Exemple : configuration de MACsec sur un CCC MPLS sur des commutateurs EX Series
Cet exemple montre comment activer MACsec pour sécuriser le trafic sensible transitant d’un utilisateur d’un site à un utilisateur d’un autre site via un CCC MPLS de base.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Trois commutateurs EX4550 utilisés comme commutateurs PE et fournisseur dans le réseau MPLS
-
Un commutateur EX4550 utilisé comme commutateur CE pour connecter le site A au réseau MPLS
-
Un commutateur EX4200 sur lequel est installé un module de liaison montante SFP+ MACsec utilisé comme commutateur CE pour connecter le site B au réseau MPLS
-
Junos OS version 12.2R1 ou ultérieure s’exécutant sur tous les commutateurs EX4550 du réseau MPLS (PE1, PE2 ou le commutateur du fournisseur)
-
Junos OS version 13.2X50-D15 (version contrôlée) ou ultérieure s’exécutant sur le commutateur CE du site A et le commutateur CE du site B
Note:La version contrôlée du système d’exploitation Junos de Juniper Networks (Junos OS) doit être téléchargée pour activer MACsec. La prise en charge du logiciel MACsec n’est pas disponible dans la version nationale du logiciel Junos OS, qui est installée par défaut sur le commutateur. La version contrôlée du logiciel Junos OS inclut toutes les caractéristiques et fonctionnalités disponibles dans la version domestique de Junos OS, tout en prenant en charge MACsec. Pour plus d’informations sur la configuration logicielle requise pour MACsec, reportez-vous à la section Présentation de la sécurité MACsec (Media Access Control Security).
-
Une licence de fonctionnalité MACsec installée sur le commutateur CE du site A et le commutateur CE du site B
Note:Pour acheter une licence logicielle pour MACsec, contactez votre représentant commercial Juniper Networks (https://www.juniper.net/us/en/contact-us/sales-offices). Le représentant commercial Juniper Networks vous fournira un fichier de licence de fonctionnalité ainsi qu’une clé de licence. Il vous sera demandé de fournir le numéro de série du châssis de votre commutateur. Vous pouvez obtenir le numéro de série en exécutant la commande OU
show virtual-chassisshow chassis hardware.
Vue d’ensemble et topologie
Dans cet exemple, des données d’entreprise financièrement sensibles sont souvent envoyées entre un utilisateur du site A et un utilisateur du site B. L’entreprise veut s’assurer que tout le trafic réseau transitant de l’utilisateur du site A à l’utilisateur du site B est hautement sécurisé et ne peut pas être visualisé ou corrompu par un attaquant. L’entreprise utilise la sécurité de couche 2 standard fournie par MACsec, qui assure le chiffrement pour garantir que les données ne peuvent pas être consultées par les attaquants et des contrôles d’intégrité pour s’assurer que les données transmises ne sont pas corrompues, afin de sécuriser tout le trafic transitant sur le CCC via le cloud MPLS reliant les sites. Des VLAN sont configurés sur les deux sites pour garantir que le trafic transitant entre les deux utilisateurs traverse les sites via le CCC sécurisé par MACsec.
Dans cet exemple, le réseau MPLS comprend deux commutateurs de périphérie (PE) (PE1 et PE2) et un commutateur de fournisseur (de transit). PE1 connecte le commutateur CE du site A au réseau MPLS et PE2 connecte le commutateur CE du site B au réseau MPLS. MACsec est activé sur le CCC connectant les commutateurs CE des sites A et B pour sécuriser le trafic circulant entre les sites via le CCC. Un VLAN qui comprend les interfaces qui connectent les utilisateurs aux commutateurs CE, l’interface ge-0/0/0 sur le commutateur CE sur le site A et l’interface ge-0/0/2 sur le commutateur CE sur le site B, et les interfaces qui connectent les commutateurs CE au cloud MPLS (ge-0/0/0 sur le commutateur CE du site A et xe-0/1/0 sur le commutateur CE sur le site B), permet de diriger tout le trafic entre les utilisateurs sur le CCC sécurisé par MACsec.
La figure 1 illustre la topologie utilisée dans cet exemple. Le trafic CCC sécurisé par MACsec est étiqueté MACsec CCC sur la figure.
Le Tableau 1 présente un récapitulatif des composants du réseau MPLS de cette topologie.
Le Tableau 2 fournit un résumé de l’association de connectivité MACsec utilisée dans cette topologie. MACsec est activé en créant une association de connectivité sur les interfaces à chaque extrémité d’une liaison. MACsec est activé lorsque les interfaces à chaque extrémité de la liaison échangent des clés pré-partagées (les clés pré-partagées sont définies dans l’association de connectivité) afin de sécuriser la liaison pour MACsec.
Le Tableau 3 récapitule les VLAN utilisés dans cette topologie. Dans cette topologie, le VLAN est utilisé pour diriger toutes les communications entre l’utilisateur du site A et l’utilisateur du site B sur le CCC sécurisé par MACsec.
| Description du composant | |
|---|---|
| PE1 |
Commutateur PE. lo0 :
GE-0/0/0 :
GE-0/0/1 :
|
| Fournisseur |
Commutateur de fournisseur. lo0 :
GE-0/0/10 :
xe-0/0/0 :
|
| PE2 |
Commutateur PE. lo0 :
xe-0/1/0
xe-0/1/1
|
| lsp_to_pe2_xe1 chemin de commutation d’étiquettes |
Chemin de commutation d’étiquettes de PE1 à PE2. |
| lsp_to_pe1_ge0 chemin de commutation d’étiquettes |
Chemin de commutation d’étiquettes de PE2 à PE1. |
| Description de l’association de connectivité | |
|---|---|
| CCC-MACsec |
Association de connectivité permettant MACsec sur CCC de connecter le site A au site B. L’association de connectivité est activée sur les interfaces suivantes :
|
| Description | du VLAN |
|---|---|
| MACsec (en anglais) |
VLAN dirigeant le trafic entre l’utilisateur du site A et l’utilisateur du site B sur le CCC sécurisé par MACsec. Le VLAN comprend les interfaces suivantes :
|
Configuration de MPLS
Cette section explique comment configurer MPLS sur chaque commutateur du réseau MPLS.
Il comprend les sections suivantes :
- Configuration de MPLS sur le commutateur PE1
- Configuration du MPLS sur le commutateur du fournisseur
- Configuration de MPLS sur le commutateur PE2
- Résultats
Configuration de MPLS sur le commutateur PE1
Configuration rapide de la CLI
Pour configurer rapidement la configuration MPLS sur le commutateur PE1, utilisez les commandes suivantes :
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
set protocols mpls interface ge-0/0/1.0
set protocols rsvp interface lo0.0
set protocols rsvp interface ge-0/0/1.0
set interfaces lo0 unit 0 family inet address 130.1.1.1/32
set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/0 unit 0 family ccc
set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0
set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1
set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Procédure étape par étape
Pour configurer MPLS sur le commutateur PE1 :
-
Configurer OSPF avec l’ingénierie de trafic activée :
[edit protocols] user@switch-PE1# set ospf traffic-engineering -
Configurez OSPF sur l’adresse de bouclage et les interfaces centrales :
[edit protocols] user@switch-PE1# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 -
Configurez MPLS sur ce commutateur PE1 avec un LSP vers le commutateur PE2 :
[edit protocols] user@switch-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 -
Configurez MPLS sur les interfaces centrales :
[edit protocols] user@switch-PE1# set mpls interface ge-0/0/1.0 -
Configurez RSVP sur l’interface de bouclage et les interfaces principales :
[edit protocols] user@switch-PE1# set rsvp interface lo0.0 user@switch-PE1# set rsvp interface ge-0/0/1.0 -
Configurez les adresses IP pour l’interface de bouclage et les interfaces centrales :
[edit] user@switch-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@switch-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 -
Configurer
family mplssur l’unité logique de l’interface centrale adresse :[edit] user@switch-PE1# set interfaces ge-0/0/1 unit 0 family mpls -
Configurez l’unité logique de l’interface périphérie client en tant que CCC :
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc -
Configurez le CCC basé sur l’interface de PE1 à PE2 :
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Résultats
Affichez les résultats de la configuration :
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
Configuration du MPLS sur le commutateur du fournisseur
Configuration rapide de la CLI
Pour configurer rapidement la configuration MPLS sur le commutateur fournisseur, utilisez les commandes suivantes :
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/10.0
set protocols ospf area 0.0.0.0 interface xe-0/0/0.0
set protocols mpls interface ge-0/0/10.0
set protocols mpls interface xe-0/0/0.0
set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
set protocols rsvp interface lo0.0
set protocols rsvp interface ge-0/0/10.0
set protocols rsvp interface xe-0/0/0.0
set interfaces lo0 unit 0 family inet address 130.1.1.2/32
set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24
set interfaces ge-0/0/10 unit 0 family mpls
set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
set interfaces xe-0/0/0 unit 0 family mpls
Procédure étape par étape
Pour configurer le commutateur du fournisseur :
-
Configurer OSPF avec l’ingénierie de trafic activée :
[edit protocols] user@switch-P# set ospf traffic-engineering -
Configurez OSPF sur l’interface de bouclage et les interfaces principales :
[edit protocols] user@switch-P# set ospf area 0.0.0.0 interface lo0.0 user@switch-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@switch-P# set ospf area 0.0.0.0 interface xe-0/0/0.0 -
Configurez MPLS sur les interfaces centrales du commutateur :
[edit protocols] user@switch-P# set mpls interface ge-0/0/10.0 user@switch-P# set mpls interface xe-0/0/0.0 -
Configurez RSVP sur l’interface de bouclage et les interfaces principales :
[edit protocols] user@switch-P# set rsvp interface lo0.0 user@switch-P# set rsvp interface ge-0/0/10.0 user@switch-P# set rsvp interface xe-0/0/0.0 -
Configurez les adresses IP pour l’interface de bouclage et les interfaces centrales :
[edit] user@switch-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@switch-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@switch-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 -
Configurer
family mplssur l’unité logique de l’interface centrale adresse :[edit] user@switch-P# set interfaces ge-0/0/10 unit 0 family mpls user@switch-P# set interfaces xe-0/0/0 unit 0 family mpls -
Configurez le LSP sur le commutateur PE2 :
[edit] user@switch-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Résultats
Affichez les résultats de la configuration :
user@switch-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
Configuration de MPLS sur le commutateur PE2
Configuration rapide de la CLI
Pour configurer rapidement la configuration MPLS sur le commutateur PE2, utilisez les commandes suivantes :
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface xe-0/1/0.0
set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
set protocols mpls interface xe-0/1/0.0
set protocols rsvp interface lo0.0
set protocols rsvp interface xe-0/1/0.0
set interfaces lo0 unit 0 family inet address 130.1.1.3/32
set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
set interfaces xe-0/1/0 unit 0 family mpls
set interfaces xe-0/1/1 unit 0 family ccc
set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0
set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0
set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Procédure étape par étape
Pour configurer le commutateur PE2 :
-
Configurer OSPF avec l’ingénierie de trafic activée :
[edit protocols] user@switch-PE2# set ospf traffic-engineering -
Configurez OSPF sur l’interface de bouclage et l’interface principale :
[edit protocols] user@switch-PE2# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0 -
Configurez MPLS sur ce commutateur (PE2) avec un chemin de commutation d’étiquettes (LSP) vers l’autre commutateur PE (PE1) :
[edit protocols] user@switch-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 -
Configurer MPLS sur l’interface centrale :
[edit protocols] user@switch-PE2# set mpls interface xe-0/1/0.0 -
Configurez RSVP sur l’interface de bouclage et l’interface principale :
[edit protocols] user@switch-PE2# set rsvp interface lo0.0 user@switch-PE2# set rsvp interface xe-0/1/0.0 -
Configurez les adresses IP pour l’interface de bouclage et l’interface principale :
[edit] user@switch-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@switch-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 -
Configurez
family mplssur l’unité logique de l’interface centrale :[edit] user@switch-PE2# set interfaces xe-0/1/0 unit 0 family mpls -
Configurez l’unité logique de l’interface périphérie client en tant que CCC :
[edit interfaces xe-0/1/1 unit 0] user@switch-PE2# set family ccc -
Configurez le CCC basé sur l’interface entre les commutateurs de périphérie principaux :
[edit protocols] user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Résultats
Affichez les résultats de la configuration :
user@switch-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
Configuration de MACsec
Cette section explique comment configurer MACsec sur chaque commutateur de la topologie.
Il comprend les sections suivantes :
- Configuration de MACsec sur le site A Commutateur CE pour sécuriser le trafic vers le site B
- Configuration de MACsec sur le commutateur CE du site B pour sécuriser le trafic vers le site A
Configuration de MACsec sur le site A Commutateur CE pour sécuriser le trafic vers le site B
Configuration rapide de la CLI
[edit]
set security macsec connectivity-association ccc-macsec security-mode static-cak
set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311
set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
Procédure étape par étape
Dans cet exemple, le trafic entre les utilisateurs qui échangent souvent des données financièrement sensibles est envoyé entre les sites d’un CCC via le cloud MPLS. MACsec est activé sur le CCC en configurant une association de connectivité MACsec sur les interfaces des commutateurs CE du site A et du site B qui se connectent aux commutateurs MPLS PE. Les associations de connectivité doivent avoir des noms d’association de connectivité correspondants (dans cet exemple, ccc-macsec), des CKN correspondants (dans cet exemple, 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) et des CAK (dans cet exemple, 228ef255aa23ff6729ee664acb66e91f) afin d’établir une connexion sécurisée MACsec.
Pour activer MACsec sur le CCC connectant le site A au site B, effectuez la procédure suivante sur le commutateur CE du site A :
-
Créez l’association de connectivité nommée ccc-macsec, et configurez le mode de sécurité MACsec comme
static-caksuit :[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec security-mode static-cak -
Créez la clé pré-partagée en configurant le CKN et le CAK :
[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f -
Attribuez l’association de connectivité à l’interface qui se connecte au commutateur PE1 :
[edit security macsec] user@switch-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsecLes étapes de configuration de l’association de connectivité sur une extrémité du CCC sont ainsi terminées. MACsec n’est pas activé tant qu’une association de connectivité avec des clés pré-partagées correspondantes n’est pas activée à l’extrémité opposée d’une liaison, qui dans ce cas est l’interface sur le commutateur CE du site B, du CCC. Le processus de configuration de l’association de connectivité sur le commutateur CE du site B est décrit dans la section suivante.
Résultats
Affichez les résultats de la configuration :
user@switch-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuration de MACsec sur le commutateur CE du site B pour sécuriser le trafic vers le site A
Configuration rapide de la CLI
[edit]
set security macsec connectivity-association ccc-macsec security-mode static-cak
set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311
set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
Procédure étape par étape
Le trafic transite du site B au site A via le réseau MPLS à l’aide d’un CCC. MACsec est activé sur le CCC en configurant une association de connectivité MACsec sur les interfaces des commutateurs CE du site A et du site B qui se connectent aux commutateurs MPLS PE. Les associations de connectivité doivent avoir des noms d’association de connectivité correspondants (dans cet exemple, ccc-macsec), des CKN correspondants (37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) et des CAK correspondants (228ef255aa23ff6729ee664acb66e91f) afin d’établir une connexion sécurisée MACsec.
Pour activer MACsec sur le CCC connectant le site B au site A, effectuez la procédure suivante sur le commutateur CE du site B :
-
Créez l’association de connectivité nommée ccc-macsec, et configurez le mode de sécurité MACsec comme
static-caksuit :[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec security-mode static-cak -
Créez la clé pré-partagée en configurant le CKN et le CAK :
[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f -
Attribuez l’association de connectivité à l’interface qui se connecte au commutateur PE2 :
[edit security macsec] user@switch-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsecMACsec est activé pour le CCC après l’échange des clés pré-partagées, c’est-à-dire peu de temps après la fin de cette procédure.
Résultats
Affichez les résultats de la configuration :
user@switch-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuration des VLAN pour diriger le trafic vers le CCC sécurisé par MACsec
Cette section explique comment configurer les VLAN sur les commutateurs CE des sites A et B. L’objectif des VLAN est de diriger le trafic que vous souhaitez sécuriser MACsec vers le CCC sécurisé par MACsec.
- Configuration du VLAN pour diriger le trafic vers le CCC MACsec sur le site A Commutateur CE
- Configuration du VLAN pour diriger le trafic vers le CCC MACsec sur le commutateur CE du site B
Configuration du VLAN pour diriger le trafic vers le CCC MACsec sur le site A Commutateur CE
Configuration rapide de la CLI
[edit]
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members macsec
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec
set interfaces vlan unit 50 family inet address 5.5.5.1/24
set vlans macsec vlan-id 50
set vlans macsec l3-interface vlan.50
Procédure étape par étape
Pour créer un VLAN (ID VLAN 50) qui dirige le trafic de l’utilisateur du site A vers le CCC sécurisé par MACsec :
-
Configurez l’interface ge-0/0/0 dans le VLAN macsec :
[edit interfaces ge-0/0/0 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec -
Configurez l’interface ge-0/0/2 dans le VLAN macsec :
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec -
Créez l’adresse IP du domaine de diffusion VLAN macsec :
[edit interfaces] user@switch-CE-A# set vlan unit 50 family inet address 5.5.5.1/24 -
Configurez l’ID de balise VLAN sur 50 pour le VLAN macsec :
[edit vlans] user@switch-CE-A# set macsec vlan-id 50 -
Associez une interface de couche 3 au VLAN macsec :
[edit vlans] user@switch-CE-A# set macsec l3-interface vlan.50
Résultats
Affichez les résultats de la configuration :
user@switch-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.1/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
Configuration du VLAN pour diriger le trafic vers le CCC MACsec sur le commutateur CE du site B
Configuration rapide de la CLI
[edit]
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec
set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members macsec
set interfaces vlan unit 50 family inet address 5.5.5.2/24
set vlans macsec vlan-id 50
set vlans macsec l3-interface vlan.50
Procédure étape par étape
Pour créer un VLAN (ID VLAN 50) afin de diriger le trafic de l’utilisateur du site B vers le CCC sécurisé par MACsec :
-
Configurez l’interface ge-0/0/2 dans le VLAN macsec :
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec -
Configurez l’interface xe-0/1/0 dans le VLAN macsec :
[edit interfaces xe-0/1/0 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec -
Créez l’adresse IP du domaine de diffusion VLAN macsec :
[edit interfaces] user@switch-CE-B# set vlan unit 50 family inet address 5.5.5.2/24 -
Configurez l’ID de balise VLAN sur 50 pour le VLAN macsec :
[edit vlans] user@switch-CE-B# set macsec vlan-id 50 -
Associez une interface de couche 3 au VLAN macsec :
[edit vlans] user@switch-CE-B# set macsec l3-interface vlan.50
Résultats
Affichez les résultats de la configuration :
user@switch-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
xe-0/1/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.2/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la connexion MACsec
- Vérification que le trafic sécurisé par MACsec traverse les CCC
- Vérification de l’activation des protocoles MPLS et CCC sur les interfaces Provider Edge et Provider Switch
- Vérification des opérations d’étiquetage MPLS
- Vérification de l’état des CCC MPLS
- Vérification du fonctionnement d’OSPF
- Vérification de l’état des sessions RSVP
Vérification de la connexion MACsec
But
Vérifiez que MACsec est opérationnel sur le CCC.
Action
Entrez la show security macsec connections commande sur l’un ou les deux commutateurs CE (Customer Edge).
user@switch-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Signification
La Interface name: sortie et CA name: montre que l’association de connectivité ccc-macsec est opérationnelle sur l’interface ge-0/0/0. La sortie n’apparaît pas lorsque l’association de connectivité n’est pas opérationnelle sur l’interface.
Pour vérifier que MACsec est opérationnel sur le CCC, vous pouvez également entrer la show security macsec connections commande sur l’autre commutateur CE.
Vérification que le trafic sécurisé par MACsec traverse les CCC
But
Vérifiez que le trafic traversant le CCC est sécurisé par MACsec.
Action
Entrez la show security macsec statistics commande sur l’un ou les deux commutateurs CE.
user@switch-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Signification
La Encrypted packets ligne sous la Secure Channel transmitted sortie est incrémentée chaque fois qu’un paquet est envoyé à partir de l’interface sécurisée et chiffrée par MACsec. La Encrypted packets sortie montre que 9784 paquets cryptés et sécurisés ont été transmis à partir de l’interface ge-0/0/0. Le trafic sécurisé MACsec est donc envoyé sur l’interface ge-0/0/0.
La Accepted packets ligne sous la Secure Association received sortie est incrémentée chaque fois qu’un paquet ayant passé le contrôle d’intégrité MACsec est reçu sur l’interface. La Decrypted bytes ligne sous la Secure Association received sortie est incrémentée chaque fois qu’un paquet chiffré est reçu et déchiffré. La sortie montre que 9791 paquets sécurisés par MACsec ont été reçus sur l’interface ge-0/0/0, et que 2823555 octets de ces paquets ont été déchiffrés avec succès. Le trafic sécurisé MACsec est donc reçu sur l’interface ge-0/0/0.
Pour une vérification supplémentaire, vous pouvez également entrer la show security macsec statistics commande sur l’autre commutateur CE.
Vérification de l’activation des protocoles MPLS et CCC sur les interfaces Provider Edge et Provider Switch
But
Vérifiez que MPLS est activé sur les interfaces appropriées pour les commutateurs PE et fournisseurs.
Action
Entrez la show interfaces terse commande sur les deux commutateurs PE et sur le commutateur du fournisseur :
user@switch-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@switch-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@switch-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
Signification
La sortie confirme que le protocole MPLS est actif pour les interfaces de commutateur fournisseur transmettant le trafic MPLS (xe-0/0/0 et ge-0/0/10) et pour les interfaces de commutateur PE transmettant le trafic MPLS, à savoir l’interface ge-0/0/1 sur le commutateur PE1 et l’interface xe-0/1/0 sur le commutateur PE2.
La sortie confirme également que CCC est activé sur les interfaces de commutation PE faisant face aux commutateurs CE, à savoir l’interface ge-0/0/0 sur le commutateur PE1 et l’interface xe-0/1/1 sur le commutateur PE2.
Vérification des opérations d’étiquetage MPLS
But
Vérifiez quelle interface est utilisée au début du CCC et quelle interface est utilisée pour pousser le paquet MPLS vers le saut suivant.
Action
Entrez le sur l’un show route forwarding-table family mpls ou les deux commutateurs PE.
user@switch-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
Signification
Cette sortie confirme que le CCC est configuré sur l’interface ge-0/0/0.0. Le commutateur reçoit le trafic entrant sur ge-0/0/1.0 et envoie les 299952 d’étiquettes sur le paquet, qui sort du commutateur via l’interface ge-0/0/1.0. La sortie montre également que lorsque le commutateur reçoit un paquet MPLS avec une étiquette 299856, il fait sauter l’étiquette et envoie le paquet via l’interface ge-0/0/0.0
Pour une vérification plus approfondie des opérations d’étiquetage MPLS, entrez le show route forwarding-table family mpls sur l’autre commutateur PE.
Vérification de l’état des CCC MPLS
But
Vérifiez que les CCC MPLS fonctionnent.
Action
Entrez la show connections commande sur les commutateurs PE.
user@switch-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@switch-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
La show connections commande affiche l’état des connexions CCC. Cette sortie vérifie que les interfaces CCC et les LSP d’émission et de réception associés se trouvent Up sur les deux commutateurs PE.
Vérification du fonctionnement d’OSPF
But
Vérifiez qu’OSPF est en cours d’exécution.
Action
Entrez la show ospf neighbor commande le fournisseur ou les commutateurs PE et vérifiez la State sortie.
user@switch-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
Signification
La State sortie se trouve Full sur toutes les interfaces utilisant OSPF, donc OSPF fonctionne.
Pour une vérification plus approfondie sur OSPF, entrez la show ospf neighbor commande sur les commutateurs PE en plus du commutateur fournisseur.
Vérification de l’état des sessions RSVP
But
Vérifiez l’état des sessions RSVP.
Action
Entrez la show rsvp session commande et vérifiez que l’état est activé pour chaque session RSVP.
user@switch-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
Signification
Le State est Up pour toutes les connexions, donc RSVP fonctionne normalement.
Pour une vérification plus poussée, saisissez le show rsvp session sur les commutateurs PE en plus du commutateur du fournisseur.