Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置和管理 MACsec 配置文件

在 Network Director UI 的“MACsc 配置文件”页面中,您可以创建和管理 MACsec 配置文件,这些配置文件为 Junos Fusion Enterprise 设备中的聚合设备中的扩展端口指定 MACsec 设置。在“管理 MACsec 配置文件”页面中,您可以:

  • 通过单击 “添加”创建新的 MACsec 配置文件。

  • 通过选择现有 MACsec 配置文件并单击 编辑来修改该配置文件。

  • 通过选择配置文件并单击 “分配”,将配置文件关联到扩展端口。

  • 通过选择配置文件并单击 编辑分配来更改配置文件的当前分配。

  • 选择 MACsec 配置文件并单击 “删除”,以删除该配置文件。

  • 克隆现有 MACsec 配置文件,方法是选择该配置文件并单击 克隆

  • 通过选择配置文件并单击 详细信息来查看有关配置文件的信息。

表 1 介绍了 Manage MACsec 配置文件页面上提供的有关有线 MACsec 配置文件的信息。此页面列出了为 Junos Fusion Enterprise 设备定义的所有 MACsec 配置文件,无论您在网络视图中选择的范围如何。

表 1:管理 MACsec 配置文件字段

描述

配置文件名称

配置文件的名称。

连接关联名称

MACsec 连接关联的名称。

描述

配置文件的说明。

MACsec 模式

在设备上启用 MACsec 的静态安全关联密钥 (static-SAK) 安全模式或静态连接关联密钥 (static-CAK)。

分配状态

配置文件分配状态。实现以下情况之一:

  • 已部署 — 配置文件已分配,配置已部署在设备上。

  • 挂起的部署 — 配置文件已分配或其之前的分配已更改,但新的或修改后的配置尚未部署在设备上。

  • 未分配 - 配置文件尚未分配。

用户名

创建或修改配置文件的用户的用户名。

本主题将介绍如下内容:

创建 MACsec 配置文件

要创建 MACsec 配置文件,请执行以下作:

  1. 在“视图”下,选择以下选项之一:“ 逻辑视图”、“ 位置视图”、“ 设备视图”或 “自定义组视图”。
    提示:

    不要选择 “仪表板视图 ”或 “拓扑视图”
  2. 单击 Network Director 横幅。
  3. 在“任务”窗格中,依次展开 “有线”、“ 配置文件”和“ MACsec”。

    此时将显示 Manage MACsec 配置文件页面,其中显示了当前配置的 MACsec 配置文件的列表。

  4. 单击 “添加 ”以添加新的配置文件。

    此时将显示 Create MACsec Profile 页面。

  5. 输入 指定 MACSsec 配置文件的设置中所述的 MACsec 设置。
  6. 单击 “完成”

指定 MACSsec 配置文件的设置

表 2 介绍了 MACsec 配置文件的设置。必需的设置由显示在用户界面中字段标签旁边的红色星号 (*) 表示。

表 2:MACsec 配置文件设置

行动

配置文件名称

键入配置文件的名称。

描述

键入配置文件的描述。

家庭类型

创建配置文件的设备系列:园区交换 ELS 或数据中心交换 ELS。

连接关联名称

键入 MACsec 连接关联的名称。

MACsec 模式

选择可在设备上启用 MACsec 的模式。可用模式包括静态安全关联密钥 (static-SAK) 安全模式或静态连接关联密钥 (static-CAK) 安全模式。

CAK 设置

如果要使用 CAK 模式开启 MACsec,请配置 表 3 中指定的 CAK 设置。

SAK 设置

如需使用 SAK 模式开启 MACsec,请按照 表 4 中指定的入站和出站安全通道 SAK 设置进行配置。
表 3:CAK 设置

描述

连接关联密钥名称

键入要用于启用 MACsec 的连接关联密钥的名称。

连接关联密钥

指定要与安全通道上链路另一端交换的密钥。您必须使用包含 32 位数字的十六进制字符串。

确认连接关联密钥

再次指定连接关联密钥。如果(连接关联键之间)不匹配,则会显示错误消息。

启用包含安全通道标识符

如果设备在连接到 Junos Fusion Enterprise 设备的以太网链路上启用 MACsec,则启用“包括安全通道标识符”标记。

密钥服务器优先级

指定 MACsec 密钥协议 (MKA) 服务器选择优先级编号。可以指定一个介于 0 和 255 之间的值。数字越小,优先级越高。

传输间隔(毫秒)

指定 MACsec 密钥协议 (MKA) 协议数据单元 (PDU) 的传输间隔。MKA 传输间隔设置用于设置将 MKA PDU 发送到直连设备的频率,以便在点对点以太网链路上保持 MACsec。较低的间隔会增加链路上的带宽开销;较高的间隔优化了 MKA 协议数据单元交换过程。

默认传输间隔为 2000 毫秒

禁用加密

如果要对已启用 MACsec 的连接关联禁用 MACsec 加密,请选择此选项。

抵消

为通过链路的所有数据包指定偏移量 0、30 或 50。默认偏移量为 0。启用加密且未设置偏移量时,将对连接关联中的所有流量进行加密。

当偏移量设置为 30 时,IPv4 报头和 TCP/UDP 报头未加密,同时对其余流量进行加密。

当偏移量设置为 50 时,IPv6 报头和 TCP/UDP 报头在加密其余流量时未加密。

如果要素需要查看八位位组中的数据才能执行功能,您通常会使用未加密的前 30 或 50 个八位位组转发流量,但除此之外,您更愿意对遍历链路的帧中的剩余数据进行加密。特别是负载平衡功能,通常需要查看前 30 或 50 个八位位组中的 IP 和 TCP/UDP 标头,才能正确对流量进行负载平衡。

重播窗口大小

指定重播保护窗口的大小。

注意:

当此变量设置为 0 时,将丢弃所有无序到达的数据包。

排除协议

指定不应受 MACsec 保护的协议的名称。产品选项包括:

  • cdp — 思科发现协议。

  • lacp — 链路聚合控制协议。

  • lldp — 链路级别发现协议。

密码套件

指定用于创建 MACsec 配置文件的密码套件。
表 4:SAK 设置

描述

安全通道名称

键入安全通道的名称。

MAC 地址

指定要使用静态安全关联密钥 (SAK) 安全模式启用 MACsec 的 MAC 地址。链路的发送端和接收端的 MAC 地址变量必须匹配,才能使用静态 SAK 安全模式启用 MACsec。

港口

使用静态安全关联密钥 (SAK) 安全模式启用 MACsec 时,指定安全通道中的端口 ID 号。端口 ID 必须在链路两端的发送和接收安全通道上匹配,才能启用 MACsec。

端口号匹配后,将为连接上的所有流量启用 MACsec。

启用加密

如果要在出站安全通道中启用 MACsec 加密,请选择此选项。

注意:

您可以在不启用加密的情况下启用 MACsec。如果与未启用 MACsec 加密的出站安全通道的连接关联与某个接口相关联,则流量将以明文形式通过以太网链路进行转发。因此,您可以在监控链路时查看此未加密的流量。

抵消

指定当为 MACsec 启用加密时,要以未加密的纯文本形式发送的以太网帧中的八位位组数。

将偏移量设置为 30 将允许功能在加密剩余流量时查看 IPv4 标头和 TCP/UDP 标头。将偏移量设置为 50 允许功能在加密剩余流量时查看 IPv6 标头和 TCP/UDP 标头。

安全关联

指定与安全关联编号对应的安全关联密钥。密钥字符串是一个 32 位十六进制数字。

重新输入每个安全关联号的安全关联密钥。如果连接关联密钥及其各自的确认密钥不匹配,则会显示错误消息。

下一步做什么

创建 MACsec 配置文件后,必须使用“管理 MacSec 配置文件”页将该配置文件分配给 Junos Fusion Enterprise 附属设备,然后使用 “部署 ”模式部署设备配置文件。

要将 MACsec 设置配置文件分配给设备,请参阅 分配 MACsec 配置文件。有关部署配置的信息,请参阅 将配置部署到设备

注意:

您可以将 MACsec 配置文件分配给 Junos Fusion Enterprise 聚合设备上的扩展端口。

在 CAK 模式下,如果更改已部署 MACsec 配置文件的连接关联密钥名称,则必须为该配置文件重新配置连接关联密钥和确认密钥。同样,在 SAK 模式下,如果更改已部署 MACSec 配置文件的入站或出站通道名称,则必须重新配置该配置文件的密钥和确认密钥。

相关主题