配置 MACsec
媒体访问控制安全 (MACsec) 是一种行业标准的安全技术,可为以太网链路上的几乎所有类型的流量提供安全通信。MACsec 在直连节点之间的以太网链路上提供点对点安全性,能够识别和阻止大多数安全威胁,包括拒绝服务、入侵、中间人、伪装、被动窃听和回放攻击。MACsec 在 IEEE 802.1AE 中进行了标准化。
您可以将 MACsec 配置为保护连接交换机的点对点以太网链路,或将交换机连接到主机设备(如 PC、电话或服务器)的以太网链路。要使用 MACsec 保护的每个点对点以太网链路都必须独立配置。您可以使用动态或静态连接关联密钥 (CAK) 安全模式在交换机到交换机链路上启用 MACsec。本文档中提供了这两个过程。
有关在机箱群集设置中在受支持的 SRX 系列防火墙的控制端口和结构端口上配置 MACsec 的信息,请参阅机箱群集上的媒体访问控制安全 (MACsec)。
启用 MACsec 时,我们建议您检查接口 MTU,并根据 MACsec 开销(32 字节)对其进行调整。
在静态 CAK 模式下配置 MACsec
您可以在连接交换机或路由器的点对点以太网链路上使用静态连接关联密钥 (CAK) 安全模式启用 MACsec。这可以是交换机到交换机、交换机到路由器或路由器到路由器链路。
我们建议在连接交换机或路由器的链路上使用静态 CAK 安全模式启用 MACsec。静态 CAK 安全模式通过频繁刷新到新的随机安全关联密钥 (SAK) 并仅在 MACsec 安全点对点链路上的两台设备之间共享 SAK 来确保安全性。
使用静态 CAK 安全模式启用 MACsec 时,将在点对点以太网链路两端的设备之间交换预共享密钥。预共享密钥包括连接关联名称 (CKN) 和连接关联密钥 (CAK)。CKN 和 CAK 必须在连接关联中手动配置,并且必须在链路的两端匹配才能初始启用 MACsec。
交换并验证预共享密钥后,MACsec 密钥协议 (MKA) 协议会在链路上启用 MACsec。MKA 负责选择点对点链路上的两个设备之一作为密钥服务器。然后,密钥服务器创建一个随机安全密钥,该密钥仅通过 MACsec 安全链路与对等设备共享。随机安全密钥在点对点链路上启用并保持 MACsec。在 MACsec 会话期间,密钥服务器将继续通过点对点链路定期创建和共享随机创建的安全密钥。
如果 MACsec 会话因链路故障而终止,MKA 密钥服务器将在链路恢复时选择密钥服务器并生成新的 SAK。
通过在链路的两端配置连接关联,可以使用静态 CAK 安全模式启用 MACsec。所有配置都在连接关联内完成,但在安全通道之外完成。使用静态 CAK 安全模式时,会自动创建两个安全通道,一个用于入站流量,一个用于出站流量。自动创建的安全通道没有任何用户可配置的参数。所有配置都在连接关联中完成。
要使用静态 CAK 安全模式配置 MACsec:
如果还配置了链路另一端的连接关联,则会启用使用静态 CAK 安全模式的 MACsec。连接关联必须包含在链路两端匹配的预共享密钥。
参见
在动态 CAK 模式下配置 MACsec
在动态 CAK 模式下,MACsec 链路上的对等节点会动态生成安全密钥,作为 802.1X 身份验证过程的一部分。您可以使用动态 CAK 模式来保护连接交换机或路由器的点对点链路。这可以是交换机到交换机、交换机到路由器或路由器到路由器的连接。设备必须同时充当 802.1X 身份验证的身份验证方和请求方,以便它们可以相互进行身份验证。
动态 CAK 模式比静态 CAK 模式更容易管理,因为不需要手动配置密钥。此外,可以从 RADIUS 服务器集中管理密钥。但是,静态 CAK 模式提供了更多功能。
逻辑接口不支持动态 CAK 模式。
以下过程用于在交换机或路由器之间的链路上配置动态 CAK 模式。要在交换机到主机链路上配置动态 CAK 模式,请参阅 配置 MACsec 以保护交换机到主机链路。
在开始在动态 CAK 模式下启用 MACsec 之前,必须配置 RADIUS 服务器。RADIUS 服务器:
-
必须配置服务器端证书。
-
必须使用可扩展身份验证协议 - 传输层安全性 (EAP-TLS) 身份验证框架。
有关配置 RADIUS 服务器的信息,请参阅 用于身份验证的 RADIUS 服务器配置。
配置连接关联
配置证书
您必须为每个请求方接口分配本地证书和证书颁发机构 (CA) 证书。请求方和 RADIUS 服务器通过交换证书凭据来相互进行身份验证。本地证书和服务器证书必须由同一 CA 签名。您可以使用公钥基础结构 (PKI) 在本地生成证书,也可以加载远程生成的证书。
在本地生成证书
要生成 CA 证书,请执行以下操作:
- 配置 CA 配置文件:
[edit] user@host# set security pki ca-profile ca_profile ca-identity ca_id
- 禁用吊销检查:
[edit] user@host# set security pki ca-profile ca_profile revocation-check disable
- 向 CA 注册证书:
[edit] user@host> request security pki ca-certificate enroll ca-profile ca-profile-name
要生成本地证书,请执行以下操作:
- 生成公钥-私钥对:
[edit] user@host> request security pki generate-key-pair certificate-id cert-id
- 使用简单证书注册协议 (SCEP) 生成并注册本地证书:
[edit] user@host> request security pki local-certificate enroll ca-profile ca-profile-name certificate-id cert-id challenge-password password domain-name domain-name subject subject-distinguished-name
加载远程生成的证书
要加载远程生成的证书,请执行以下操作:
- 加载 CA 配置文件:
[edit] user@host# run request security pki ca-certificate load filename ca_cert ca-profile ca_prof
- 加载本地证书:
[edit] user@host# run request security pki local-certificate load certificate-id cert-id filename path key client-key passphrase string
配置 802.1X 身份验证
在点对点链路两端的接口上使用 EAP-TLS 配置 802.1X 身份验证。接口必须同时充当验证方和请求方,以便设备可以相互进行身份验证。
配置 MACsec 以保护交换机到主机链路
在交换机到主机链路上配置 MACsec 时,作为 AAA 握手的一部分,将从 RADIUS 服务器检索 MACsec 密钥协议 (MKA) 密钥(作为 802.1X 身份验证的一部分)。在独立的身份验证事务中,主密钥从 RADIUS 服务器传递到交换机,再从 RADIUS 服务器传递到主机。然后在交换机和主机之间传递主密钥,以创建 MACsec 安全连接。
要在将主机设备连接到交换机的链路上启用 MACsec,必须满足以下要求。
主机设备:
-
必须支持 MACsec,并且必须运行允许其启用与交换机的 MACsec 安全连接的软件。
交换机:
-
必须支持 MACsec。
-
必须配置为动态连接关联密钥 (CAK) 安全模式。
-
必须使用 802.1X 身份验证才能与 RADIUS 服务器通信。
在开始在交换机到主机链路上启用 MACsec 之前:
-
配置 RADIUS 服务器。RADIUS 服务器:
-
必须配置为用于 802.1X 身份验证的用户数据库。
-
必须使用可扩展身份验证协议 - 传输层安全性 (EAP-TLS) 身份验证框架。
-
必须与交换机和主机建立连接。RADIUS 服务器可以与交换机或主机建立多个跃点。
-
-
在主机设备上启用 MACsec。
在主机设备上启用 MACsec 的过程因主机设备而异,超出了本文档的范围。
要使用动态 CAK 安全模式配置 MACsec 以保护交换机到主机以太网链路,请执行以下操作:
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。
[edit interfaces interface- name gigether-options]
语句设置
(flow-control | no-flow-control)
的配置。启用 MACsec 后,MACsec PHY 会将其他报头字节添加到数据包中。对于线速流量,当启用 MACsec 并禁用流控制时,MACsec PHY 发送的暂停帧将由 MIC 的 MAC(MX 系列路由器上的增强型 20 端口千兆以太网 MIC)终止,而不会传输到数据包转发引擎,从而导致成帧错误。因此,当在接口上启用 MACsec 时,流控制也会自动在此类接口上启用。