Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Sécurité MACsec (Media Access Control Security) sur le cluster de châssis

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.

Consultez la section Comportement MACsec spécifique à la plate-forme pour obtenir des remarques relatives à votre plate-forme.

La sécurité MACsec (Media Access Control Security) est une technologie de sécurité standard qui sécurise la communication de l’ensemble du trafic sur les liaisons Ethernet. Pour plus d’informations, consultez les rubriques suivantes :

Comprendre la sécurité MACsec (Media Access Control)

La sécurité MACsec (Media Access Control Security) est une technologie de sécurité standard qui sécurise la communication de l’ensemble du trafic sur les liaisons Ethernet. MACsec assure une sécurité point à point sur les liaisons Ethernet entre les nœuds directement connectés et est capable d’identifier et de prévenir la plupart des menaces de sécurité, y compris les attaques par déni de service, intrusion, interception, mascarade, écoute passive et relecture.

MACsec vous permet de sécuriser une liaison Ethernet pour la quasi-totalité du trafic, y compris les trames du protocole LLDP (Link Layer Discovery Protocol), du LACP (Link Aggregation Control Protocol), du DHCP (Dynamic Host Configuration Protocol), du protocole ARP (Address Resolution Protocol) et d’autres protocoles qui ne sont généralement pas sécurisés sur une liaison Ethernet en raison des limitations des autres solutions de sécurité. MACsec peut être utilisé en combinaison avec d’autres protocoles de sécurité tels que IP Security (IPsec) et Secure Sockets Layer (SSL) pour assurer la sécurité du réseau de bout en bout.

Cette rubrique contient les sections suivantes :

Fonctionnement de MACsec

MACsec offre une sécurité standard grâce à l’utilisation de liaisons Ethernet point à point sécurisées. Les liaisons point à point sont sécurisées après l’appariement des clés de sécurité. Lorsque vous activez MACsec à l’aide du mode de sécurité CAK (static connectivity association key), les clés pré-partagées configurées par l’utilisateur sont échangées et vérifiées entre les interfaces à chaque extrémité de la liaison Ethernet point à point.

Une fois que MACsec est activé sur une liaison Ethernet point à point, tout le trafic traversant la liaison est sécurisé MACsec à l’aide de contrôles d’intégrité des données et, le cas échéant, du chiffrement.

Les contrôles d’intégrité des données vérifient l’intégrité des données. MACsec ajoute un en-tête de 8 octets et une queue de 16 octets à toutes les trames Ethernet traversant la liaison Ethernet point à point sécurisée par MACsec, et l’en-tête et la queue sont vérifiés par l’interface de réception pour s’assurer que les données n’ont pas été compromises lors de la traversée de la liaison. Si la vérification de l’intégrité des données détecte quelque chose d’anormal dans le trafic, le trafic est abandonné.

MACsec peut également être utilisé pour chiffrer l’ensemble du trafic sur la liaison Ethernet. Le chiffrement utilisé par MACsec garantit que les données de la trame Ethernet ne peuvent pas être consultées par quiconque surveille le trafic sur la liaison.

Le chiffrement est activé pour tout le trafic entrant ou sortant de l’interface lorsque MACsec est activé à l’aide du mode de sécurité CAK statique, par défaut.

MACsec est configuré sur des liaisons Ethernet point à point entre des interfaces compatibles MACsec. Si vous souhaitez activer MACsec sur plusieurs liaisons Ethernet, vous devez configurer MACsec individuellement sur chaque liaison Ethernet point à point.

Comprendre les associations de connectivité et les canaux sécurisés

MACsec est configuré dans les associations de connectivité. MACsec est activé lorsqu’une association de connectivité est affectée à une interface.

Lorsque vous activez MACsec à l’aide du mode de sécurité statique ou dynamique, vous devez créer et configurer une association de connectivité. Deux canaux sécurisés, l’un pour le trafic entrant et l’autre pour le trafic sortant, sont automatiquement créés. Les canaux sécurisés créés automatiquement n’ont pas de paramètres configurables par l’utilisateur ; Toute la configuration se fait dans l’association de connectivité en dehors des canaux sécurisés.

Présentation du mode de sécurité de la clé d’association de connectivité statique

Lorsque vous activez MACsec à l’aide du mode de sécurité CAK (static connectivity association key), deux clés de sécurité (une clé d’association de connectivité, CAK) qui sécurise le trafic du plan de contrôle et une clé d’association sécurisée (SAK) générée de manière aléatoire qui sécurise le trafic du plan de données, sont utilisées pour sécuriser la liaison Ethernet point à point. Les deux clés sont régulièrement échangées entre les deux appareils, à chaque extrémité de la liaison Ethernet point à point, afin de garantir la sécurité de la liaison.

Vous établissez d’abord un lien sécurisé MACsec à l’aide d’une clé pré-partagée lorsque vous utilisez le mode de sécurité CAK statique pour activer MACsec. Une clé pré-partagée comprend un nom d’association de connectivité (CKN) et sa propre clé d’association de connectivité (CAK). Le CKN et le CAK sont configurés par l’utilisateur dans l’association de connectivité et doivent correspondre aux deux extrémités de la liaison pour activer MACsec initialement.

Une fois que les clés pré-partagées correspondantes sont échangées avec succès, le protocole MACsec Key Agreement (MKA) est activé. Le protocole MKA est responsable de la maintenance MACsec sur la liaison et décide quel commutateur de la liaison point à point devient le serveur de clés. Le serveur de clés crée ensuite un SAK qui est partagé avec le commutateur à l’autre extrémité de la liaison point à point uniquement, et qui est utilisé pour sécuriser tout le trafic de données traversant le lien. Le serveur de clés continuera à créer et à partager périodiquement un SAK créé de manière aléatoire sur la liaison point à point tant que MACsec est activé.

Pour activer MACsec à l’aide du mode de sécurité CAK statique, configurez une association de connectivité aux deux extrémités de la liaison. Toute la configuration se fait au sein de l’association de connectivité, mais en dehors du canal sécurisé. Deux canaux sécurisés, l’un pour le trafic entrant et l’autre pour le trafic sortant, sont automatiquement créés lors de l’utilisation du mode de sécurité CAK statique. Les canaux sécurisés créés automatiquement n’ont pas de paramètres configurables par l’utilisateur qui ne peuvent pas déjà être configurés dans l’association de connectivité.

Nous vous recommandons d’activer MACsec à l’aide du mode de sécurité CAK statique. Le mode de sécurité CAK statique assure la sécurité en actualisant fréquemment une nouvelle clé de sécurité aléatoire et en partageant uniquement la clé de sécurité entre les deux périphériques sur la liaison point à point sécurisée par MACsec. En outre, certaines fonctionnalités MACsec facultatives (protection contre la relecture, balisage SCI et possibilité d’exclure du trafic de MACsec) ne sont disponibles que si vous activez MACsec à l’aide du mode de sécurité CAK statique.

Les pare-feu SRX Series prennent en charge MACsec sur les liaisons de contrôle haute disponibilité et de structure. Si la commande restart 802.1x-protocol-daemon est exécutée sur le nœud principal, le contrôle du cluster de châssis et les liens de structure s’agitent, ce qui fait passer les nœuds du cluster en mode Split Brain.

Considérations relatives à MACsec

Tous les types de trames du protocole Spanning Tree ne peuvent actuellement pas être chiffrées à l’aide de MACsec.

L’association de connectivité peut être définie n’importe où, qu’elle soit globale, soit spécifique à un nœud, soit par tout autre groupe de configuration, à condition qu’elle soit visible par la configuration de l’interface MACsec.

Pour les configurations MACsec, des configurations identiques doivent exister aux deux extrémités. En d’autres termes, chaque nœud doit contenir la même configuration que l’autre. Si l’autre nœud n’est pas configuré ou mal configuré avec MACsec de l’autre côté, le port est désactivé et cesse de transférer le trafic.

Configurer la sécurité du contrôle d’accès au support (MACsec)

Cette rubrique montre comment configurer MACsec sur les ports de contrôle et de structure du pare-feu SRX Series pris en charge dans un cluster de châssis afin de sécuriser les liaisons Ethernet point à point entre les équipements homologues d’un cluster. Chaque liaison Ethernet point à point que vous souhaitez sécuriser à l’aide de MACsec doit être configurée indépendamment. Vous pouvez activer le chiffrement MACsec sur les liaisons d’appareil à appareil à l’aide du mode de sécurité CAK (static connectivity association key).

Les étapes de configuration des deux processus sont fournies dans ce document.

Considérations de configuration lors de la configuration de MACsec sur châssis Configuration de cluster

Avant de commencer, procédez comme suit pour configurer MACsec sur les ports de contrôle :

  1. Si le cluster de châssis est déjà actif, désactivez-le à l’aide de la set chassis cluster disable commande et redémarrez les deux nœuds.
  2. Configurez MACsec sur le port de contrôle avec ses attributs comme décrit dans les sections suivantes : Configurer le CAK statique sur le port de contrôle du cluster de châssis. Les deux noeuds doivent être configurés indépendamment avec des configurations identiques.
  3. Activez le cluster de châssis à l’aide de l’option set chassis cluster cluster-id id sur les deux nœuds. Redémarrez les deux nœuds.

L’état des ports de contrôle affecte l’intégrité d’un cluster de châssis. Tenez compte des points suivants lors de la configuration de MACsec sur les ports de contrôle :

  • Toute nouvelle configuration de port de cluster de châssis MACsec ou toute modification de configurations de ports de cluster de châssis MACsec existantes nécessitera la désactivation du cluster de châssis et affichera un message Modifying cluster control port CA will break chassis clusterd’avertissement. Une fois désactivée, vous pouvez appliquer les configurations précédentes et activer le cluster de châssis.

  • Par défaut, les clusters de châssis synchronisent toutes les configurations. En conséquence, vous devez veiller à ce que la synchronisation n’entraîne pas la perte des configurations MACsec. Dans le cas contraire, le cluster du châssis risque de se briser. Par exemple, pour les configurations MACsec non symétriques et spécifiques à un nœud, des configurations identiques doivent exister aux deux extrémités. En d’autres termes, chaque nœud doit contenir la même configuration que l’autre.

Pour toute modification des configurations MACsec des ports de contrôle, les étapes mentionnées ci-dessus doivent être répétées.

Tenez compte des points suivants lors de la configuration de MACsec sur les ports de fabric :

La configuration de MACsec entraîne des modifications de l’état de la liaison qui peuvent affecter la capacité de trafic de la liaison. Lorsque vous configurez des ports de structure, gardez à l’esprit l’état effectif de la liaison. Une configuration MACsec incorrecte aux deux extrémités des liaisons de structure peut déplacer la liaison vers un état non éligible. Notez les points clés suivants concernant la configuration des liaisons de structure :

  • Les deux extrémités des liaisons doivent être configurées simultanément lors de la formation du cluster de châssis.

  • Une configuration incorrecte peut entraîner des défaillances de la structure et des erreurs dans la logique de récupération de la structure.

    En raison des scénarios de défaillance potentiels des liaisons, nous vous recommandons de configurer les liaisons de structure lors de la formation du cluster de châssis.

Configurer MACsec à l’aide de la connectivité statique Mode de sécurité de la clé d’association

Vous pouvez activer le chiffrement MACsec à l’aide du mode de sécurité CAK (static connectivity association key) sur une liaison Ethernet point à point connectant des appareils. Cette procédure vous montre comment configurer MACsec à l’aide du mode de sécurité CAK statique.

MACsec sur la liaison à double contrôle est configuré sur le port de contrôle 0 [em0] et le port de contrôle 1 [em1]. MACsec configuré sur les interfaces commerciales est utilisé pour former des liaisons de structure. Les liaisons de structure sont configurées sur les ports de structure (mge-0/0/1 et mge-7/0/1).

Pour configurer MACsec à l’aide du mode de sécurité CAK statique afin de sécuriser une liaison Ethernet d’appareil à appareil :

  1. Créez une association de connectivité. Vous pouvez ignorer cette étape si vous configurez une association de connectivité existante.

    Par exemple, pour créer une association de connectivité nommée ca1, entrez :

  2. Configurez le mode de sécurité MACsec comme static-cak pour l’association de connectivité.

    Par exemple, pour configurer le mode de sécurité MACsec sur l’association static-cak de connectivité ca1 :

  3. Créez la clé prépartagée en configurant le nom de la clé d’association de connectivité (CKN) et la clé d’association de connectivité (CAK).

    Une clé prépartagée est échangée entre les liens directement connectés pour établir un lien MACsec sécurisé. La clé pré-partagée comprend le CKN et le CAK. Le CKN est un nombre hexadécimal à 64 chiffres et le CAK est un nombre hexadécimal à 64 chiffres. Le CKN et le CAK doivent correspondre aux deux extrémités d’une liaison pour créer une liaison sécurisée par MACsec.

    Pour maximiser la sécurité, nous vous recommandons de configurer les 64 chiffres d’un CKN et les 64 chiffres d’un CAK.

    Une fois les clés prépartagées échangées et vérifiées avec succès par les deux extrémités de la liaison, le protocole MACsec Key Agreement (MKA) est activé et gère la liaison sécurisée. Le protocole MKA choisit alors l’un des deux appareils directement connectés comme serveur de clés. Le serveur de clés partage ensuite une sécurité aléatoire avec l’autre périphérique sur la liaison point à point sécurisée MACsec. Le serveur de clés continuera à créer et à partager périodiquement une clé de sécurité aléatoire avec l’autre périphérique sur la liaison point à point sécurisée par MACsec tant que MACsec est activé.

    Pour configurer un CKN de 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 et un CAK de sur l’association 228xx255aa23xx6729xx664xxx66e91f de connectivité ca1 :

    MACsec n’est pas activé tant qu’une association de connectivité n’est pas attachée à une interface. Reportez-vous à la dernière étape de cette procédure pour attacher une association de connectivité à une interface.

  4. (Facultatif) Définissez la priorité du serveur de clés MKA.

    Spécifie la priorité du serveur de clés utilisée par le protocole MKA pour sélectionner le serveur de clés. L’appareil avec le niveau inférieur priority-number est sélectionné comme serveur de clés.

    La valeur par défaut priority-number est 16.

    Si le key-server-priority est identique des deux côtés de la liaison point à point, le protocole MKA sélectionne l’interface avec l’adresse MAC inférieure comme serveur de clés. Par conséquent, si cette instruction n’est pas configurée dans les associations de connectivité à chaque extrémité d’une liaison point à point sécurisée par MACsec, l’interface avec l’adresse MAC inférieure devient le serveur de clés.

    Pour modifier la priorité du serveur de clés sur 0 afin d’augmenter la probabilité que le périphérique actuel soit sélectionné comme serveur de clés lorsque MACsec est activé sur l’interface à l’aide de l’association ca1de connectivité :

    Pour modifier la priorité du serveur de clés sur 255 afin de réduire la probabilité que le périphérique actuel soit sélectionné comme serveur de clés dans l’association de connectivité ca1 :

  5. (Facultatif) Définissez l’intervalle de transmission MKA.

    Le paramètre d’intervalle de transmission MKA définit la fréquence à laquelle l’unité de données de protocole (PDU) MKA est envoyée à l’équipement directement connecté pour maintenir la connectivité MACsec sur la liaison. Un plus faible interval augmente la surcharge de bande passante sur la liaison ; un plus élevé interval optimise la communication du protocole MKA.

    La valeur par défaut interval est de 2000 millisecondes. Nous recommandons d’augmenter l’intervalle à 6000 ms dans les environnements à forte charge de trafic. Les paramètres d’intervalle de transmission doivent être identiques aux deux extrémités de la liaison lorsque MACsec utilisant le mode de sécurité CAK statique est activé.

    Pour les appareils SRX340, SRX345 et SRX4600, l’intervalle de transmission MKA par défaut est de 10 000 ms sur les liaisons HA.

    Par exemple, si vous souhaitez augmenter l’intervalle de transmission MKA à 6000 millisecondes lorsque l’association de connectivité ca1 est attachée à une interface :

  6. (Facultatif) Désactivez le chiffrement MACsec.

    Le chiffrement est activé pour tout le trafic entrant ou sortant de l’interface lorsque MACsec est activé à l’aide du mode de sécurité CAK statique, par défaut.

    Lorsque le chiffrement est désactivé, le trafic est transféré en texte clair sur la liaison Ethernet. Vous pouvez afficher des données non chiffrées dans la trame Ethernet traversant la liaison lorsque vous la surveillez. Toutefois, l’en-tête MACsec est toujours appliqué à la trame et toutes les vérifications d’intégrité des données MACsec sont exécutées aux deux extrémités de la liaison pour s’assurer que le trafic envoyé ou reçu sur la liaison n’a pas été altéré et ne représente pas une menace pour la sécurité.

  7. (Facultatif) Définit un décalage pour tous les paquets traversant la liaison.

    Par exemple, si vous souhaitez définir le décalage à 30 dans l’association de connectivité nommée ca1:

    Le décalage par défaut est 0. Tout le trafic de l’association de connectivité est chiffré lorsque le chiffrement est activé et qu’un n’est offset pas défini.

    Lorsque le décalage est défini sur 30, l’en-tête IPv4 et l’en-tête TCP/UDP ne sont pas chiffrés tandis que le reste du trafic est chiffré. Lorsque le décalage est défini sur 50, l’en-tête IPv6 et l’en-tête TCP/UDP ne sont pas chiffrés tandis que le reste du trafic est chiffré.

    En règle générale, vous transférez le trafic avec les 30 ou 50 premiers octets non chiffrés si une entité a besoin de voir les données contenues dans les octets pour exécuter une fonction, mais vous préférez chiffrer les données restantes dans les trames traversant le lien. Les fonctionnalités d’équilibrage de charge, en particulier, ont généralement besoin de voir les en-têtes IP et TCP/UDP dans les 30 ou 50 premiers octets pour équilibrer correctement la charge du trafic.

  8. (Facultatif) Activez la protection contre la relecture.

    Lorsque MACsec est activé sur une liaison, un numéro d’identification est attribué à chaque paquet sur la liaison sécurisée MACsec.

    Lorsque la protection contre la relecture est activée, l’interface de réception vérifie le numéro d’identification de tous les paquets qui ont traversé la liaison sécurisée MACsec. Si un paquet arrive hors séquence et que la différence entre les numéros de paquets dépasse la taille de la fenêtre de protection contre la relecture, le paquet est abandonné par l’interface de réception. Par exemple, si la taille de la fenêtre de protection contre la relecture est définie sur cinq et qu’un paquet auquel l’ID 1006 est attribué arrive sur le lien de réception immédiatement après que le paquet a attribué l’ID 1000, le paquet auquel l’ID 1006 a été attribué est abandonné, car il se trouve en dehors des paramètres de la fenêtre de protection contre la relecture.

    La protection contre le rejeu est particulièrement utile pour lutter contre les attaques de l’homme du milieu. Un paquet relu par un attaquant de l’intercepteur sur la liaison Ethernet arrivera sur la liaison de réception hors séquence. La protection contre la relecture permet donc de s’assurer que le paquet relu est abandonné au lieu d’être transféré via le réseau.

    La protection contre la relecture ne doit pas être activée dans les cas où l’on s’attend à ce que les paquets arrivent dans le désordre.

    Vous pouvez exiger que tous les paquets arrivent dans l’ordre en définissant la taille de la fenêtre de relecture sur 0.

    Pour activer la protection contre la relecture avec une taille de fenêtre de cinq sur l’association ca1de connectivité :

  9. (Facultatif) Exclure un protocole de MACsec.

    Par exemple, si vous ne souhaitez pas que le protocole LLDP (Link Level Discovery Protocol) soit sécurisé à l’aide de MACsec :

    Lorsque cette option est activée, MACsec est désactivé pour tous les paquets du protocole spécifié (dans ce cas, LLDP) qui sont envoyés ou reçus sur la liaison.

  10. Affectez l’association de connectivité à une interface de contrôle de cluster de châssis.

    L’affectation de l’association de connectivité à une interface est la dernière étape de configuration pour activer MACsec sur une interface.

    Par exemple, pour affecter l’association de connectivité ca1 à l’interface ge-0/0/1 (pour SRX340/SRX345) :

    Par exemple, pour affecter l’association de connectivité ca1 à l’interface ge-0/0/0 (pour SRX380) :

  11. Attribuez une association de connectivité pour l’activation de MACsec sur une interface de structure de cluster de châssis.

MACsec utilisant le mode de sécurité CAK statique n’est pas activé tant qu’une association de connectivité à l’extrémité opposée de la liaison n’est pas également configurée et qu’elle contient des clés prépartagées correspondant aux deux extrémités de la liaison.

Configurer la CAK statique sur le port de contrôle du cluster de châssis

Pour établir une autorité de certification sur une liaison de contrôle de cluster de châssis sur deux équipements SRX345.

  1. Configurez le mode de sécurité MACsec comme static-cak pour l’association de connectivité :
  2. Créez la clé prépartagée en configurant le nom de la clé d’association de connectivité (CKN).

    Le CKN doit être une chaîne de longueur paire ne dépassant pas 64 caractères hexadécimaux (0-9, a-f, A-F).

  3. Créez la clé pré-partagée en configurant la clé d’association de connectivité (CAK).

    Le CAK doit contenir 64 caractères hexadécimaux (0-9, a-f, A-F).

  4. Spécifiez les ports de contrôle du cluster de châssis pour l’association de connectivité.

Configurer la clé CAK statique sur le port de structure du cluster de châssis

Pour établir une association de connectivité sur une liaison de fabric de cluster de châssis sur deux équipements SRX345 :

  1. Configurez le mode de sécurité MACsec comme static-cak pour l’association de connectivité.
  2. Créez la clé prépartagée en configurant le nom de la clé d’association de connectivité (CKN).

    Le CKN doit être une chaîne de longueur paire ne dépassant pas 64 caractères hexadécimaux (0-9, a-f, A-F).

  3. Créez la clé prépartagée en configurant la clé d’association de connectivité (CAK).

    Le CAK doit contenir 64 caractères hexadécimaux (0-9, a-f, A-F).

  4. Spécifiez un châssis, des ports de cluster, des ports de fabric à une association de connectivité.

Configurer la CAK statique sur le port de contrôle pour les périphériques SRX1600, SRX2300 et SRX4300

Pour configurer une association de connectivité sur une liaison de contrôle de cluster de châssis sur deux équipements SRX1600 ou deux équipements SRX2300 ou périphériques SRX4300.

  1. Configurez le mode de sécurité MACsec comme static-cak pour l’association de connectivité.
  2. Créez la clé prépartagée en configurant le nom de la clé d’association de connectivité (CKN).

    Le CKN doit être une chaîne de longueur paire ne dépassant pas 64 caractères hexadécimaux (0-9, a-f, A-F).

  3. Créez la clé prépartagée en configurant la clé d’association de connectivité (CAK).

    Le CAK doit contenir 64 caractères hexadécimaux (0-9, a-f, A-F).

  4. Spécifiez un port de contrôle de cluster de châssis pour l’association de connectivité.

Pour afficher l’état des connexions MACsec actives, exécutez la show security macsec connections commande.

Pour afficher les informations de session de l’accord de clé MACsec, exécutez la show security mka sessions commande.

Permet d’afficher l’état de sécurité des ports de contrôle et de structure. MACsec est activé à la fois pour le port de contrôle 0 et le port de contrôle 1, exécutez la show chassis cluster interfaces commande.

Configurer Static CAK sur le port de contrôle pour SRX4600

Cette procédure permet d’établir une autorité de certification sur une liaison de contrôle de cluster de châssis sur deux équipements SRX4600.

  1. Configurez le mode de sécurité MACsec comme static-cak pour l’association de connectivité :
  2. Créez la clé prépartagée en configurant le nom de la clé d’association de connectivité (CKN).

    Le CKN doit être une chaîne de longueur paire ne dépassant pas 64 caractères hexadécimaux (0-9, a-f, A-F).

  3. Créez la clé prépartagée en configurant la clé d’association de connectivité (CAK).

    Le CAK doit contenir 64 caractères hexadécimaux (0-9, a-f, A-F).

  4. Spécifiez un port de contrôle de cluster de châssis pour l’association de connectivité.

Vérifier la configuration MACSEC

Pour vérifier que la configuration fournie dans Configurer la clé CAK statique sur le port de contrôle de SRX4600 fonctionne correctement, effectuez les tâches suivantes :

Affichage de l’état des connexions MACsec actives sur l’appareil

But

Vérifiez que MACsec est opérationnel sur la configuration du cluster de châssis.

Action

À partir du mode opérationnel, entrez la show security macsec connections interface interface-name commande sur l’un ou les deux nœuds de la configuration du cluster de châssis.

Signification

Les Interface name sorties et CA name montrent que l’association de connectivité MACsec est opérationnelle sur l’interface em0. La sortie n’apparaît pas lorsque l’association de connectivité n’est pas opérationnelle sur l’interface.

Afficher les informations de session de l’accord de clé MACsec (MKA)

But

Affichez les informations de session MKA (MACsec Key Agreement) pour toutes les interfaces.

Action

À partir du mode opérationnel, entrez la show security mka sessions commande.

Signification

Les sorties indiquent l’état des sessions MKA.

Vérifiez que le trafic sécurisé par MACsec traverse l’interface

But

Vérifiez que le trafic traversant l’interface est sécurisé par MACsec.

Action

À partir du mode opérationnel, entrez la show security macsec statistics commande.

Signification

La Encrypted packets ligne sous le Secure Channel transmitted champ correspond aux valeurs incrémentées chaque fois qu’un paquet est envoyé à partir de l’interface sécurisée et chiffrée par MACsec.

La Accepted packets ligne sous le Secure Association received champ correspond aux valeurs incrémentées chaque fois qu’un paquet ayant passé le contrôle d’intégrité MACsec est reçu sur l’interface. La Decrypted bytes ligne sous la Secure Association received sortie est incrémentée chaque fois qu’un paquet chiffré est reçu et déchiffré.

Vérifiez que les ports du cluster de châssis sont sécurisés avec la configuration MACsec

But

Vérifiez que MACsec est configuré sur les ports du cluster du châssis.

Action

À partir du mode opérationnel, entrez la show chassis cluster interfaces commande.

Signification

La Security ligne sous la sortie de l’interface Control interfaces em0 indiquée signifie Secured que le trafic envoyé à partir de l’interface em0 est sécurisé et chiffré par MACsec.

Vous pouvez également utiliser la show chassis cluster status commande pour afficher l’état actuel du cluster de châssis.

Voir aussi

Comportement MACsec spécifique à la plate-forme

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.

Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme.

Plateforme

Différence

SRX Series

  • Les pare-feu SRX340, SRX345 et SRX380 qui prennent en charge MACsec ont un minuteur inéligible de 300 secondes lorsque MACsec est activé sur le port de contrôle du cluster de châssis. Si les deux liaisons de contrôle échouent, Junos OS change l'état de fonctionnement du noeud secondaire en inéligible pendant 180 secondes.

  • SRX4600 pare-feu qui prennent en charge MACsec sur le port de contrôle, la durée d’inéligibilité est de 200 secondes.

  • Les pare-feu SRX340, SRX345 et SRX380 qui prennent en charge MACsec définissent le minuteur de maintien initial sur 120 secondes au lieu de 30 secondes.

  • Les pare-feu SRX340 et SRX345 qui prennent en charge MACsec utilisent les ports suivants :

    • GE-0/0/0 est un port de structure

    • GE-0/0/1 est un port de contrôle pour le cluster de châssis.

      Le cluster de châssis attribue ge-0/0/1 au port de contrôle du cluster 0.

  • Le pare-feu SRX380 prend en charge MACsec. Placez chaque noeud en mode autonome avant de configurer MACsec sur les et cluster-data-port.cluster-control-port Appliquez MACsec sur les deux nœuds, puis redémarrez-les en mode cluster de châssis.

  • Le pare-feu SRX380 prenant en charge MACsec utilise ge-0/0/0 comme port de structure. L’interface ge-0/0/15 sert de port de contrôle pour le cluster de châssis.

  • SRX4600 pare-feu qui prend en charge MACsec comprend des ports de contrôle et de structure dédiés. Configurez MACsec sur les liaisons de contrôle avec le port de contrôle dédié 0 [em0] et le port 1 [em1]. Configurez MACsec sur les liaisons de structure sur des ports de structure dédiés :

    • Port 2 et Port 3 de fpc0 pic0 (par ex. xe-0/0/2 et xe-0/0/3)

    • Port 2 et Port 3 de fpc7 pic0

  • SRX1600 pare-feu compatible MACsec comprend des ports de contrôle double dédiés (em0/em1) et deux ports de structure.

  • SRX2300 pare-feu prenant en charge MACsec comprend deux ports de contrôle (em0/em1) et deux ports de structure.

  • Les pare-feu SRX340 et SRX345 prennent en charge MACsec sur les ports de contrôle et de structure en mode cluster de châssis.

  • Les pare-feu SRX340, SRX345 et SRX380 prennent en charge MACsec d’hôte à hôte ou de commutateur à hôte.

  • SRX4600 pare-feu ne prend pas en charge MACsec pour les connexions d’hôte à hôte. Seuls les ports de fabrication dédiés prennent en charge MACsec. Le pare-feu n’autorise pas MACsec si un autre port de trafic sert de fab.

  • Les pare-feu SRX340, SRX345 et SRX380 qui prennent en charge MACsec nécessitent des configurations MACsec locales sur chaque nœud. Dans le cas contraire, ces pare-feu ne pourront pas atteindre la liaison de structure.

  • SRX1600, SRX2300 et SRX4300 Les pare-feu qui prennent en charge MACsec peuvent utiliser des ports de contrôle double dans le cadre d’une configuration MACsec.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
20.1
À partir de Junos OS version 20.1R1, MACsec est pris en charge sur les ports de contrôle, les ports de structure et les ports commerciaux des équipements SRX380 en mode cluster de châssis pour sécuriser le trafic. MACsec est pris en charge sur les ports 16 x 1 Gigabit Ethernet (ge-0/0/0 à ge-0/0/15) et 4 x ports 10 Gigabit Ethernet (xe-0/0/16 à xe-0/0/19).