Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zu Media Access Control Security (MACsec)

Grundlegendes zu Media Access Control Security (MACsec)

MACsec (Media Access Control Security) bietet Punkt-zu-Punkt-Sicherheit für Ethernet-Verbindungen. MACsec ist durch den IEEE-Standard 802.1AE definiert. Sie können MACsec in Kombination mit anderen Sicherheitsprotokollen wie IP Security (IPsec) und Secure Sockets Layer (SSL) verwenden, um End-to-End-Netzwerksicherheit bereitzustellen.

MACsec ist in der Lage, die meisten Sicherheitsbedrohungen zu erkennen und zu verhindern, einschließlich Denial-of-Service-, Intrusion-, Man-in-the-Middle-, Masquerading-, passive Abhör- und Playback-Angriffe. MACsec sichert eine Ethernet-Verbindung für fast den gesamten Datenverkehr, einschließlich Frames aus dem Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) und anderen Protokollen, die aufgrund von Einschränkungen bei anderen Sicherheitslösungen normalerweise nicht auf einer Ethernet-Verbindung gesichert sind.

Verwenden Sie den Funktions-Explorer , um die Plattform- und Release-Unterstützung für MACsec zu bestätigen.

Im Abschnitt "Plattformspezifisches MACsec-Verhalten" finden Sie Hinweise zu Ihrer Plattform.

Funktionsweise von MACsec

Wenn MACsec auf einer Punkt-zu-Punkt-Ethernet-Verbindung aktiviert ist, wird die Verbindung gesichert, nachdem übereinstimmende Sicherheitsschlüssel zwischen den Schnittstellen an beiden Enden der Verbindung ausgetauscht und überprüft wurden. Der Schlüssel kann manuell konfiguriert oder dynamisch generiert werden, je nachdem, welcher Sicherheitsmodus für die Aktivierung von MACsec verwendet wird. Weitere Informationen zu MACsec-Sicherheitsmodi finden Sie unter MACsec-Sicherheitsmodi.

MACsec verwendet eine Kombination aus Datenintegritätsprüfungen und Verschlüsselung, um den Datenverkehr über die Verbindung zu sichern:

Data integrity

MACsec hängt einen 8-Byte-Header und einen 16-Byte-Tail an alle Ethernet-Frames an, die die MACsec-gesicherte Verbindung durchlaufen. Der Header und das Ende werden von der empfangenden Schnittstelle überprüft, um sicherzustellen, dass die Daten beim Durchlaufen der Verbindung nicht kompromittiert wurden. Wenn bei der Datenintegritätsprüfung Unregelmäßigkeiten im Datenverkehr festgestellt werden, wird der Datenverkehr gelöscht.
Encryption

Die Verschlüsselung stellt sicher, dass die Daten im Ethernet-Frame von niemandem eingesehen werden können, der den Datenverkehr auf der Verbindung überwacht. Die MACsec-Verschlüsselung ist optional und kann vom Benutzer konfiguriert werden. Sie können MACsec aktivieren, um sicherzustellen, dass die Datenintegritätsprüfungen durchgeführt werden, während Sie bei Bedarf weiterhin unverschlüsselte Daten über die MACsec-gesicherte Verbindung senden.

Anmerkung:

Wenn MACsec auf einer logischen Schnittstelle aktiviert ist, werden VLAN-Tags nicht verschlüsselt. Alle VLAN-Tags, die auf der für MACsec aktivierten logischen Schnittstelle konfiguriert sind, werden im Klartext gesendet.

Konnektivitäts-Assoziationen

MACsec wird in Konnektivitätszuordnungen konfiguriert. Eine Konnektivitätszuordnung ist eine Reihe von MACsec-Attributen, die Schnittstellen verwenden, um zwei sichere Kanäle zu erstellen, einen für eingehenden Datenverkehr und einen für ausgehenden Datenverkehr. Die sicheren Kanäle sind für das Senden und Empfangen von Daten über die MACsec-gesicherte Verbindung verantwortlich.

Die sicheren Kanäle werden automatisch erstellt. Sie haben keine vom Benutzer konfigurierbaren Parameter. Die gesamte Konfiguration erfolgt innerhalb der Konnektivitätszuordnung, jedoch außerhalb der sicheren Kanäle.

Die Konnektivitätszuordnung muss einer MACsec-fähigen Schnittstelle auf jeder Seite der Punkt-zu-Punkt-Ethernet-Verbindung zugewiesen werden. Wenn Sie MACsec auf mehreren Ethernet-Verbindungen aktivieren möchten, müssen Sie MACsec auf jeder Verbindung einzeln konfigurieren. Andere vom Benutzer konfigurierbare Parameter, z. B. MAC-Adresse oder Port, müssen ebenfalls auf den Schnittstellen auf beiden Seiten der Verbindung übereinstimmen, um MACsec zu aktivieren.

MACsec-Sicherheitsmodi

MACsec kann mit einem der folgenden Sicherheitsmodi aktiviert werden:

  • Statischer CAF-Modus

  • Dynamischer UCK-Modus

Beste Praxis:

Der statische CAF-Modus wird für Verbindungen zwischen Switches oder Routern empfohlen. Der statische UCK-Modus gewährleistet die Sicherheit, indem er häufig auf einen neuen zufälligen Sicherheitsschlüssel aktualisiert wird und nur der Sicherheitsschlüssel zwischen den beiden Geräten auf der MACsec-gesicherten Punkt-zu-Punkt-Verbindung geteilt wird.

Statischer CAKE-Modus

Wenn Sie MACsec im statischen CAK-Modus aktivieren, werden zwei Sicherheitsschlüssel zum Sichern der Verbindung verwendet – ein Connectivity Association Key (CAK), der den Datenverkehr auf der Steuerungsebene sichert, und ein zufällig generierter sicherer Zuordnungsschlüssel (SAK), der den Datenverkehr auf der Data Plane sichert. Beide Schlüssel werden regelmäßig zwischen beiden Geräten an beiden Enden der Punkt-zu-Punkt-Ethernet-Verbindung ausgetauscht, um die Sicherheit der Verbindung zu gewährleisten.

Sie richten zunächst eine MACsec-gesicherte Verbindung mithilfe eines vorinstallierten Schlüssels ein, wenn Sie den statischen CAF-Sicherheitsmodus verwenden, um MACsec zu aktivieren. Ein vorinstallierter Schlüssel enthält einen Konnektivitätszuordnungsnamen (CKN) und einen eigenen CAK. CKN und CAK werden vom Benutzer in der Konnektivitätszuordnung konfiguriert und müssen an beiden Enden der Verbindung übereinstimmen, um MACsec anfänglich zu aktivieren.

Sobald übereinstimmende Pre-Shared Keys erfolgreich ausgetauscht wurden, wird das MACsec Key Agreement (MKA)-Protokoll aktiviert. Das MKA-Protokoll ist für die Aufrechterhaltung von MACsec auf der Verbindung verantwortlich und entscheidet, welcher Switch auf der Punkt-zu-Punkt-Verbindung zum Schlüsselserver wird. Der Schlüsselserver erstellt dann einen SAK, der nur mit dem Switch am anderen Ende der Punkt-zu-Punkt-Verbindung gemeinsam genutzt wird, und dieser SAK wird verwendet, um den gesamten Datenverkehr zu sichern, der die Verbindung passiert. Der Schlüsselserver erstellt weiterhin in regelmäßigen Abständen einen zufällig erstellten SAK über die Punkt-zu-Punkt-Verbindung, solange MACsec aktiviert ist.

Anmerkung:

Wenn die MACsec-Sitzung aufgrund eines Verbindungsfehlers beendet wird, wählt der MKA-Schlüsselserver bei der Wiederherstellung der Verbindung einen Schlüsselserver aus und generiert einen neuen SAK.

Anmerkung:

Die Switches an beiden Enden einer MACsec-gesicherten Switch-to-Switch-Verbindung müssen entweder beide Junos OS Version 14.1X53-D10 oder höher verwenden, oder beide müssen eine frühere Version von Junos verwenden, um eine MACsec-gesicherte Verbindung herzustellen, wenn der statische CAK-Sicherheitsmodus verwendet wird.

Dynamischer CAKE-Modus

Im dynamischen CAK-Modus generieren die Peer-Knoten auf der MACsec-Verbindung die Sicherheitsschlüssel dynamisch als Teil des 802.1X-Authentifizierungsprozesses. Die Peerknoten empfangen während der Authentifizierung MACsec-Schlüsselattribute vom RADIUS-Server und verwenden diese Attribute, um den CAK und die CKN dynamisch zu generieren. Anschließend tauschen sie die Schlüssel aus, um eine MACsec-gesicherte Verbindung herzustellen.

Der dynamische CAF-Modus bietet eine einfachere Verwaltung als der statische UCK-Modus, da die Schlüssel nicht manuell konfiguriert werden müssen. Außerdem können die Schlüssel zentral vom RADIUS-Server aus verwaltet werden.

Sie können den dynamischen UCK-Modus verwenden, um eine Switch-to-Host-Verbindung oder eine Verbindung zwischen Switches oder Routern zu sichern. Bei einer Switch-to-Host-Verbindung ist der Switch der 802.1X-Authentifikator und der Host der Supplicant. Auf einer Verbindung zwischen Switches oder Routern müssen die Geräte sowohl als Authentifikator als auch als Supplicant fungieren, damit sie sich gegenseitig authentifizieren können.

Der dynamische CAK-Modus basiert auf der zertifikatbasierten Validierung mit Extensible Authentication Protocol-Transportschicht Security (EAP-TLS). Der RADIUS-Server und die Switching-Geräte müssen EAP-TLS und eine Public Key-Infrastruktur verwenden, um MACsec im dynamischen CAF-Modus zu unterstützen.

MACsec in einem Virtual Chassis

MACsec kann auf unterstützten Switch-Schnittstellen konfiguriert werden, wenn diese Switches in einem Virtual Chassis oder Virtual Chassis-Fabric (VCF) konfiguriert sind, auch wenn sich MACsec-unterstützte Schnittstellen auf Mitglieds-Switches in einem gemischten Virtual Chassis oder VCF befinden, das Switch-Schnittstellen enthält, die MACsec nicht unterstützen. MACsec kann jedoch nicht auf Virtual Chassis-Ports (VCPs) aktiviert werden, um den Datenverkehr zwischen Mitglieds-Switches in einem Virtual Chassis oder VCF zu sichern.

MACsec-Einschränkungen

  • Alle Arten von Spanning Tree Protocol-Frames können derzeit nicht mit MACsec verschlüsselt werden.

  • Während des GRES-Switchovers werden MACsec-Datenverkehrsverluste erwartet.

Unterstützte Cipher Suites für SRX-Plattformen

Die folgenden Tabellen zeigen die Unterstützung von Cipher Suites auf SRX-Plattformen.

Tabelle 1: Unterstützte Verschlüsselungen (IKE) auf SRX-Plattformen

Chiffren (IKE)

SRX1500

SRX1600

SRX2300

SRX4100, SRX4200 und SRX4300

SRX4600 und SRX4700

SRX5400, SRX5600 und SRX5800

AES-128-GCM

Ja

Ja

Ja

Ja

Ja

Ja

AES-192-GCM

Nein

Nein

Nein

Nein

Nein

Nein

AES-256-GCM

Ja

Ja

Ja

Ja

Ja

Ja
Tabelle 2: Unterstützte Verschlüsselungen (IPSec) auf SRX-Plattformen

Chiffren (IPSec)

SRX1500

SRX1600

SRX2300

SRX4100, SRX4200 und SRX4300

SRX4600 und SRX4700

SRX5400, SRX5600 und SRX5800

AES-128-GCM

Ja

Ja

Ja

Ja

Ja

Ja

AES-192-GCM

Ja

Ja

Ja

Ja

Ja

Ja

AES-256-GCM

Ja

Ja

Ja

Ja

Ja

Ja

Plattformspezifisches MACsec-Verhalten

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen.

Bahnsteig

Unterschied

  • EX-Serie

EX-Serie Gerät, das MACsec unterstützt, funktioniert auf PHY84756 1G-SFP-Ports möglicherweise nicht ordnungsgemäß, wenn die automatische Aushandlung aktiviert und MACsec auf diesen Ports konfiguriert ist. Um dieses Problem zu umgehen, konfigurieren no- auto-negotiation Sie PHY84756 1G-SFP-Ports, bevor Sie MACsec auf diesen Ports konfigurieren.

Siehe auch

MACsec-Lizenzierung und Softwareanforderungen

Lizenzen für MACsec-Funktionen

Für die Konfiguration von MACsec auf Switches der EX-Serie- und QFX-Serien ist eine Funktionslizenz erforderlich, mit Ausnahme der Linecards QFX10000-6C-DWDM und QFX10000-30C-M. Wenn die MACsec-Lizenz nicht installiert ist, kann die MACsec-Funktionalität nicht aktiviert werden.

Um eine Funktionslizenz für MACsec zu erwerben, wenden Sie sich an Ihren Juniper Networks Vertriebsmitarbeiter (https://www.juniper.net/us/en/contact-us/sales-offices). Der Vertriebsmitarbeiter von Juniper stellt Ihnen eine Lizenzdatei und einen Lizenzschlüssel zur Verfügung. Sie werden aufgefordert, die Seriennummer des Gehäuses Ihres Switches anzugeben. Sie können die Seriennummer abrufen, indem Sie den show chassis hardware Befehl ausführen.

Die MACsec-Funktionslizenz ist eine unabhängige Funktionslizenz. Die Enhanced Feature Licenses (EFLs) oder Advanced Feature Licenses (AFLs), die erworben werden müssen, um einige Funktionen auf Switches der EX-Serie oder QFX-Serie zu aktivieren, können nicht für die Aktivierung von MACsec erworben werden.

Für eine Virtual Chassis-Bereitstellung werden aus Redundanzgründen zwei MACsec-Lizenzschlüssel empfohlen – einer für das Gerät in der primären Rolle und der andere für das Gerät in der Backup-Rolle. Je nach Modell und Konfiguration können zwei MACsec-Lizenzen pro Virtual Chassis-Fabric (VCF) und pro Virtual Chassis (VC) erforderlich sein. In den folgenden Lizenzdokumenten finden Sie plattform- und funktionsspezifische Details.

Eine MACsec-Funktionslizenz wird wie jede andere Switch-Lizenz installiert und verwaltet. Ausführlichere Informationen zur Konfiguration und Verwaltung Ihrer MACsec-Softwarelizenz finden Sie unter Verwalten von Lizenzen für Switches der EX-Serie (CLI-Verfahren) oder Hinzufügen neuer Lizenzen (CLI-Verfahren).

MACsec-Softwareanforderungen für Router der MX-Serie

Im Folgenden finden Sie einige der wichtigsten Softwareanforderungen für MACsec auf Routern der MX-Serie:

Anmerkung:

Für die Konfiguration von MACsec auf Routern der MX-Serie mit dem erweiterten Gigabit-Ethernet-MIC mit 20 Ports (Modellnummer MIC-3D-20GE-SFP-E) ist keine Funktionslizenz erforderlich.

MACsec wird auf Routern der MX-Serie mit MACsec-fähigen Schnittstellen unterstützt.

MACsec unterstützt 128- und 256-Bit-Cipher-Suites mit und ohne Extended Packet Numbering (XPN).

MACsec unterstützt das MACsec Key Agreement (MKA)-Protokoll mit Static-CAK-Modus unter Verwendung vorinstallierter Schlüssel.

MACsec unterstützt eine einzige Konnektivitätszuordnung (Connectivity-Association, CA) pro physischem Port oder physischer Schnittstelle.

Ab Junos OS Version 20.3R1 können Sie Media Access Control Security (MACsec) auf der Ebene der logischen Schnittstelle auf der MPC7E-10G-Linecard konfigurieren. Diese Konfiguration ermöglicht mehrere MACsec Key Agreement (MKA)-Sitzungen auf einem einzigen physischen Port. VLAN-Tags werden im Klartextformat übertragen, sodass Zwischen-Switches, die MACsec-unfähig sind, die Pakete basierend auf den VLAN-Tags schalten können.

Beginnend mit Junos OS Version 15.1 wird MACsec auf Mitgliedslinks eines aggregierten Ethernet(ae-)-Schnittstellenpakets sowie auf regulären Schnittstellen, die nicht Teil eines Schnittstellenpakets sind, unterstützt.

Ab Junos OS Version 17.3R2 unterstützt MACsec die 256-Bit-Verschlüsselungssuite GCM-AES-256 und GCM-AES-XPN-256 auf MX10003-Routern mit dem modularen MIC (Modellnummer-JNP-MIC1-MACSEC).

Ab Junos OS Version 18.4R2 bietet das MIC-MACSEC-20GE MIC die 256-Bit-Verschlüsselungssuite GCM-AES-256 und GCM-AES-XPN-256. Das MIC-MACSEC-20GE MIC unterstützt MACsec sowohl auf zwanzig 1-Gigabit-Ethernet-SFP-Ports als auch auf zwei 10-Gigabit-Ethernet-SFP+-Ports in den folgenden Hardwarekonfigurationen:

  • Direkte Installation auf den Routern MX80 und MX104

  • Installiert auf MPC1-, MPC2-, MPC3-, MPC2E-, MPC3E-, MPC2E-NG- und MPC3E-NG-Linecards auf den Routern MX240, MX480 und MX960

Weitere Informationen finden Sie unter Schnittstellenbenennungskonventionen für MIC-MACSEC-20GE und Portgeschwindigkeit für Routing-Geräte .

MACsec-Software-Image-Anforderungen für Switches der EX-Serie und Switches der QFX-Serie

Junos OS Version 16.1 und höher

Für Junos OS Version 16.1 und höher müssen Sie das Junos-Standard-Image herunterladen, um MACsec zu aktivieren. MACsec wird im eingeschränkten Image nicht unterstützt.

Die Standardversion der Junos OS-Software enthält Verschlüsselung und ist daher nicht für Kunden in allen Regionen verfügbar. Der Export und Re-Export dieser Junos OS-Software unterliegt strengen Exportgesetzen der Vereinigten Staaten. Der Export, Import und die Verwendung dieser Junos OS-Software unterliegen auch Kontrollen, die nach den Gesetzen anderer Länder auferlegt werden. Wenn Sie Fragen zum Erwerb dieser Version Ihrer Junos OS Software haben, wenden Sie sich an Juniper Networks Trade Compliance Group unter mailto:compliance_helpdesk@juniper.net.

Junos OS-Versionen vor 16.1

Für Versionen vor Junos OS Version 16.1 müssen Sie die kontrollierte Version Ihrer Junos OS-Software herunterladen, um MACsec zu aktivieren. MACsec-Unterstützung ist in der nationalen Version der Junos OS-Software in Versionen vor Junos OS Version 16.1 nicht verfügbar.

Die kontrollierte Version der Junos OS-Software umfasst alle Features und Funktionen, die in der nationalen Version von Junos OS verfügbar sind, und unterstützt gleichzeitig MACsec. Die inländische Version der Junos OS-Software wird auf allen Switches geliefert, die MACsec unterstützen, daher müssen Sie eine kontrollierte Version der Junos OS-Software für Ihren Switch herunterladen und installieren, bevor Sie MACsec aktivieren können.

Die kontrollierte Version der Junos OS-Software enthält Verschlüsselung und ist daher nicht für Kunden in allen Regionen verfügbar. Der Export und Re-Export der kontrollierten Version der Junos OS-Software unterliegt strengen Exportgesetzen der Vereinigten Staaten. Der Export, Import und die Verwendung der kontrollierten Version der Junos OS-Software unterliegen ebenfalls Kontrollen, die nach den Gesetzen anderer Länder auferlegt werden. Wenn Sie Fragen zum Erwerb der kontrollierten Version Ihrer Junos OS Software haben, wenden Sie sich an Juniper Networks Trade Compliance Group unter mailto:compliance_helpdesk@juniper.net.

Erwerb und Herunterladen der Junos OS-Software

Ob es sich bei einem Softwarepaket um die Standardversion oder die kontrollierte Version von Junos OS handelt, erkennen Sie anhand des Paketnamens. Ein Softwarepaket für eine kontrollierte Version von Junos OS wird im folgenden Format benannt:

Ein Softwarepaket für eine Standardversion von Junos OS wird im folgenden Format benannt:

Geben Sie den Befehl show version ein, um zu überprüfen, welche Version von Junos OS auf Ihrem Switch ausgeführt wird. Wenn die JUNOS Crypto Software Suite Beschreibung in der Ausgabe angezeigt wird, führen Sie die gesteuerte Version von Junos OS aus. Wenn Sie eine kontrollierte Version von Junos OS ausführen, geben Sie den show system software Befehl ein, um die Version anzuzeigen. Die Ausgabe zeigt auch die Version aller geladenen Softwarepakete.

Der Vorgang zur Installation der kontrollierten Version oder Standardversion der Junos OS-Software auf Ihrem Switch ist identisch mit der Installation jeder anderen Version der Junos OS-Software. Sie müssen die request system software add Anweisung zum Herunterladen des Junos OS-Images und die Anweisung request system reboot zum Neustarten des Switches eingeben, um den Upgrade-Vorgang abzuschließen.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
23.4R1
Junos OS Version 23.4R1 unterstützt MACsec auf 1-GbE-Schnittstellen auf MX304-Routern mit einem QSFP-SFP (QSA)-Adapter oder einem Breakout Active Optical Cable (AOC). Die Unterstützung von MACsec auf 1-GbE-Schnittstellen erfordert eine Datenstromsteuerung, die standardmäßig aktiviert ist.
20.4R1-EVO
Junos OS Evolved Version 20.4R1 bietet Unterstützung für die dynamische Energieverwaltung. MACsec-Blöcke werden basierend auf der MACsec-Konfiguration dynamisch ein- und ausgeschaltet. Wenn MACsec auf einer Schnittstelle konfiguriert ist, wird der MACsec-Block für diese Portgruppe eingeschaltet. Wenn keine der Schnittstellen in einer Portgruppe für MACsec konfiguriert ist, wird der MACsec-Block mit Strom versorgt. Während des Übergangs zum Stromblock kann es zu minimalen Datenverkehrsverlusten kommen.
18.3R1
Ab Junos OS Version 18.4R2 bietet das MIC-MACSEC-20GE MIC die 256-Bit-Verschlüsselungssuite GCM-AES-256 und GCM-AES-XPN-256.
18.2R1
Ab Junos OS Version 18.2R1 wird AES-256 auf der EX9200-40XS-Linecard unterstützt.
15.1
Ab Junos OS Version 15.1 wird MACsec auf Mitgliedslinks eines aggregierten Ethernet-Schnittstellenpakets ( ae-) sowie auf regulären Schnittstellen, die nicht Teil eines Schnittstellenpakets sind, unterstützt.