配置和管理 MACsec 配置文件
在 Network Director UI 的 MACsc 配置文件页面中,您可以创建和管理 MACsec 配置文件,这些配置文件为 Junos Fusion Enterprise 设备聚合设备中的扩展端口指定 MACsec 设置。在“管理 MACsec 配置文件”页面中,您可以:
通过单击 添加创建新的 MACsec 配置文件。
修改现有 MACsec 配置文件,方法是选择配置文件并单击 编辑。
通过选择配置文件并单击 分配,将配置文件关联到扩展端口。
通过选择配置文件并单击 编辑分配来更改配置文件的当前分配。
通过选择 MACsec 配置文件并单击 删除来删除该配置文件。
克隆现有 MACsec 配置文件,方法是选择配置文件并单击 克隆。
通过选择配置文件并单击 详细信息来查看有关配置文件的信息。
表 1 介绍了在管理 MACsec 配置文件页面上提供的有关有线 MACsec 配置文件的信息。此页面列出了为 Junos Fusion Enterprise 设备定义的所有 MACsec 配置文件,无论您在网络视图中选择哪个范围。
田 |
描述 |
---|---|
配置文件名称 |
配置文件的名称。 |
连接关联名称 |
MACsec 连接关联的名称。 |
描述 |
配置文件的说明。 |
MACsec 模式 |
静态安全关联密钥 (静态-SAK) 安全模式或静态连接关联密钥 (静态-CAK),用于在设备上启用 MACsec。 |
分配状态 |
配置文件分配状态。以下之一:
|
用户名 |
创建或修改配置文件的用户的用户名。 |
本主题介绍:
创建 MACsec 配置文件
要创建 MACsec 配置文件,请执行以下操作:
指定 MACSsec 配置文件的设置
表 2 介绍了 MACsec 配置文件设置。所需设置由用户界面中字段标签旁边显示的红色星号 (*) 表示。
田 |
行动 |
---|---|
配置文件名称 |
键入配置文件的名称。 |
描述 |
键入配置文件的说明。 |
家庭类型 |
在其上创建配置文件的设备系列:园区交换 ELS 或数据中心交换 ELS。 |
连接关联名称 |
键入 MACsec 连接关联的名称。 |
MACsec 模式 |
选择可在设备上启用 MACsec 的模式。可用模式包括静态安全关联密钥 (静态-SAK) 安全模式或静态连接关联密钥 (静态-CAK) 安全模式。 |
CAK 设置 |
如果您希望使用CAK模式开启MACsec,请配置 表3中指定的CAK设置。 |
SAK 设置 |
如果要使用 SAK 模式启用 MACsec,请为入站和出站安全通道配置 表 4 中指定的 SAK 设置。 |
田 |
描述 |
---|---|
连接关联密钥名称 |
键入要用于启用 MACsec 的连接关联密钥的名称。 |
连接关联密钥 |
指定要与安全通道上链路的另一端交换的密钥。必须使用 32 位的十六进制字符串。 |
确认连接关联密钥 |
再次指定连接关联密钥。如果不匹配(连接关联键之间),则会显示错误消息。 |
启用包括安全通道标识符 |
在连接到 Junos Fusion Enterprise 设备的以太网链路上启用 MACsec 的设备上启用包括安全通道标识符标记。 |
密钥服务器优先级 |
指定 MACsec 密钥协议 (MKA) 服务器选择优先级编号。可以指定一个介于 0 和 255 之间的值。数字越小,优先级越高。 |
传输间隔(毫秒) |
指定 MACsec 密钥协议 (MKA) 协议数据单元 (PDU) 的传输间隔。MKA 传输间隔设置设置 MKA PDU 发送到直接连接设备的频率,以在点对点以太网链路上保持 MACsec。较低的间隔会增加链路上的带宽开销;较高的间隔可优化 MKA 协议数据单元交换过程。 默认传输间隔为 2000 毫秒 |
禁用加密 |
如果要对已启用 MACsec 的连接关联禁用 MACsec 加密,请选择此选项。 |
抵消 |
为遍历链路的所有数据包指定偏移量 0、30 或 50。默认偏移量为 0。启用加密且未设置偏移量时,将加密连接关联中的所有流量。 当偏移量设置为 30 时,IPv4 标头和 TCP/UDP 标头将未加密,同时加密其余流量。 当偏移量设置为 50 时,IPv6 标头和 TCP/UDP 标头将未加密,同时加密其余流量。 如果功能需要查看八位位组中的数据才能执行功能,您通常会转发前 30 或 50 个八位位组未加密的流量,但您希望加密遍历链路的帧中的剩余数据。特别是负载平衡功能,通常需要在前 30 或 50 个八位字节中查看 IP 和 TCP/UDP 标头,以正确平衡流量的负载。 |
重播窗口大小 |
指定重播保护窗口的大小。
注意:
当此变量设置为 0 时,将丢弃所有无序到达的数据包。 |
排除协议 |
指定不应受 MACsec 保护的协议的名称。选项包括:
|
密码套件 |
指定用于创建 MACsec 配置文件的密码套件。 |
田 |
描述 |
---|---|
安全通道名称 |
键入安全通道的名称。 |
MAC地址 |
指定要使用静态安全关联密钥 (SAK) 安全模式启用 MACsec 的 MAC 地址。MAC 地址变量必须在链路的发送端和接收端匹配,才能使用静态 SAK 安全模式启用 MACsec。 |
港口 |
使用静态安全关联密钥 (SAK) 安全模式启用 MACsec 时,指定安全通道中的端口 ID 号。端口 ID 必须在链路两端的发送和接收安全通道上匹配,才能启用 MACsec。 端口号匹配后,将为连接上的所有流量启用 MACsec。 |
启用加密 |
如果要在出站安全通道中启用 MACsec 加密,请选择此选项。
注意:
您可以在不启用加密的情况下启用 MACsec。如果与未启用 MACsec 加密的出站安全通道的连接关联与接口相关联,则流量将以明文形式通过以太网链路转发。因此,您可以在监控链路时查看此未加密的流量。 |
抵消 |
指定启用 MACsec 加密时要以未加密的纯文本格式发送的以太网帧中的八位位组数。 将偏移量设置为 30 允许功能在加密剩余流量时查看 IPv4 标头和 TCP/UDP 标头。将偏移量设置为 50 允许功能在加密剩余流量时查看 IPv6 标头和 TCP/UDP 标头。 |
安全关联 |
指定与安全关联编号对应的安全关联密钥。密钥字符串是一个 32 位十六进制数字。 为每个安全关联编号重新输入安全关联密钥。如果连接关联密钥与其各自的确认密钥不匹配,则会显示错误消息。 |
下一步该怎么做
创建 MACsec 配置文件后,必须使用“管理 MacSec 配置文件”页面将该配置文件分配给 Junos Fusion Enterprise 卫星设备,然后使用 “部署 ”模式部署设备配置文件。
要将 MACsec 设置配置文件分配给设备,请参阅 分配 MACsec 配置文件。有关部署配置的信息,请参阅 将配置部署到设备。
您可以将 MACsec 配置文件分配给 Junos Fusion 企业聚合设备上的扩展端口。
在 CAK 模式下,如果更改已部署 MACsec 配置文件的连接关联密钥名称,则必须重新配置该配置文件的连接关联密钥和确认密钥。同样,在 SAK 模式下,如果更改已部署 MACSec 配置文件的入站或出站通道名称,则必须重新配置该配置文件的密钥和确认密钥。