Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zur Media Access Control Security (MACsec)

Grundlegendes zur Media Access Control Security (MACsec)

Media Access Control Security (MACsec) bietet Punkt-zu-Punkt-Sicherheit auf Ethernet-Verbindungen. MACsec wird durch den IEEE-Standard 802.1AE definiert. Sie können MACsec in Kombination mit anderen Sicherheitsprotokollen wie IP Security (IPsec) und Secure Sockets Layer (SSL) verwenden, um End-to-End-Netzwerksicherheit zu gewährleisten.

MACsec ist in der Lage, die meisten Sicherheitsbedrohungen zu erkennen und zu verhindern, einschließlich Denial of Service, Intrusion, Man-in-the-Middle, Masquerading, passives Abhören und Playback-Angriffe. MACsec sichert eine Ethernet-Verbindung für fast den gesamten Datenverkehr, einschließlich Frames aus dem Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) und anderen Protokollen, die aufgrund von Einschränkungen mit anderen Sicherheitslösungen normalerweise nicht auf einem Ethernet-Link geschützt sind.

Funktionsweise von MACsec

Wenn MACsec auf einer Punkt-zu-Punkt-Ethernet-Verbindung aktiviert ist, wird die Verbindung gesichert, nachdem die übereinstimmenden Sicherheitsschlüssel zwischen den Schnittstellen an jedem Ende der Verbindung ausgetauscht und überprüft wurden. Der Schlüssel kann je nach Sicherheitsmodus zur Aktivierung von MACsec manuell konfiguriert oder dynamisch generiert werden. Weitere Informationen zu MACsec-Sicherheitsmodi finden Sie unter MACsec-Sicherheitsmodi.

MACsec verwendet eine Kombination aus Datenintegritätsprüfungen und Verschlüsselung, um den Datenverkehr über die Verbindung zu sichern:

Data integrity

MACsec fügt einen 8-Byte-Header und einen 16-Byte-Tail an alle Ethernet-Frames an, die die MIT MACsec gesicherte Verbindung passieren. Header und Tail werden von der Empfangenden Schnittstelle überprüft, um sicherzustellen, dass die Daten beim Passieren der Verbindung nicht kompromittiert wurden. Wenn die Datenintegritätsprüfung unregelmäßige Daten im Datenverkehr feststellt, wird der Datenverkehr unterbrochen.
Encryption

Die Verschlüsselung stellt sicher, dass die Daten im Ethernet-Frame von niemandem angezeigt werden können, der den Datenverkehr auf der Verbindung überwacht. MACsec-Verschlüsselung ist optional und vom Benutzer konfigurierbar. Sie können MACsec aktivieren, um sicherzustellen, dass die Datenintegritätsprüfungen durchgeführt werden, während sie auf Wunsch weiterhin unverschlüsselte Daten "im Klaren" über den MACsec-gesicherten Link senden.

Hinweis:

Wenn MACsec auf einer logischen Schnittstelle aktiviert ist, werden VLAN-Tags nicht verschlüsselt. Alle VLAN-Tags, die auf der logischen Schnittstelle konfiguriert wurden, die für MACsec aktiviert sind, werden als Klartext gesendet.

Konnektivitätsverbände

MACsec wird in Konnektivitätszuordnungen konfiguriert. Eine Konnektivitätszuordnung besteht aus einer Reihe von MACsec-Attributen, die Schnittstellen verwenden, um zwei sichere Kanäle zu erstellen, einen für eingehenden und einen für ausgehenden Datenverkehr. Die sicheren Kanäle sind für die Übertragung und den Empfang von Daten auf der MACsec-gesicherten Verbindung verantwortlich.

Die sicheren Kanäle werden automatisch erstellt. Sie haben keine vom Benutzer konfigurierbaren Parameter. Die gesamte Konfiguration erfolgt innerhalb der Konnektivitätszuordnung, aber außerhalb der sicheren Kanäle.

Die Konnektivitätszuordnung muss auf jeder Seite der Punkt-zu-Punkt-Ethernet-Verbindung einer MACsec-fähigen Schnittstelle zugewiesen werden. Wenn Sie MACsec auf mehreren Ethernet-Verbindungen aktivieren möchten, müssen Sie MACsec für jeden Link einzeln konfigurieren. Andere vom Benutzer konfigurierbare Parameter, z. B. MAC-Adresse oder Port, müssen ebenfalls auf den Schnittstellen auf jeder Seite der Verbindung übereinstimmen, um MACsec zu aktivieren.

MACsec-Sicherheitsmodi

MACsec kann mit einem der folgenden Sicherheitsmodi aktiviert werden:

  • Statischer CAK-Modus

  • Dynamischer CAK-Modus

Best Practices:

Für Verbindungen, die Switches oder Router verbinden, wird der statische CAK-Modus empfohlen. Der statische CAK-Modus gewährleistet die Sicherheit, indem häufig auf einen neuen zufälligen Sicherheitsschlüssel aktualisiert wird und nur der Sicherheitsschlüssel zwischen den beiden Geräten auf der MACsec-gesicherten Punkt-zu-Punkt-Verbindung geteilt wird.

Statischer CAK-Modus

Wenn Sie MACsec im statischen CAK-Modus aktivieren, werden zur Sicherung der Verbindung zwei Sicherheitsschlüssel verwendet– ein Connectivity Association Key (CAK), der den Datenverkehr der Steuerungsebene sichert, und ein zufällig generierter Secure Association Key (SAK), der den Datenverkehr der Data Plane sichert. Beide Schlüssel werden regelmäßig zwischen beiden Geräten an jedem Ende der Punkt-zu-Punkt-Ethernet-Verbindung ausgetauscht, um die Sicherheit der Verbindung zu gewährleisten.

Sie richten zunächst eine MACsec-gesicherte Verbindung mithilfe eines vorab freigegebenen Schlüssels ein, wenn Sie den statischen CAK-Sicherheitsmodus verwenden, um MACsec zu aktivieren. Ein vorab freigegebener Schlüssel umfasst einen Connectivity Association Name (CKN) und eine eigene CAK. CKN und CAK werden vom Benutzer in der Konnektivitätszuordnung konfiguriert und müssen an beiden Enden der Verbindung übereinstimmen, um MACsec zunächst zu aktivieren.

Sobald die übereinstimmenden pre-shared Keys erfolgreich ausgetauscht wurden, wird das MACsec Key Agreement (MKA)-Protokoll aktiviert. Das MKA-Protokoll ist für die Aufrechterhaltung der MACsec auf dem Link verantwortlich und entscheidet, welcher Switch auf der Punkt-zu-Punkt-Verbindung der Schlüsselserver wird. Der Schlüsselserver erstellt dann einen SAK, der nur am anderen Ende der Punkt-zu-Punkt-Verbindung mit dem Switch geteilt wird, und dieser SAK wird verwendet, um den gesamten Datenverkehr, der die Verbindung durchläuft, zu sichern. Der Schlüsselserver erstellt und teilt weiterhin in regelmäßigen Abständen einen zufällig erstellten SAK über die Punkt-zu-Punkt-Verbindung, solange MACsec aktiviert ist.

Hinweis:

Wenn die MACsec-Sitzung aufgrund eines Verbindungsfehlers beendet wird, wählt der MKA-Schlüsselserver bei der Wiederherstellung der Verbindung einen Schlüsselserver und generiert einen neuen SAK.

Hinweis:

Die Switches an jedem Ende einer MACsec-gesicherten Switch-to-Switch-Verbindung müssen entweder Junos OS Version 14.1X53-D10 oder höher verwenden oder eine frühere Version von Junos verwenden, um eine MACsec-gesicherte Verbindung bei Verwendung des statischen CAK-Sicherheitsmodus herzustellen.

Dynamischer CAK-Modus

Im dynamischen CAK-Modus generieren die Peer-Knoten auf dem MACsec-Link die Sicherheitsschlüssel dynamisch im Rahmen des 802.1X-Authentifizierungsprozesses. Die Peerknoten erhalten während der Authentifizierung MACsec-Schlüsselattribute vom RADIUS-Server und verwenden diese Attribute, um die CAK und den CKN dynamisch zu generieren. Dann tauschen sie die Schlüssel aus, um eine MACsec-gesicherte Verbindung zu erstellen.

Der dynamische CAK-Modus bietet eine einfachere Verwaltung als der statische CAK-Modus, da die Schlüssel nicht manuell konfiguriert werden müssen. Außerdem können die Schlüssel zentral vom RADIUS-Server verwaltet werden.

Sie können den dynamischen CAK-Modus verwenden, um eine Switch-to-Host-Verbindung oder einen Link zu sichern, der Switches oder Router verbindet. Auf einem Switch-to-Host-Link ist der Switch der 802.1X-Authentifikator und der Host ist der Supplicant. Auf einer Verbindung, die Switches oder Router verbindet, müssen die Geräte sowohl als Authentifikator als auch als Supplicant fungieren, damit sie sich gegenseitig authentifizieren können.

Der dynamische CAK-Modus basiert auf zertifikatsbasierter Validierung mit Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). Der RADIUS-Server und die Switching-Geräte müssen EAP-TLS und public Key-Infrastruktur verwenden, um MACsec im dynamischen CAK-Modus zu unterstützen.

MACsec in einem Virtual Chassis

MACsec kann auf unterstützten Switch-Schnittstellen konfiguriert werden, wenn diese Switches in einer Virtual Chassis - oder Virtual Chassis-Fabric (VCF) konfiguriert sind, auch wenn SICH MACsec-unterstützte Schnittstellen auf Member-Switches in einem gemischten Virtual Chassis oder VCF befinden, das Switch-Schnittstellen enthält, die MACsec nicht unterstützen. MACsec kann jedoch nicht auf Virtual Chassis-Ports (VCPs) aktiviert werden, um den Datenverkehr zwischen Denk-Switches in einem Virtual Chassis oder VCF zu sichern.

MACsec-Einschränkungen

  • Alle Arten von Spanning Tree Protocol-Frames können derzeit nicht mit MACsec verschlüsselt werden.

  • Während des GRES-Switchovers werden MACsec-Datenverkehrsverluste erwartet.

  • Auf EX4300-Switches funktioniert MACsec auf PHY84756 1G-SFP-Ports möglicherweise nicht richtig, wenn die automatische Aushandlung aktiviert ist und MACsec auf diesen Ports konfiguriert ist. Konfigurieren Sie no- auto-negotiation als Problemumgehung auf PHY84756 1G-SFP-Ports, bevor Sie MACsec auf diesen Ports konfigurieren.

Unterstützung der MACsec-Plattform

Eine umfassende Liste der Plattformen, die MACsec unterstützen, finden Sie im Feature-Explorer.

Siehe auch

MACsec-Lizenzierungs- und Softwareanforderungen

MACsec-Funktionslizenzen

Zur Konfiguration von MACsec auf Switches der EX- und QFX-Serie ist eine Funktionslizenz erforderlich, mit Ausnahme der Linecards QFX10000-6C-DWDM und QFX10000-30C-M. Wenn die MACsec-Lizenz nicht installiert ist, kann die MACsec-Funktionalität nicht aktiviert werden.

Um eine Funktionslizenz für MACsec zu erwerben, wenden Sie sich an Ihren Vertriebsmitarbeiter von Juniper Networks (https://www.juniper.net/us/en/contact-us/sales-offices). Der Vertriebsmitarbeiter von Juniper stellt Ihnen eine Funktionslizenzdatei und einen Lizenzschlüssel zur Verfügung. Sie werden aufgefordert, die Chassis-Seriennummer Ihres Switches einzuführen. können Sie die Seriennummer abrufen, indem Sie den show chassis hardware Befehl ausführen.

Die MACsec-Funktionslizenz ist eine unabhängige Funktionslizenz. Die Erweiterten Funktionslizenzen (EFLs) oder Lizenzen für erweiterte Funktionen (AFLs), die erworben werden müssen, um einige Funktionen auf Switches der EX- oder QFX-Serie zu aktivieren, können nicht erworben werden, um MACsec zu aktivieren.

Für eine Virtual Chassis-Bereitstellung werden zwei MACsec-Lizenzschlüssel zur Redundanz empfohlen : einer für das Gerät in der primären Rolle und der andere für das Gerät in der Backup-Rolle. Je nach Modell und Konfiguration sind möglicherweise zwei MACsec-Lizenzen pro Virtual Chassis Fabric (VCF) und pro Virtual Chassis (VC) erforderlich. In den folgenden Lizenzdokumenten finden Sie plattform- und funktionsspezifische Details.

Eine MACsec-Funktionslizenz wird wie jede andere Switch-Lizenz installiert und verwaltet. Weitere Informationen zur Konfiguration und Verwaltung Ihrer MACsec-Softwarelizenz finden Sie unter Verwalten von Lizenzen für Switches der EX-Serie (CLI-Prozedur) oder Hinzufügen neuer Lizenzen (CLI-Prozedur).

MACsec-Softwareanforderungen für Router der MX-Serie

Im Folgenden sind einige der wichtigsten Softwareanforderungen für MACsec auf Routern der MX-Serie aufgeführt:

Hinweis:

Zur Konfiguration von MACsec auf Routern der MX-Serie mit dem erweiterten Gigabit Ethernet MIC mit 20 Ports (Modellnummer MIC-3D-20GE-SFP-E) ist keine Funktionslizenz erforderlich.

MACsec wird auf Routern der MX-Serie mit MACsec-fähigen Schnittstellen unterstützt.

MACsec unterstützt 128- und 256-Bit-Cipher-Suite mit und ohne erweiterte Paketnummerierung (XPN).

MACsec unterstützt das MACsec Key Agreement (MKA)-Protokoll mit statischem CAK-Modus mit vorinstallierten Schlüsseln.

MACsec unterstützt eine einzelne Konnektivitätszuordnung (CA) pro physischem Port oder physischer Schnittstelle.

Ab Junos OS Version 20.3R1 können Sie MACsec (Media Access Control Security) auf logischer Schnittstellenebene auf der MPC7E-10G Linecard konfigurieren. Diese Konfiguration ermöglicht mehrere MACsec Key Agreement (MKA)-Sitzungen an einem einzigen physischen Port. VLAN-Tags werden in Klartext übertragen, was es zwischengeschalteten Switches ermöglicht, die MACsec-ung nicht wissen, die Pakete basierend auf den VLAN-Tags zu wechseln.

Ab Junos OS Version 15.1 wird MACsec auf Den Member-Links eines aggregierten Ethernet (ae-)-Schnittstellenpakets sowie auf regulären Schnittstellen unterstützt, die nicht Teil eines Schnittstellenpakets sind.

Ab Junos OS Version 17.3R2 unterstützt MACsec 256-Bit-Cipher-Suite GCM-AES-256 und GCM-AES-XPN-256 auf MX10003-Routern mit dem modularen MIC (Modellnummer-JNP-MIC1-MACSEC).

Ab Junos OS Version 18.4R2 bietet MIC-MACSEC-20GE MIC 256-Bit-Cipher-Suite GCM-AES-256 und GCM-AES-XPN-256. Das MIC-MACSEC-20GE MIC unterstützt MACsec sowohl auf 2 1-Gigabit Ethernet SFP-Ports als auch auf zwei 10-Gigabit-Ethernet-SFP+-Ports in den folgenden Hardwarekonfigurationen:

  • Direkt auf den Routern MX80 und MX104 installiert

  • Installiert auf MPC1, MPC2, MPC3, MPC2E, MPC3E, MPC2E-NG und MPC3E-NG Linecards auf den Routern MX240, MX480 und MX960

Weitere Informationen finden Sie unter Schnittstellenbenennkonventionen für MIC-MACSEC-20GE und Portgeschwindigkeit für Routing-Geräte .

MACsec-Software-Image-Anforderungen für Switches der EX- und QFX-Serie

Junos OS Version 16.1 und höher

Für Junos OS Version 16.1 und höher müssen Sie das Standard-Junos-Image herunterladen, um MACsec zu aktivieren. MACsec wird im eingeschränkten Bild nicht unterstützt.

Die Standardversion der Junos OS-Software enthält Verschlüsselung und ist daher nicht für Kunden in allen Regionen verfügbar. Der Export und reexport dieser Junos OS-Software unterliegt strengstens den Exportgesetzen der Vereinigten Staaten. Der Export, import und die Verwendung dieser Junos OS-Software unterliegt ebenfalls den Kontrollen, die nach den Gesetzen anderer Länder eingeführt werden. Wenn Sie Fragen zum Erwerb dieser Version Ihrer Junos OS-Software haben, wenden Sie sich an die Juniper Networks Trade Compliance Group unter mailto:compliance_helpdesk@juniper.net.

Junos OS-Versionen vor 16.1

Für Versionen vor Junos OS Version 16.1 müssen Sie die kontrollierte Version Ihrer Junos OS-Software herunterladen, um MACsec zu aktivieren. MACsec-Unterstützung ist in der inländischen Version der Junos OS-Software in Versionen vor Junos OS Version 16.1 nicht verfügbar.

Die kontrollierte Version der Junos OS-Software umfasst alle Funktionen und Funktionen, die in der inländischen Version von Junos OS verfügbar sind, und unterstützt gleichzeitig MACsec. Die inländische Version der Junos OS-Software wird auf allen Switches geliefert, die MACsec unterstützen. Sie müssen also eine kontrollierte Version der Junos OS-Software für Ihren Switch herunterladen und installieren, bevor Sie MACsec aktivieren können.

Die kontrollierte Version der Junos OS-Software enthält Verschlüsselung und ist daher nicht für Kunden in allen Regionen verfügbar. Der Export und Reexport der kontrollierten Version der Junos OS-Software wird streng nach den Ausfuhrgesetzen der Vereinigten Staaten kontrolliert. Der Export, der Import und die Verwendung der kontrollierten Version der Junos OS-Software unterliegt ebenfalls den Gesetzlichen anderer Länder. Wenn Sie Fragen zum Erwerb der kontrollierten Version Ihrer Junos OS-Software haben, wenden Sie sich an die Juniper Networks Trade Compliance Group unter mailto:compliance_helpdesk@juniper.net.

Erwerb und Download der Junos OS-Software

Sie können ermitteln, ob ein Softwarepaket die Standard- oder kontrollierte Version von Junos OS ist, indem Sie den Paketnamen anzeigen. Ein Softwarepaket für eine kontrollierte Version von Junos OS wird im folgenden Format benannt:

Ein Softwarepaket für eine Standardversion von Junos OS wird im folgenden Format benannt:

Geben Sie den show version Befehl ein, um zu überprüfen, welche Version von Junos OS auf Ihrem Switch ausgeführt wird. Wenn die JUNOS Crypto Software Suite Beschreibung in der Ausgabe angezeigt wird, führen Sie die kontrollierte Version von Junos OS aus. Wenn Sie eine kontrollierte Version von Junos OS ausführen, geben Sie den show system software Befehl ein, um die Version anzuzeigen. Die Ausgabe zeigt auch die Version aller geladenen Softwarepakete.

Der Prozess für die Installation der gesteuerten oder Standardversion der Junos OS-Software auf Ihrem Switch ist identisch mit der Installation einer anderen Version der Junos OS-Software. Sie müssen die request system software add Anweisung zum Herunterladen des Junos OS-Images und die request system reboot Anweisung zum Neustart des Switches eingeben, um den Upgrade-Vorgang abzuschließen.

Tabelle "Versionshistorie"
Release
Beschreibung
20.4R1-EVO
Junos OS Evolved Version 20.4R1 hat Unterstützung für dynamisches Energiemanagement eingeführt. MACsec-Blöcke werden basierend auf der MACsec-Konfiguration dynamisch ein- und ausgeschaltet. Wenn MACsec auf einer Schnittstelle konfiguriert ist, wird der MACsec-Block für diese Portgruppe eingeschaltet. Wenn keine der Schnittstellen in einer Portgruppe für MACsec konfiguriert ist, wird der MACsec-Block mit der Stromversorgung umgangen. Während des Übergangs zur Leistungsblockierung kann es zu minimalen Datenverkehrsverlusten kommen.
18.3R1
Ab Junos OS Version 18.4R2 bietet MIC-MACSEC-20GE MIC 256-Bit-Cipher-Suite GCM-AES-256 und GCM-AES-XPN-256.
18.2R1
Ab Junos OS Version 18.2R1 wird AES-256 auf der EX9200-40XS Linecard unterstützt.
15.1
Ab Junos OS Version 15.1 wird MACsec auf Member-Links eines aggregierten Ethernet () ae-Schnittstellenpakets sowie auf regulären Schnittstellen unterstützt, die nicht Teil eines Schnittstellenpakets sind.