MACsec (Media Access Control Security) sur WAN
La sécurité MACsec (Media Access Control Security) est une solution de couche liaison pour le chiffrement point à point. MACsec peut être utilisé pour chiffrer les connexions de couche 2 sur le WAN d’un fournisseur de services afin de garantir l’intégrité et la confidentialité de la transmission des données.
Transport de MACsec sur plusieurs sauts
Pour établir une session MACsec, un accord de clé MACsec (MKA) permet d’échanger les clés requises entre les nœuds homologues. Les PDU MKA sont transmises à l’aide du protocole EAPoL (Extensible Authentication Protocol over LAN) comme protocole de transport. EAPoL est un protocole de couche 2 qui doit normalement être traité localement par le commutateur ou le routeur avant d’être propagé davantage.
Dans le cas où les nœuds sont connectés via le réseau d’un fournisseur de services, cela représente un défi. La figure 1 illustre MACsec transporté sur le réseau d’un fournisseur de services. MKA doit échanger des clés entre les appareils A et B du client. Les routeurs de périphérie, ou équipements intermédiaires, ne doivent pas traiter les paquets EAPoL. Au lieu de cela, ils doivent les transférer de manière transparente au saut suivant.
d’un fournisseur de services
L’adresse MAC de destination par défaut d’un paquet EAPoL est une adresse multicast. Dans le réseau d’un fournisseur de services, certains équipements peuvent consommer ces paquets, en supposant que les paquets leur sont destinés. EAPoL est utilisé par la norme 802.1X et d’autres méthodes d’authentification, ce qui peut entraîner l’abandon de paquets par les appareils, en fonction de leur configuration. Cela entraînerait l’échec de la session MKA. Pour vous assurer que le paquet EAPoL atteint la bonne destination, vous pouvez modifier l’adresse MAC de destination afin que le réseau du fournisseur de services utilise le paquet dans un tunnel au lieu de le consommer.
Configuration de MACsec au niveau VLAN sur les interfaces logiques
MACsec au niveau du VLAN autorise plusieurs sessions MKA sur un seul port physique. Cela permet le multiplexage des services avec chiffrement MACsec des connexions point à multipoint sur les WAN des fournisseurs de services.
Pour prendre en charge MACsec au niveau du VLAN, les paquets de protocole MKA sont envoyés avec les balises VLAN configurées sur l’interface logique. Les balises VLAN sont transmises en texte clair, ce qui permet aux commutateurs intermédiaires qui ne sont pas sensibles à MACsec de basculer les paquets en fonction des balises VLAN.
Lorsque vous configurez MACsec, vous devez lier l’association de connectivité à une interface. Pour activer MACsec au niveau du VLAN, liez l’association de connectivité à une interface logique à l’aide de la commande suivante :
[edit security macsec]
user@switch# set interfaces interface-names unit unit-number connectivity-association connectivity-association-name
Pour plus d’informations sur la configuration, reportez-vous à la section Configuration de MACsec en mode CAK statique.
Configuration de l’adresse MAC de destination EAPoL pour MACsec
MACsec transmet les PDU MKA à l’aide de paquets EAPoL pour établir une session sécurisée. Par défaut, EAPoL utilise une adresse MAC de multidiffusion de destination de 01:80 :C2:00:00:03. Pour éviter que ces paquets ne soient consommés dans le réseau d’un fournisseur de services, vous pouvez modifier l’adresse MAC de destination.
Pour configurer l’adresse MAC de destination EAPoL, entrez l’une des commandes suivantes.
La configuration doit correspondre sur les deux nœuds homologues afin d’établir la session MACsec.
Les options sont mappées aux adresses MAC comme suit :
| Adresse EAPoL |
Adresse MAC |
|---|---|
|
|
01:80 :C2:00:00:03 |
|
|
01:80 :C2:00:00:00 |
|
|
01:80 :C2:00:00:0E |
|
|
configurable unicast address |