Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置和管理 MACsec 配置文件

在 Network Director UI 的 MACsc 配置文件页面中,您可以创建和管理 MACsec 配置文件,这些配置文件为 Junos Fusion Enterprise 设备聚合设备中的扩展端口指定 MACsec 设置。在“管理 MACsec 配置文件”页面中,您可以:

  • 通过单击 添加创建新的 MACsec 配置文件。

  • 修改现有 MACsec 配置文件,方法是选择配置文件并单击 编辑

  • 通过选择配置文件并单击 分配,将配置文件关联到扩展端口。

  • 通过选择配置文件并单击 编辑分配来更改配置文件的当前分配。

  • 通过选择 MACsec 配置文件并单击 删除来删除该配置文件。

  • 克隆现有 MACsec 配置文件,方法是选择配置文件并单击 克隆

  • 通过选择配置文件并单击 详细信息来查看有关配置文件的信息。

表 1 介绍了在管理 MACsec 配置文件页面上提供的有关有线 MACsec 配置文件的信息。此页面列出了为 Junos Fusion Enterprise 设备定义的所有 MACsec 配置文件,无论您在网络视图中选择哪个范围。

表 1:管理 MACsec 配置文件字段

描述

配置文件名称

配置文件的名称。

连接关联名称

MACsec 连接关联的名称。

描述

配置文件的说明。

MACsec 模式

静态安全关联密钥 (静态-SAK) 安全模式或静态连接关联密钥 (静态-CAK),用于在设备上启用 MACsec。

分配状态

配置文件分配状态。以下之一:

  • 已部署 - 已分配配置文件,并且已在设备上部署配置。

  • 待部署 - 配置文件已分配或其先前分配已更改,但尚未在设备上部署新的或修改后的配置。

  • 未分配 - 尚未分配配置文件。

用户名

创建或修改配置文件的用户的用户名。

本主题介绍:

创建 MACsec 配置文件

要创建 MACsec 配置文件,请执行以下操作:

  1. 在“视图”下,选择以下选项之一:“ 逻辑视图”、“ 位置视图”、“ 设备视图”或 “自定义组视图”。
    提示:

    不要选择 “仪表板视图 ”或 “拓扑视图”。

  2. 单击 网络控制器横幅。
  3. 在“任务”窗格中,依次展开“ 有线”、“ 配置文件”,然后选择“ MACsec”。

    此时将显示“管理 MACsec 配置文件”页面,其中显示当前配置的 MACsec 配置文件的列表。

  4. 单击 添加 以添加新配置文件。

    此时将显示“创建 MACsec 配置文件”页面。

  5. 输入 指定 MACSsec 配置文件的设置中所述的 MACsec 设置。
  6. 单击 完成

指定 MACSsec 配置文件的设置

表 2 介绍了 MACsec 配置文件设置。所需设置由用户界面中字段标签旁边显示的红色星号 (*) 表示。

表 2:MACsec 配置文件设置

行动

配置文件名称

键入配置文件的名称。

描述

键入配置文件的说明。

家庭类型

在其上创建配置文件的设备系列:园区交换 ELS 或数据中心交换 ELS。

连接关联名称

键入 MACsec 连接关联的名称。

MACsec 模式

选择可在设备上启用 MACsec 的模式。可用模式包括静态安全关联密钥 (静态-SAK) 安全模式或静态连接关联密钥 (静态-CAK) 安全模式。

CAK 设置

如果您希望使用CAK模式开启MACsec,请配置 表3中指定的CAK设置。

SAK 设置

如果要使用 SAK 模式启用 MACsec,请为入站和出站安全通道配置 表 4 中指定的 SAK 设置。

表 3:CAK 设置

描述

连接关联密钥名称

键入要用于启用 MACsec 的连接关联密钥的名称。

连接关联密钥

指定要与安全通道上链路的另一端交换的密钥。必须使用 32 位的十六进制字符串。

确认连接关联密钥

再次指定连接关联密钥。如果不匹配(连接关联键之间),则会显示错误消息。

启用包括安全通道标识符

在连接到 Junos Fusion Enterprise 设备的以太网链路上启用 MACsec 的设备上启用包括安全通道标识符标记。

密钥服务器优先级

指定 MACsec 密钥协议 (MKA) 服务器选择优先级编号。可以指定一个介于 0 和 255 之间的值。数字越小,优先级越高。

传输间隔(毫秒)

指定 MACsec 密钥协议 (MKA) 协议数据单元 (PDU) 的传输间隔。MKA 传输间隔设置设置 MKA PDU 发送到直接连接设备的频率,以在点对点以太网链路上保持 MACsec。较低的间隔会增加链路上的带宽开销;较高的间隔可优化 MKA 协议数据单元交换过程。

默认传输间隔为 2000 毫秒

禁用加密

如果要对已启用 MACsec 的连接关联禁用 MACsec 加密,请选择此选项。

抵消

为遍历链路的所有数据包指定偏移量 0、30 或 50。默认偏移量为 0。启用加密且未设置偏移量时,将加密连接关联中的所有流量。

当偏移量设置为 30 时,IPv4 标头和 TCP/UDP 标头将未加密,同时加密其余流量。

当偏移量设置为 50 时,IPv6 标头和 TCP/UDP 标头将未加密,同时加密其余流量。

如果功能需要查看八位位组中的数据才能执行功能,您通常会转发前 30 或 50 个八位位组未加密的流量,但您希望加密遍历链路的帧中的剩余数据。特别是负载平衡功能,通常需要在前 30 或 50 个八位字节中查看 IP 和 TCP/UDP 标头,以正确平衡流量的负载。

重播窗口大小

指定重播保护窗口的大小。

注意:

当此变量设置为 0 时,将丢弃所有无序到达的数据包。

排除协议

指定不应受 MACsec 保护的协议的名称。选项包括:

  • cdp — 思科发现协议。

  • lacp — 链路聚合控制协议。

  • lldp — 链路级别发现协议。

密码套件

指定用于创建 MACsec 配置文件的密码套件。

表 4:SAK 设置

描述

安全通道名称

键入安全通道的名称。

MAC地址

指定要使用静态安全关联密钥 (SAK) 安全模式启用 MACsec 的 MAC 地址。MAC 地址变量必须在链路的发送端和接收端匹配,才能使用静态 SAK 安全模式启用 MACsec。

港口

使用静态安全关联密钥 (SAK) 安全模式启用 MACsec 时,指定安全通道中的端口 ID 号。端口 ID 必须在链路两端的发送和接收安全通道上匹配,才能启用 MACsec。

端口号匹配后,将为连接上的所有流量启用 MACsec。

启用加密

如果要在出站安全通道中启用 MACsec 加密,请选择此选项。

注意:

您可以在不启用加密的情况下启用 MACsec。如果与未启用 MACsec 加密的出站安全通道的连接关联与接口相关联,则流量将以明文形式通过以太网链路转发。因此,您可以在监控链路时查看此未加密的流量。

抵消

指定启用 MACsec 加密时要以未加密的纯文本格式发送的以太网帧中的八位位组数。

将偏移量设置为 30 允许功能在加密剩余流量时查看 IPv4 标头和 TCP/UDP 标头。将偏移量设置为 50 允许功能在加密剩余流量时查看 IPv6 标头和 TCP/UDP 标头。

安全关联

指定与安全关联编号对应的安全关联密钥。密钥字符串是一个 32 位十六进制数字。

为每个安全关联编号重新输入安全关联密钥。如果连接关联密钥与其各自的确认密钥不匹配,则会显示错误消息。

下一步该怎么做

创建 MACsec 配置文件后,必须使用“管理 MacSec 配置文件”页面将该配置文件分配给 Junos Fusion Enterprise 卫星设备,然后使用 “部署 ”模式部署设备配置文件。

要将 MACsec 设置配置文件分配给设备,请参阅 分配 MACsec 配置文件。有关部署配置的信息,请参阅 将配置部署到设备

注意:

您可以将 MACsec 配置文件分配给 Junos Fusion 企业聚合设备上的扩展端口。

在 CAK 模式下,如果更改已部署 MACsec 配置文件的连接关联密钥名称,则必须重新配置该配置文件的连接关联密钥和确认密钥。同样,在 SAK 模式下,如果更改已部署 MACSec 配置文件的入站或出站通道名称,则必须重新配置该配置文件的密钥和确认密钥。