Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Media Access Control Security (MACsec) im Gehäuse-Cluster

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Lesen Sie den Abschnitt Plattformspezifisches MACsec-Verhalten , um Hinweise zu Ihrer Plattform zu erhalten.

Media Access Control Security (MACsec) ist eine branchenübliche Sicherheitstechnologie, die eine sichere Kommunikation für den gesamten Datenverkehr über Ethernet-Verbindungen ermöglicht. Weitere Informationen finden Sie in den folgenden Themen:

Grundlegendes zu Media Access Control Security (MACsec)

Media Access Control Security (MACsec) ist eine branchenübliche Sicherheitstechnologie, die eine sichere Kommunikation für den gesamten Datenverkehr über Ethernet-Verbindungen ermöglicht. MACsec bietet Punkt-zu-Punkt-Sicherheit für Ethernet-Verbindungen zwischen direkt verbundenen Knoten und ist in der Lage, die meisten Sicherheitsbedrohungen zu erkennen und zu verhindern, einschließlich Denial-of-Service-, Intrusion-, Man-in-the-Middle-, Masquerading-, passive Abhör- und Playback-Angriffe.

Mit MACsec können Sie eine Ethernet-Verbindung für fast den gesamten Datenverkehr sichern, einschließlich Frames aus dem Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) und anderen Protokollen, die aufgrund von Einschränkungen bei anderen Sicherheitslösungen normalerweise nicht auf einer Ethernet-Verbindung gesichert sind. MACsec kann in Kombination mit anderen Sicherheitsprotokollen wie IP Security (IPsec) und Secure Sockets Layer (SSL) verwendet werden, um End-to-End-Netzwerksicherheit zu gewährleisten.

Dieses Thema enthält die folgenden Abschnitte:

Funktionsweise von MACsec

MACsec bietet branchenübliche Sicherheit durch die Verwendung von gesicherten Punkt-zu-Punkt-Ethernet-Verbindungen. Die Punkt-zu-Punkt-Verbindungen werden nach dem Abgleich von Sicherheitsschlüsseln gesichert. Wenn Sie MACsec im CAK-Sicherheitsmodus (Static Connectivity Association Key) aktivieren, werden vom Benutzer konfigurierte vorinstallierte Schlüssel zwischen den Schnittstellen an beiden Enden der Punkt-zu-Punkt-Ethernet-Verbindung ausgetauscht und überprüft.

Sobald MACsec auf einer Punkt-zu-Punkt-Ethernet-Verbindung aktiviert ist, wird der gesamte Datenverkehr, der die Verbindung durchquert, durch Datenintegritätsprüfungen und, falls konfiguriert, Verschlüsselung MACsec-gesichert.

Durch die Datenintegritätsprüfungen wird die Integrität der Daten überprüft. MACsec hängt einen 8-Byte-Header und einen 16-Byte-Schwanz an alle Ethernet-Frames an, die die MACsec-gesicherte Punkt-zu-Punkt-Ethernet-Verbindung durchlaufen. Header und Ende werden von der empfangenden Schnittstelle überprüft, um sicherzustellen, dass die Daten beim Durchlaufen der Verbindung nicht kompromittiert wurden. Wenn bei der Datenintegritätsprüfung Unregelmäßigkeiten im Datenverkehr festgestellt werden, wird der Datenverkehr gelöscht.

MACsec kann auch verwendet werden, um den gesamten Datenverkehr auf der Ethernet-Verbindung zu verschlüsseln. Die von MACsec verwendete Verschlüsselung stellt sicher, dass die Daten im Ethernet-Frame von niemandem eingesehen werden können, der den Datenverkehr auf der Verbindung überwacht.

Die Verschlüsselung ist standardmäßig für den gesamten Datenverkehr aktiviert, der in die Schnittstelle ein- oder ausgeht, wenn MACsec im statischen CAF-Sicherheitsmodus aktiviert ist.

MACsec ist auf Punkt-zu-Punkt-Ethernet-Verbindungen zwischen MACsec-fähigen Schnittstellen konfiguriert. Wenn Sie MACsec auf mehreren Ethernet-Verbindungen aktivieren möchten, müssen Sie MACsec für jede Punkt-zu-Punkt-Ethernetverbindung einzeln konfigurieren.

Grundlegendes zu Konnektivitätsassoziationen und sicheren Kanälen

MACsec wird in Konnektivitätszuordnungen konfiguriert. MACsec ist aktiviert, wenn einer Schnittstelle eine Konnektivitätszuordnung zugewiesen ist.

Wenn Sie MACsec mit statischem CAK oder dynamischem Sicherheitsmodus aktivieren, müssen Sie eine Konnektivitätszuordnung erstellen und konfigurieren. Zwei sichere Kanäle – ein sicherer Kanal für eingehenden Datenverkehr und ein weiterer sicherer Kanal für ausgehenden Datenverkehr – werden automatisch erstellt. Die automatisch erstellten sicheren Kanäle verfügen über keine vom Benutzer konfigurierbaren Parameter. Die gesamte Konfiguration erfolgt in der Konnektivitätszuordnung außerhalb der sicheren Kanäle.

Grundlegendes zum Sicherheitsmodus des statischen Konnektivitätszuordnungsschlüssels

Wenn Sie MACsec im CAK-Sicherheitsmodus (Static Connectivity Association Key) aktivieren, werden zwei Sicherheitsschlüssel – ein Connectivity Association Key (CAK) zum Schutz des Datenverkehrs auf der Steuerungsebene und ein zufällig generierter sicherer Zuordnungsschlüssel (SAK) zum Schutz des Datenebenendatenverkehrs – verwendet, um die Punkt-zu-Punkt-Ethernetverbindung zu sichern. Beide Schlüssel werden regelmäßig zwischen beiden Geräten an beiden Enden der Punkt-zu-Punkt-Ethernet-Verbindung ausgetauscht, um die Sicherheit der Verbindung zu gewährleisten.

Sie richten zunächst eine MACsec-gesicherte Verbindung mithilfe eines vorinstallierten Schlüssels ein, wenn Sie den statischen CAF-Sicherheitsmodus verwenden, um MACsec zu aktivieren. Ein vorinstallierter Schlüssel enthält einen Konnektivitätszuordnungsnamen (CKN) und einen eigenen Konnektivitätszuordnungsschlüssel (Connectivity Association Key, CAK). CKN und CAK werden vom Benutzer in der Konnektivitätszuordnung konfiguriert und müssen an beiden Enden der Verbindung übereinstimmen, um MACsec anfänglich zu aktivieren.

Sobald übereinstimmende Pre-Shared Keys erfolgreich ausgetauscht wurden, wird das MACsec Key Agreement (MKA)-Protokoll aktiviert. Das MKA-Protokoll ist für die Aufrechterhaltung von MACsec auf der Verbindung verantwortlich und entscheidet, welcher Switch auf der Punkt-zu-Punkt-Verbindung zum Schlüsselserver wird. Der Schlüsselserver erstellt dann einen SAK, der nur mit dem Switch am anderen Ende der Punkt-zu-Punkt-Verbindung gemeinsam genutzt wird, und dieser SAK wird verwendet, um den gesamten Datenverkehr zu sichern, der die Verbindung passiert. Der Schlüsselserver erstellt weiterhin in regelmäßigen Abständen einen zufällig erstellten SAK über die Punkt-zu-Punkt-Verbindung, solange MACsec aktiviert ist.

Sie aktivieren MACsec mithilfe des statischen CAK-Sicherheitsmodus, indem Sie an beiden Enden der Verbindung eine Konnektivitätszuordnung konfigurieren. Die gesamte Konfiguration erfolgt innerhalb der Konnektivitätsverbindung, jedoch außerhalb des sicheren Kanals. Zwei sichere Kanäle – einer für eingehenden Datenverkehr und einer für ausgehenden Datenverkehr – werden automatisch erstellt, wenn der statische CAF-Sicherheitsmodus verwendet wird. Die automatisch erstellten sicheren Kanäle verfügen über keine vom Benutzer konfigurierbaren Parameter, die nicht bereits in der Konnektivitätszuordnung konfiguriert werden können.

Es wird empfohlen, MACsec im statischen CAK-Sicherheitsmodus zu aktivieren. Der statische CAK-Sicherheitsmodus gewährleistet die Sicherheit durch häufige Aktualisierung auf einen neuen zufälligen Sicherheitsschlüssel und durch die gemeinsame Nutzung des Sicherheitsschlüssels zwischen den beiden Geräten nur auf der MACsec-gesicherten Punkt-zu-Punkt-Verbindung. Darüber hinaus sind einige optionale MACsec-Funktionen – Wiedergabeschutz, SCI-Tagging und die Möglichkeit, Datenverkehr von MACsec auszuschließen – nur verfügbar, wenn Sie MACsec im statischen CAF-Sicherheitsmodus aktivieren.

Firewalls der SRX-Serie unterstützen MACsec auf HA-Steuerung und Fabric-Links. Wenn der Befehl restart 802.1x-protocol-daemon auf dem primären Knoten ausgeführt wird, flackern die Chassis-Cluster-Steuerung und die Fabric-Verbindungen, wodurch die Cluster-Knoten in den Split-Brain-Modus wechseln.

Überlegungen zu MACsec

Alle Arten von Spanning Tree Protocol-Frames können derzeit nicht mit MACsec verschlüsselt werden.

Die Konnektivitätszuordnung kann überall definiert werden, entweder global oder knotenspezifisch oder in jeder anderen Konfigurationsgruppe, solange sie für die MACsec-Schnittstellenkonfiguration sichtbar ist.

Für MACsec-Konfigurationen müssen an beiden Enden identische Konfigurationen vorhanden sein. Das heißt, jeder Knoten sollte die gleiche Konfiguration wie der andere Knoten enthalten. Wenn der andere Knoten nicht oder nicht ordnungsgemäß mit MACsec auf der anderen Seite konfiguriert ist, wird der Port deaktiviert und leitet den Datenverkehr nicht mehr weiter.

Konfigurieren von MACsec (Media Access Control Security)

In diesem Thema wird gezeigt, wie MACsec an Steuer- und Fabric-Ports unterstützter Firewalls der SRX-Serie im Gehäuse-Cluster konfiguriert wird, um Punkt-zu-Punkt-Ethernet-Verbindungen zwischen den Peer-Geräten in einem Cluster zu sichern. Jede Punkt-zu-Punkt-Ethernet-Verbindung, die Sie mit MACsec sichern möchten, muss separat konfiguriert werden. Sie können die MACsec-Verschlüsselung für Geräte-zu-Gerät-Verbindungen mithilfe des CAK-Sicherheitsmodus (Static Connectivity Association Key) aktivieren.

Die Konfigurationsschritte für beide Prozesse werden in diesem Dokument bereitgestellt.

Konfigurationsüberlegungen bei der Konfiguration von MACsec bei der Einrichtung von Gehäuse-Clustern

Bevor Sie beginnen, führen Sie die folgenden Schritte aus, um MACsec auf Steuerports zu konfigurieren:

  1. Wenn der Chassis-Cluster bereits verfügbar ist, deaktivieren Sie ihn mithilfe des set chassis cluster disable Befehls, und starten Sie beide Knoten neu.
  2. Konfigurieren Sie MACsec für den Steuerport mit seinen Attributen, wie in den folgenden Abschnitten beschrieben: Konfigurieren des statischen CAK auf dem Chassis-Cluster-Steuerport. Beide Knoten müssen unabhängig voneinander mit identischen Konfigurationen konfiguriert werden.
  3. Aktivieren Sie den Chassis-Cluster, indem Sie ihn auf beiden Knoten verwendenset chassis cluster cluster-id id. Starten Sie beide Knoten neu.

Der Status von Steuerports wirkt sich auf die Integrität eines Gehäuse-Clusters aus. Beachten Sie bei der Konfiguration von MACsec an Steuerports Folgendes:

  • Alle neuen MACsec-Chassis-Cluster-Port-Konfigurationen oder Änderungen an vorhandenen MACsec-Chassis-Cluster-Port-Konfigurationen erfordern die Deaktivierung des Chassis-Clusters und es wird eine Warnmeldung Modifying cluster control port CA will break chassis clusterangezeigt. Nach der Deaktivierung können Sie die oben genannten Konfigurationen anwenden und den Chassis-Cluster aktivieren.

  • Standardmäßig synchronisieren Chassis-Cluster alle Konfigurationen. Dementsprechend müssen Sie darauf achten, dass die Synchronisierung nicht zum Verlust von MACsec-Konfigurationen führt. Andernfalls geht das Gehäuse-Cluster kaputt. Bei unsymmetrischen, knotenspezifischen MACsec-Konfigurationen sollten beispielsweise an beiden Enden identische Konfigurationen vorhanden sein. Das heißt, jeder Knoten sollte die gleiche Konfiguration wie der andere Knoten enthalten.

Für jede Änderung an den MACsec-Konfigurationen von Steuerports müssen die oben genannten Schritte wiederholt werden.

Beachten Sie bei der Konfiguration von MACsec auf Fabric-Ports Folgendes:

Die Konfiguration von MACsec führt zu Änderungen des Verbindungsstatus, die sich auf die Datenverkehrsfähigkeit der Verbindung auswirken können. Behalten Sie bei der Konfiguration von Fabric-Ports den effektiven Verbindungsstatus im Auge. Eine falsche MACsec-Konfiguration an beiden Enden der Fabric-Verbindungen kann dazu führen, dass die Verbindung in einen nicht geeigneten Zustand versetzt wird. Beachten Sie die folgenden wichtigen Punkte zum Konfigurieren von Fabric-Links:

  • Beide Enden der Verbindungen müssen gleichzeitig konfiguriert werden, wenn der Chassis-Cluster gebildet wird.

  • Eine falsche Konfiguration kann zu Fabric-Fehlern und Fehlern in der Fabric-Wiederherstellungslogik führen.

    Aufgrund potenzieller Verbindungsfehlerszenarien wird empfohlen, Fabric-Links während der Bildung des Chassis-Clusters zu konfigurieren.

Konfigurieren von MACsec mithilfe des Sicherheitsmodus für statische Konnektivitätszuordnung

Sie können die MACsec-Verschlüsselung aktivieren, indem Sie den CAK-Sicherheitsmodus (Static Connectivity Association Key) für eine Punkt-zu-Punkt-Ethernetverbindung verwenden, die Geräte verbindet. In diesem Verfahren wird gezeigt, wie Sie MACsec im statischen CAF-Sicherheitsmodus konfigurieren.

MACsec auf der dualen Steuerverbindung ist an Steuerport 0 [em0] und Steuerport 1 [em1] konfiguriert. MACsec, das auf Umsatzschnittstellen konfiguriert ist, wird für die Bildung von Fabric-Verbindungen verwendet. Fabric-Verbindungen werden auf Fabric-Ports (mge-0/0/1 und mge-7/0/1) konfiguriert.

So konfigurieren Sie MACsec mithilfe des statischen CAK-Sicherheitsmodus, um eine Ethernet-Verbindung zwischen Gerät zu sichern:

  1. Erstellen Sie eine Konnektivitätszuordnung. Sie können diesen Schritt überspringen, wenn Sie eine vorhandene Konnektivitätszuordnung konfigurieren.

    Um beispielsweise eine Konnektivitätszuordnung mit dem Namen ca1zu erstellen, geben Sie Folgendes ein:

  2. Konfigurieren Sie den MACsec-Sicherheitsmodus wie static-cak für die Konnektivitätszuordnung.

    So konfigurieren Sie beispielsweise den MACsec-Sicherheitsmodus auf static-cak "Bei Konnektivitätszuordnung" ca1:

  3. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Namen des Konnektivitätszuordnungsschlüssels (CKN) und den Konnektivitätszuordnungsschlüssel (Connectivity Association Key, CAK) konfigurieren.

    Ein vorinstallierter Schlüssel wird zwischen direkt verbundenen Links ausgetauscht, um eine MACsec-sichere Verbindung herzustellen. Der Pre-Shared Key enthält den CKN und den CAK. Die CKN ist eine 64-stellige Hexadezimalzahl und die CAK ist eine 64-stellige Hexadezimalzahl. Das CKN und das CAK müssen an beiden Enden einer Verbindung übereinstimmen, um eine MACsec-gesicherte Verbindung zu erstellen.

    Um die Sicherheit zu maximieren, empfehlen wir, alle 64 Ziffern eines CKN und alle 64 Ziffern eines CAP zu konfigurieren.

    Nachdem die vorinstallierten Schlüssel erfolgreich ausgetauscht und von beiden Enden der Verbindung verifiziert wurden, wird das MACsec Key Agreement (MKA)-Protokoll aktiviert und verwaltet die sichere Verbindung. Das MKA-Protokoll wählt dann eines der beiden direkt verbundenen Geräte als Schlüsselserver aus. Der Schlüsselserver teilt dann eine zufällige Sicherheit mit dem anderen Gerät über die MACsec-sichere Punkt-zu-Punkt-Verbindung. Der Schlüsselserver erstellt weiterhin in regelmäßigen Abständen einen zufälligen Sicherheitsschlüssel und teilt ihn mit dem anderen Gerät über die MACsec-gesicherte Punkt-zu-Punkt-Verbindung, solange MACsec aktiviert ist.

    So konfigurieren Sie eine CKN von 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 und CAK von 228xx255aa23xx6729xx664xxx66e91f bei der Konnektivitätszuordnung ca1:

    MACsec wird erst aktiviert, wenn eine Konnektivitätszuordnung an eine Schnittstelle angefügt wird. Weitere Informationen finden Sie im letzten Schritt dieses Verfahrens, um eine Konnektivitätszuordnung an eine Schnittstelle anzuhängen.

  4. (Optional) Legen Sie die Priorität des MKA-Schlüsselservers fest.

    Gibt die Schlüsselserverpriorität an, die vom MKA-Protokoll zur Auswahl des Schlüsselservers verwendet wird. Das Gerät mit dem unteren priority-number wird als Schlüsselserver ausgewählt.

    Der Standardwert priority-number ist 16.

    Ist die key-server-priority auf beiden Seiten der Punkt-zu-Punkt-Verbindung identisch, wählt das MKA-Protokoll die Schnittstelle mit der niedrigeren MAC-Adresse als Schlüsselserver aus. Wenn diese Anweisung nicht in den Konnektivitätszuordnungen an beiden Enden einer MACsec-gesicherten Punkt-zu-Punkt-Verbindung konfiguriert ist, wird daher die Schnittstelle mit der niedrigeren MAC-Adresse zum Schlüsselserver.

    So ändern Sie die Priorität des Schlüsselservers auf 0, um die Wahrscheinlichkeit zu erhöhen, dass das aktuelle Gerät als Schlüsselserver ausgewählt wird, wenn MACsec auf der Schnittstelle mithilfe der Konnektivitätszuordnung ca1aktiviert ist:

    So ändern Sie die Schlüsselserverpriorität in 255, um die Wahrscheinlichkeit zu verringern, dass das aktuelle Gerät als Schlüsselserver in der Konnektivitätszuordnung ca1 ausgewählt wird:

  5. (Optional) Legen Sie das MKA-Übertragungsintervall fest.

    Die Einstellung für das MKA-Übertragungsintervall legt die Frequenz fest, mit der die MKA-Protokolldateneinheit (PDU) an das direkt angeschlossene Gerät gesendet wird, um die MACsec-Konnektivität über die Verbindung aufrechtzuerhalten. Je niedriger Wert, desto höher interval wird die Kommunikation interval im MKA-Protokoll optimiert.

    Der Standardwert interval ist 2000 Millisekunden. Es wird empfohlen, das Intervall in Umgebungen mit hoher Auslastung auf 6000 ms zu erhöhen. Die Einstellungen für das Übertragungsintervall müssen an beiden Enden der Verbindung identisch sein, wenn MACsec mit dem statischen CAK-Sicherheitsmodus aktiviert ist.

    Für SRX340-, SRX345- und SRX4600 Geräte beträgt das standardmäßige MKA-Übertragungsintervall 10000 ms für HA-Verbindungen.

    Wenn Sie z. B. das MKA-Übertragungsintervall auf 6000 Millisekunden erhöhen möchten, wenn die Konnektivitätszuordnung ca1 an eine Schnittstelle angehängt ist, gehen Sie wie folgt vor:

  6. (Optional) Deaktivieren Sie die MACsec-Verschlüsselung.

    Die Verschlüsselung ist standardmäßig für den gesamten Datenverkehr aktiviert, der in die Schnittstelle ein- oder ausgeht, wenn MACsec im statischen CAF-Sicherheitsmodus aktiviert ist.

    Wenn die Verschlüsselung deaktiviert ist, wird der Datenverkehr im Klartext über die Ethernet-Verbindung weitergeleitet. Sie können unverschlüsselte Daten im Ethernet-Frame anzeigen, der die Verbindung durchquert, wenn Sie ihn überwachen. Der MACsec-Header wird jedoch weiterhin auf den Frame angewendet, und alle MACsec-Datenintegritätsprüfungen werden an beiden Enden der Verbindung ausgeführt, um sicherzustellen, dass der über die Verbindung gesendete oder empfangene Datenverkehr nicht manipuliert wurde und keine Sicherheitsbedrohung darstellt.

  7. (Optional) Legen Sie einen Offset für alle Pakete fest, die den Link durchlaufen.

    Wenn Sie z. B. den Offset in der Konnektivitätszuordnung mit dem Namen ca1:

    Der Standardversatz ist 0. Der gesamte Datenverkehr in der Konnektivitätszuordnung wird verschlüsselt, wenn die Verschlüsselung aktiviert und ein offset nicht festgelegt ist.

    Wenn der Offset auf 30 festgelegt ist, werden der IPv4-Header und der TCP/UDP-Header unverschlüsselt, während der Rest des Datenverkehrs verschlüsselt wird. Wenn der Offset auf 50 festgelegt ist, werden der IPv6-Header und der TCP/UDP-Header unverschlüsselt, während der Rest des Datenverkehrs verschlüsselt wird.

    In der Regel leiten Sie den Datenverkehr mit den ersten 30 oder 50 Oktetten unverschlüsselt weiter, wenn ein Feature die Daten in den Oktetten anzeigen muss, um eine Funktion ausführen zu können, andernfalls ziehen Sie es jedoch vor, die verbleibenden Daten in den Frames, die den Link durchlaufen, zu verschlüsseln. Insbesondere Load-Balancing-Funktionen benötigen in der Regel die IP- und TCP/UDP-Header in den ersten 30 oder 50 Oktetten, um einen ordnungsgemäßen Lastenausgleich für den Datenverkehr zu gewährleisten.

  8. (Optional) Aktivieren Sie den Wiedergabeschutz.

    Wenn MACsec für eine Verbindung aktiviert ist, wird jedem Paket auf der MACsec-gesicherten Verbindung eine ID-Nummer zugewiesen.

    Wenn der Wiedergabeschutz aktiviert ist, prüft die empfangende Schnittstelle die ID-Nummer aller Pakete, die die MACsec-gesicherte Verbindung durchlaufen haben. Wenn ein Paket nicht in der richtigen Reihenfolge eintrifft und die Differenz zwischen den Paketnummern die Größe des Wiedergabeschutzfensters überschreitet, wird das Paket von der empfangenden Schnittstelle verworfen. Wenn z. B. die Größe des Wiedergabeschutzfensters auf fünf festgelegt ist und ein Paket mit der ID 1006 unmittelbar nach dem Paket, dem die ID 1000 zugewiesen wurde, am Empfangslink eintrifft, wird das Paket, dem die ID 1006 zugewiesen wurde, gelöscht, da es außerhalb der Parameter des Wiedergabeschutzfensters liegt.

    Der Replay-Schutz ist besonders nützlich für die Bekämpfung von Man-in-the-Middle-Angriffen. Ein Paket, das von einem Man-in-the-Middle-Angreifer über die Ethernet-Verbindung wiedergegeben wird, kommt nicht in der richtigen Reihenfolge auf der empfangenden Verbindung an. Daher trägt der Replay-Schutz dazu bei, dass das wiedergegebene Paket verworfen und nicht über das Netzwerk weitergeleitet wird.

    Der Replay-Schutz sollte nicht aktiviert werden, wenn erwartet wird, dass Pakete nicht in der richtigen Reihenfolge ankommen.

    Sie können festlegen, dass alle Pakete der Reihe nach eintreffen, indem Sie die Größe des Wiedergabefensters auf 0 festlegen.

    So aktivieren Sie den Wiedergabeschutz mit einer Fenstergröße von fünf bei der Konnektivitätszuordnung ca1:

  9. (Optional) Schließen Sie ein Protokoll von MACsec aus.

    Wenn Sie beispielsweise nicht möchten, dass LLDP (Link Level Discovery Protocol) mit MACsec gesichert wird:

    Wenn diese Option aktiviert ist, wird MACsec für alle Pakete des angegebenen Protokolls (in diesem Fall LLDP) deaktiviert, die über die Verbindung gesendet oder empfangen werden.

  10. Weisen Sie die Konnektivitätszuordnung einer Chassis-Cluster-Steuerungsschnittstelle zu.

    Das Zuweisen der Konnektivitätszuordnung zu einer Schnittstelle ist der letzte Konfigurationsschritt zum Aktivieren von MACsec auf einer Schnittstelle.

    So weisen Sie beispielsweise der Schnittstelle ge-0/0/1 die Konnektivitätszuordnung ca1 zu (für SRX340/SRX345):

    So weisen Sie beispielsweise der Schnittstelle ge-0/0/0 (für SRX380) die Konnektivitätszuordnung ca1 zu:

  11. Weisen Sie eine Konnektivitätszuordnung für die Aktivierung von MACsec auf einer Chassis-Cluster-Fabricschnittstelle zu.

MACsec mit dem statischen CAF-Sicherheitsmodus wird erst aktiviert, wenn auch eine Konnektivitätszuordnung am gegenüberliegenden Ende der Verbindung konfiguriert ist und vorinstallierte Schlüssel enthält, die an beiden Enden der Verbindung übereinstimmen.

Konfigurieren von statischem CAK am Steuerport des Gehäuse-Clusters

Zum Einrichten einer Zertifizierungsstelle über eine Chassis-Cluster-Steuerverbindung auf zwei SRX345-Geräten.

  1. Konfigurieren Sie den MACsec-Sicherheitsmodus wie static-cak für die Konnektivitätszuordnung:
  2. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Namen des Konnektivitätszuordnungsschlüssels (CKN) konfigurieren.

    Bei CKN muss es sich um eine Zeichenfolge mit gerader Länge und bis zu 64 Hexadezimalzeichen (0-9, a-f, A-F) handeln.

  3. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Konnektivitätszuordnungsschlüssel (CAK) konfigurieren.

    Das CAK muss 64 hexadezimale Zeichen (0-9, a-f, A-F) enthalten.

  4. Geben Sie die Steuerports des Gehäuseclusters für die Konnektivitätszuordnung an.

Konfigurieren Sie statisches CAK auf dem Chassis-Cluster-Fabric-Port

So stellen Sie eine Konnektivitätszuordnung über einen Chassis-Cluster-Fabric-Link auf zwei SRX345-Geräten her:

  1. Konfigurieren Sie den MACsec-Sicherheitsmodus wie static-cak für die Konnektivitätszuordnung.
  2. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Namen des Konnektivitätszuordnungsschlüssels (CKN) konfigurieren.

    Bei CKN muss es sich um eine Zeichenfolge mit gerader Länge und bis zu 64 Hexadezimalzeichen (0-9, a-f, A-F) handeln.

  3. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Konnektivitätszuordnungsschlüssel (CAK) konfigurieren.

    Das CAK muss 64 hexadezimale Zeichen (0-9, a-f, A-F) enthalten.

  4. Geben Sie einen Chassis-Cluster-Fabric-Port für eine Konnektivitätszuordnung an.

Konfigurieren Sie statisches CAK am Steuerport für SRX1600-, SRX2300- und SRX4300 Geräte

So konfigurieren Sie eine Konnektivitätszuordnung über eine Chassis-Cluster-Steuerverbindung auf zwei SRX1600 Geräten oder zwei SRX2300 Geräten oder SRX4300 Geräten.

  1. Konfigurieren Sie den MACsec-Sicherheitsmodus wie static-cak für die Konnektivitätszuordnung.
  2. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Namen des Konnektivitätszuordnungsschlüssels (CKN) konfigurieren.

    Bei CKN muss es sich um eine Zeichenfolge mit gerader Länge und bis zu 64 Hexadezimalzeichen (0-9, a-f, A-F) handeln.

  3. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Konnektivitätszuordnungsschlüssel (CAK) konfigurieren.

    Das CAK muss 64 hexadezimale Zeichen (0-9, a-f, A-F) enthalten.

  4. Geben Sie einen Steuerport für den Gehäusecluster für die Konnektivitätszuordnung an.

Führen Sie den show security macsec connections Befehl aus, um den Status der aktiven MACsec-Verbindungen anzuzeigen.

Führen Sie den show security mka sessions folgenden Befehl aus, um die Sitzungsinformationen für die MACsec-Schlüsselvereinbarung anzuzeigen.

So zeigen Sie den Sicherheitsstatus von Kontroll- und Fabric-Ports an. MACsec sowohl für Steuerungsport 0 als auch für Steuerport 1 aktiviert ist, führen Sie den show chassis cluster interfaces Befehl aus.

Konfigurieren Sie statisches CAK am Steuerport für SRX4600

Gehen Sie wie folgt vor, um eine Zertifizierungsstelle über eine Chassis-Cluster-Steuerverbindung auf zwei SRX4600 Geräten einzurichten.

  1. Konfigurieren Sie den MACsec-Sicherheitsmodus wie static-cak für die Konnektivitätszuordnung:
  2. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Namen des Konnektivitätszuordnungsschlüssels (CKN) konfigurieren.

    Bei CKN muss es sich um eine Zeichenfolge mit gerader Länge und bis zu 64 Hexadezimalzeichen (0-9, a-f, A-F) handeln.

  3. Erstellen Sie den vorinstallierten Schlüssel, indem Sie den Konnektivitätszuordnungsschlüssel (CAK) konfigurieren.

    Das CAK muss 64 hexadezimale Zeichen (0-9, a-f, A-F) enthalten.

  4. Geben Sie einen Steuerport für den Gehäusecluster für die Konnektivitätszuordnung an.

Überprüfen der MACSEC-Konfiguration

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die unter Konfigurieren des statischen CAK am Steuerport für SRX4600 bereitgestellte Konfiguration ordnungsgemäß funktioniert:

Zeigen Sie den Status aktiver MACsec-Verbindungen auf dem Gerät an

Zweck

Stellen Sie sicher, dass MACsec im Chassis-Cluster-Setup betriebsbereit ist.

Aktion

Geben Sie im Betriebsmodus den show security macsec connections interface interface-name Befehl auf einem oder beiden Knoten des Chassis-Cluster-Setups ein.

Bedeutung

CA name Die Interface name und-Ausgaben zeigen, dass die MACsec-Konnektivitätszuordnung auf der Schnittstelle em0 betriebsbereit ist. Die Ausgabe wird nicht angezeigt, wenn die Konnektivitätszuordnung auf der Schnittstelle nicht betriebsbereit ist.

MACsec Key Agreement (MKA)-Sitzungsinformationen anzeigen

Zweck

Zeigen Sie MACsec Key Agreement (MKA)-Sitzungsinformationen für alle Schnittstellen an.

Aktion

Geben Sie im Betriebsmodus den show security mka sessions Befehl ein.

Bedeutung

Die Ausgaben zeigen den Status der MKA-Sitzungen.

Überprüfen Sie, ob der MACsec-gesicherte Datenverkehr die Schnittstelle passiert

Zweck

Stellen Sie sicher, dass der Datenverkehr, der die Schnittstelle durchläuft, MACsec-gesichert ist.

Aktion

Geben Sie im Betriebsmodus den show security macsec statistics Befehl ein.

Bedeutung

Die Encrypted packets Zeile unter dem Feld enthält die Werte, die Secure Channel transmitted jedes Mal erhöht werden, wenn ein Paket von der Schnittstelle gesendet wird, die durch MACsec gesichert und verschlüsselt ist.

Die Accepted packets Zeile unter dem Feld enthält die Werte, die Secure Association received jedes Mal erhöht werden, wenn ein Paket, das die MACsec-Integritätsprüfung bestanden hat, auf der Schnittstelle empfangen wird. Die Decrypted bytes Zeile unter der Secure Association received Ausgabe wird jedes Mal inkrementiert, wenn ein verschlüsseltes Paket empfangen und entschlüsselt wird.

Überprüfen Sie, ob Gehäuse-Cluster-Ports mit MACsec-Konfiguration gesichert sind

Zweck

Stellen Sie sicher, dass MACsec auf den Gehäuse-Cluster-Ports konfiguriert ist.

Aktion

Geben Sie im Betriebsmodus den show chassis cluster interfaces Befehl ein.

Bedeutung

Die Security Zeile unter der Ausgabe für die Control interfaces em0-Schnittstelle, die als angezeigt wird Secured , bedeutet, dass der von der em0-Schnittstelle gesendete Datenverkehr durch MACsec gesichert und verschlüsselt wird.

Sie können den show chassis cluster status Befehl auch verwenden, um den aktuellen Status des Chassis-Clusters anzuzeigen.

Siehe auch

Plattformspezifisches MACsec-Verhalten

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen.

Bahnsteig

Unterschied

SRX-Serie

  • Firewalls SRX340, SRX345 und SRX380, die MACsec unterstützen, haben einen 300-Sekunden-Timer, wenn MACsec am Steuerport des Chassis-Clusters aktiviert ist. Wenn beide Steuerverbindungen ausfallen, ändert Junos OS den Betriebszustand des sekundären Knotens für 180 Sekunden in "Nicht geeignet".

  • SRX4600 Firewalls, die MACsec am Steuerport unterstützen, beträgt die Dauer der Nichtteilnahmeberechtigung 200 Sekunden.

  • Firewalls SRX340, SRX345 und SRX380, die MACsec unterstützen, setzen den anfänglichen Warte-Timer auf 120 Sekunden statt auf 30 Sekunden.

  • SRX340- und SRX345-Firewalls, die MACsec unterstützen, verwenden die folgenden Ports:

    • GE-0/0/0 ist ein Fabric-Port

    • GE-0/0/1 ist ein Steuerport für das Chassis-Cluster.

      Der Chassis-Cluster weist ge-0/0/1 als cluster-control-port 0 zu.

  • Die Firewall SRX380 unterstützt MACsec. Versetzen Sie jeden Knoten in den Standalone-Modus, bevor Sie MACsec auf der cluster-control-port . cluster-data-port Wenden Sie MACsec auf beide Knoten an, und starten Sie sie dann im Chassis-Cluster-Modus neu.

  • SRX380-Firewalls, die MACsec unterstützen, verwenden ge-0/0/0 als Fabric-Port. Die Schnittstelle ge-0/0/15 dient als Steuerport für das Chassis-Cluster.

  • SRX4600 Firewalls, die MACsec unterstützen, verfügen über dedizierte Kontroll- und Fabric-Ports. Konfigurieren Sie MACsec auf Steuerverbindungen mit dedizierten Steuerport 0 [em0] und Port 1 [em1]. Konfigurieren von MACsec für Fabric-Verbindungen an dedizierten Fabric-Ports:

    • Port 2 und Port 3 von fpc0 pic0 (z.B. xe-0/0/2 und xe-0/0/3)

    • Port 2 und Port 3 von fpc7 pic0

  • SRX1600-Firewalls, die MACsec unterstützen, verfügen über dedizierte Dual-Control-Ports (em0/em1) und bieten Dual-Fabric-Ports.

  • SRX2300 Firewalls, die MACsec unterstützen, verfügen über zwei Steuerports (em0/em1) und zwei Fabric-Ports.

  • Die Firewalls SRX340 und SRX345 unterstützen MACsec an Steuer- und Fabric-Ports im Chassis-Cluster-Modus.

  • Die Firewalls SRX340, SRX345 und SRX380 unterstützen Host-to-Host- oder Switch-to-Host-MACsec.

  • SRX4600 Firewall unterstützt MACsec nicht für Host-zu-Host-Verbindungen. MACsec wird nur durch dedizierte Fab-Ports unterstützt. Die Firewall lässt MACsec nicht zu, wenn ein anderer Datenverkehrsport als Fab dient.

  • Firewalls SRX340, SRX345 und SRX380, die MACsec unterstützen, erfordern lokale MACsec-Konfigurationen auf jedem Knoten. Andernfalls können diese Firewalls den Fabric-Link nicht erreichen.

  • SRX1600-, SRX2300- und SRX4300-Firewalls, die MACsec unterstützen, können in einer MACsec-Konfiguration Dual-Control-Ports verwenden.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
20.1
Ab Junos OS Version 20.1R1 wird MACsec auf Steuer-Ports, Fabric-Ports und Umsatz-Ports von SRX380-Geräten im Chassis-Cluster-Modus unterstützt, um den Datenverkehr zu sichern. MACsec wird auf 16 x 1-Gigabit-Ethernet-Ports (ge-0/0/0 bis ge-0/0/15) und 4 x 10-Gigabit-Ethernet-Ports (xe-0/0/16 bis xe-0/0/19) unterstützt.