Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configurer MACsec

RÉSUMÉ 

Nous pouvons configurer MACsec pour sécuriser les liaisons Ethernet point à point en connectant votre appareil à des MIC compatibles MACsec. Chaque liaison Ethernet point à point que vous souhaitez sécuriser à l’aide de MACsec doit être configurée indépendamment. Nous pouvons activer MACsec sur les liaisons d’appareil à appareil à l’aide du mode de sécurité CAK (Static Connectivity Association Key).

Le PIC2 des EX4100-P et EX4100-T, et le PIC0 et le PIC2 du EX4100-MP prennent en charge MACsec.

Personnalisation de l’heure

Pour personnaliser l’heure, désactivez NTP et définissez la date.

  1. Désactivez NTP.
  2. Réglage de la date et de l’heure. Le format de date et d’heure est YYYYMMDDHHMM.ss
    Note:

    Nous ne revendiquons pas NTP dans le cadre du SFR FPT_STM_EXT.1. Cependant, dans notre guide de configuration, nous avons utilisé les services d’activation/désactivation NTP pour valider la tolérance MACsec et le trousseau MACsec.

Configuration de MACsec sur un équipement exécutant Junos OS

Pour configurer MACsec sur un équipement exécutant Junos OS :

  1. Configurez le mode de sécurité MACsec comme pour l’association de connectivité.
    Note:

    En fonction de vos besoins, vous pouvez configurer le offset-number au niveau de la set security macsec connectivity-association connectivity-association-name offset hiérarchie sur 0, 30, or 50.
  2. Créez la clé pré-partagée en configurant le nom de la clé d’association de connectivité (CKN) et la clé d’association de connectivité (CAK).
    Note:

    En fonction de vos besoins, vous pouvez configurer la number-of-packets valeur au niveau de la set security macsec connectivity-association connectivity-association-name replay-protect replay-window-size hiérarchie de 0 via 65535.
  3. Réglez le MKA sur le mode sécurité.
    Note:

    CA1 est un exemple de connectivity-association-name configuré.
  4. Attribuez l’association de connectivité configurée à une interface MACsec spécifiée.

Configuration de MACsec statique avec un trafic de couche 3

Pour configurer MACsec statique à l’aide du trafic ICMP entre l’appareil R0 et l’appareil R1 :

Dans R0 :

  1. Créez la clé prépartagée en configurant le nom de la clé d’association de connectivité (CKN) et la clé d’association de connectivité (CAK)
  2. Définissez les valeurs des options de traçage.
  3. Affectez la trace à une interface.
  4. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.
  5. Définissez la priorité du serveur de clés MKA.
  6. Définissez l’intervalle de transmission MKA.
  7. Activez le MKA sécurisé.
  8. Assignez l’association de connectivité à une interface.

Dans R1 :

  1. Créez la clé prépartagée en configurant le nom de la clé d’association de connectivité (CKN) et la clé d’association de connectivité (CAK)

  2. Définissez les valeurs des options de traçage.

  3. Affectez la trace à une interface.

  4. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.

  5. Définissez l’intervalle de transmission MKA.

  6. Activez le MKA sécurisé.

  7. Assignez l’association de connectivité à une interface.

Configuration de MACsec avec un trousseau à l’aide du trafic de couche 3

Synchronisez les deux terminaux macsec avec NTP, car l’heure de début des deux équipements doit être la même pour les déclencheurs clés. Pour configurer MACsec avec un trousseau utilisant le trafic ICMP entre l’appareil R0 et l’appareil R1 :

Dans R0 :

  1. Attribuez une valeur de tolérance au trousseau de clés d’authentification.
  2. Créez le mot de passe secret à utiliser. Il s’agit d’une chaîne de chiffres hexadécimaux d’une longueur maximale de 64 caractères. Le mot de passe peut inclure des espaces si la chaîne de caractères est placée entre guillemets. Les données secrètes du trousseau sont utilisées comme CAK.

    Vous pouvez configurer jusqu’à 64 touches. Par exemple, vous pouvez faire référence aux 4 clés suivantes :

    Utilisez la prompt commande pour entrer une valeur de clé secrète. Par exemple, la valeur de la clé secrète est 2345678922334455667788992223334123456789223344556677889922233341.

    Vous pouvez configurer jusqu’à 64 clés secrètes. Par exemple, vous pouvez vous référer aux 4 clés secrètes suivantes :

  3. Associez le nom du trousseau prépartagé à l’association de connectivité.
    Note:

    La valeur de chiffrement peut également être définie comme cipher-suite gcm-aes-128.
  4. Définissez les valeurs des options de traçage.
  5. Affectez la trace à une interface.
  6. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.
  7. Définissez la priorité du serveur de clés MKA.
  8. Définissez l’intervalle de transmission MKA.
  9. Activez le MKA sécurisé.
  10. Assignez l’association de connectivité à une interface.

Pour configurer MACsec avec trousseau pour le trafic de couche 3 :

Dans R1 :

  1. Attribuez une valeur de tolérance au trousseau de clés d’authentification.

  2. Créez le mot de passe secret à utiliser. Il s’agit d’une chaîne de chiffres hexadécimaux d’une longueur maximale de 64 caractères. Le mot de passe peut inclure des espaces si la chaîne de caractères est placée entre guillemets. Les données secrètes du trousseau sont utilisées comme CAK.

    Vous pouvez configurer jusqu’à 64 touches. Par exemple, vous pouvez faire référence aux 4 clés suivantes :

    Utilisez la prompt commande pour entrer une valeur de clé secrète. Par exemple, la valeur de la clé secrète est 2345678922334455667788992223334123456789223344556677889922233341.

    Vous pouvez configurer jusqu’à 64 clés secrètes. Par exemple, vous pouvez vous référer aux 4 clés secrètes suivantes :

  3. Associez le nom du trousseau prépartagé à l’association de connectivité.

  4. Note:
    • Vous pouvez utiliser les chiffrements non-XPN et AES-GCM-256 pour la AES-GCM-128 configuration macsec des interfaces 10G/xe uniquement.
    • Vous pouvez utiliser les chiffrements XPN et pour les débits AES-GCM-XPN-128 de 40G et 100G configuration AES-GCM-XPN-256 macsec. Vous pouvez également utiliser les chiffrements XPN et AES-GCM-XPN-256 pour les AES-GCM-XPN-128 interfaces 10G/xe, la configuration macsec, si elle le permet.

  5. Définissez les valeurs des options de traçage.

  6. Affectez la trace à une interface.

  7. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.

  8. Définissez la priorité du serveur de clés MKA.

  9. Définissez l’intervalle de transmission MKA.

  10. Activez le MKA sécurisé.

  11. Assignez l’association de connectivité à une interface.

Configuration de MACsec statique pour le trafic de couche 2

Pour configurer MACsec statique pour le trafic de couche 2 entre l’appareil R0 et l’appareil R1 :

Dans R0 :

  1. Définissez la priorité du serveur de clés MKA.
  2. Créez le mot de passe secret à utiliser. Il s’agit d’une chaîne de chiffres hexadécimaux d’une longueur maximale de 64 caractères. Le mot de passe peut inclure des espaces si la chaîne de caractères est placée entre guillemets. Les données secrètes du trousseau sont utilisées comme CAK.

    Par exemple, la valeur de la clé secrète est 2345678922334455667788992223334123456789223344556677889922233341.

  3. Associez le nom du trousseau prépartagé à l’association de connectivité.
  4. Définissez les valeurs des options de traçage.
  5. Affectez la trace à une interface.
  6. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.
  7. Définissez la priorité du serveur de clés MKA.
  8. Définissez l’intervalle de transmission MKA.
  9. Activez le MKA sécurisé.
  10. Assignez l’association de connectivité à une interface.
  11. Configurer le balisage VLAN.

Dans R1 :

  1. Créez le mot de passe secret à utiliser. Il s’agit d’une chaîne de chiffres hexadécimaux d’une longueur maximale de 64 caractères. Le mot de passe peut inclure des espaces si la chaîne de caractères est placée entre guillemets. Les données secrètes du trousseau sont utilisées comme CAK.

    Par exemple, la valeur de la clé secrète est 2345678922334455667788992223334123456789223344556677889922233341.

  2. Associez le nom du trousseau prépartagé à l’association de connectivité.

  3. Définissez les valeurs des options de traçage.

  4. Affectez la trace à une interface.

  5. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.

  6. Définissez la priorité du serveur de clés MKA.

  7. Définissez l’intervalle de transmission MKA.

  8. Activez le MKA sécurisé.

  9. Assignez l’association de connectivité à une interface.

  10. Configurer le balisage VLAN.

Configuration de MACsec avec le trousseau pour le trafic de couche 2

Synchronisez les deux terminaux macsec avec NTP, car l’heure de début des deux équipements doit être la même pour les déclencheurs clés. Pour configurer MACsec avec trousseau de trafic ICMP entre l’appareil R0 et l’appareil R1 :

Dans R0 :

  1. Attribuez une valeur de tolérance au trousseau de clés d’authentification.
  2. Créez le mot de passe secret à utiliser. Il s’agit d’une chaîne de chiffres hexadécimaux d’une longueur maximale de 64 caractères. Le mot de passe peut inclure des espaces si la chaîne de caractères est placée entre guillemets. Les données secrètes du trousseau sont utilisées comme CAK.

    Vous pouvez configurer jusqu’à 64 touches. Par exemple, vous pouvez faire référence aux 4 clés suivantes :

    Utilisez la prompt commande pour entrer une valeur de clé secrète. Par exemple, la valeur de la clé secrète est 2345678922334455667788992223334123456789223344556677889922233341.

    Vous pouvez configurer jusqu’à 64 clés secrètes. Par exemple, vous pouvez vous référer aux 4 clés secrètes suivantes :

  3. Associez le nom du trousseau prépartagé à l’association de connectivité.
  4. Définissez les valeurs des options de traçage.
  5. Affectez la trace à une interface.
  6. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.
  7. Définissez la priorité du serveur de clés MKA.
  8. Définissez l’intervalle de transmission MKA.
  9. Activez le MKA sécurisé.
  10. Assignez l’association de connectivité à une interface.
  11. Configurer le balisage VLAN.

Dans R1 :

  1. Attribuez une valeur de tolérance au trousseau de clés d’authentification.

  2. Créez le mot de passe secret à utiliser. Il s’agit d’une chaîne de chiffres hexadécimaux d’une longueur maximale de 64 caractères. Le mot de passe peut inclure des espaces si la chaîne de caractères est placée entre guillemets. Les données secrètes du trousseau sont utilisées comme CAK.

    Vous pouvez configurer jusqu’à 64 touches. Par exemple, vous pouvez faire référence aux 4 clés suivantes :

    Utilisez la prompt commande pour entrer une valeur de clé secrète. Par exemple, la valeur de la clé secrète est 2345678922334455667788992223334123456789223344556677889922233341.

    Vous pouvez configurer jusqu’à 64 clés secrètes. Par exemple, vous pouvez vous référer aux 4 clés secrètes suivantes :

  3. Associez le nom du trousseau prépartagé à l’association de connectivité.

  4. Définissez les valeurs des options de traçage.

  5. Affectez la trace à une interface.

  6. Configurez le mode de sécurité MACsec en tant que static-cak pour l’association de connectivité.

  7. Définissez la priorité du serveur de clés MKA.

  8. Définissez l’intervalle de transmission MKA.

  9. Activez le MKA sécurisé.

  10. Assignez l’association de connectivité à une interface.

  11. Configurer le balisage VLAN.

Désactiver et redémarrer les sessions MACsec

Pour désactiver et redémarrer les sessions MACsec, utilisez les configurations suivantes :

  • Pour désactiver la session MACsec :

  • Pour redémarrer la session MACsec :

    ou