了解媒体访问控制安全性 (MACsec)
了解媒体访问控制安全性 (MACsec)
媒体访问控制安全 (MACsec) 在以太网链路上提供点对点的安全性。MACsec 由 IEEE 标准 802.1AE 定义。您可以将 MACsec 与其他安全协议(例如 IP 安全 (IPsec) 和安全套接字层 (SSL))结合使用,以提供端到端网络安全性。
MACsec 能够识别和阻止大多数安全威胁,包括拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。MACsec 可以保护几乎所有流量的以太网链路,包括来自链路层发现协议 (LLDP)、链路聚合控制协议 (LACP)、动态主机配置协议 (DHCP)、地址解析协议 (ARP) 以及其他由于其他安全解决方案的限制而通常无法在以太网链路上得到保护的协议的帧。
使用 功能浏览器 确认平台和版本对 MACsec 的支持。
查看“特定于平台的 MACsec 行为”部分,了解与您的平台相关的说明。
MACsec 工作原理
在点对点以太网链路上启用 MACsec 后,在链路两端的接口之间交换并验证匹配的安全密钥后,链路将会受到保护。密钥可以手动配置,也可以动态生成,具体取决于用于启用 MACsec 的安全模式。有关 MACsec 安全模式的详细信息,请参阅 MACsec 安全模式。
MACsec 结合使用数据完整性检查和加密来保护通过链路的流量:
| Data integrity | MACsec 将一个 8 字节标头和一个 16 字节尾部追加到通过 MACsec 安全链路的所有以太网帧。接收接口会检查标头和尾部,以确保数据在遍历链路时不会受到损害。如果数据完整性检查检测到流量有任何异常,则流量将被丢弃。 |
| Encryption | 加密可确保监控链路流量的任何人都无法查看以太网帧中的数据。MACsec 加密是可选的,可由用户配置。您可以启用 MACsec 以确保执行数据完整性检查,同时仍会根据需要通过 MACsec 安全链路“明文”发送未加密的数据。
注意:
在逻辑接口上启用 MACsec 时,不会对 VLAN 标记进行加密。在启用了 MACsec 的逻辑接口上配置的所有 VLAN 标记都将以明文形式发送。 |
连接关联
MACsec 在连接关联中配置。连接关联是一组 MACsec 属性,接口使用这些属性创建两个安全通道,一个用于入站流量,一个用于出站流量。安全通道负责在 MACsec 安全链路上传输和接收数据。
安全通道将自动创建。它们没有任何用户可配置的参数。所有配置都在连接关联内完成,但在安全通道之外。
必须将连接关联分配给点对点以太网链路每一端的一个支持 MACsec 的接口。如果要在多个以太网链路上启用 MACsec,则必须在每个链路上单独配置 MACsec。其他用户可配置的参数(如 MAC 地址或端口)也必须在链路两端的接口上匹配,才能启用 MACsec。
MACsec 安全模式
可以使用以下安全模式之一启用 MACsec:
-
静态 CAK 模式
-
动态 CAK 模式
对于连接交换机或路由器的链路,建议使用静态 CAK 模式。静态 CAK 模式通过频繁刷新新的随机安全密钥,以及仅在 MACsec 安全点对点链路上的两台设备之间共享安全密钥来确保安全性。
静态 CAK 模式
使用静态 CAK 模式启用 MACsec 时,将使用两个安全密钥(一个是保护控制平面流量的连接关联密钥 (CAK) 和一个是随机生成的安全关联密钥 (SAK),用于保护数据平面流量。这两个密钥在点对点以太网链路两端的两台设备之间定期交换,以确保链路安全。
在使用静态 CAK 安全模式启用 MACsec 时,最初将使用预共享密钥建立受 MACsec 保护的链路。预共享密钥包括连接关联名称 (CKN) 及其自己的 CAK。CKN 和 CAK 由用户在连接关联中配置,必须在链路的两端匹配,才能在初始启用 MACsec。
成功交换匹配的预共享密钥后,将启用 MACsec 密钥协议 (MKA) 协议。MKA 协议负责维护链路上的 MACsec,并决定点对点链路上的哪台交换机成为密钥服务器。然后,密钥服务器创建一个 SAK,仅与点对点链路另一端的交换机共享,并且该 SAK 用于保护通过该链路的所有数据流量。只要启用了 MACsec,密钥服务器就会继续通过点对点链路定期创建和共享随机创建的 SAK。
如果 MACsec 会话因链路故障而终止,则在链路恢复时,MKA 密钥服务器将选择密钥服务器并生成新的 SAK。
MACsec 保护的交换机到交换机链路两端的交换机必须都使用 Junos OS 14.1X53-D10 或更高版本,或者都必须使用早期版本的 Junos,才能在使用静态 CAK 安全模式时建立 MACsec 安全连接。
动态 CAK 模式
在动态 CAK 模式下,MACsec 链路上的对等节点会动态生成安全密钥,作为 802.1X 身份验证过程的一部分。在身份验证期间,对等节点从 RADIUS 服务器接收 MACsec 密钥属性,并使用这些属性动态生成 CAK 和 CKN。然后交换密钥以创建受 MACsec 保护的连接。
动态 CAK 模式的管理比静态 CAK 模式更轻松,因为不需要手动配置密钥。此外,密钥可以从 RADIUS 服务器集中管理。
您可以使用动态 CAK 模式保护交换机到主机的链路或者连接交换机或路由器的链路。在交换机到主机链路上,交换机是 802.1X 身份验证方,主机是请求方。在连接交换机或路由器的链路上,设备必须同时充当验证方和请求方,以便相互验证。
动态 CAK 模式依赖于使用可扩展身份验证协议传输层安全性 (EAP-TLS) 的基于证书的验证。RADIUS 服务器和交换设备必须使用 EAP-TLS 和公钥基础架构来支持动态 CAK 模式下的 MACsec。
虚拟机箱中的 MACsec
如果在 虚拟机箱 或虚拟机箱交换矩阵 (VCF) 中配置了交换机,则可以在支持的交换机接口上配置 MACsec,包括在混合虚拟机箱或 VCF 中的成员交换机上配置 MACsec 支持的接口,其中包括不支持 MACsec 的交换机接口。但是,无法在虚拟机箱端口 (VCP) 上启用 MACsec,以保护 虚拟机箱 或 VCF 中的成员交换机之间传输的流量。
MACsec 限制
-
当前无法使用 MACsec 对所有类型的生成树协议帧进行加密。
-
在GRES切换期间,预计MACsec流量会丢弃。
SRX 平台支持的密码套件
下表显示了 SRX 平台上对密码套件的支持。
| 密码 (IKE) |
SRX1500 |
SRX1600 |
SRX2300 |
SRX4100、SRX4200和SRX4300 |
SRX4600和SRX4700 |
SRX5400、SRX5600和SRX5800 |
|---|---|---|---|---|---|---|
| AES-128-GCM |
是的 |
是的 |
是的 |
是的 |
是的 |
是的 |
| AES-192-GCM |
不 |
不 |
不 |
不 |
不 |
不 |
| AES-256-GCM |
是的 |
是的 |
是的 |
是的 |
是的 |
是的 |
| 密码 (IPSec) |
SRX1500 |
SRX1600 |
SRX2300 |
SRX4100、SRX4200和SRX4300 |
SRX4600和SRX4700 |
SRX5400、SRX5600和SRX5800 |
|---|---|---|---|---|---|---|
| AES-128-GCM |
是的 |
是的 |
是的 |
是的 |
是的 |
是的 |
| AES-192-GCM |
是的 |
是的 |
是的 |
是的 |
是的 |
是的 |
| AES-256-GCM |
是的 |
是的 |
是的 |
是的 |
是的 |
是的 |
特定于平台的 MACsec 行为
使用 功能浏览器 确认平台和版本对特定功能的支持。
使用下表查看您的平台特定于平台的行为。
| 平台 |
差异 |
|---|---|
|
如果EX 系列 1G SFP 端口上启用了自动协商并在这些端口上配置了 MACsec,则支持 MACsec PHY84756设备可能无法在这些端口上正常工作。解决方法是先在 PHY84756 个 1G SFP 端口上配置 |
另见
MACsec 许可和软件要求
MACsec 功能许可
在 EX 系列 和 QFX 系列交换机上配置 MACsec 需要功能许可证,但 QFX10000-6C-DWDM 和 QFX10000-30C-M 线卡除外。如果未安装 MACsec 许可证,则无法激活 MACsec 功能。
要购买 MACsec 功能许可证,请联系瞻博网络销售代表 (https://www.juniper.net/us/en/contact-us/sales-offices)。瞻博网络销售代表将向您提供功能许可证文件和许可证密钥。您将需要提供交换机的机箱序列号;可以通过运行 show chassis hardware 命令来获取序列号。
MACsec 功能许可证是一种独立的功能许可证。为启用 EX 系列或 QFX 系列交换机上的某些功能而必须购买的增强型功能许可证 (EFL) 或高级功能许可 (AFL) 不能用于启用 MACsec。
对于虚拟机箱部署,建议使用两个 MACsec 许可证密钥来实现冗余 - 一个用于担任主要角色的设备,另一个用于担任备份角色的设备。根据型号和配置,每个虚拟机箱交换矩阵 (VCF) 和每个虚拟机箱 (VC) 可能需要两个 MACsec 许可证。请参阅下面的许可文档,了解平台和功能的具体细节。
MACsec 功能许可证的安装和维护与任何其他交换机许可证一样。有关配置和管理 MACsec 软件许可证的更多详细信息,请参阅管理 EX 系列交换机的许可证(CLI 过程)或添加新许可证(CLI 过程)。
MX 系列路由器的 MACsec 软件要求
以下是 MX 系列路由器上 MACsec 的一些关键软件要求:
在具有增强型 20 端口千兆以太网 MIC(型号 MIC-3D-20GE-SFP-E)的 MX 系列路由器上配置 MACsec 无需功能许可。
具有支持 MACsec 的接口的 MX 系列路由器支持 MACsec。
MACsec 支持 128 位和 256 位密码套件,带或不带扩展数据包编号 (XPN)。
MACsec 支持使用预共享密钥的具有静态 CAK 模式的 MACsec 密钥协议 (MKA) 协议。
MACsec 支持每个物理端口或物理接口的单个连接关联 (CA)。
从 Junos OS 20.3R1 版开始,您可以在 MPC7E-10G 线卡上的逻辑接口级别配置媒体访问控制安全 (MACsec)。此配置可在单个物理端口上启用多个 MACsec 密钥协议 (MKA) 会话。VLAN 标记以明文形式传输,这使得无法感知 MACsec 的中间交换机可以基于 VLAN 标记交换数据包。
从 Junos OS 15.1 版开始,聚合以太网 (ae-) 接口包的成员链路以及不属于接口包的常规接口都支持 MACsec。
从 Junos OS 版本 17.3R2 开始,MACsec 在带有模块化 MIC(型号 -JNP-MIC1-MACSEC)的 MX10003 路由器上支持 256 位密码套件 GCM-AES-256 和 GCM-AES-XPN-256。
从 Junos OS 18.4R2 版开始,MIC-MACSEC-20GE MIC 提供 256 位密码套件 GCM-AES-256 和 GCM-AES-XPN-256。MIC-MACSEC-20GE MIC 在以下硬件配置中的 20 个 1 千兆以太网 SFP 端口和 2 个 10 千兆以太网 SFP+ 端口上支持 MACsec:
-
直接安装在 MX80 和 MX104 路由器上
-
安装在 MX240、MX480 和 MX960 路由器上的 MPC1、MPC2、MPC3、MPC2E、MPC3E、MPC2E-NG 和 MPC3E-NG 线卡上
有关详细信息,请参阅 MIC-MACSEC-20GE 的接口命名约 定和 路由设备的端口速度 。
EX 系列和 QFX 系列交换机的 MACsec 软件映像要求
Junos OS 16.1 及更高版本
对于 Junos OS 16.1 及更高版本,必须下载标准 Junos 映像才能启用 MACsec。受限映像不支持 MACsec。
Junos OS 软件的标准版本包含加密功能,因此并非所有地区的客户都可以使用。此 Junos OS 软件的出口和再出口受美国出口法律的严格控制。此 Junos OS 软件的出口、进口和使用还受其他国家/地区法律实施的管制。如果您对购买此版本的 Junos OS 软件存有疑虑瞻博网络请 致电 mailto:compliance_helpdesk@juniper.net 联系贸易合规小组。
16.1 之前的 Junos OS 版本
对于 Junos OS 16.1 版之前的版本,必须下载受控版本的 Junos OS 软件才能启用 MACsec。早于 Junos OS 16.1 版的 Junos OS 软件国内版本不支持 MACsec。
Junos OS 软件的受控版本包括 Junos OS 国内版本中提供的所有特性和功能,同时还支持 MACsec。所有支持 MACsec 的交换机上都附带了国内版本的 Junos OS 软件,因此必须先为交换机下载并安装受控版本的 Junos OS 软件,然后才能启用 MACsec。
Junos OS 软件的受控版本包含加密功能,因此并非所有地区的客户都可以使用。受管制版本的 Junos OS 软件的出口和再出口受美国出口法律严格管制。受管制版本的 Junos OS 软件的出口、进口和使用也受其他国家/地区法律实施的管制。如果您对获取Junos OS软件的受控版本存有疑虑瞻博网络请 致电 mailto:compliance_helpdesk@juniper.net 联系贸易合规小组。
获取和下载 Junos OS 软件
您可以通过查看软件包名称来识别软件包是 Junos OS 的标准版本还是受控版本。Junos OS 受控版本的软件包使用以下格式命名:
package-name-m.nZx.y-controlled-signed.tgz
Junos OS 标准版的软件包使用以下格式命名:
package-name-m.nZx.y-.tgz
要检查交换机上运行的是哪个版本的 Junos OS,请输入 show version 命令。 JUNOS Crypto Software Suite 如果说明出现在输出中,则说明您运行的是受控版本的 Junos OS。如果您运行的是 Junos OS 的受控版本,请输入 show system software 命令以显示该版本。输出还显示所有加载的软件包的版本。
将受控或标准版本的 Junos OS 软件安装到交换机的过程与安装任何其他版本的 Junos OS 软件的过程相同。您必须输入 request system software add 语句以下载 Junos OS 映像,以及 request system reboot 语句重新启动交换机才能完成升级过程。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。
ae-) 接口包的成员链路以及不属于接口包的常规接口都支持 MACsec。