Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 MACsec

媒体访问控制安全 (MACsec) 是一种行业标准的安全技术,可为以太网链路上的几乎所有类型的流量提供安全通信。MACsec 在直连节点之间的以太网链路上提供点对点安全性,能够识别和阻止大多数安全威胁,包括拒绝服务、入侵、中间人、伪装、被动窃听和回放攻击。MACsec 在 IEEE 802.1AE 中进行了标准化。

您可以将 MACsec 配置为保护连接交换机的点对点以太网链路,或将交换机连接到主机设备(如 PC、电话或服务器)的以太网链路。要使用 MACsec 保护的每个点对点以太网链路都必须独立配置。您可以使用动态或静态连接关联密钥 (CAK) 安全模式在交换机到交换机链路上启用 MACsec。本文档中提供了这两个过程。

有关在机箱群集设置中在受支持的 SRX 系列防火墙的控制端口和结构端口上配置 MACsec 的信息,请参阅机箱群集上的媒体访问控制安全 (MACsec)。

最佳实践:

启用 MACsec 时,我们建议您检查接口 MTU,并根据 MACsec 开销(32 字节)对其进行调整。

在静态 CAK 模式下配置 MACsec

您可以在连接交换机或路由器的点对点以太网链路上使用静态连接关联密钥 (CAK) 安全模式启用 MACsec。这可以是交换机到交换机、交换机到路由器或路由器到路由器链路。

最佳实践:

我们建议在连接交换机或路由器的链路上使用静态 CAK 安全模式启用 MACsec。静态 CAK 安全模式通过频繁刷新到新的随机安全关联密钥 (SAK) 并仅在 MACsec 安全点对点链路上的两台设备之间共享 SAK 来确保安全性。

使用静态 CAK 安全模式启用 MACsec 时,将在点对点以太网链路两端的设备之间交换预共享密钥。预共享密钥包括连接关联名称 (CKN) 和连接关联密钥 (CAK)。CKN 和 CAK 必须在连接关联中手动配置,并且必须在链路的两端匹配才能初始启用 MACsec。

交换并验证预共享密钥后,MACsec 密钥协议 (MKA) 协议会在链路上启用 MACsec。MKA 负责选择点对点链路上的两个设备之一作为密钥服务器。然后,密钥服务器创建一个随机安全密钥,该密钥仅通过 MACsec 安全链路与对等设备共享。随机安全密钥在点对点链路上启用并保持 MACsec。在 MACsec 会话期间,密钥服务器将继续通过点对点链路定期创建和共享随机创建的安全密钥。

注意:

如果 MACsec 会话因链路故障而终止,MKA 密钥服务器将在链路恢复时选择密钥服务器并生成新的 SAK。

通过在链路的两端配置连接关联,可以使用静态 CAK 安全模式启用 MACsec。所有配置都在连接关联内完成,但在安全通道之外完成。使用静态 CAK 安全模式时,会自动创建两个安全通道,一个用于入站流量,一个用于出站流量。自动创建的安全通道没有任何用户可配置的参数。所有配置都在连接关联中完成。

要使用静态 CAK 安全模式配置 MACsec:

  1. 创建连接关联。如果要配置现有连接关联,则可以跳过此步骤。

    例如,要创建名为 ca1的连接关联,请输入:

  2. 为连接关联配置 static-cak MACsec 安全模式:

    例如,要将 MACsec 安全模式配置为 static-cak 连接关联 ca1:

  3. 通过配置 CKN 和 CAK 创建预共享密钥:

    直连对等方交换预共享密钥以建立 MACsec 安全链路。预共享密钥包括 CKN 和 CAK。CKN 是一个 64 位十六进制数字,CAK 是一个 32 位十六进制数字。CKN 和 CAK 必须在链路的两端匹配,才能创建 MACsec 安全链路。

    注意:

    为了最大限度地提高安全性,我们建议配置 CKN 的所有 64 位数字和 CAK 的所有 32 位数字。

    如果未配置 CKN 的所有 64 位数字或 CAK 的所有 32 位数字,则所有剩余数字将默认为 0。但是,提交配置时将收到一条警告消息。

    在链路上的两个对等方交换和验证预共享密钥后,MACsec 密钥协议 (MKA) 协议将启用 MACsec。然后,MKA 协议选择两个直连交换机中的一个作为密钥服务器。然后,密钥服务器通过 MACsec 安全点对点链路与其他设备共享随机安全性。只要启用了 MACsec,密钥服务器将继续定期创建随机安全密钥,并通过 MACsec 安全的点对点链路与其他设备共享。

    要在连接关联 ca1 上配置 CKN 和 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 CAK 228ef255aa23ff6729ee664acb66e91f ,请执行以下操作:

    注意:

    在将连接关联附加到接口之前,不会启用 MACsec。请参阅此过程的最后一步,将连接关联附加到接口。

    注意:

    在 FIPS 模式下,必须使用以下命令,而不是使用 set connectivity-association ca1 pre-shared-key cak 命令:

    user@host# prompt connectivity-association ca1 pre-shared-key cak

  4. (仅在非 EX4300 交换机上连接到 EX4300 交换机时需要)启用 SCI 标记:

    您必须在连接到 EX4300 或 EX4600 交换机的以太网链路上启用 MACsec 的交换机上启用 SCI 标记。

    SCI 标记会自动附加到离开 EX4300 或 EX4600 交换机上启用 MACsec 的接口的数据包中,因此此选项在这些交换机上不可用。

    仅当将交换机连接到 EX4300 或 EX4600 交换机,或者连接到需要 SCI 标记的主机设备时,才应使用此选项。SCI 标记的长度为 8 个八位位组,因此将 SCI 标记附加到链路上的所有流量会增加大量不必要的开销。

  5. (可选)设置 MKA 密钥服务器优先级:

    指定 MKA 协议用于选择密钥服务器的密钥服务器优先级。选择较低 priority-number 位置的交换机作为密钥服务器。

    默认值 priority-number 为 16。

    如果链路两端的 相同 key-server-priority ,则 MKA 协议选择具有较低 MAC 地址的接口作为密钥服务器。因此,如果未在 MACsec 安全链路的每一端配置此语句,则 MAC 地址较低的接口将成为密钥服务器。

    要将密钥服务器优先级更改为 0,以增加在使用连接关联 ca1在接口上启用 MACsec 时选择当前设备作为密钥服务器的可能性:

    要将密钥服务器优先级更改为 255,以降低在连接关联 ca1 中选择当前设备作为密钥服务器的可能性:

  6. (可选)设置 MKA 传输间隔:

    MKA 传输间隔设置是将 MACsec 密钥协议协议数据单元 (PDU) 发送到连接的设备以保持链路连接的频率频率。越低越会增加 interval 链路上的带宽开销;越高,MKA 协议通信就会越大 interval

    默认值 interval 为 2000ms。我们建议在高流量负载环境中将间隔增加到 6000 毫秒。启用使用静态 CAK 安全模式的 MACsec 时,链路两端的传输间隔设置必须相同。

    例如,如果要在将连接关联 ca1 附加到接口时将 MKA 传输间隔增加到 6000 毫秒:

  7. (可选)从 MACsec 中排除协议:

    启用此选项后,将对链路上发送或接收的指定协议的所有数据包禁用 MACsec。例如,如果您不希望使用 MACsec 保护链路级别发现协议 (LLDP):

    启用此选项后,将对在链路上发送或接收的指定协议(在本例中为 LLDP)的所有数据包禁用 MACsec。您可以使用此选项允许某些协议的控制流量在没有 MACsec 标记的情况下通过 MACsec 安全连接。这提供了与不支持 MACsec 的设备(如 IP 电话)的互操作性。

  8. 将连接关联分配给接口:

    例如,要将连接关联 ca1 分配给接口 xe-0/0/1:

    要将连接关联分配给逻辑接口,请使用以下命令:

    注意:

    将 CA 分配给逻辑接口时,存在以下限制:

    • 在物理接口和逻辑接口上配置 CA 是互斥的。

    • 具有本机 VLAN 配置的逻辑接口不支持 MACsec。

    • 逻辑聚合接口不支持 MACsec。

    注意:

    在 EX4300 上行链路模块上,插入上行链路模块的第一个收发器将确定 PIC 模式,因为 PIC 可识别 SFP 类型并将所有端口编程为 ge- 或 xe-。确保接口上的 MACsec 配置与上行链路模块端口的链路速度匹配。

    将连接关联分配给接口是在接口上启用 MACsec 的最后一个配置步骤。

如果还配置了链路另一端的连接关联,则会启用使用静态 CAK 安全模式的 MACsec。连接关联必须包含在链路两端匹配的预共享密钥。

在动态 CAK 模式下配置 MACsec

在动态 CAK 模式下,MACsec 链路上的对等节点会动态生成安全密钥,作为 802.1X 身份验证过程的一部分。您可以使用动态 CAK 模式来保护连接交换机或路由器的点对点链路。这可以是交换机到交换机、交换机到路由器或路由器到路由器的连接。设备必须同时充当 802.1X 身份验证的身份验证方和请求方,以便它们可以相互进行身份验证。

动态 CAK 模式比静态 CAK 模式更容易管理,因为不需要手动配置密钥。此外,可以从 RADIUS 服务器集中管理密钥。但是,静态 CAK 模式提供了更多功能。

注意:

逻辑接口不支持动态 CAK 模式。

以下过程用于在交换机或路由器之间的链路上配置动态 CAK 模式。要在交换机到主机链路上配置动态 CAK 模式,请参阅 配置 MACsec 以保护交换机到主机链路

在开始在动态 CAK 模式下启用 MACsec 之前,必须配置 RADIUS 服务器。RADIUS 服务器:

  • 必须配置服务器端证书。

  • 必须使用可扩展身份验证协议 - 传输层安全性 (EAP-TLS) 身份验证框架。

有关配置 RADIUS 服务器的信息,请参阅 用于身份验证的 RADIUS 服务器配置

配置连接关联

  1. 创建连接关联。如果要配置现有连接关联,则可以跳过此步骤。

    例如,要创建名为 ca1的连接关联,请输入:

  2. 为连接关联配置 dynamic MACsec 安全模式:

    例如,要将 MACsec 安全模式配置为 dynamic 连接关联 ca1:

  3. 将连接关联分配给接口:

    例如,要将连接关联 ca1 分配给接口 xe-0/0/1:

配置证书

您必须为每个请求方接口分配本地证书和证书颁发机构 (CA) 证书。请求方和 RADIUS 服务器通过交换证书凭据来相互进行身份验证。本地证书和服务器证书必须由同一 CA 签名。您可以使用公钥基础结构 (PKI) 在本地生成证书,也可以加载远程生成的证书。

在本地生成证书

要生成 CA 证书,请执行以下操作:

  1. 配置 CA 配置文件:
  2. 禁用吊销检查:
  3. 向 CA 注册证书:

要生成本地证书,请执行以下操作:

  1. 生成公钥-私钥对:
  2. 使用简单证书注册协议 (SCEP) 生成并注册本地证书:

加载远程生成的证书

要加载远程生成的证书,请执行以下操作:

  1. 加载 CA 配置文件:
  2. 加载本地证书:

配置 802.1X 身份验证

在点对点链路两端的接口上使用 EAP-TLS 配置 802.1X 身份验证。接口必须同时充当验证方和请求方,以便设备可以相互进行身份验证。

  1. 将接口配置为具有无重新身份验证选项的身份验证器:
  2. 将接口配置为请求方。
  3. 将身份验证方法配置为 EAP-TLS:
  4. 为接口分配本地证书:

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
16.1R2
从 Junos OS 16.1R2 版开始,当在接口上启用媒体访问控制安全性 (MACsec) 时,默认情况下将启用接口流控制功能,而不考虑在层次结构级别使用该 [edit interfaces interface- name gigether-options]语句设置 (flow-control | no-flow-control)的配置。启用 MACsec 后,MACsec PHY 会将其他报头字节添加到数据包中。对于线速流量,当启用 MACsec 并禁用流控制时,MACsec PHY 发送的暂停帧将由 MIC 的 MAC(MX 系列路由器上的增强型 20 端口千兆以太网 MIC)终止,而不会传输到数据包转发引擎,从而导致成帧错误。因此,当在接口上启用 MACsec 时,流控制也会自动在此类接口上启用。
15.1
从 Junos OS 15.1 版开始,您可以将 MACsec 配置为保护点对点以太网链路,将 MX 系列路由器与支持 MACsec 的 MIC 连接起来,或者保护将交换机连接到主机设备(如 PC、电话或服务器)的以太网链路。