AUF DIESER SEITE
Grundlegendes zur Sicherheit der Medienzugriffssteuerung auf einer Junos Fusion Enterprise
Media Access Control Security (MACsec) wird häufig in Campus-Bereitstellungen eingesetzt, um den Netzwerkverkehr zwischen Endgeräten und Zugriffs-Switches zu sichern. Sie können MACsec auf erweiterten Ports in einer Junos Fusion Enterprise-Topologie aktivieren, um eine sichere Kommunikation zwischen dem Satellitengerät und verbundenen Hosts zu gewährleisten.
MacSec – Überblick
MACsec ist eine 802.1AE IEEE-Sicherheitsstandard-Sicherheitstechnologie, die eine sichere Kommunikation über Ethernet-Verbindungen zwischen direkt verbundenen Knoten ermöglicht. MACsec ist in der Lage, die meisten Sicherheitsbedrohungen zu erkennen und zu verhindern, einschließlich Denial-of-Service-, Intrusion-, Man-in-the-Middle-, Masquerading-, passive Abhör- und Playback-Angriffe. MACsec bietet Punkt-zu-Punkt-Integrität und kann in Kombination mit anderen Sicherheitslösungen wie IP Security (IPsec) und Secure Sockets Layer (SSL) verwendet werden, um End-to-End-Netzwerksicherheit zu gewährleisten.
Eine ausführliche Übersicht über MACsec finden Sie unter Grundlegendes zu MACsec (Media Access Control Security ).
Aktivieren von MACsec in einem Junos Fusion Enterprise
Um MACsec auf einer Verbindung zu aktivieren, die ein Endgerät – z. B. einen Server, ein Telefon oder einen PC – mit einem erweiterten Port in einer Junos Fusion Enterprise verbindet, muss das Endgerät MACsec unterstützen und auf dem Client-Software ausgeführt werden, mit der es eine MACsec-gesicherte Verbindung aktivieren kann. Auf dem erweiterten Port, der eine Verbindung mit dem Host herstellt, muss eine sichere Zuordnung mit dynamischem Sicherheitsmodus für sichere Zuordnungen (Dynamic SAK) konfiguriert werden. Die sicheren Zuordnungsschlüssel werden im Rahmen des 802.1X-Authentifizierungsprozesses vom RADIUS-Server abgerufen. Die Schlüssel werden zwischen den MACsec-Peers ausgetauscht, um eine sichere Verbindung herzustellen.
Die MacSec-Konfiguration in Junos Fusion erfolgt auf dem aggregierten Gerät und ist für einen eigenständigen Switch der EX-Serie identisch. Weitere Informationen finden Sie unter Konfigurieren von MACsec auf EX-, QFX- und SRX-Geräten.
Wenn MACsec in einer Junos Fusion mit dualen Aggregationsgeräten aktiviert ist, ist der Austausch von EAPoL-Paketen während der 802.1X-Authentifizierungssitzung auf ein Aggregationsgerät (AD) beschränkt. Das MKA-Protokoll wird nur bei diesem (AD) ausgelöst, und die von MKA generierten Schlüssel werden nicht zwischen den ADs synchronisiert. Wenn das AD, für das die Schlüssel generiert werden, fehlschlägt, müssen die MACsec-Sitzungen mit dem anderen AD erneut authentifiziert werden.