Exemple : configuration de MACsec sur un CCC MPLS sur des routeurs MX Series
Cet exemple montre comment activer MACsec pour sécuriser le trafic sensible transitant d’un utilisateur d’un site à un utilisateur d’un autre site via un CCC MPLS de base.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Trois routeurs MX Series utilisés comme routeurs PE et fournisseur dans le réseau MPLS
Un routeur MX Series utilisé comme routeur CE pour connecter le site A au réseau MPLS
Un routeur MX240, MX480 ou MX960 avec le MIC Gigabit Ethernet amélioré à 20 ports (numéro de modèle MIC-3D-20GE-SFP-E) utilisé comme routeur CE connectant le site B au réseau MPLS
Junos OS version 15.1R1 ou ultérieure s’exécutant sur tous les routeurs MX Series du réseau MPLS (PE1, PE2 ou le routeur du fournisseur)
Junos OS version 15.1R1 ou ultérieure s’exécutant sur le routeur CE sur le site A et le routeur CE sur le site B
Vue d’ensemble et topologie
Dans cet exemple, des données d’entreprise financièrement sensibles sont souvent envoyées entre un utilisateur du site A et un utilisateur du site B. L’entreprise veut s’assurer que tout le trafic réseau transitant de l’utilisateur du site A à l’utilisateur du site B est hautement sécurisé et ne peut pas être visualisé ou corrompu par un attaquant. L’entreprise utilise la sécurité de couche 2 standard fournie par MACsec, qui assure le chiffrement pour garantir que les données ne peuvent pas être consultées par les attaquants et des contrôles d’intégrité pour s’assurer que les données transmises ne sont pas corrompues, afin de sécuriser tout le trafic transitant sur le CCC via le cloud MPLS reliant les sites. Des VLAN sont configurés sur les deux sites pour garantir que le trafic transitant entre les deux utilisateurs traverse les sites via le CCC sécurisé par MACsec.
Dans cet exemple, le réseau MPLS comprend deux routeurs de périphérie (PE) (PE1 et PE2) et un routeur de fournisseur (de transit). PE1 connecte le routeur CE (Customer Edge) du site A au réseau MPLS et PE2 connecte le routeur CE du site B au réseau MPLS. MACsec est activé sur le CCC connectant les routeurs CE aux sites A et B pour sécuriser le trafic transitant entre les sites via le CCC. Un VLAN qui comprend les interfaces qui connectent les utilisateurs aux routeurs CE, l’interface ge-0/0/0 sur le routeur CE sur le site A et l’interface ge-0/0/2 sur le routeur CE sur le site B, ainsi que les interfaces qui connectent les routeurs CE au cloud MPLS (ge-0/0/0 sur le routeur CE du site A et xe-0/1/0 sur le routeur CE du site B), permet de diriger tout le trafic entre les utilisateurs sur le CCC sécurisé par MACsec.
Le Tableau 1 présente un récapitulatif des composants du réseau MPLS de cette topologie.
Le Tableau 2 fournit un résumé de l’association de connectivité MACsec utilisée dans cette topologie. MACsec est activé en créant une association de connectivité sur les interfaces à chaque extrémité d’une liaison. MACsec est activé lorsque les interfaces à chaque extrémité de la liaison échangent des clés pré-partagées (les clés pré-partagées sont définies dans l’association de connectivité) afin de sécuriser la liaison pour MACsec.
Le Tableau 3 fournit un résumé des ID de domaine de pont et de VLAN utilisés dans cette topologie. Dans cette topologie, le VLAN est utilisé pour diriger toutes les communications entre l’utilisateur du site A et l’utilisateur du site B sur le CCC sécurisé par MACsec.
| Description du composant | |
|---|---|
PE1 |
Routeur PE. lo0 :
GE-0/0/0 :
GE-0/0/1 :
|
Fournisseur |
Routeur fournisseur. lo0 :
GE-0/0/10 :
xe-0/0/0 :
|
PE2 |
Routeur PE. lo0 :
xe-0/1/0
xe-0/1/1
|
lsp_to_pe2_xe1 chemin de commutation d’étiquettes |
Chemin de commutation d’étiquettes de PE1 à PE2. |
lsp_to_pe1_ge0 chemin de commutation d’étiquettes |
Chemin de commutation d’étiquettes de PE2 à PE1. |
| Description de l’association de connectivité | |
|---|---|
CCC-MACsec |
Association de connectivité permettant MACsec sur CCC de connecter le site A au site B. L’association de connectivité est activée sur les interfaces suivantes :
|
| Description du domaine de pont | |
|---|---|
MACsec (en anglais) |
VLAN dirigeant le trafic entre l’utilisateur du site A et l’utilisateur du site B sur le CCC sécurisé par MACsec. Le domaine de pont comprend les interfaces suivantes :
|
Configuration de MPLS
Cette section explique comment configurer MPLS sur chaque routeur du réseau MPLS.
Il comprend les sections suivantes :
- Configuration de MPLS sur PE1
- Configuration de MPLS sur le routeur du fournisseur
- Configuration de MPLS sur PE2
- Résultats
Configuration de MPLS sur PE1
Configuration rapide de la CLI
Pour configurer rapidement la configuration MPLS sur le routeur PE1, utilisez les commandes suivantes :
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Procédure étape par étape
Pour configurer MPLS sur le routeur PE1 :
Configurer OSPF avec l’ingénierie de trafic activée :
[edit protocols] user@router-PE1# set ospf traffic-engineering
Configurez OSPF sur l’adresse de bouclage et les interfaces centrales :
[edit protocols] user@router-PE1# set ospf area 0.0.0.0 interface lo0.0 user@router-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
Configurez MPLS sur ce routeur, PE1, avec un LSP vers le routeur PE2 :
[edit protocols] user@router-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Configurez MPLS sur les interfaces centrales :
[edit protocols] user@router-PE1# set mpls interface ge-0/0/1.0
Configurez RSVP sur l’interface de bouclage et les interfaces principales :
[edit protocols] user@router-PE1# set rsvp interface lo0.0 user@router-PE1# set rsvp interface ge-0/0/1.0
Configurez les adresses IP pour l’interface de bouclage et les interfaces centrales :
[edit] user@router-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@router-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
Configurer
family mplssur l’unité logique de l’interface centrale adresse :[edit] user@router-PE1# set interfaces ge-0/0/1 unit 0 family mpls
Configurez l’unité logique de l’interface périphérie client en tant que CCC :
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
Configurez le CCC basé sur l’interface de PE1 à PE2 :
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Résultats
Affichez les résultats de la configuration :
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
Configuration de MPLS sur le routeur du fournisseur
Configuration rapide de la CLI
Pour configurer rapidement la configuration MPLS sur le routeur fournisseur, utilisez les commandes suivantes :
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
Procédure étape par étape
Pour configurer le routeur du fournisseur :
Configurer OSPF avec l’ingénierie de trafic activée :
[edit protocols] user@router-P# set ospf traffic-engineering
Configurez OSPF sur l’interface de bouclage et les interfaces principales :
[edit protocols] user@router-P# set ospf area 0.0.0.0 interface lo0.0 user@router-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@router-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
Configurez MPLS sur les interfaces centrales du routeur :
[edit protocols] user@router-P# set mpls interface ge-0/0/10.0 user@router-P# set mpls interface xe-0/0/0.0
Configurez RSVP sur l’interface de bouclage et les interfaces principales :
[edit protocols] user@router-P# set rsvp interface lo0.0 user@router-P# set rsvp interface ge-0/0/10.0 user@router-P# set rsvp interface xe-0/0/0.0
Configurez les adresses IP pour l’interface de bouclage et les interfaces centrales :
[edit] user@router-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@router-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@router-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
Configurer
family mplssur l’unité logique de l’interface centrale adresse :[edit] user@router-P# set interfaces ge-0/0/10 unit 0 family mpls user@router-P# set interfaces xe-0/0/0 unit 0 family mpls
Configurez le LSP sur le routeur PE2 :
[edit] user@router-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Résultats
Affichez les résultats de la configuration :
user@router-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
Configuration de MPLS sur PE2
Configuration rapide de la CLI
Pour configurer rapidement la configuration MPLS sur le routeur PE2, utilisez les commandes suivantes :
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Procédure étape par étape
Pour configurer le routeur PE2 :
Configurer OSPF avec l’ingénierie de trafic activée :
[edit protocols] user@router-PE2# set ospf traffic-engineering
Configurez OSPF sur l’interface de bouclage et l’interface principale :
[edit protocols] user@router-PE2# set ospf area 0.0.0.0 interface lo0.0 user@router-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
Configurez MPLS sur ce routeur (PE2) avec un chemin de commutation d’étiquettes (LSP) vers l’autre routeur PE (PE1) :
[edit protocols] user@router-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
Configurer MPLS sur l’interface centrale :
[edit protocols] user@router-PE2# set mpls interface xe-0/1/0.0
Configurez RSVP sur l’interface de bouclage et l’interface principale :
[edit protocols] user@router-PE2# set rsvp interface lo0.0 user@router-PE2# set rsvp interface xe-0/1/0.0
Configurez les adresses IP pour l’interface de bouclage et l’interface principale :
[edit] user@router-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@router-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
Configurez
family mplssur l’unité logique de l’interface centrale :[edit] user@router-PE2# set interfaces xe-0/1/0 unit 0 family mpls
Configurez l’unité logique de l’interface périphérie client en tant que CCC :
[edit interfaces xe-0/1/1 unit 0] user@router-PE2# set family ccc
Configurez le CCC basé sur l’interface entre les routeurs de périphérie principaux :
[edit protocols] user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Résultats
Affichez les résultats de la configuration :
user@router-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
Configuration de MACsec
Cette section explique comment configurer MACsec sur chaque routeur de la topologie.
Il comprend les sections suivantes :
- Configuration de MACsec sur le routeur CE du site A pour sécuriser le trafic vers le site B
- Configuration de MACsec sur le routeur CE du site B pour sécuriser le trafic vers le site A
Configuration de MACsec sur le routeur CE du site A pour sécuriser le trafic vers le site B
Configuration rapide de la CLI
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
Procédure étape par étape
Dans cet exemple, le trafic entre les utilisateurs qui échangent souvent des données financièrement sensibles est envoyé entre les sites d’un CCC via le cloud MPLS. MACsec est activé sur le CCC en configurant une association de connectivité MACsec sur les interfaces des routeurs CE du site A et du site B qui se connectent aux routeurs MPLS PE. Les associations de connectivité doivent avoir des noms d’association de connectivité correspondants (dans cet exemple, ccc-macsec), des CKN correspondants (dans cet exemple, 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) et des CAK (dans cet exemple, 228ef255aa23ff6729ee664acb66e91f) afin d’établir une connexion sécurisée MACsec.
Pour activer MACsec sur le CCC connectant le site A au site B, effectuez la procédure suivante sur le routeur CE du site A :
Créez l’association de connectivité nommée ccc-macsec, et configurez le mode de sécurité MACsec comme
static-caksuit :[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec security-mode static-cak
Créez la clé pré-partagée en configurant le CKN et le CAK :
[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
Attribuez l’association de connectivité à l’interface qui se connecte au routeur PE1 :
[edit security macsec] user@router-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
Les étapes de configuration de l’association de connectivité sur une extrémité du CCC sont ainsi terminées. MACsec n’est pas activé tant qu’une association de connectivité avec des clés pré-partagées correspondantes n’est pas activée à l’extrémité opposée d’une liaison, qui dans ce cas est l’interface sur le routeur CE du site B, du CCC. Le processus de configuration de l’association de connectivité sur le routeur CE du site B est décrit dans la section suivante.
Résultats
Affichez les résultats de la configuration :
user@router-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuration de MACsec sur le routeur CE du site B pour sécuriser le trafic vers le site A
Configuration rapide de la CLI
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
Procédure étape par étape
Le trafic transite du site B au site A via le réseau MPLS à l’aide d’un CCC. MACsec est activé sur le CCC en configurant une association de connectivité MACsec sur les interfaces des routeurs CE du site A et du site B qui se connectent aux routeurs MPLS PE. Les associations de connectivité doivent avoir des noms d’association de connectivité correspondants (dans cet exemple, ccc-macsec), des CKN correspondants (37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) et des CAK correspondants (228ef255aa23ff6729ee664acb66e91f) afin d’établir une connexion sécurisée MACsec.
Pour activer MACsec sur le CCC connectant le site B au site A, effectuez la procédure suivante sur le routeur CE du site B :
Créez l’association de connectivité nommée ccc-macsec, et configurez le mode de sécurité MACsec comme
static-caksuit :[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec security-mode static-cak
Créez la clé pré-partagée en configurant le CKN et le CAK :
[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
Attribuez l’association de connectivité à l’interface qui se connecte au routeur PE2 :
[edit security macsec] user@router-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
MACsec est activé pour le CCC après l’échange des clés pré-partagées, c’est-à-dire peu de temps après la fin de cette procédure.
Résultats
Affichez les résultats de la configuration :
user@router-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuration des VLAN pour diriger le trafic vers le CCC sécurisé par MACsec
Cette section explique comment configurer les VLAN sur les routeurs CE des sites A et B. L’objectif des VLAN est de diriger le trafic que vous souhaitez sécuriser MACsec vers le CCC sécurisé par MACsec.
- Configuration du domaine de pont pour diriger le trafic vers le CCC MACsec sur le site Un routeur CE
- Configuration du domaine de pont pour diriger le trafic vers le CCC MACsec sur le routeur CE du site B
Configuration du domaine de pont pour diriger le trafic vers le CCC MACsec sur le site Un routeur CE
Configuration rapide de la CLI
[edit] set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/0 set bridge-domains macsec interface ge-0/0/2 set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
Procédure étape par étape
Pour créer un domaine de pont (ID VLAN 50) qui dirige le trafic de l’utilisateur du site A vers le CCC sécurisé par MACsec :
Configurez l’interface ge-0/0/0 avec l’encapsulation VLAN et la famille de ponts.
user@router-CE-A# set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces ge-0/0/0 unit 0 family bridge vlan-id 50
Configurez l’interface ge-0/0/2 avec l’encapsulation VLAN et la famille de ponts.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
Définissez le domaine de pont macsec et associez les interfaces ge-0/0/0 et ge-0/0/2 au domaine de pont.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface ge-0/0/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
Créez l’adresse IP du domaine de pont macsec :
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
Résultats
Affichez les résultats de la configuration :
user@router-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.1/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface ge-0/0/0;
interface ge-0/0/2;
}
}
Configuration du domaine de pont pour diriger le trafic vers le CCC MACsec sur le routeur CE du site B
Configuration rapide de la CLI
[edit] set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge set interfaces xe-0/1/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/2 set bridge-domains macsec interface xe-0/1/0 set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
Procédure étape par étape
Pour créer un domaine de pont (ID VLAN 50) afin de diriger le trafic de l’utilisateur du site B vers le CCC sécurisé par MACsec :
Configurez l’interface xe-0/1/0 avec l’encapsulation VLAN et la famille de ponts.
user@router-CE-A# set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces xe-0/1/0 unit 0 family bridge vlan-id 50
Configurez l’interface ge-0/0/2 avec l’encapsulation VLAN et la famille de ponts.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
Définissez le domaine de pont macsec et associez les interfaces xe-0/1/0 et ge-0/0/2 au domaine de pont.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface xe-0/1/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
Créez l’adresse IP du domaine de pont macsec :
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
Résultats
Affichez les résultats de la configuration :
user@router-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
xe-0/1/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.2/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface xe-0/1/0;
interface ge-0/0/2;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la connexion MACsec
- Vérification que le trafic sécurisé par MACsec traverse les CCC
- Vérification de l’activation des protocoles MPLS et CCC sur les interfaces Provider Edge et Provider Switch
- Vérification des opérations d’étiquetage MPLS
- Vérification de l’état des CCC MPLS
- Vérification du fonctionnement d’OSPF
- Vérification de l’état des sessions RSVP
Vérification de la connexion MACsec
But
Vérifiez que MACsec est opérationnel sur le CCC.
Action
Entrez la show security macsec connections commande sur l’un ou les deux commutateurs CE (Customer Edge).
user@router-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Signification
La Interface name: sortie et CA name: montre que l’association de connectivité ccc-macsec est opérationnelle sur l’interface ge-0/0/0. La sortie n’apparaît pas lorsque l’association de connectivité n’est pas opérationnelle sur l’interface.
Pour vérifier que MACsec est opérationnel sur le CCC, vous pouvez également entrer la show security macsec connections commande sur l’autre commutateur CE.
Vérification que le trafic sécurisé par MACsec traverse les CCC
But
Vérifiez que le trafic traversant le CCC est sécurisé par MACsec.
Action
Entrez la show security macsec statistics commande sur l’un ou les deux commutateurs CE.
user@router-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Signification
La Encrypted packets ligne sous la Secure Channel transmitted sortie est incrémentée chaque fois qu’un paquet est envoyé à partir de l’interface sécurisée et chiffrée par MACsec. La Encrypted packets sortie montre que 9784 paquets cryptés et sécurisés ont été transmis à partir de l’interface ge-0/0/0. Le trafic sécurisé MACsec est donc envoyé sur l’interface ge-0/0/0.
La Accepted packets ligne sous la Secure Association received sortie est incrémentée chaque fois qu’un paquet ayant passé le contrôle d’intégrité MACsec est reçu sur l’interface. La Decrypted bytes ligne sous la Secure Association received sortie est incrémentée chaque fois qu’un paquet chiffré est reçu et déchiffré. La sortie montre que 9791 paquets sécurisés par MACsec ont été reçus sur l’interface ge-0/0/0, et que 2823555 octets de ces paquets ont été déchiffrés avec succès. Le trafic sécurisé MACsec est donc reçu sur l’interface ge-0/0/0.
Pour une vérification supplémentaire, vous pouvez également entrer la show security macsec statistics commande sur l’autre commutateur CE.
Vérification de l’activation des protocoles MPLS et CCC sur les interfaces Provider Edge et Provider Switch
But
Vérifiez que MPLS est activé sur les interfaces appropriées pour les commutateurs PE et fournisseurs.
Action
Entrez la show interfaces terse commande sur les deux routeurs PE et le commutateur du fournisseur :
user@router-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@router-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@router-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
Signification
La sortie confirme que le protocole MPLS est actif pour les interfaces de commutation fournisseur transmettant le trafic MPLS (xe-0/0/0 et ge-0/0/10) et pour les interfaces de routeur PE transmettant le trafic MPLS, à savoir l’interface ge-0/0/1 sur le commutateur PE1 et l’interface xe-0/1/0 sur le routeur PE2.
La sortie confirme également que CCC est activé sur les interfaces du routeur PE faisant face aux commutateurs CE, à savoir l’interface ge-0/0/0 sur le commutateur PE1 et l’interface xe-0/1/1 sur le routeur PE2.
Vérification des opérations d’étiquetage MPLS
But
Vérifiez quelle interface est utilisée au début du CCC et quelle interface est utilisée pour pousser le paquet MPLS vers le saut suivant.
Action
Entrez le show route forwarding-table family mpls sur l’un ou les deux routeurs PE.
user@router-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
Signification
Cette sortie confirme que le CCC est configuré sur l’interface ge-0/0/0.0. Le commutateur reçoit le trafic entrant sur ge-0/0/1.0 et envoie les 299952 d’étiquettes sur le paquet, qui sort du commutateur via l’interface ge-0/0/1.0. La sortie montre également que lorsque le commutateur reçoit un paquet MPLS avec une étiquette 299856, il fait sauter l’étiquette et envoie le paquet via l’interface ge-0/0/0.0
Pour une vérification plus approfondie des opérations d’étiquetage MPLS, saisissez le show route forwarding-table family mpls sur l’autre routeur PE.
Vérification de l’état des CCC MPLS
But
Vérifiez que les CCC MPLS fonctionnent.
Action
Entrez la show connections commande sur les routeurs PE.
user@router-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@router-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
La show connections commande affiche l’état des connexions CCC. Cette sortie vérifie que les interfaces CCC et les LSP d’émission et de réception associés se trouvent Up sur les deux routeurs PE.
Vérification du fonctionnement d’OSPF
But
Vérifiez qu’OSPF est en cours d’exécution.
Action
Entrez la show ospf neighbor commande du fournisseur ou des routeurs PE et vérifiez la State sortie.
user@router-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
Signification
La State sortie se trouve Full sur toutes les interfaces utilisant OSPF, donc OSPF fonctionne.
Pour une vérification plus approfondie sur OSPF, entrez la show ospf neighbor commande sur les routeurs PE en plus du commutateur du fournisseur.
Vérification de l’état des sessions RSVP
But
Vérifiez l’état des sessions RSVP.
Action
Entrez la show rsvp session commande et vérifiez que l’état est activé pour chaque session RSVP.
user@router-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
Signification
Le State est Up pour toutes les connexions, donc RSVP fonctionne normalement.
Pour une vérification plus poussée, saisissez le show rsvp session sur les routeurs PE en plus du routeur fournisseur.