos OS 中提供的所有特性和功能,同时还支持 MACsec。有关 MACsec 软件要求的更多信息,请参阅 了解媒体访问控制安全 (MACsec)

  • 在站点 A 和 CE 交换机上安装的 CE 交换机上安装的 MACsec 功能许可证,位于 B 站点

    注意:

    要为 MACsec 购买软件许可证,请联系瞻博网络销售代表 (https://www.juniper.net/us/en/contact-us/sales-offices)。瞻博网络销售代表将为您提供功能许可证文件和许可证密钥。您将被要求提供交换机的机箱序列号;您可以通过运行 show virtual-chassisshow chassis hardware 命令来获取序列号。

概述和拓扑

在此示例中,对财务敏感的公司数据通常在站点 A 的用户和站点 B 的用户之间发送。该公司希望确保从站点 A 上的用户传输到 B 站点用户的所有网络流量都高度安全,并且不会被攻击者查看或损坏。该公司正在使用 MACsec 提供的行业标准第 2 层安全,该安全提供加密以确保攻击者无法查看数据和完整性检查以确保传输的数据不会损坏,从而保护通过连接站点的 MPLS 云在 CCC 上传输的所有流量。两个站点均配置了 VLAN,以确保在两个用户之间通过 MACsec 安全 CCC 遍历这些站点的信息流。

此示例中的 MPLS 网络包括两台提供商边缘 (PE) 交换机(PE1 和 PE2)和一台提供商(中转)交换机。PE1 将站点 A 上的客户边缘 (CE) 交换机连接到 MPLS 网络,PE2 将站点 B 上的 CE 交换机连接到 MPLS 网络。在用于连接 A 站点和站点 B 的 CE 交换机的 CCC 上启用 MACsec,以保护通过 CCC 在站点之间传输的流量。一种 VLAN,包括将用户连接到 CE 交换机的接口、站点 A 上的 CE 交换机上的 ge-0/0/0 和 CE 交换机 B 站点上的 ge-0/0/2 接口,以及将 CE 交换机连接到 MPLS 云的接口(A CE 交换机站点上的 ge-0/0/0 和站点 B CE 交换机的 xe-0/1/0) 用于将用户之间的所有流量定向到 MACsec 安全 CCC 上。

图 1 显示了此示例中使用的拓扑。此图中标记了 MACsec CCC MACsec 安全 CCC 流量。

图 1:站点 A 和站点 B 之间的 MPLS 图

表 1 提供了此拓扑中的 MPLS 网络组件摘要。

表 2 提供了此拓扑中使用的 MACsec 连接关联的摘要。MACsec 通过在链路每端的接口上创建连接关联来实现。当链路交换每端的接口预共享密钥(预共享密钥在连接关联中定义)来保护 MACsec 的链路时,MACsec 将启用。

表 3 提供了此拓扑中所用 VLAN 的摘要。此拓扑中使用 VLAN 将站点 A 上用户的所有通信定向到站点 B 中的用户,并连接到 MACsec 安全 CCC。

表 1:MPLS 拓扑的组件
组件 说明

PE1

PE 交换机。

lo0:

  • IP 地址:130.1.1.1/32

  • 参与 OSPF 和 RSVP。

ge-0/0/0:

  • 将站点 A 连接到 MPLS 网络的客户边缘接口。

  • CCC 在 PE2 上连接到 xe-0/1/1。

ge-0/0/1:

  • 将 PE1 连接到提供商交换机的核心接口。

  • IP 地址:10.1.5.2/24

  • 参与 OSPF、RSVP 和 MPLS。

供应商

提供商交换机。

lo0:

  • IP 地址:130.1.1.2/32

  • 参与 OSPF 和 RSVP。

ge-0/0/10:

  • 将提供商交换机连接到 PE1 的核心接口。

  • IP 地址:10.1.5.1/24

  • 参与 OSPF、RSVP 和 MPLS。

xe-0/0/0:

  • 将提供商交换机连接到 PE2 的核心接口。

  • IP 地址:10.1.9.1/24

  • 参与 OSPF、RSVP 和 MPLS。

PE2

PE 交换机。

lo0:

  • IP 地址:130.1.1.3/32

  • 参与 OSPF 和 RSVP。

xe-0/1/0

  • 将 PE2 连接到提供商交换机的核心接口。

  • IP 地址:10.1.9.2/24

  • 参与 OSPF、RSVP 和 MPLS。

xe-0/1/1

  • 将站点 B 连接到 MPLS 网络的客户边缘接口。

  • CCC 连接到 PE1 上的 ge-0/0/0。

lsp_to_pe2_xe1标签交换系列

从 PE1 到 PE2 的标签交换路径。

lsp_to_pe1_ge0标签交换系列

从 PE2 到 PE1 的标签交换路径。
表 2:MACsec 连接关联摘要
连接关联 说明

ccc-macsec

连接关联,在 CCC 上启用 MACsec,将站点 A 连接到站点 B。

以下接口上启用了连接关联:

  • 站点 A CE 交换机:ge-0/0/0

  • 站点 B CE 交换机:xe-0/1/0
表 3:VLAN 摘要
VLAN 说明

macsec

VLAN 将站点 A 上的用户与站点 B 上的用户之间的流量定向到 MACsec 安全 CCC。

VLAN 包括以下接口:

  • 站点 A CE 交换机:ge-0/0/0

  • 站点 A CE 交换机:ge-0/0/1

  • 站点 B CE 交换机:xe-0/1/0

  • 站点 B CE 交换机:ge-0/0/2

配置 MPLS

本节介绍如何在 MPLS 网络中的每个交换机上配置 MPLS。

其中包含以下部分:

在交换机 PE1 上配置 MPLS

CLI 快速配置

要在 PE1 交换机上快速配置 MPLS 配置,请使用以下命令:

逐步过程

要在交换机 PE1 上配置 MPLS:

  1. 在启用信息流工程后配置 OSPF:

  2. 在环路地址和核心接口上配置 OSPF:

  3. 在 PE1 交换机上配置 MPLS,并将 LSP 配置到 PE2 交换机:

  4. 在核心接口上配置 MPLS:

  5. 在环路接口和核心接口上配置 RSVP:

  6. 为环路接口和核心接口配置 IP 地址:

  7. 在核心接口地址的逻辑单元上配置 family mpls

  8. 将客户边缘接口的逻辑单元配置为 CCC:

  9. 从 PE1 配置基于接口的 CCC 到 PE2:

结果

显示配置的结果:

在提供商交换机上配置 MPLS

CLI 快速配置

要在提供商交换机上快速配置 MPLS 配置,请使用以下命令:

逐步过程

要配置提供商交换机:

  1. 在启用信息流工程后配置 OSPF:

  2. 在回传接口和核心接口上配置 OSPF:

  3. 在交换机上的核心接口上配置 MPLS:

  4. 在环路接口和核心接口上配置 RSVP:

  5. 为环路接口和核心接口配置 IP 地址:

  6. 在核心接口地址的逻辑单元上配置 family mpls

  7. 将 LSP 配置为 PE2 交换机:

结果

显示配置的结果:

在交换机 PE2 上配置 MPLS

CLI 快速配置

要快速配置交换机 PE2 上的 MPLS 配置,请使用以下命令:

逐步过程

要配置交换机 PE2:

  1. 在启用信息流工程后配置 OSPF:

  2. 在回传接口和核心接口上配置 OSPF:

  3. 将带有标签交换系列 (LSP) 的此交换机上的 MPLS (PE2) 配置到其他 PE 交换机 (PE1):

  4. 在核心接口上配置 MPLS:

  5. 在环路接口和核心接口上配置 RSVP:

  6. 为环路接口和核心接口配置 IP 地址:

  7. 在核心接口的逻辑单元上配置 family mpls

  8. 将客户边缘接口的逻辑单元配置为 CCC:

  9. 在主边缘交换机之间配置基于接口的 CCC:

结果

显示配置的结果:

配置 MACsec

本节介绍如何在拓扑中的每个交换机上配置 MACsec。

其中包含以下部分:

在站点 A CE 交换机上配置 MACsec 以保护到站点 B 的流量

CLI 快速配置

逐步过程

在此示例中,经常交换财务敏感型数据的用户之间的流量将在 CCC 上的站点之间通过 MPLS 云发送。通过在连接到 MPLS PE 交换机的站点 A 和站点 B CE 交换机的接口上配置 MACsec 连接关联,可在 CCC 上启用 MACsec。连接关联必须具有匹配的连接关联名称(在此示例 ccc-macsec中)、匹配 CKN(在此示例 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311中)和 CAK(在此示例 228ef255aa23ff6729ee664acb66e91f中),才能建立 MACsec-secure 连接。

要在将站点 A 连接到 B 站点的 CCC 上启用 MACsec,请对站点 A CE 交换机执行以下步骤:

  1. 创建名为 ccc-macsec的连接关联,并将 MACsec 安全模式配置为 static-cak

  2. 通过配置 CKN 和 CAK 创建预共享密钥:

  3. 将连接关联分配给连接到 PE1 交换机的接口:

    这完成了在 CCC 一端配置连接关联的步骤。在链路的另一端启用与匹配预共享密钥的连接关联之后,MACsec 才会启用,在这种情况下,链路是 CCC 站点 B CE 交换机上的接口。下列部分介绍了在站点 B CE 交换机上配置连接关联的过程。

结果

显示配置的结果:

在站点 B CE 交换机上配置 MACsec 以保护到站点 A 的流量

CLI 快速配置

逐步过程

流量使用 CCC 通过 MPLS 网络从站点 B 传输到站点 A。通过在连接到 MPLS PE 交换机的站点 A 和站点 B CE 交换机的接口上配置 MACsec 连接关联,可在 CCC 上启用 MACsec。为了建立 MACsec 安全连接,连接关联必须具有匹配的连接关联名称(在此示例 ccc-macsec中)、匹配 CKN (37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) 和匹配 CAK (228ef255aa23ff6729ee664acb66e91f)。

要在将站点 B 连接到 A 站点的 CCC 上启用 MACsec,请对站点 B CE 交换机执行以下步骤:

  1. 创建名为 ccc-macsec的连接关联,并将 MACsec 安全模式配置为 static-cak

  2. 通过配置 CKN 和 CAK 创建预共享密钥:

  3. 将连接关联分配给连接到交换机 PE2 的接口:

    交换预共享密钥之后,MACsec 为 CCC 启用,即在此过程完成后不久。

结果

显示配置的结果:

配置 VLAN 以将流量定向到 MACsec 安全 CCC

本节介绍如何在站点 A 和站点 B CE 交换机上配置 VLAN。VLAN 的目的是将您希望获得 MACsec 保护的信息流引导到 MACsec 安全 CCC 上。

配置 VLAN 以将流量定向到站点 A CE 交换机上的 MACsec CCC

CLI 快速配置

逐步过程

要创建 VLAN (VLAN ID 50),将来自站点 A 上的用户的流量定向到 MACsec 安全 CCC:

  1. 将 ge-0/0/0 接口配置到 macsec VLAN:

  2. 将 ge-0/0/2 接口配置到 macsec VLAN:

  3. 为 macsec VLAN 广播域创建 IP 地址:

  4. 为 macsec VLAN 将 VLAN 标记 ID 配置为 50:

  5. 将第 3 层接口与 macsec VLAN 相关联:

结果

显示配置的结果:

配置 VLAN 以将流量定向到站点 B CE 交换机上的 MACsec CCC

CLI 快速配置

逐步过程

要创建 VLAN (VLAN ID 50),将站点 B 上的用户流量定向到 MACsec 安全 CCC:

  1. 将 ge-0/0/2 接口配置到 macsec VLAN:

  2. 将 xe-0/1/0 接口配置到 macsec VLAN:

  3. 为 macsec VLAN 广播域创建 IP 地址:

  4. 为 macsec VLAN 将 VLAN 标记 ID 配置为 50:

  5. 将第 3 层接口与 macsec VLAN 相关联:

结果

显示配置的结果:

验证

要确认配置工作正常,请执行以下任务:

验证 MACsec 连接

目的

验证 MACsec 是否在 CCC 上运行。

行动

show security macsec connections 一个或两个客户边缘 (CE) 交换机上输入 命令。

意义

CA name:Interface name:输出显示,ccc-macsec 连接关联在接口 ge-0/0/0 上运行。当接口上的连接关联无法运行时,不会显示输出。

要进一步验证 MACsec 是否在 CCC 上运行,您还可以在其他 CE 交换机上输入 show security macsec connections 命令。

验证 MACsec 安全流量是否遍历 CCC

目的

验证通过 CCC 的信息流是否具有 MACsec 安全性。

行动

show security macsec statistics 一个或两个 CE 交换机上输入 命令。

意义

Encrypted packets每次从由 MACsec 保护和加密的Secure Channel transmitted接口发送数据包时,输出下的线路都会递增。输出Encrypted packets显示,9784 个加密且安全的数据包已通过接口 ge-0/0/0 传输。因此,在接口 ge-0/0/0/0 上发送 MACsec 安全流量。

Accepted packets每次接口上收到通过 MACsec 完整性检查的数据包时,输出下的Secure Association received线路都会递增。Decrypted bytes每次接收加密数据包并解密时,输出下的Secure Association received线路都会递增。输出显示,接口 ge-0/0/0 上已接收 9791 个 MACsec 安全数据包,并且这些数据包的2823555字节已成功解密。因此,在接口 ge-0/0/0/0 上接收 MACsec 安全流量。

要进行更多验证,您还可以在另一 show security macsec statistics 个 CE 交换机上输入 命令。

验证 MPLS 和 CCC 协议是否在提供商边缘和提供商交换机接口上启用

目的

验证是否已在 PE 和提供商交换机的正确接口上启用 MPLS。

行动

show interfaces terse在 PE 交换机和提供商交换机上输入 命令:

意义

输出确认,通过 MPLS 信息流的提供商交换机接口(xe-0/0/0 和 ge-0/0/10)和通过 MPLS 流量的 PE 交换机接口(即 PE1 交换机上的接口 ge-0/0/1 和 PE2 交换机上的接口 xe-0/1/0)的 MPLS 协议已启动。

输出还确认面向 CE 交换机的 PE 交换机接口上启用了 CCC,即 PE1 交换机上的接口 ge-0/0/0,PE2 交换机上的接口 xe-0/1/1。

验证 MPLS 标签操作

目的

验证哪些接口用作 CCC 的开头,以及哪些接口用于将 MPLS 数据包推送至下一跳跃。

行动

show route forwarding-table family mpls在一个或两个 PE 交换机上输入。

意义

此输出确认 CCC 配置在接口 ge-0/0/0.0 上。交换机在 ge-0/0/1.0 上接收入口信息流,并将标签299952推至数据包,通过接口 ge-0/0/1.0 退出交换机。输出还显示,当交换机收到带有标签299856的 MPLS 数据包时,它会弹出标签并通过接口 ge-0/0/0.0 发送数据包

要进一步验证 MPLS 标签操作,请输入 show route forwarding-table family mpls 另一个 PE 交换机上。

验证 MPLSCC 的状态

目的

验证 MPLSCC 是否在运行。

行动

show connections PE 交换机上输入 命令。

命令 show connections 显示 CCC 连接的状态。此输出可验证 CCC 接口及其关联的传输和接收 LSP 是否 Up 都在两台 PE 交换机上。

验证 OSPF 操作

目的

验证 OSPF 是否正在运行。

行动

show ospf neighbor输入命令提供商或 PE 交换机,然后检查State输出。

意义

输出 State 使用 Full OSPF 在所有接口上,因此 OSPF 正在运行。

要进一步验证 OSPF,除了提供商交换机之外,在 PE 交换机上输入 show ospf neighbor 命令。

验证 RSVP 会话的状态

目的

验证 RSVP 会话的状态。

行动

输入 命令 show rsvp session ,验证每个 RSVP 会话的状态是否正常。

意义

适用于StateUp所有连接,因此 RSVP 工作正常。

要进一步验证,除了提供商交换机之外,请在 PE 交换机上输入 show rsvp session

相关文档