Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Media Access Control Sicherheit (MACsec) über WAN

Media Access Control Sicherheit (MACsec) ist eine Link-Layer-Lösung für die Punkt-zu-Punkt-Verschlüsselung. MACsec kann verwendet werden, um Layer-2-Verbindungen über ein Service Provider-WAN zu verschlüsseln, um die Integrität und Vertraulichkeit der Datenübertragung zu gewährleisten.

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.

Im Abschnitt Plattformspezifisches Verhalten für MACsec über WAN finden Sie Hinweise zu Ihrer Plattform.

Übersicht über die Übertragung von MACsec über mehrere Hops

Um eine MACsec-Sitzung einzurichten, wird das MACsec Key Agreement (MKA) verwendet, um die erforderlichen Schlüssel zwischen den Peer-Knoten auszutauschen. MKA-PDUs werden mit dem Extensible Authentication Protocol over LAN (EAPoL) als Transportprotokoll übertragen. EAPoL ist ein Layer-2-Protokoll und wird normalerweise lokal vom Switch oder Router verarbeitet und nicht weiter verbreitet.

Wenn Knoten über ein Service-Provider-Netzwerk verbunden sind, stellt dies eine Herausforderung dar. Abbildung 1 zeigt MACsec, das über ein Service Provider-Netzwerk übertragen wird. MKA muss Schlüssel zwischen den Kundengeräten A und B austauschen. Die Edgerouter oder Zwischengeräte sollten die EAPoL-Pakete nicht verarbeiten. Stattdessen sollten sie diese transparent an den nächsten Hop weiterleiten.

Abbildung 1: MACsec, das über ein Service Provider-Netzwerk Network topology showing Customer Device A and B connected via a service provider core network. Edge routers are MACSec-unaware. Encrypted secure channel between devices bypasses non-MACSec routers. übertragen wird

Die standardmäßige Ziel-MAC-Adresse für ein EAPoL-Paket ist eine Multicast-Adresse von 01:80:C2:00:00:03. In einem Service Provider-Netzwerk kann es Geräte geben, die diese Pakete verarbeiten, vorausgesetzt, die Pakete sind für sie bestimmt. EAPoL wird von 802.1X und anderen Authentifizierungsmethoden verwendet, was je nach Konfiguration dazu führen kann, dass die Geräte die Pakete verwerfen. Dies würde dazu führen, dass die MKA-Sitzung zwischen den vorgesehenen Endpunkten fehlschlägt. Um sicherzustellen, dass das EAPoL-Paket den beabsichtigten Endgerät erreicht, können Sie Attribute des Pakets wie die Ziel-MAC-Adresse, die VLAN-ID und den EtherType so ändern, dass das Netzwerk des Dienstanbieters das Paket tunnelt, anstatt es zu nutzen.

Konfigurieren von MACsec auf IFL-Ebene auf logischen Schnittstellen

MACsec auf der Ebene einer logischen Schnittstelle (IFL) ermöglicht mehrere MKA-Sitzungen auf einem einzigen physischen Port. Dies ermöglicht Service Multiplexing mit MACsec-Verschlüsselung von Punkt-zu-Mehrpunkt-Verbindungen über Service Provider-WANs.

Um MACsec auf IFL-Ebene zu unterstützen, werden die MKA-Protokollpakete mit den auf der logischen Schnittstelle konfigurierten VLAN-Tags gesendet. VLAN-Tags werden im Klartext übertragen, sodass Zwischen-Switches, die MACsec-nicht wissen, die Pakete basierend auf den VLAN-Tags umschalten können.

Wenn Sie MACsec konfigurieren, müssen Sie die Konnektivitätszuordnung an eine Schnittstelle binden. Um MACsec auf IFL-Ebene zu aktivieren, binden Sie die Konnektivitätszuordnung mit dem folgenden Befehl an eine logische Schnittstelle:

Vollständige Konfigurationsdetails finden Sie unter Konfigurieren von MACsec im statischen CAK-Modus.

Konfigurieren der EAPoL-Ziel-MAC-Adresse für MACsec

MACsec überträgt MKA-PDUs mithilfe von EAPoL-Paketen, um eine sichere Sitzung aufzubauen. Standardmäßig verwendet EAPoL die Ziel-Multicast-MAC-Adresse 01:80:C2:00:00:03. Um zu verhindern, dass diese Pakete in einem Service Provider-Netzwerk verbraucht werden, können Sie die Ziel-MAC-Adresse ändern.

Geben Sie einen der folgenden Befehle ein, um die EAPoL-Ziel-MAC-Adresse zu konfigurieren.

Hinweis:

Die Konfiguration muss auf beiden Endpunkten einer Sicherheitszuordnung oder sicheren Verbindung übereinstimmen, um die MACsec-Sitzung einzurichten.
  • So konfigurieren Sie die Multicast-Adresse der Portzugriffsentität:
  • So konfigurieren Sie eine Provider-Bridge-Multicast-Adresse:
  • So konfigurieren Sie die LLDP-Multicast-Adresse:
  • So konfigurieren Sie eine Unicast-Zieladresse:

Die Optionen werden wie folgt MAC-Adressen zugeordnet:

Tabelle 1: EAPoL- und MAC-Adresszuordnung

EAPoL-Adresse

MAC-Adresse

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00

lldp-multicast

01:80:C2:00:00:0E

destination

configurable unicast address

Konfigurieren des EAPoL-EtherTyps für MACsec

MACsec verwendet EAPoL als Transportprotokoll zum Einrichten von Sitzungen. Wenn Sie eine benutzerdefinierte MAC-Zieladresse für EAPoL-Pakete konfigurieren, tunnelt das Netzwerk das Paket in den meisten Fällen basierend auf der Zieladresse. Einige Netzwerke filtern Pakete jedoch stattdessen basierend auf dem EtherType-Wert. Der EtherType ist ein Feld in einem Ethernet-Frame. Der Wert des Feldes EtherType identifiziert das Protokoll des im Frame eingekapselten Pakets. Standardmäßig ist der EtherType für EAPoL 0x888e, wie im IEEE 802.1X-Standard definiert. Einige Netzwerke fangen nicht getaggte Pakete automatisch mit diesem EtherType ab. Um sicherzustellen, dass das Netzwerk MACsec-Pakete ordnungsgemäß an den Endgerät tunnelt, können Sie einen benutzerdefinierten EtherType für EAPoL festlegen.

Wenn MACsec auf einer Schnittstelle aktiviert ist, fängt das Gerät nicht markierte EAPoL-Pakete ab, die diese Schnittstelle passieren, und leitet markierte EAPoL-Pakete weiter. Standardmäßig fängt das Gerät diese Pakete nur ab, wenn sie über den Standard-EtherType-0x888e verfügen. Wenn Sie einen benutzerdefinierten EtherType konfigurieren, fängt das Gerät stattdessen Pakete ab, die diesen benutzerdefinierten EtherType haben. Es fängt keine Pakete mit EtherType-0x888e ab.

Wählen Sie den EAPoL EtherType-Wert

Wenn Sie einen benutzerdefinierten EtherType-Wert konfigurieren, muss er wie folgt lauten:

  • In jedem EAPoL-Profil unterschiedlich. Konfigurieren Sie nicht denselben EtherType für mehrere Profile. Wenn Sie nur einen EtherType benötigen, verwenden Sie nur ein Profil.

  • Gültig (größer oder gleich 0x600).

  • Verfügbar (nicht für eine andere Verwendung reserviert).

Die Verwendung eines reservierten EtherTyps kann den Datenverkehr stören. Reservierte EtherTypes lassen sich in drei Kategorien einteilen:

  1. EtherTypes-Werte, die vom IEEE 802.1X-Standard reserviert sind und auf der Seite IEEE EtherTypes-Standards aufgeführt sind.

  2. EtherType-Werte, die in Verkehrsdaten verwendet werden.

  3. EtherType-Werte, die speziell für Junos-Geräte reserviert sind. Diese Kategorie enthält Werte wie 0x9100 und 0x9200, die nicht auf der Seite "Standards" aufgeführt sind. Um zu bestätigen, dass der EtherType nicht in dieser Kategorie enthalten ist, überprüfen Sie die folgende Tabelle, oder bestätigen Sie die Konfiguration. Wenn der EtherType-Wert in der folgenden Tabelle enthalten ist, erkennt die Commit-Prüfung den reservierten Wert, und die Übergabe schlägt fehl.

Hinweis: Die folgende Tabelle enthält keine vollständige Liste der EtherTypes, die Sie nicht verwenden sollten. Die Commit-Prüfung kann nicht alle reservierten EtherTypes abfangen. Vergewissern Sie sich daher, dass der EtherType verfügbar ist, bevor Sie Ihre Konfiguration bestätigen.
Tabelle 2: Reservierte EtherTypen, die von der Commit-Prüfung auf Junos-Geräten abgefangen werden
EtherType reserviert für EtherType reserviert für
0x22F3 TRILLER 0x88B6 EXP2
0x0800 IPv4 0x88B7 EXP3
0x0806 ARP 0x88cc LLDP
0x8035 RARP 0x88E5 802.1AE
0x8100 VLAN 0x88E7 PBB
0x86dd IPv6 0x88EE ELMI
0x8809 LANGSAM 0x88F5 MVRP
0x8847 ETIKETT 0x88F6 MMRP
0x8848 Multicast MPLS 0x88F7 PTP (Englisch)
0x8863 PPPoE DISC 0x8902 Ethernet OAM CFM
0x8864 PPPoE SESS 0x8906 FCoE
0x888e 802.1X 0x8914 FIP
0x88a8 PVLAN 0x9100 9100
0x88B5 EXP1 0x9200 9200

Konfiguration

Das Ursprungs- und das Endgeräte können nur dann eine MACsec-Sitzung einrichten, wenn beide Geräte mit demselben EAPoL-EtherType konfiguriert sind. Wiederholen Sie die Konfiguration auf beiden Geräten.

So konfigurieren Sie einen benutzerdefinierten EtherType-Wert für EAPoL-Pakete:

  1. Richten Sie Ihr benutzerdefiniertes EAPoL-EtherType-Profil ein.
    Hinweis:

    PTX-Serie Router werden mit zwei bereits konfigurierten EtherType-Profilen geliefert, aus denen Sie wählen können: EAPOL_ETHERTYPE1 oder EAPOL_ETHERTYPE2. Sie müssen einen der folgenden Namen für Ihr EAPoL-EtherType-Profil verwenden.
  2. (Optional) Konfigurieren Sie einen benutzerdefinierten EAPoL-EtherType-Wert.

    Weitere Informationen zum Auswählen eines EtherType-Werts finden Sie unter Auswählen des EAPoL-EtherType-Werts .

    Hinweis: Auf Routern der PTX-Serie ist jedes vordefinierte Profil mit einem Standard-EtherType vorkonfiguriert. Das Profil hat EAPOL_ETHERTYPE1 einen Standard-EtherType-Wert von 0x876f. Das Profil hat EAPOL_ETHERTYPE2 den Standard-EtherType-Wert 0xb860. Sie können einen anderen EtherType konfigurieren, wenn Sie dies bevorzugen.
  3. Wenden Sie Ihr benutzerdefiniertes EAPoL-EtherType-Profil auf die MACsec-Konnektivitätszuordnungskonfiguration an.
  4. Bestätigen Sie Ihre Konfiguration.
  5. (PTX10008 mit einer PTX10K-LC1301-Linecard oder einem PTX10002-36QDD) Starten Sie das Gerät neu, wenn Sie den EAPoL-EtherType-Wert von der vorkonfigurierten Standardeinstellung geändert haben.
  6. Überprüfen Sie den EtherType-Wert, den Sie mit dem show security mka sessions detail Befehl konfiguriert haben. Zum Beispiel:

    Sie haben einen benutzerdefinierten EtherType-Wert für EAPoL für MACsec konfiguriert.

  7. Wiederholen Sie die Konfiguration auf dem anderen Gerät.

Plattformspezifisches Verhalten für MACsec über WAN

In der folgenden Tabelle finden Sie Informationen zu plattformspezifischen Verhaltensweisen für Ihre Plattformen.

Tabelle 3: Plattformspezifisches Verhalten für den EAPoL-EtherType für MACsec

Plattform

Unterschied

ACX-Serie

  • Wenn MACsec auf einer logischen Schnittstelle aktiviert ist, fängt das Gerät Pakete ab, die dem Tagging dieser Schnittstelle entsprechen (nicht markiert oder getaggt). Wenn Sie keinen benutzerdefinierten EtherType konfiguriert haben, fängt das Gerät EAPoL-Pakete nur dann ab, wenn sie über das standardmäßige EtherType-0x888e verfügen. Wenn Sie einen benutzerdefinierten EtherType konfiguriert haben, fängt das Gerät nur Pakete mit diesem benutzerdefinierten EtherType ab und fängt keine Pakete mit EtherType 0x888e ab.

  • Alle Schnittstellen, die zu einer Link Aggregation Group (LAG) gehören, müssen dasselbe EAPoL-EtherType-Profil verwenden. Andernfalls funktioniert MACsec nicht auf den Schnittstellen.

PTX-Serie

  • Sie können nur zwei EAPoL-EtherType-Profile konfigurieren: EAPOL_ETHERTYPE1 und EAPOL_ETHERTYPE2. Standardmäßig sind die diesen Profilen zugeordneten EtherTypes 0x876f bzw. 0xb860. Sie können einen anderen EtherType-Wert als den Standardwert konfigurieren, wenn Sie dies bevorzugen.

  • (PTX10008 mit einer PTX10K-LC1301 Linecard oder einem PTX10002-36QDD) Ein Neustart ist erforderlich, nachdem der EtherType-Wert vom vorkonfigurierten Standardwert geändert wurde.

  • (PTX10004, PTX10008 und PTX10016 mit PTX10K-LC1201- oder PTX10K-LC1202-Linecards; PTX10001-36MR) Die Tunnelterminierung wird für MACsec-Pakete, die mit einem benutzerdefinierten EtherType bei EVPN-MPLS- und EVPN-VPWS-Services empfangen werden, nicht unterstützt.

  • (PTX10001-36MR, PTX10002-36QDD, PTX10004, PTX10008 und PTX10016) Wenn für eine physische Schnittstelle eine Ethernet-CCC-Kapselung konfiguriert ist und MACsec auf dieser Schnittstelle konfiguriert ist, fängt das Gerät alle EAPoL-Pakete für diese Schnittstelle ab, unabhängig davon, ob sie markiert oder nicht markiert sind. Um dies zu vermeiden, können Sie auf dieser Schnittstelle einen benutzerdefinierten EtherType konfigurieren, der sich von dem unterscheidet, der für anderen MACsec-Datenverkehr verwendet wird. Nach dieser Konfiguration fängt das Gerät Pakete mit dem benutzerdefinierten EtherType ab und lässt die anderen nicht getaggten Pakete durch.