Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

通过 WAN 实现媒体访问控制安全性 (MACsec)

媒体访问控制安全性 (MACsec) 是一种用于点对点加密的链路层解决方案。MACsec 可用于加密服务提供商 WAN 上的第 2 层连接,以确保数据传输的完整性和机密性。

使用 功能资源管理器 确认平台和版本对特定功能的支持。

查看基于 WAN 的 MACsec 的平台特定行为 部分,了解与您的平台相关的注意事项。

跨多跃点传输 MACsec 概述

要建立 MACsec 会话,MACsec 密钥协议 (MKA) 用于在对等节点之间交换所需的密钥。MKA PDU 使用 LAN 可扩展身份验证协议 (EAPoL) 作为传输协议进行传输。EAPoL 是第 2 层协议,通常由交换机或路由器在本地处理,不会进一步传播。

如果节点通过服务提供商网络连接,这会带来挑战。 图 1 显示了通过服务提供商网络传输的 MACsec。MKA 必须在客户设备 A 和 B 之间交换密钥。边缘路由器或中间设备不应处理 EAPoL 数据包。相反,他们应该透明地将其转发到下一跃点。

图 1:通过服务提供商网络 Network topology showing Customer Device A and B connected via a service provider core network. Edge routers are MACSec-unaware. Encrypted secure channel between devices bypasses non-MACSec routers.传输的 MACsec

EAPoL 数据包的默认目标 MAC 地址是组播地址 01:80:C2:00:00:03。在服务提供商网络中,假设这些数据包是为这些设备准备的,则可能会使用这些设备。802.1X 和其他身份验证方法使用 EAPoL,这可能会导致设备丢弃数据包,具体取决于设备的配置。这将导致预期端点之间的 MKA 会话失败。为确保 EAPoL 数据包到达预期端点,可以更改数据包的属性,例如目标 MAC 地址、VLAN ID 和 EtherType,以便服务提供商网络对数据包进行隧道传输,而非使用数据包。

在逻辑接口上配置 IFL 级 MACsec

逻辑接口 (IFL) 级别的 MACsec 允许在单个物理端口上存在多个 MKA 会话。这样就能通过 MACsec 加密对服务提供商 WAN 上的点对多点连接实现服务多路复用。

为了支持 IFL 级 MACsec,MKA 协议数据包通过逻辑接口上配置的 VLAN 标记发送出去。VLAN 标记以明文传输,因此不感知 MACsec 的中间交换机可以基于 VLAN 标记切换数据包。

配置 MACsec 时,必须将连接关联绑定到接口。要启用 IFL 级 MACsec,请使用以下命令将连接关联绑定到逻辑接口:

有关完整的配置详细信息,请参阅 在静态 CAK 模式下配置 MACsec

为 MACsec 配置 EAPoL 目的 MAC 地址

MACsec 使用 EAPoL 数据包传输 MKA PDU,以建立安全会话。默认情况下,EAPoL 使用目标组播 MAC 地址 01:80:C2:00:00:03。要防止这些数据包在服务提供商网络中使用,可以更改目标 MAC 地址。

要配置 EAPoL 目标 MAC 地址,请输入以下命令之一。

注意:

安全关联或安全连接的两个端点上的配置必须匹配,才能建立 MACsec 会话。
  • 要配置端口访问实体组播地址,请执行以下作:
  • 要配置提供商网桥组播地址,请执行以下作:
  • 要配置 LLDP 组播地址,请执行以下作:
  • 要配置单播目标地址,请执行以下作:

这些选项映射到 MAC 地址,如下所示:

表 1:EAPoL 和 MAC 地址映射

EAPoL 地址

MAC 地址

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00

lldp-multicast

01:80:C2:00:00:0E

destination

configurable unicast address

为 MACsec 配置 EAPoL EtherType

MACsec 使用 EAPoL 作为建立会话的传输协议。为 EAPoL 数据包配置自定义 MAC 目的地址时,大多数情况下,网络会根据目标地址对数据包进行隧道传输。但是,某些网络会改基于 EtherType 值过滤数据包。EtherType 是以太网帧中的一个字段。EtherType 字段的值标识帧中封装的数据包的协议。默认情况下,EAPoL 的 EtherType 按照 IEEE 802.1X 标准的定义0x888e。某些网络会自动拦截使用此 EtherType 的未标记数据包。为确保网络将 MACsec 数据包正确地隧道发送到端点,可以为 EAPoL 设置自定义 EtherType。

在某个接口上启用 MACsec 后,设备将捕获通过该接口的未标记 EAPoL 数据包,并转发已标记的 EAPoL 数据包。默认情况下,仅当这些数据包具有默认的 EtherType 0x888e时,设备才会捕获这些数据包。配置自定义 EtherType 时,设备将捕获具有该自定义 EtherType 的数据包;它不会捕获具有 EtherType 0x888e 的数据包。

选择 EAPoL EtherType 值

如果配置自定义 EtherType 值,则该值必须为:

  • 每个 EAPoL 配置文件中都不同。不要为多个配置文件配置相同的 EtherType。如果只需要一个 EtherType,请仅使用一个配置文件。

  • 有效(大于或等于 0x600)。

  • 可用(不保留用于其他用途)。

使用保留的 EtherType 可能会干扰数据流量。保留以太类型分为三类:

  1. 由 IEEE 802.1X 标准保留的 EtherTypes 值,这些值在 IEEE EtherTypes 标准页面上列出。

  2. EtherType 值。

  3. 专门在 Junos 设备上保留的 EtherType 值。此类别包括标准页面上未列出的 0x9100 和 0x9200 等值。要确认 EtherType 不在此类别中,请查看下表或提交配置。如果 EtherType 值在下表中,则提交检查将检测到保留值,并且提交失败。

注意:下表不是您不应使用的 EtherType 的详尽列表。提交检查无法捕获所有保留的 EtherType,因此在提交配置之前请确认 EtherType 可用。
保留
表 2:Junos 设备上的提交检查捕获的保留 EtherType
EtherType 保留给 EtherType
0x22F3 TRILL 0x88B6 EXP2
0x0800 IPv4 0x88B7 EXP3
0x0806 ARP 0x88cc LLDP
0x8035 RARP 0x88E5 802.1AE
0x8100 VLAN 0x88E7 多溴联苯
0x86dd IPv6 0x88EE ELMI
0x8809 慢速 0x88F5 MVRP
0x8847 标记 0x88F6 MMRP
0x8848 组播 MPLS 0x88F7 PTP
0x8863 PPPoE 光盘 0x8902 以太网 OAM CFM
0x8864 PPPoE SESS 0x8906 FCOE
0x888e 802.1X 0x8914 FIP
0x88a8 PVLAN 0x9100 9100
0x88B5 EXP1 0x9200 9200

配置

只有当两台设备均配置了相同的 EAPoL EtherType 时,始发设备和端点设备才能建立 MACsec 会话。在两台设备上重复配置。

要为 EAPoL 数据包配置自定义 EtherType 值:

  1. 设置自定义 EAPoL EtherType 配置文件。
    注意:

    PTX 系列路由器已配置两个 EtherType 配置文件,您可以从中选择:EAPOL_ETHERTYPE1 或 EAPOL_ETHERTYPE2。您必须将这些名称之一用于 EAPoL EtherType 配置文件。
  2. (可选)配置自定义 EAPoL EtherType 值。

    有关如何选择 EtherType 值,请参阅 选择 EAPoL EtherType 值

    注意:在 PTX 系列路由器上,每个预定义配置文件都预配置了默认的 EtherType。配置文件EAPOL_ETHERTYPE1的默认 EtherType 值为 0x876f;配置文件EAPOL_ETHERTYPE2的默认 EtherType 值为 0xb860。如果您愿意,可以配置不同的 EtherType。
  3. 将自定义 EAPoL EtherType 配置文件应用于 MACsec 连接关联配置。
  4. 提交配置。
  5. (PTX10008使用 PTX10K-LC1301 线卡或 PTX10002-36QDD) 如果将 EAPoL EtherType 值更改为预配置的默认值,请重新启动设备。
  6. 验证使用命令配置show security mka sessions detail的 EtherType 值。例如:

    您已为 MACsec 的 EAPoL 配置自定义 EtherType 值。

  7. 在另一台设备上重复此配置。

基于 WAN 的 MACsec 的平台特定行为

使用下表查看平台的特定于平台的行为。

表 3:用于 MACsec 的 EAPoL EtherType 的特定于平台的行为

平台

差异

ACX 系列

  • 在逻辑接口上启用 MACsec 后,设备将捕获与该接口的标记匹配的数据包(未标记或已标记)。如果尚未配置自定义 EtherType,则设备仅会捕获与该接口标记匹配的 EAPoL 数据包,前提是这些数据包具有默认的 EtherType 0x888e。如果配置了自定义 EtherType,则设备仅捕获具有该自定义 EtherType 的数据包,不会捕获具有 EtherType 0x888e的数据包。

  • 属于链路聚合组 (LAG) 的所有接口都必须使用相同的 EAPoL EtherType 配置文件。否则,MACsec 对接口不起作用。

PTX 系列

  • 您只能配置两个 EAPoL EtherType 配置文件:EAPOL_ETHERTYPE1 和 EAPOL_ETHERTYPE2。默认情况下,与这些配置文件关联的 EtherType 分别为 0x876f 和 0xb860。如果您愿意,可以配置默认值以外的 EtherType 值。

  • (带有 PTX10K-LC1301 线卡的 PTX10008 或 PTX10002-36QDD)将 EtherType 值从预配置的默认值更改后,需要重新启动。

  • (带 PTX10K-LC1201 或 PTX10K-LC1202 线卡的 PTX10004、PTX10008 和 PTX10016;PTX10001-36MR) 对于在 EVPN-MPLS 和 EVPN-VPWS 服务上使用自定义 EtherType 接收的 MACsec 数据包,不支持隧道终止。

  • (PTX10001-36MR、PTX10002-36QDD、PTX10004、PTX10008 和 PTX10016)如果物理接口配置了以太网 CCC 封装,并且在该接口上配置了 MACsec,则设备将捕获该接口的所有 EAPoL 数据包,无论这些数据包已标记还是未标记。为避免这种情况,您可以在该接口上配置一个自定义 EtherType,该 EtherType 不同于用于其他 MACsec 流量的接口。完成此配置后,设备会使用自定义 EtherType 捕获数据包,让其他未标记的数据包通过。