Beispiel: Konfigurieren von MACsec über einen MPLS-CCC auf Switches der EX-Serie
In diesem Beispiel wird gezeigt, wie Sie MACsec aktivieren, um vertraulichen Datenverkehr zu sichern, der von einem Benutzer an einem Standort zu einem Benutzer an einem anderen Standort über einen einfachen MPLS-CCC übertragen wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Drei EX4550-Switches als PE- und Provider-Switches im MPLS-Netzwerk
-
Ein EX4550-Switch, der als CE-Switch verwendet wird und Standort A mit dem MPLS-Netzwerk verbindet.
-
Ein EX4200-Switch, auf dem ein SFP+ MACsec-Uplink-Modul installiert ist, das als CE-Switch verwendet wird und Standort B mit dem MPLS-Netzwerk verbindet.
-
Junos OS Version 12.2R1 oder höher läuft auf allen EX4550-Switches im MPLS-Netzwerk (PE1, PE2 oder der Provider-Switch)
-
Junos OS Version 13.2X50-D15 (kontrollierte Version) oder höher ausgeführt auf dem CE-Switch an Standort A und dem CE-Switch an Standort B
Anmerkung:Die kontrollierte Version der Software des Betriebssystems Junos von Juniper Networks (Junos OS) muss heruntergeladen werden, um MACsec zu aktivieren. Die Unterstützung für MACsec-Software ist in der nationalen Version der Junos OS-Software, die standardmäßig auf dem Switch installiert ist, nicht verfügbar. Die kontrollierte Version der Junos OS-Software umfasst alle Features und Funktionen, die in der nationalen Version von Junos OS verfügbar sind, und unterstützt gleichzeitig MACsec. Weitere Informationen zu den Anforderungen an die MACsec-Software finden Sie unter Grundlegendes zu MACsec (Media Access Control Security ).
-
Eine MACsec-Funktionslizenz, die auf dem CE-Switch an Standort A und dem CE-Switch an Standort B installiert ist
Anmerkung:Um eine Softwarelizenz für MACsec zu erwerben, wenden Sie sich an Ihren Juniper Networks Vertriebsmitarbeiter (https://www.juniper.net/us/en/contact-us/sales-offices). Der Vertriebsmitarbeiter von Juniper Networks stellt Ihnen eine Lizenzdatei und einen Lizenzschlüssel zur Verfügung. Sie werden aufgefordert, die Seriennummer des Gehäuses Ihres Switches anzugeben. Sie können die Seriennummer abrufen, indem Sie den
show virtual-chassisBefehl ORshow chassis hardwareausführen.
Übersicht und Topologie
In diesem Beispiel werden häufig finanziell sensible Unternehmensdaten zwischen einem Benutzer an Standort A und einem Benutzer an Standort B gesendet. Das Unternehmen möchte sicherstellen, dass der gesamte Netzwerkdatenverkehr, der vom Benutzer an Standort A zum Benutzer an Standort B übertragen wird, hochsicher ist und von einem Angreifer nicht eingesehen oder beschädigt werden kann. Das Unternehmen verwendet die branchenübliche Layer 2-Sicherheit von MACsec, die Verschlüsselung bietet, um sicherzustellen, dass Daten von Angreifern nicht eingesehen werden können, und Integritätsprüfungen, um sicherzustellen, dass die übertragenen Daten nicht beschädigt werden, um den gesamten Datenverkehr zu sichern, der auf dem CCC durch die MPLS-Cloud übertragen wird, die die Websites verbindet. VLANs werden an beiden Standorten konfiguriert, um sicherzustellen, dass der Datenverkehr zwischen den beiden Benutzern die Standorte über den MACsec-gesicherten CCC durchläuft.
Das MPLS-Netzwerk in diesem Beispiel umfasst zwei Provider-Edge-Switches (PE1 und PE2) – PE1 und PE2 – und einen Provider-Switch (Transit). PE1 verbindet den Kunden-Edge-Switch (CE) an Standort A mit dem MPLS-Netzwerk und PE2 verbindet den CE-Switch an Standort B mit dem MPLS-Netzwerk. MACsec ist auf dem CCC aktiviert, der die CE-Switches an Standort A und Standort B verbindet, um den Datenverkehr zwischen den Standorten über den CCC zu sichern. Ein VLAN, das die Schnittstellen umfasst, die die Benutzer mit den CE-Switches verbinden, die Schnittstelle ge-0/0/0 auf dem CE-Switch an Standort A und die Schnittstelle ge-0/0/2 auf dem CE-Switch an Standort B sowie die Schnittstellen, die die CE-Switches mit der MPLS-Cloud verbinden (ge-0/0/0 auf dem CE-Switch von Standort A und xe-0/1/0 auf dem CE-Switch von Standort B), wird verwendet, um den gesamten Datenverkehr zwischen den Benutzern auf den MACsec-gesicherten CCC zu leiten.
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie. Der MACsec-gesicherte CCC-Datenverkehr ist in der Abbildung beschriftetMACsec CCC.
Tabelle 1 enthält eine Zusammenfassung der MPLS-Netzwerkkomponenten in dieser Topologie.
Tabelle 2 enthält eine Zusammenfassung der in dieser Topologie verwendeten MACsec-Konnektivitätszuordnung. MACsec wird aktiviert, indem an den Schnittstellen an beiden Enden einer Verbindung eine Konnektivitätszuordnung erstellt wird. MACsec ist aktiviert, wenn die Schnittstellen an beiden Enden der Verbindung Pre-shared Keys austauschen (die Pre-shared Keys sind in der Konnektivitätszuordnung definiert), um die Verbindung für MACsec zu sichern.
Tabelle 3 enthält eine Zusammenfassung der in dieser Topologie verwendeten VLANs. Das VLAN wird in dieser Topologie verwendet, um die gesamte Kommunikation vom Benutzer an Standort A zum Benutzer an Standort B über den MACsec-gesicherten CCC zu leiten.
| Komponentenbeschreibung | |
|---|---|
| PE1-KARTON |
PE-Schalter. lo0:
GE-0/0/0:
GE-0/0/1:
|
| Anbieter |
Provider-Switch. lo0:
GE-0/0/10:
xe-0/0/0:
|
| PE2-KARTON |
PE-Schalter. lo0:
xe-0/1/0
xe-0/1/1
|
| lsp_to_pe2_xe1 Label-Switched-Pfad |
Label-Switched-Pfad von PE1 zu PE2. |
| lsp_to_pe1_ge0 Label-Switched-Pfad |
Label-Switched-Pfad von PE2 zu PE1. |
| Connectivity Association | Beschreibung |
|---|---|
| CCC-MACsec |
Konnektivitätsverbindung, die MACsec auf CCC ermöglicht, die Standort A mit Standort B verbindet. Die Konnektivitätszuordnung ist auf den folgenden Schnittstellen aktiviert:
|
| VLAN-Beschreibung | |
|---|---|
| MACsec |
VLAN, das den Datenverkehr zwischen dem Benutzer an Standort A und dem Benutzer an Standort B auf den MACsec-gesicherten CCC leitet. Das VLAN umfasst die folgenden Schnittstellen:
|
Konfigurieren von MPLS
In diesem Abschnitt wird erläutert, wie MPLS auf jedem Switch im MPLS-Netzwerk konfiguriert wird.
Es enthält die folgenden Abschnitte:
- Konfigurieren von MPLS auf Switch PE1
- Konfigurieren von MPLS auf dem Provider-Switch
- Konfigurieren von MPLS auf Switch PE2
- Befund
Konfigurieren von MPLS auf Switch PE1
CLI Schnellkonfiguration
Verwenden Sie die folgenden Befehle, um die MPLS-Konfiguration auf dem PE1-Switch schnell zu konfigurieren:
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
set protocols mpls interface ge-0/0/1.0
set protocols rsvp interface lo0.0
set protocols rsvp interface ge-0/0/1.0
set interfaces lo0 unit 0 family inet address 130.1.1.1/32
set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/0 unit 0 family ccc
set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0
set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1
set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie MPLS auf Switch PE1:
-
Konfigurieren Sie OSPF mit aktiviertem Traffic Engineering:
[edit protocols] user@switch-PE1# set ospf traffic-engineering -
Konfigurieren Sie OSPF für die Loopback-Adresse und die Core-Schnittstellen:
[edit protocols] user@switch-PE1# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 -
Konfigurieren Sie MPLS auf diesem Switch, PE1, mit einem LSP für den PE2-Switch:
[edit protocols] user@switch-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 -
Konfiguration von MPLS auf den Core-Schnittstellen:
[edit protocols] user@switch-PE1# set mpls interface ge-0/0/1.0 -
Konfigurieren Sie RSVP auf der Loopback-Schnittstelle und den Core-Schnittstellen:
[edit protocols] user@switch-PE1# set rsvp interface lo0.0 user@switch-PE1# set rsvp interface ge-0/0/1.0 -
Konfigurieren Sie IP-Adressen für die Loopback-Schnittstelle und die Core-Schnittstellen:
[edit] user@switch-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@switch-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 -
Konfigurieren Sie auf der logischen Einheit der Core-Schnittstellenadressen
family mpls:[edit] user@switch-PE1# set interfaces ge-0/0/1 unit 0 family mpls -
Konfigurieren Sie die logische Einheit der Kunden-Edge-Schnittstelle als CCC:
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc -
Konfigurieren Sie den schnittstellenbasierten CCC von PE1 zu PE2:
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
Konfigurieren von MPLS auf dem Provider-Switch
CLI Schnellkonfiguration
Verwenden Sie die folgenden Befehle, um die MPLS-Konfiguration auf dem Provider-Switch schnell zu konfigurieren:
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/10.0
set protocols ospf area 0.0.0.0 interface xe-0/0/0.0
set protocols mpls interface ge-0/0/10.0
set protocols mpls interface xe-0/0/0.0
set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
set protocols rsvp interface lo0.0
set protocols rsvp interface ge-0/0/10.0
set protocols rsvp interface xe-0/0/0.0
set interfaces lo0 unit 0 family inet address 130.1.1.2/32
set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24
set interfaces ge-0/0/10 unit 0 family mpls
set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
set interfaces xe-0/0/0 unit 0 family mpls
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Provider-Switch:
-
Konfigurieren Sie OSPF mit aktiviertem Traffic Engineering:
[edit protocols] user@switch-P# set ospf traffic-engineering -
Konfigurieren Sie OSPF auf der Loopback-Schnittstelle und den Core-Schnittstellen:
[edit protocols] user@switch-P# set ospf area 0.0.0.0 interface lo0.0 user@switch-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@switch-P# set ospf area 0.0.0.0 interface xe-0/0/0.0 -
Konfigurieren Sie MPLS auf den Core-Schnittstellen des Switches:
[edit protocols] user@switch-P# set mpls interface ge-0/0/10.0 user@switch-P# set mpls interface xe-0/0/0.0 -
Konfigurieren Sie RSVP auf der Loopback-Schnittstelle und den Core-Schnittstellen:
[edit protocols] user@switch-P# set rsvp interface lo0.0 user@switch-P# set rsvp interface ge-0/0/10.0 user@switch-P# set rsvp interface xe-0/0/0.0 -
Konfigurieren Sie IP-Adressen für die Loopback-Schnittstelle und die Core-Schnittstellen:
[edit] user@switch-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@switch-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@switch-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 -
Konfigurieren Sie auf der logischen Einheit der Core-Schnittstellenadressen
family mpls:[edit] user@switch-P# set interfaces ge-0/0/10 unit 0 family mpls user@switch-P# set interfaces xe-0/0/0 unit 0 family mpls -
Konfigurieren Sie den LSP für den PE2-Switch:
[edit] user@switch-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
Konfigurieren von MPLS auf Switch PE2
CLI Schnellkonfiguration
Verwenden Sie die folgenden Befehle, um die MPLS-Konfiguration auf Switch PE2 schnell zu konfigurieren:
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface xe-0/1/0.0
set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
set protocols mpls interface xe-0/1/0.0
set protocols rsvp interface lo0.0
set protocols rsvp interface xe-0/1/0.0
set interfaces lo0 unit 0 family inet address 130.1.1.3/32
set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
set interfaces xe-0/1/0 unit 0 family mpls
set interfaces xe-0/1/1 unit 0 family ccc
set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0
set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0
set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Switch PE2:
-
Konfigurieren Sie OSPF mit aktiviertem Traffic Engineering:
[edit protocols] user@switch-PE2# set ospf traffic-engineering -
Konfigurieren Sie OSPF auf der Loopback-Schnittstelle und der Core-Schnittstelle:
[edit protocols] user@switch-PE2# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0 -
Konfigurieren Sie MPLS auf diesem Switch (PE2) mit einem Label-Switched-Pfad (LSP) zum anderen PE-Switch (PE1):
[edit protocols] user@switch-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 -
Konfigurieren von MPLS auf der Core-Schnittstelle:
[edit protocols] user@switch-PE2# set mpls interface xe-0/1/0.0 -
Konfigurieren Sie RSVP auf der Loopback-Schnittstelle und der Core-Schnittstelle:
[edit protocols] user@switch-PE2# set rsvp interface lo0.0 user@switch-PE2# set rsvp interface xe-0/1/0.0 -
Konfigurieren Sie IP-Adressen für die Loopback-Schnittstelle und die Core-Schnittstelle:
[edit] user@switch-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@switch-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 -
Konfigurieren Sie auf der logischen Einheit der Core-Schnittstelle
family mpls:[edit] user@switch-PE2# set interfaces xe-0/1/0 unit 0 family mpls -
Konfigurieren Sie die logische Einheit der Kunden-Edge-Schnittstelle als CCC:
[edit interfaces xe-0/1/1 unit 0] user@switch-PE2# set family ccc -
Konfigurieren Sie den schnittstellenbasierten CCC zwischen den primären Edge-Switches:
[edit protocols] user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
Konfigurieren von MACsec
In diesem Abschnitt wird erläutert, wie MACsec auf jedem Switch in der Topologie konfiguriert wird.
Es enthält die folgenden Abschnitte:
- Konfiguration von MACsec am CE-Switch von Standort A zur Sicherung des Datenverkehrs zu Standort B
- Konfigurieren von MACsec am CE-Switch von Standort B zur Sicherung des Datenverkehrs zu Standort A
Konfiguration von MACsec am CE-Switch von Standort A zur Sicherung des Datenverkehrs zu Standort B
CLI Schnellkonfiguration
[edit]
set security macsec connectivity-association ccc-macsec security-mode static-cak
set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311
set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
Schritt-für-Schritt-Anleitung
In diesem Beispiel wird der Datenverkehr zwischen den Benutzern, die häufig finanziell sensible Daten austauschen, über die MPLS-Cloud zwischen den Standorten auf einem CCC gesendet. MACsec wird auf dem CCC aktiviert, indem eine MACsec-Konnektivitätszuordnung auf den Schnittstellen an den CE-Switches an Standort A und Standort B konfiguriert wird, die mit den MPLS PE-Switches verbunden sind. Die Konnektivitätszuordnungen müssen übereinstimmende Konnektivitätszuordnungsnamen (in diesem Beispiel), ccc-macsecübereinstimmende CKNs (in diesem Beispiel) 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311und CAKs (in diesem Beispiel ) aufweisen, 228ef255aa23ff6729ee664acb66e91fum eine MACsec-sichere Verbindung herzustellen.
Um MACsec auf dem CCC zu aktivieren, der Standort A mit Standort B verbindet, führen Sie die folgenden Schritte am CE-Switch von Standort A aus:
-
Erstellen Sie die Konnektivitätszuordnung mit dem Namen ccc-macsec, und konfigurieren Sie den MACsec-Sicherheitsmodus wie folgt
static-cak:[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec security-mode static-cak -
Erstellen Sie den vorinstallierten Schlüssel, indem Sie CKN und CAK konfigurieren:
[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f -
Weisen Sie die Konnektivitätszuordnung der Schnittstelle zu, die mit dem PE1-Switch verbunden ist:
[edit security macsec] user@switch-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsecDamit sind die Schritte zum Konfigurieren der Konnektivitätszuordnung an einem Ende des CCC abgeschlossen. MACsec wird erst aktiviert, wenn eine Konnektivitätszuordnung mit passenden Pre-Shared Keys am gegenüberliegenden Ende einer Verbindung aktiviert wird, in diesem Fall die Schnittstelle am CE-Switch von Standort B des CCC. Das Verfahren zum Konfigurieren der Konnektivitätszuordnung auf dem CE-Switch von Standort B wird im folgenden Abschnitt beschrieben.
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Konfigurieren von MACsec am CE-Switch von Standort B zur Sicherung des Datenverkehrs zu Standort A
CLI Schnellkonfiguration
[edit]
set security macsec connectivity-association ccc-macsec security-mode static-cak
set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311
set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
Schritt-für-Schritt-Anleitung
Der Datenverkehr wird über das MPLS-Netzwerk mit einem CCC von Standort B zu Standort A übertragen. MACsec wird auf dem CCC aktiviert, indem eine MACsec-Konnektivitätszuordnung auf den Schnittstellen an den CE-Switches an Standort A und Standort B konfiguriert wird, die mit den MPLS PE-Switches verbunden sind. Die Konnektivitätszuordnungen müssen übereinstimmende Konnektivitätszuordnungsnamen (in diesem Beispiel ccc-macsec), übereinstimmende CKNs (37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) und übereinstimmende CAKs (228ef255aa23ff6729ee664acb66e91f) aufweisen, um eine MACsec-sichere Verbindung herzustellen.
Um MACsec auf dem CCC zu aktivieren, der Standort B mit Standort A verbindet, führen Sie die folgenden Schritte am CE-Switch von Standort B aus:
-
Erstellen Sie die Konnektivitätszuordnung mit dem Namen ccc-macsec, und konfigurieren Sie den MACsec-Sicherheitsmodus wie folgt
static-cak:[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec security-mode static-cak -
Erstellen Sie den vorinstallierten Schlüssel, indem Sie CKN und CAK konfigurieren:
[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f -
Weisen Sie die Konnektivitätszuordnung der Schnittstelle zu, die mit dem Switch PE2 verbunden ist:
[edit security macsec] user@switch-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsecMACsec wird für den CCC aktiviert, nachdem die Pre-Shared Keys ausgetauscht wurden, also kurz nach Abschluss dieses Verfahrens.
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Konfigurieren von VLANs für die Weiterleitung von Datenverkehr auf den MACsec-gesicherten CCC
In diesem Abschnitt wird erläutert, wie VLANs auf den CE-Switches von Standort A und Standort B konfiguriert werden. Der Zweck der VLANs besteht darin, den Datenverkehr, der MACsec-gesichert werden soll, auf den MACsec-gesicherten CCC zu leiten.
- Konfigurieren des VLANs für die Weiterleitung des Datenverkehrs an den MACsec-CCC am CE-Switch von Standort A
- Konfigurieren des VLANs für die Weiterleitung des Datenverkehrs an den MACsec-CCC auf dem CE-Switch von Standort B
Konfigurieren des VLANs für die Weiterleitung des Datenverkehrs an den MACsec-CCC am CE-Switch von Standort A
CLI Schnellkonfiguration
[edit]
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members macsec
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec
set interfaces vlan unit 50 family inet address 5.5.5.1/24
set vlans macsec vlan-id 50
set vlans macsec l3-interface vlan.50
Schritt-für-Schritt-Anleitung
So erstellen Sie ein VLAN (VLAN-ID 50), das den Datenverkehr vom Benutzer an Standort A an den MACsec-gesicherten CCC weiterleitet:
-
Konfigurieren Sie die ge-0/0/0-Schnittstelle im MACsec-VLAN:
[edit interfaces ge-0/0/0 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec -
Konfigurieren Sie die ge-0/0/2-Schnittstelle im MACsec-VLAN:
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec -
Erstellen Sie die IP-Adresse für die MACsec-VLAN-Broadcast-Domäne:
[edit interfaces] user@switch-CE-A# set vlan unit 50 family inet address 5.5.5.1/24 -
Konfigurieren Sie die VLAN-Tag-ID für das MACsec-VLAN auf 50:
[edit vlans] user@switch-CE-A# set macsec vlan-id 50 -
Verknüpfen Sie eine Layer-3-Schnittstelle mit dem MACsec-VLAN:
[edit vlans] user@switch-CE-A# set macsec l3-interface vlan.50
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.1/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
Konfigurieren des VLANs für die Weiterleitung des Datenverkehrs an den MACsec-CCC auf dem CE-Switch von Standort B
CLI Schnellkonfiguration
[edit]
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec
set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members macsec
set interfaces vlan unit 50 family inet address 5.5.5.2/24
set vlans macsec vlan-id 50
set vlans macsec l3-interface vlan.50
Schritt-für-Schritt-Anleitung
So erstellen Sie ein VLAN (VLAN-ID 50), um den Datenverkehr für den Benutzer an Standort B auf den MACsec-gesicherten CCC zu leiten:
-
Konfigurieren Sie die ge-0/0/2-Schnittstelle im MACsec-VLAN:
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec -
Konfigurieren Sie die xe-0/1/0-Schnittstelle im MACsec-VLAN:
[edit interfaces xe-0/1/0 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec -
Erstellen Sie die IP-Adresse für die MACsec-VLAN-Broadcast-Domäne:
[edit interfaces] user@switch-CE-B# set vlan unit 50 family inet address 5.5.5.2/24 -
Konfigurieren Sie die VLAN-Tag-ID für das MACsec-VLAN auf 50:
[edit vlans] user@switch-CE-B# set macsec vlan-id 50 -
Verknüpfen Sie eine Layer-3-Schnittstelle mit dem MACsec-VLAN:
[edit vlans] user@switch-CE-B# set macsec l3-interface vlan.50
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
xe-0/1/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.2/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der MACsec-Verbindung
- Überprüfen, ob MACsec-gesicherter Datenverkehr die CCCs durchläuft
- Überprüfen, ob die MPLS- und CCC-Protokolle auf dem Provider-Edge und den Provider-Switch-Schnittstellen aktiviert sind
- Überprüfen von MPLS-Label-Vorgängen
- Überprüfen des Status der MPLS-CCCs
- Überprüfen des OSPF-Betriebs
- Überprüfen des Status der RSVP-Sitzungen
Überprüfen der MACsec-Verbindung
Zweck
Stellen Sie sicher, dass MACsec auf dem CCC funktioniert.
Aktion
Geben Sie den show security macsec connections Befehl auf einem oder beiden Kunden-Edge-Switches (CE) ein.
user@switch-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Bedeutung
CA name: Die Interface name: und-Ausgaben zeigen, dass die ccc-macsec-Konnektivitätszuordnung auf der Schnittstelle ge-0/0/0 funktionsfähig ist. Die Ausgabe wird nicht angezeigt, wenn die Konnektivitätszuordnung auf der Schnittstelle nicht betriebsbereit ist.
Für eine zusätzliche Überprüfung, ob MACsec auf dem CCC in Betrieb ist, können Sie den show security macsec connections Befehl auch auf dem anderen CE-Switch eingeben.
Überprüfen, ob MACsec-gesicherter Datenverkehr die CCCs durchläuft
Zweck
Vergewissern Sie sich, dass der Datenverkehr, der den CCC durchquert, MACsec-gesichert ist.
Aktion
Geben Sie den show security macsec statistics Befehl auf einem oder beiden CE-Schaltern ein.
user@switch-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Bedeutung
Die Encrypted packets Zeile unter dem Secure Channel transmitted Ausgang wird jedes Mal inkrementiert, wenn ein Paket von der Schnittstelle gesendet wird, die durch MACsec gesichert und verschlüsselt ist. Die Encrypted packets Ausgabe zeigt, dass 9784 verschlüsselte und gesicherte Pakete von der Schnittstelle ge-0/0/0 übertragen wurden. MACsec-gesicherter Datenverkehr wird daher auf der Schnittstelle GE-0/0/0 gesendet.
Die Accepted packets Zeile unter dem Secure Association received Ausgang wird jedes Mal inkrementiert, wenn ein Paket auf der Schnittstelle empfangen wird, das die MACsec-Integritätsprüfung bestanden hat. Die Decrypted bytes Zeile unter der Secure Association received Ausgabe wird jedes Mal inkrementiert, wenn ein verschlüsseltes Paket empfangen und entschlüsselt wird. Die Ausgabe zeigt, dass 9791 MACsec-gesicherte Pakete auf der Schnittstelle ge-0/0/0 empfangen wurden und dass 2823555 Bytes aus diesen Paketen erfolgreich entschlüsselt wurden. MACsec-gesicherter Datenverkehr wird daher auf der Schnittstelle GE-0/0/0 empfangen.
Zur zusätzlichen Verifizierung können Sie den show security macsec statistics Befehl auch auf dem anderen CE-Schalter eingeben.
Überprüfen, ob die MPLS- und CCC-Protokolle auf dem Provider-Edge und den Provider-Switch-Schnittstellen aktiviert sind
Zweck
Stellen Sie sicher, dass MPLS auf den richtigen Schnittstellen für die PE- und Provider-Switches aktiviert ist.
Aktion
Geben Sie den show interfaces terse Befehl sowohl für die PE-Switches als auch für den Provider-Switch ein:
user@switch-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@switch-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@switch-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
Bedeutung
Die Ausgabe bestätigt, dass das MPLS-Protokoll für die Provider-Switch-Schnittstellen, die MPLS-Datenverkehr weiterleiten (xe-0/0/0 und ge-0/0/10), und für die PE-Switch-Schnittstellen, die MPLS-Datenverkehr weiterleiten, verfügbar ist: Schnittstelle ge-0/0/1 auf dem PE1-Switch und Schnittstelle xe-0/1/0 auf dem PE2-Switch.
Der Ausgang bestätigt auch, dass CCC auf den PE-Switch-Schnittstellen aktiviert ist, die den CE-Switches zugewandt sind, d. h. die Schnittstelle ge-0/0/0 auf dem PE1-Switch und die Schnittstelle xe-0/1/1 auf dem PE2-Switch.
Überprüfen von MPLS-Label-Vorgängen
Zweck
Überprüfen Sie, welche Schnittstelle als Anfang des CCC und welche Schnittstelle verwendet wird, um das MPLS-Paket an den nächsten Hop zu übertragen.
Aktion
Geben Sie einen show route forwarding-table family mpls oder beide PE-Switches ein.
user@switch-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
Bedeutung
Diese Ausgabe bestätigt, dass der CCC auf der Schnittstelle ge-0/0/0.0 konfiguriert ist. Der Switch empfängt eingehenden Datenverkehr auf ge-0/0/1.0 und schiebt Label 299952 auf das Paket, das den Switch über die Schnittstelle ge-0/0/1.0 verlässt. Die Ausgabe zeigt auch, dass der Switch, wenn er ein MPLS-Paket mit Label 299856 empfängt, das Label platzt und das Paket über die Schnittstelle ge-0/0/0.0 sendet
Zur weiteren Überprüfung der MPLS-Label-Vorgänge geben Sie den show route forwarding-table family mpls auf dem anderen PE-Switch ein.
Überprüfen des Status der MPLS-CCCs
Zweck
Vergewissern Sie sich, dass die MPLS-CCCs funktionieren.
Aktion
Geben Sie den show connections Befehl auf den PE-Switches ein.
user@switch-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@switch-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
Der show connections Befehl zeigt den Status der CCC-Verbindungen an. Mit diesem Ausgang wird überprüft, ob sich die CCC-Schnittstellen und die zugehörigen Sende- und Empfangs-LSPs auf beiden PE-Switches befinden Up .
Überprüfen des OSPF-Betriebs
Zweck
Stellen Sie sicher, dass OSPF ausgeführt wird.
Aktion
Geben Sie den show ospf neighbor Befehl für den Anbieter oder die PE-Switches ein und überprüfen Sie den State Ausgang.
user@switch-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
Bedeutung
Die State Ausgabe erfolgt Full auf allen Schnittstellen, die OSPF verwenden, sodass OSPF in Betrieb ist.
Zur weiteren Überprüfung von OSPF geben Sie zusätzlich zum Provider-Switch den show ospf neighbor Befehl auf den PE-Switches ein.
Überprüfen des Status der RSVP-Sitzungen
Zweck
Überprüfen Sie den Status der RSVP-Sitzungen.
Aktion
Geben Sie den show rsvp session Befehl ein, und überprüfen Sie, ob der Status für jede RSVP-Sitzung verfügbar ist.
user@switch-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
Bedeutung
Dies State gilt Up für alle Verbindungen, sodass RSVP normal funktioniert.
Geben Sie zur weiteren Überprüfung neben dem Provider-Switch auch die show rsvp session auf den PE-Switches ein.