了解媒体访问控制安全性 (MACsec)
了解媒体访问控制安全性 (MACsec)
媒体访问控制安全 (MACsec) 在以太网链路上提供点对点的安全性。MACsec 由 IEEE 标准 802.1AE 定义。您可以将 MACsec 与其他安全协议(例如 IP 安全性 (IPsec) 和安全套接字层 (SSL) 结合使用,以提供端到端网络安全性。
MACsec 能够识别并阻止大多数安全威胁,包括拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。MACsec 可以保护几乎所有流量的以太网链路,包括来自链路层发现协议 (LLDP)、链路聚合控制协议 (LACP)、动态主机配置协议 (DHCP)、地址解析协议 (ARP) 以及由于其他安全解决方案的局限性而通常无法在以太网链路上得到保护的其他协议的帧。
使用 功能浏览器 确认平台和版本对 MACsec 的支持。
查看“特定于平台的 MACsec 行为”部分,了解与您的平台相关的注意事项。
MACsec 的工作原理
在点对点以太网链路上启用 MACsec 后,将在链路两端的接口之间交换并验证匹配的安全密钥后,链路将得到保护。密钥可以手动配置,也可以动态生成,具体取决于用于启用 MACsec 的安全模式。有关 MACsec 安全模式的详细信息,请参阅 MACsec 安全性模式。
MACsec 将数据完整性检查与加密相结合使用,以保护通过链路的流量:
| Data integrity | MACsec 将 8 字节标头和 16 字节尾部追加到遍历 MACsec 安全链路的所有以太网帧。接收接口会检查标头和尾部,以确保数据在遍历链路时不会受到损害。如果数据完整性检查检测到流量有任何异常,则流量将被丢弃。 |
| Encryption | 加密可确保监控链路上流量的任何人都无法查看以太网帧中的数据。MACsec 加密是可选的,可由用户配置。您可以启用 MACsec 来确保在执行数据完整性检查的同时,仍通过受 MACsec 保护的链路“明文”发送未加密的数据(如果需要)。
注意:
在逻辑接口上启用 MACsec 时,系统不会对 VLAN 标记进行加密。在启用了 MACsec 的逻辑接口上配置的所有 VLAN 标记都将以明文形式发送。 |
连接关联
MACsec 在连接关联中配置。连接关联是接口用来创建两个安全通道(一个用于入站流量,一个用于出站流量)的一组 MACsec 属性。安全通道负责在受 MACsec 保护的链路上传输和接收数据。
系统会自动创建安全通道。它们没有任何用户可配置的参数。所有配置均在连接关联内部完成,但在安全通道之外完成。
必须将连接关联分配给点对点以太网链路每一端支持 MACsec 的接口。如果想要在多个以太网链路上启用 MACsec,则必须在每个链路上单独配置 MACsec。其他用户可配置的参数(如 MAC 地址或端口)也必须在链路两端的接口上匹配,才能启用 MACsec。
MACsec 安全性模式
可以使用以下其中一种安全模式启用 MACsec:
静态 CAK 模式
动态 CAK 模式
对于连接交换机或路由器的链路,建议使用静态 CAK 模式。静态 CAK 模式通过频繁刷新到新的随机安全密钥,并且仅在受 MACsec 保护的点对点链路上的两台设备之间共享安全密钥来确保安全性。
静态 CAK 模式
使用静态 CAK 模式启用 MACsec 时,将使用两个安全密钥——一个用于保护控制平面流量的连接关联密钥 (CAK) 和一个用于保护数据平面流量的随机生成安全关联密钥 (SAK))——来保护链路。两个密钥在点对点以太网链路两端的两个设备之间定期交换,以确保链路安全。
当您使用静态 CAK 安全模式启用 MACsec 时,首先会使用预共享密钥建立 MACsec 安全链路。预共享密钥包括连接关联名称 (CKN) 及其自己的 CAK。CKN 和 CAK 由用户在连接关联中配置,必须在链路两端匹配才能初始启用 MACsec。
成功交换匹配的预共享密钥后,将启用 MACsec 密钥协议 (MKA) 协议。MKA 协议负责维护链路上的 MACsec,并决定点对点链路上的哪台交换机成为密钥服务器。然后,密钥服务器会创建一个 SAK,该 SAK 仅在点对点链路的另一端与交换机共享,并且该 SAK 用于保护通过该链路的所有数据流量。只要启用 MACsec,密钥服务器就会继续通过点对点链路定期创建和共享随机创建的 SAK。
如果 MACsec 会话因链路故障而终止,则当链路恢复时,MKA 密钥服务器会选择密钥服务器并生成新的 SAK。
MACsec 保护的交换机到交换机链路两端的交换机必须同时使用 Junos OS 14.1X53-D10 或更高版本,或者都必须使用早期版本的 Junos,以便在使用静态 CAK 安全模式时建立 MACsec 安全连接。
动态 CAK 模式
在动态 CAK 模式下,MACsec 链路上的对等节点会在 802.1X 身份验证过程中动态生成安全密钥。对等节点在身份验证过程中从 RADIUS 服务器接收 MACsec 密钥属性,并使用这些属性动态生成 CAK 和 CKN。然后交换密钥以创建受 MACsec 保护的连接。
动态 CAK 模式比静态 CAK 模式更容易管理,因为无需手动配置密钥。此外,密钥还可以从 RADIUS 服务器集中管理。
您可以使用动态 CAK 模式保护交换机到主机的链路,或者连接交换机或路由器的链路。在交换机到主机链路上,交换机是 802.1X 验证方,主机是请求方。在连接交换机或路由器的链路上,设备必须同时充当验证者和请求方,以便相互验证。
动态 CAK 模式依赖于使用可扩展身份验证协议传输层安全性 (EAP-TLS) 的基于证书的验证。RADIUS 服务器和交换设备必须使用 EAP-TLS 和公钥基础架构,以支持动态 CAK 模式下的 MACsec。
虚拟机箱中的 MACsec
当交换机配置在 虚拟机箱 或 虚拟机箱交换矩阵 (VCF) 中时,可以在支持的交换机接口上配置 MACsec,包括当支持 MACsec 的接口位于混合虚拟机箱或 VCF 中的成员交换机上时,该交换机包含不支持 MACsec 的交换机接口。但是,无法在虚拟机箱端口 (VCP) 上启用 MACsec,来保护虚拟机箱或 VCF 中的成员交换机之间传输的流量。
MACsec 限制
目前无法使用 MACsec 加密所有类型的生成树协议帧。
-
除非启用了适用于 MACsec 的 GRES,否则在 GRES 切换期间,预计 MACsec 流量会丢弃。有关如何为 MACsec 配置 GRES,请参阅 无链接标题 。
特定于平台的 MACsec 行为
使用 功能资源管理器 确认平台和版本对特定功能的支持。
使用下表查看平台的特定于平台的行为。
平台 |
差异 |
|---|---|
|
如果启用了自动协商并在 1G SFP 端口上配置了 MACsec,则支持 MACsec 的EX 系列设备可能无法在PHY84756 1G SFP 端口上正常工作。解决方法是,先在PHY84756 1G SFP 端口上进行配置 |
也可以看看
MACsec 许可和软件要求
MACsec 功能许可
在 EX 系列和 QFX 系列交换机上配置 MACsec 需要获得功能许可证,QFX10000-6C-DWDM 和 QFX10000-30C-M 线卡除外。如果未安装 MACsec 许可证,则无法激活 MACsec 功能。
要购买 MACsec 功能许可证,请联系瞻博网络销售代表 (https://www.juniper.net/us/en/contact-us/sales-offices)。瞻博网络销售代表将向您提供功能许可证文件和许可证密钥。您将需要提供交换机的机箱序列号;您可以通过运行 show chassis hardware 命令获取序列号。
MACsec 功能许可证是一种独立的功能许可证。为启用 EX 系列或 QFX 系列交换机上的某些功能而必须购买的增强型功能许可证 (EFL) 或高级功能许可 (AFL) 不能用于启用 MACsec。
对于虚拟机箱部署,建议使用两个 MACsec 许可证密钥来实现冗余,一个用于主角色设备,另一个用于备份角色设备。根据型号和配置,每个虚拟机箱交换矩阵 (VCF) 和每个虚拟机箱 (VC) 可能需要两个 MACsec 许可证。请参阅下面的许可文档,了解平台和功能的特定详细信息。
MACsec 功能许可证的安装和维护与任何其他交换机许可证一样。有关配置和管理 MACsec 软件许可证的更多详细信息,请参阅管理 EX 系列交换机的许可证(CLI 过程)或添加新许可证(CLI 过程)。
MX 系列路由器的 MACsec 软件要求
以下是 MX 系列路由器上 MACsec 的一些关键软件要求:
在配备增强型 20 端口千兆以太网 MIC(型号 MIC-3D-20GE-SFP-E)的 MX 系列路由器上配置 MACsec 不需要功能许可证。
具有支持 MACsec 接口的 MX 系列路由器支持 MACsec。
MACsec 支持 128 位和 256 位密码套件,带或不带扩展数据包编号 (XPN)。
MACsec 支持具有使用预共享密钥的静态 CAK 模式的 MACsec 密钥协议 (MKA)。
MACsec 支持在每个物理端口或物理接口上进行单一连接关联 (证书颁发机构)。
从 Junos OS 20.3R1 版开始,您可以在 MPC7E-10G 线卡上的逻辑接口级别配置媒体访问控制安全性 (MACsec)。此配置可在单个物理端口上支持多个 MACsec 密钥协议 (MKA) 会话。VLAN 标记以明文传输,因此不感知 MACsec 的中间交换机可以基于 VLAN 标记切换数据包。
从 Junos OS 18.4R2 版开始,MIC-MACSEC-20GE MIC 提供 256 位密码套件 GCM-AES-256 和 GCM-AES-XPN-256。在以下硬件配置中,MIC-MACSEC-20GE MIC 在 20 个 1 千兆以太网 SFP 端口和 2 个 10 千兆以太网 SFP+ 端口上均支持 MACsec:
-
直接安装在 MX80 和 MX104 路由器上
-
安装在 MX240、MX480 和 MX960 路由器上的 MPC1、MPC2、MPC3、MPC2E、MPC3E、MPC2E-NG 和 MPC3E-NG 线卡上
有关详细信息,请参阅 MIC-MACSEC-20GE 的接口命名约定 和 路由设备的端口速度 。
EX 系列和 QFX 系列交换机的 MACsec 软件映像要求
必须下载标准 Junos 映像才能启用 MACsec。有限映像中不支持 MACsec。
Junos OS 软件的标准版本包含加密功能,因此并非向所有地区的客户开放。此 Junos OS 软件的出口和再出口均受美国出口法律严格控制。此 Junos OS 软件的出口、导入和使用还受其他国家/地区法律实施的管制。如果您对获取此版本的Junos OS软件有疑问,请通过 mailto:compliance_helpdesk@juniper.net 联系瞻博网络贸易合规小组。
获取和下载 Junos OS 软件
通过查看软件包名称,可以确定软件包是 Junos OS 的标准版本还是受控版本。受控版本的 Junos OS 软件包使用以下格式命名:
package-name-m.nZx.y-controlled-signed.tgz
Junos OS 标准版的软件包使用以下格式命名:
package-name-m.nZx.y-.tgz
要检查交换机上运行的 Junos OS 版本,请输入命令 show version 。如果输出中显示说明 JUNOS Crypto Software Suite ,则您运行的是受控版本的 Junos OS。如果您运行的是受控版本的 Junos OS,请输入命令 show system software 以显示该版本。输出还显示所有加载的软件包的版本。
在交换机上安装受控或标准版本的 Junos OS 软件的过程与安装任何其他版本的 Junos OS 软件的过程相同。您必须输入语 request system software add 句来下载 Junos OS 映像,输入 request system reboot 语句以重新启动交换机才能完成升级过程。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。