Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置 MACsec

配置概述

媒体访问控制安全 (MACsec) 是一种行业标准安全技术,可为以太网链路上的几乎所有类型的流量提供安全通信。MACsec 在直连节点之间的以太网链路上提供点对点安全性,能够识别和阻止大多数安全威胁,包括拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。MACsec 在 IEEE 802.1AE 中进行了标准化。

您可以将 MACsec 配置为保护连接交换机的点对点以太网链路,或将交换机连接到主机设备(如 PC、电话或服务器)的以太网链路。必须独立配置要使用 MACsec 保护的每个点对点以太网链路。您可以使用动态或静态连接关联密钥 (CAK) 安全模式在交换机到交换机链路上启用 MACsec。本文档中提供了这两个过程。

有关在机箱群集设置中在受支持的 SRX 系列防火墙的控制端口和交换矩阵端口上配置 MACsec 的信息,请参阅机箱群集上的媒体访问控制安全性 (MACsec)。

注意:

在 SRX 系列防火墙上,您可以在路由模式下配置 MACsec;透明模式不支持 MACsec。

准备工作

在启用 MACsec 之前,必须确保接口介质最大传输单元 (MTU) 与协议 MTU 之间的差异足够大,足以容纳额外的 32 字节 MACsec 开销。

有关如何配置接口 MTU 和协议 MTU,请参阅 媒体 MTU 和协议 MTU

在静态 CAK 模式下配置 MACsec

您可以在连接交换机或路由器的点对点以太网链路上使用静态连接关联密钥 (CAK) 安全模式启用 MACsec。这可以是交换机到交换机、交换机到路由器或路由器到路由器的链路。

最佳实践:

我们建议在连接交换机或路由器的链路上使用静态 CAK 安全模式启用 MACsec。静态 CAK 安全模式通过频繁刷新到新的随机安全关联密钥 (SAK) 以及仅在 MACsec 安全点对点链路上的两台设备之间共享 SAK 来确保安全性。

使用静态 CAK 安全模式启用 MACsec 时,点对点以太网链路两端的设备之间将交换预共享密钥。预共享密钥包括连接关联名称 (CKN) 和连接关联密钥 (CAK)。CKN 和 CAK 必须在连接关联中手动配置,并且必须在链路的两端匹配,才能初始启用 MACsec。

交换并验证预共享密钥后,MACsec 密钥协议 (MKA) 协议将在链路上启用 MACsec。MKA 负责选择点对点链路上的两台设备中的一台作为密钥服务器。然后,密钥服务器创建一个随机化安全密钥,仅通过 MACsec 安全链路与对等设备共享该密钥。随机安全密钥在点对点链路上启用和维护 MACsec。在 MACsec 会话期间,密钥服务器将继续通过点对点链路定期创建和共享随机创建的安全密钥。

注意:

如果 MACsec 会话因链路故障而终止,则 MKA 密钥服务器将在链路还原时选择密钥服务器,并生成新的 SAK。

通过在链路的两端配置连接关联,可以使用静态 CAK 安全模式启用 MACsec。所有配置都在连接关联内完成,但在安全通道之外。使用静态 CAK 安全模式时,会自动创建两个安全通道(一个用于入站流量,一个用于出站流量)。自动创建的安全通道没有任何用户可配置的参数。所有配置都在连接关联中完成。

要使用静态 CAK 安全模式配置 MACsec:

  1. 创建连接关联。如果要配置现有连接关联,则可以跳过此步骤。

    例如,要创建名为 ca1的连接关联,请输入:

  2. 为连接关联配置 MACsec 安全模式static-cak

    例如,要将 MACsec 安全模式配置为 static-cak on 连接关联 ca1:

  3. 通过配置 CKN 和 CAK 创建预共享密钥:

    直接连接的对等方交换预共享密钥以建立 MACsec 安全链路。预共享密钥包括 CKN 和 CAK,它们是十六进制数字。CKN 和 CAK 必须在链路的两端匹配,才能创建受 MACsec 保护的链路。

    注意:

    为了最大限度地提高安全性,我们建议配置 CKN 的所有数字和 CAK 的所有数字。

    如果未配置 CKN 的所有数字或 CAK 的所有数字,则所有剩余数字将默认为 0。但是,在提交配置时,您将收到一条警告消息。

    链路上的两个对等方交换并验证预共享密钥后,MACsec 密钥协议 (MKA) 协议将启用 MACsec。然后,MKA 协议选择两个直连交换机中的一个作为密钥服务器。然后,密钥服务器通过 MACsec 安全点对点链路与其他设备共享随机安全性。只要启用了 MACsec,密钥服务器就会继续通过受 MACsec 保护的点对点链路定期创建随机安全密钥并与其他设备共享。

    要配置连接关联 ca1 的 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 CKN 和 CAK 228ef255aa23ff6729ee664acb66e91f ,请执行以下作:

    注意:

    在将连接关联附加到接口之前,不会启用 MACsec。请参阅此过程的最后一步,将连接关联附加到接口。
    注意:

    在 FIPS 模式下,必须使用以下命令,而非使用 set connectivity-association ca1 pre-shared-key cak 命令:

    user@host# prompt connectivity-association ca1 pre-shared-key cak
  4. (仅在连接到 EX4300 交换机时在非 EX4300 交换机上是必需的)启用 SCI 标记:

    如果交换机在连接到 EX4300 或 EX4600 交换机的以太网链路上启用 MACsec,则必须启用 SCI 标记。

    在 EX4300 或 EX4600 交换机上离开启用 MACsec 的接口时,SCI 标记会自动附加到数据包中,因此此选项在这些交换机上不可用。

    仅当将交换机连接到 EX4300 或 EX4600 交换机或者需要 SCI 标记的主机设备时,才应使用此选项。SCI 标记的长度为 8 个八位位组,因此将 SCI 标记追加到链路上的所有流量会增加大量不必要的开销。

  5. (可选)设置 MKA 密钥服务器优先级:

    指定 MKA 协议用于选择密钥服务器的密钥服务器优先级。下部 priority-number 的交换机被选为密钥服务器。

    默认 priority-number 值为 16。

    key-server-priority如果链路两端的 相同,则 MKA 协议会选择 MAC 地址较低的接口作为密钥服务器。因此,如果未在 MACsec 安全链路的两端配置此语句,则 MAC 地址较低的接口将成为密钥服务器。

    要将密钥服务器优先级更改为 0,以增加在接口上使用连接关联 ca1启用 MACsec 时选择当前设备作为密钥服务器的可能性:

    要将密钥服务器优先级更改为 255,以降低在连接关联 ca1 中选择当前设备作为密钥服务器的可能性,请执行以下作:

  6. (可选)设置 MKA 传输间隔:

    MKA 传输间隔设置是将 MACsec 密钥协议协议数据单元 (PDU) 发送到连接设备以保持链路连接的频率。链路上的带宽开销越低 interval ;越高 interval 越优化 MKA 协议通信。

    默认 interval 值为 2000ms。建议在高流量负载环境中将间隔增加到 6000 毫秒。启用使用静态 CAK 安全模式的 MACsec 时,链路两端的传输间隔设置必须相同。

    例如,如果要在连接关联 ca1 连接到接口时将 MKA 传输间隔增加到 6000 毫秒:

  7. (可选)从 MACsec 中排除协议:

    启用此选项后,将对链路上发送或接收的指定协议的所有数据包禁用 MACsec。例如,如果您不希望使用 MACsec 保护链路级别发现协议 (LLDP):

    启用此选项后,将对链路上发送或接收的指定协议(在本例中为 LLDP)的所有数据包禁用 MACsec。您可以使用此选项允许某些协议的控制流量通过不带 MACsec 标记的 MACsec 安全连接。这提供了与不支持 MACsec 的设备(如 IP 电话)的互作性。

  8. 将连接关联分配给接口:

    例如,要将连接关联 ca1 分配给接口 xe-0/0/1,请执行以下作:

    要为逻辑接口分配连接关联,请使用以下命令:

    注意:

    将 CA 分配给逻辑接口时,存在以下限制:

    • 在物理接口和逻辑接口上配置 CA 是互斥的。

    • 具有本机 VLAN 配置的逻辑接口不支持 MACsec。

    • 逻辑聚合接口不支持 MACsec。

    注意:

    在 EX4300 上行链路模块上,插入上行链路模块的第一个收发器将决定 PIC 模式,因为 PIC 可识别 SFP 类型并将所有端口编程为 ge- 或 xe-。确保接口上的 MACsec 配置与上行链路模块端口的链路速度相匹配。

    将连接关联分配给接口是在接口上启用 MACsec 的最后一个配置步骤。

如果还在链路的另一端配置了连接关联,则会启用使用静态 CAK 安全模式的 MACsec。连接关联必须包含链路两端匹配的预共享密钥。

另见

在动态 CAK 模式下配置 MACsec

在动态 CAK 模式下,MACsec 链路上的对等节点会动态生成安全密钥,作为 802.1X 身份验证过程的一部分。您可以使用动态 CAK 模式保护连接交换机或路由器的点对点链路。这可以是交换机到交换机、交换机到路由器或路由器到路由器的连接。设备必须同时充当 802.1X 身份验证的验证方和请求方,以便可以相互验证。

动态 CAK 模式的管理比静态 CAK 模式更轻松,因为不需要手动配置密钥。此外,密钥可以从 RADIUS 服务器集中管理。但是,静态 CAK 模式提供了更多功能。

注意:

逻辑接口不支持动态 CAK 模式。

以下过程用于在交换机或路由器之间的链路上配置动态 CAK 模式。要在交换机到主机链路上配置动态 CAK 模式,请参阅 配置 MACsec 以保护交换机到主机链路

在动态 CAK 模式下开始启用 MACsec 之前,必须配置 RADIUS 服务器。RADIUS 服务器:

  • 必须配置服务器端证书。

  • 必须使用可扩展身份验证协议传输层安全性 (EAP-TLS) 身份验证框架。

有关配置 RADIUS 服务器的信息,请参阅 用于身份验证的 RADIUS 服务器配置

配置连接关联

  1. 创建连接关联。如果要配置现有连接关联,则可以跳过此步骤。

    例如,要创建名为 ca1的连接关联,请输入:

  2. 为连接关联配置 MACsec 安全模式dynamic

    例如,要将 MACsec 安全模式配置为 dynamic on 连接关联 ca1:

  3. 将连接关联分配给接口:

    例如,要将连接关联 ca1 分配给接口 xe-0/0/1,请执行以下作:

配置证书

您必须为每个请求方接口分配本地证书和证书颁发机构 (CA) 证书。请求方和 RADIUS 服务器通过交换证书凭据来相互验证。本地证书和服务器证书必须由同一 CA 签名。您可以使用公钥基础架构 (PKI) 在本地生成证书,也可以加载远程生成的证书。

在本地生成证书

要生成 CA 证书,请执行以下作:

  1. 配置 CA 配置文件:
  2. 禁用吊销检查:
  3. 使用 CA 注册证书:

要生成本地证书,请执行以下作:

  1. 生成公钥-私钥密钥对:
  2. 使用简单证书注册协议 (SCEP) 生成并注册本地证书:

加载远程生成的证书

要加载远程生成的证书,请执行以下作:

  1. 加载 CA 配置文件:
  2. 加载本地证书:

配置 802.1X 身份验证

在点对点链路两端的接口上使用 EAP-TLS 配置 802.1X 身份验证。接口必须同时充当验证方和请求方,以便设备可以相互进行身份验证。

  1. 使用不重新身份验证选项将接口配置为身份验证器:
  2. 将接口配置为请求方。
  3. 将身份验证方法配置为 EAP-TLS:
  4. 为接口分配本地证书:

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
16.1R2
从 Junos OS 16.1R2 版开始,当在接口上启用媒体访问控制安全 (MACsec) 时,无论您使用语句在 [edit interfaces interface- name gigether-options]层次结构级别上设置 (flow-control | no-flow-control)的配置如何,都会默认启用接口流控制功能。启用 MACsec 后,MACsec PHY 会将附加报头字节添加到数据包中。对于线速流量,当启用 MACsec 并禁用流控制时,MACsec PHY 发送的暂停帧将由 MIC 的 MAC(MX 系列路由器上的增强型 20 端口千兆以太网 MIC)终止,而不会传输到数据包转发引擎,从而导致成帧错误。因此,当在某个接口上启用 MACsec 时,也会在此类接口上自动启用流控制。
15.1
从 Junos OS 15.1 版开始,您可以将 MACsec 配置为保护点对点以太网链路,将 MX 系列路由器与支持 MACsec 的 MIC 连接起来,或在将交换机连接到主机设备(如 PC、电话或服务器)的以太网链路上。