Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Understanding Media Access Control Security (MACsec)

Understanding Media Access Control Security (MACsec)

Media Access Control Security (MACsec) bietet Punkt-zu-Punkt-Sicherheit auf Ethernet-Verbindungen. MACsec wird mit dem Standard 802.1AE IEEE definiert. Sie können MACsec in Kombination mit anderen Sicherheitsprotokollen wie IP Security (IPsec) und Secure Sockets Layer (SSL) verwenden, um End-to-End-Netzwerksicherheit zu gewährleisten.

MACsec ist in der Lage, die meisten Sicherheitsbedrohungen zu identifizieren und zu verhindern, einschließlich Denial of Service, Intrusion, Man-in-the-Middle, Masquerading, passives Wiretapping und Playback-Attacken. MACsec sichert eine Ethernet-Verbindung für nahezu den ganzen Datenverkehr, einschließlich Frames aus dem Link Layer Discovery Protocol (LLDP), dem Link Aggregation Control Protocol (LACP), dem Dynamic Host Configuration Protocol (DHCP), dem Address Resolution Protocol (ARP) und anderen Protokollen, die normalerweise aufgrund von Einschränkungen mit anderen Sicherheitslösungen nicht auf einer Ethernet-Verbindung gesichert sind.

Funktionsweise von MACsec

Wenn MACsec über eine Point-to-Point-Ethernet-Verbindung aktiviert ist, wird die Verbindung gesichert, nachdem der dazugehörige Sicherheitsschlüssel ausgetauscht und an jedem Ende des Links zwischen den Schnittstellen geprüft wird. Der Schlüssel kann manuell konfiguriert oder je nach Sicherheitsmodus zur Aktivierung von MACsec dynamisch generiert werden. Weitere Informationen zu den MACsec-Sicherheitsmodi finden Sie unter MACsec-Sicherheitsmodi.

MACsec verwendet eine Kombination aus Datenintegritätsprüfungen und Verschlüsselung zur Sicherung des Datenverkehrs, der über die Verbindung übertragen wird:

Datenintegrität

MACsec fügt einen 8-Byte-Header und einen 16-Byte-Tail an alle Ethernet-Frames, die den MACsec-gesicherten Link durchqueren, hinzu. Header und Tail werden von der empfangenden Schnittstelle ausgecheckt, um sicherzustellen, dass die Daten beim Durchqueren der Verbindung nicht gefährdet wurden. Wenn die Datenintegritätsprüfung etwas unregelmäßiges Verhalten im Datenverkehr erkennt, wird der Datenverkehr verworfen.

Verschlüsselung

Durch Verschlüsselung wird sichergestellt, dass die Daten im Ethernet-Frame von niemandem angezeigt werden können, der den Datenverkehr auf dem Link überwacht. Die MACsec-Verschlüsselung ist optional und kann vom Benutzer konfiguriert werden. Sie können MACsec aktivieren, um sicherzustellen, dass die Datenintegritätsprüfungen durchgeführt werden, während nicht verschlüsselte Daten "unverschlüsselt" über die von MACsec gesicherte Verbindung übertragen werden, falls gewünscht.

Hinweis:

Wenn MACsec auf einer logischen Schnittstelle aktiviert ist, werden VLAN-Tags nicht verschlüsselt. Alle für MACsec auf der logischen Schnittstelle konfigurierten VLAN-Tags werden im klartext gesendet.

Konnektivitätszuordnungen

MACsec wird in Verbindungszuordnungen konfiguriert. Eine Verbindungsverbindung besteht aus einer Gruppe von MACsec-Attributen, die von Schnittstellen zum Erstellen von zwei sicheren Kanälen verwendet werden: eines für eingehenden und eines für ausgehenden Datenverkehr. Die sicheren Kanäle sind für die Übermittlung und den Empfang von Daten über die MACsec-gesicherte Verbindung verantwortlich.

Die Verbindungsverbindung muss auf jeder Seite der Point-to-Point-Ethernet-Verbindung einer MACsec-fähigen Schnittstelle zugewiesen werden. Wenn Sie MACsec auf mehreren Ethernet-Verbindungen aktivieren möchten, müssen Sie MACsec für jeden Link einzeln konfigurieren. Andere vom Benutzer konfigurierbare Parameter, wie die MAC-Adresse oder der Port, müssen ebenfalls auf den Schnittstellen auf jeder Seite der Verbindung übereinstimmen, um MACsec zu aktivieren.

MACsec-Sicherheitsmodi

MACsec kann mit einem der folgenden Sicherheitsmodi aktiviert werden:

  • Statischer Verbindungsverbindungsschlüssel (CAK)-Modus

  • STATISCHER MODUS (Secure Association Key)

  • Dynamic Secure Association Key (WORDEN)-Modus

Best Practice:

Für Switch-to-Switch- oder Router-to-Router-Links wird der statische CAK-Modus empfohlen. Der statische CAK-Modus sorgt für Sicherheit, indem häufig in einen neuen zufälligen Sicherheitsschlüssel aktualisiert wird und nur der Sicherheitsschlüssel zwischen den beiden Geräten in der durch MACsec gesicherten Point-to-Point-Verbindung gemeinsam genutzt wird. Darüber hinaus sind einige optionale MACsec-Funktionen, wie Replay-Schutz, SCI-Tagging und die Möglichkeit, Datenverkehr von MACsec auszuschließen, nur verfügbar, wenn Sie MACsec im statischen CAK-Sicherheitsmodus aktivieren.

Statischer CAK-Modus (empfohlen für Switch-to-Switch-Links)

Wenn Sie MACsec mit dem statischen CAK-Sicherheitsmodus aktivieren, werden zwei Sicherheitsschlüssel zum Schutz der Verbindung verwendet – ein Konnektivitäts-Verbindungsschlüssel (CAK), der den Datenverkehr auf der Steuerungsebene sichert, und ein zufallsgeneriertes und sicheres Association Key (HEX), das den Datenverkehr auf der Datenebene sichert. Beide Schlüssel werden an jedem Ende des Point-to-Point-Ethernet-Links regelmäßig zwischen beiden Geräten ausgetauscht, um die Verbindungssicherheit zu gewährleisten.

Sie stellen zunächst eine MACsec-gesicherte Verbindung mit einem vorab freigegebenen Schlüssel ein, wenn Sie den statischen CAK-Sicherheitsmodus verwenden, um MACsec zu aktivieren. Ein vorinstall gemeinsamer Schlüssel enthält einen Verbindungs-Association-Namen (CKN) und einen eigenen Konnektivitäts-Verbindungsschlüssel (CAK). CKN und CAK werden vom Benutzer in der Verbindungsverbindungsverbindung konfiguriert und müssen an beiden Enden des Links übereinstimmen, um MACsec zunächst zu aktivieren.

Nachdem der Austausch bereits gemeinsamer Schlüssel erfolgreich abgeschlossen wurde, wird das MKA-Protokoll (MACsec Key Agreement) aktiviert. Das MKA-Protokoll ist für die Aufrechterhaltung von MACsec auf der Verbindung verantwortlich und entscheidet, welcher Switch der Point-to-Point-Verbindung der wichtigste Server wird. Der Hauptserver erstellt dann ein HYPERLINK, das nur am anderen Ende der Point-to-Point-Verbindung mit dem Switch geteilt wird und mit dem alle über die Verbindung übertragenen Datenverkehrsdaten sicher geschützt werden. Der Hauptserver erstellt regelmäßig ein nach dem Zufallsprinzip erstelltes HYPERLINK über den Punkt-zu-Punkt-Link, solange MACsec aktiviert ist.

Hinweis:

Wenn die MACsec-Sitzung aufgrund eines Verbindungsfehlers beendet wird, wenn die Verbindung wiederhergestellt ist, wählt der MKA-Schlüsselserver einen Schlüsselserver und generiert eine neueVERHÄLTNISSES.

Um MACsec im statischen CAK-Modus zu aktivieren, müssen Sie an beiden Enden der Verbindung eine Verbindungsverbindung konfigurieren. Die sicheren Kanäle werden automatisch erstellt. Diese sicheren Kanäle verfügen über keine benutzerkonfigurierbaren Parameter. alle Konfigurationen werden innerhalb der Konnektivitäts-Verbindung, jedoch außerhalb des sicheren Kanals durchgeführt.

Hinweis:

Die Switches an jedem Ende einer MACsec-gesicherten Switch-to-Switch-Verbindung müssen entweder Junos OS Release 14.1X53-D10 oder höher verwenden oder beide eine frühere Version von Junos verwenden, um eine MACsec-gesicherte Verbindung bei Verwendung des statischen CAK-Sicherheitsmodus herzustellen.

Statischer KONSTRUKTOR-Sicherheitsmodus

Statisches SCHONEN-Sicherheitsmodus kann zum Sichern von Switch-zu-Switch-Verbindungen verwendet werden. Die Verwendung dieses Modus ist nur ein überzeugender Grund dafür, ihn anstelle des statischen CAK-Modus (der für Switch-zu-Switch-Links empfohlen wird) zu verwenden.

Im statischenDATENÜBERTRAGUNGs-Sicherheitsmodus wird einer von bis zu zwei manuell konfigurierten SAKs zum Sichern des Datenverkehrs über die Point-to-Point-Ethernet-Verbindung verwendet. Alle BEZEICHNUNGEN und Werte werden vom Benutzer konfiguriert. es gibt keinen Schlüsselserver oder kein anderes Tool, das SAKs erstellt. Die Sicherheit wird über den Point-to-Point-Ethernet-Link regelmäßig zwischen zwei Sicherheitsschlüsseln geändert. Jeder Name und Wert eines Sicherheitsschlüssels muss an der Schnittstelle am anderen Ende der Point-to-Point-Ethernet-Verbindung einen entsprechenden Abgleichswert aufweisen, um MACsec für die Verbindung zu pflegen.

Zur Aktivierung von MACsec im statischen KLASSE-Modus müssen Sie eine Verbindungsverbindung konfigurieren und die sicheren Kanäle innerhalb dieser Verbindungsverbindungen konfigurieren. Eine typische Verbindungszuordnung für den statischen VERBUNDMODUS enthält zwei sichere Kanäle, die jeweils mit zwei manuell konfigurierten SAKs konfiguriert wurden.

Dynamischer SOR-Sicherheitsmodus

Verwenden Sie den dynamischen SOR-Sicherheitsmodus, um MACsec auf einer Switch-to-Host-Verbindung zu aktivieren. Das Endgerät muss MACsec unterstützen und eine Software ausführen, die eine MACsec-gesicherte Verbindung ermöglicht.

Bei der Konfiguration von MACsec auf einer Verbindung zwischen Switch und Host werden die MKA-Schlüssel (MACsec Key Agreement), die im Rahmen der 802.1X-Authentifizierung enthalten sind, im Rahmen des AAA-Handshakes von einem RADIUS-Server abgerufen. In unabhängigen Authentifizierungstransaktionen wird ein Hauptschlüssel vom RADIUS-Server an den Switch und vom Server RADIUS an den Host übergeben. Der Hauptschlüssel wird dann zwischen dem Switch und dem Host übergeben, um eine MACsec-gesicherte Verbindung zu erstellen.

Eine sichere Zuordnung mithilfe des dynamischen sicheren Sicherheitsmodus muss auf der Ethernet-Schnittstelle des Switches konfiguriert werden, die eine Verbindung zum Host herstellt, damit der Switch eine MACsec-gesicherte Verbindung erstellt, nachdem er die MKA-Schlüssel vom RADIUS-Server erhalten hat.

Der RADIUS-Server muss zur Unterstützung von MACsec Extensible Authentication Protocol-Transportschicht Security (EAP-TLS) verwenden. Die RADIUS-Server, die andere weit verbreitete Authentifizierungsframeworks unterstützen, wie z. B. Kennwort bzw. md5, können nicht zur Unterstützung von MACsec verwendet werden. Um MACsec auf einem Switch zum Sichern einer Verbindung mit einem Host zu aktivieren, müssen Sie die Authentifizierung nach dem Standard 802.1X auf dem RADIUS verwenden. MACsec muss in den dynamischen Modus konfiguriert sein.

Um MACsec im dynamischen HYPERLINK-Modus zu aktivieren, müssen Sie an beiden Enden der Verbindung eine Verbindungsverbindungen konfigurieren. Die sicheren Kanäle werden automatisch erstellt. Diese sicheren Kanäle verfügen über keine benutzerkonfigurierbaren Parameter. alle Konfigurationen werden innerhalb der Konnektivitäts-Verbindung, jedoch außerhalb des sicheren Kanals durchgeführt.

MACsec in einem Virtual Chassis

MACsec kann an unterstützten Switch-Schnittstellen konfiguriert werden, wenn diese Switches in einem Virtual Chassis oder Virtual Chassis-Fabric (VCF) konfiguriert werden, auch wenn sich MACsec-unterstützte Schnittstellen in einem gemischten Virtual Chassis oder VCF befinden, die Switch-Schnittstellen umfassen, die MACsec nicht unterstützen. MACsec kann jedoch nicht auf Virtual Chassis-Ports (VCPs) aktiviert werden, um Den Datenverkehr zwischen den Member-Switches in einer Sicherheits- Virtual Chassis VCF zu sichern.

MACsec-Funktionslizenzen

Für die Konfiguration von MACsec auf Switches der EX-Serie und QFX-Serie ist eine Funktionslizenz erforderlich. Dabei handelt es sich um die Linekarten QFX10000-6C-DWDM und QFX10000-30C-M. Wird die MACsec-Lizenz nicht installiert, können die MACsec-Funktionen nicht aktiviert werden.

Wenn Sie eine Funktionslizenz für MACsec erwerben wollen, wenden Sie sich an Ihren Juniper Networks Vertriebsmitarbeiter (https://www.juniper.net/us/en/contact-us/sales-offices). Der Juniper Vertriebsmitarbeiter stellt Ihnen eine Funktionslizenzdatei und einen Lizenzschlüssel zur Verfügung. Sie werden aufgefordert, die Seriennummer des Switches im Gehäuse anzuliefern. sie können die Seriennummer abrufen, indem Sie den Befehl show chassis hardware ausführen.

Die MACsec-Funktionslizenz ist eine unabhängige Funktionslizenz. Je nach Modell und Konfiguration kann pro Virtual Chassis-Fabric (VCF) und pro Virtual Chassis (VC) eine MACsec-Lizenz benötigt werden. Weitere Informationen zu Den Plattformen und Funktionen finden Sie in den Lizenzdokumenten unten.

Lizenzen für Lizenzen für die EX-Serie für Lizenzen der QFX-Serie QFX5200-32C Switch

MACsec-Beschränkungen

  • Alle Arten von Spanning Tree-Protokoll-Frames können derzeit nicht mit MACsec verschlüsselt werden.

  • Beim GRES-Switchover wird mit MACsec-Datenverkehrs-Brüchen gerechnet.

  • Auf EX4300 Switches funktioniert MACsec an PHY84756 1G SFP-Ports unter Umständen nicht richtig, wenn die automatische Aushandlung aktiviert ist und MACsec auf diesen Ports konfiguriert ist. Konfigurieren Sie als Umgehungslösung no- auto-negotiation auf PHY84756 1G SFP-Ports, bevor SIE MACsec auf diesen Ports konfigurieren.

MACsec-Softwareanforderungen

MACsec-Softwareanforderungen für Router der MX-Serie

Im Folgenden finden Sie einige der wichtigsten Softwareanforderungen für MACsec für Router der MX-Serie:

Hinweis:

Für die Konfiguration von MACsec auf Routern der MX-Serie mit dem erweiterten 20-Port Gigabit Ethernet MIC (Modellnummer MIC-3D-20GE-SFP-E) ist keine Funktionslizenz erforderlich.

MACsec wird auf Routern der MX-Serie mit MACsec-fähigen Schnittstellen unterstützt.

MACsec unterstützt 128- und 256-Bit-Cipher-Suite mit und ohne erweiterte Paketnummerierung (XPN).

MACsec unterstützt das MACsec Key Agreement (MKA)-Protokoll mit dem Static-CAK-Modus über preshared Keys.

MACsec unterstützt eine einzige Konnektivitätsverbindung (CA) pro physischem Port oder einer physischen Schnittstelle.

Sie können Junos OS der 20.3R1 MEDIA Access Control Security (MACsec) auf der logischen Schnittstellenebene der MPC7E-10G-Linecard konfigurieren. Diese Konfiguration ermöglicht mehrere MACsec Key Agreement (MKA)-Sitzungen an einem einzelnen physischen Port. VLAN-Tags werden im klartext übertragen. Dies ermöglicht Es intermediate Switches, die keine KENNTNIS von MACsec haben, die Pakete auf der Basis von VLAN-Tags zu wechseln.

AB Junos OS Version 15.1 wird MACsec auf Member-Links eines aggregierten Ethernet ( ) Schnittstellenpakets sowie auf regelmäßigen Schnittstellen unterstützt, die nicht teil eines Schnittstellenpakets ae- sind.

MACsec unterstützt ab Junos OS Release 17.3R2 256-Bit-Cipher-Suite GCM-AES-256 und GCM-AES-XPN-256 auf MX10003-Routern mit der modularen MIC (Modellnummer-JNP-MIC1-MACSEC).

Mic-MACSEC-20GE MIC bietet ab Junos OS Veröffentlichungs-18.4R2 256-Bit-Cipher-Suite GCM-AES-256 und GCM-AES-XPN-256. Das MIC-MACSEC-20GE MIC unterstützt MACsec sowohl an 21-Gigabit Ethernet-SFP-Ports als auch an zwei 10-Gigabit Ethernet SFP+-Ports in den folgenden Hardwarekonfigurationen:

  • Direkt auf den Routern MX80 Routern MX104 Routern installiert

  • Wird auf Linekarten für MPC1, MPC2, MPC3, MPC2E, MPC3E, MPC2E-NG und MPC3E-NG auf den MX240-, MX480- und MX960-Routern installiert

Weitere Informationen finden Sie bei Schnittstellennamen für MIC-MACSEC-20GE und Portgeschwindigkeit für Routinggeräte.

MACsec-Software-Image-Anforderungen für ex-Serie und Switches der QFX-Serie

Junos OS 16.1 und höher

Für Junos OS Version 16.1 und höher müssen Sie das Junos-Standardbild herunterladen, um MACsec zu aktivieren. MACsec wird von dem eingeschränkten Image nicht unterstützt.

Die Standardversion der Junos OS enthält Verschlüsselung und ist daher nicht für Kunden in allen Regionen verfügbar. Der Export und Re-Export Junos OS Software wird streng nach den Ausfuhrgesetzen der USA gesteuert. Für den Export, Import und die Nutzung Junos OS Software gelten außerdem Kontrollen nach den Gesetzen anderer Länder.

Junos OS Veröffentlichungen vor 16.1

Für Versionen vor Junos OS Version 16.1 müssen Sie die kontrollierte Version Ihrer Junos OS herunterladen, um MACsec zu aktivieren. MACsec-Unterstützung ist in den Versionen vor der Version Junos OS Junos OS 16.1 auf dem inländischen Markt nicht verfügbar.

Die kontrollierte Version Junos OS Software umfasst alle Funktionen, die in der inländischen Version von Junos OS verfügbar sind, und unterstützt gleichzeitig MACsec. Die nationale Version der Junos OS-Software wird auf allen Switches geliefert, die MACsec unterstützen. Daher müssen Sie eine kontrollierte Version der Junos OS-Software für Ihren Switch herunterladen und installieren, bevor Sie MACsec aktivieren können.

Die kontrollierte Version der Junos OS enthält Verschlüsselung und steht somit nicht allen Kunden in allen Regionen zur Verfügung. Der Export und Re-Export der kontrollierten Version der Software Junos OS wird streng nach den Ausfuhrgesetzen der USA gesteuert. Für den Export, das Importieren und die Verwendung der kontrollierten Version Junos OS Software gelten außerdem Kontrollen nach den Gesetzen anderer Länder.

Unterstützung für MACsec

Eine umfassende Liste von Plattformen, die MACsec unterstützen, finden Sie unter Feature Explorer.

Tabelle zum Versionsverlauf
Release
Beschreibung
18.3R1
MIC-MACSEC-20GE MIC bietet ab Junos OS-Version 18.4R2 256-Bit-Cipher-Suite GCM-AES-256 und GCM-AES-XPN-256.
18.2R1
AES-256 wird ab dem Junos OS Veröffentlichungs-18.2R1 von der EX9200-40XS Linecard unterstützt.
15.1
AB Junos OS Version 15.1 wird MACsec auf Member-Links eines aggregierten Ethernet (ae-) Schnittstellenpakets sowie auf regelmäßigen Schnittstellen unterstützt, die nicht zu einem Schnittstellenpaket gehören.