Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Sécurité MACsec (Media Access Control Security) sur le WAN

MACsec (Media Access Control Sécurité) est une solution de couche de liaison pour le chiffrement point à point. MACsec peut être utilisé pour chiffrer les connexions de couche 2 sur le WAN d’un fournisseur de services afin de garantir l’intégrité et la confidentialité de la transmission des données.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.

Consultez la section Comportement spécifique à la plate-forme de MACsec sur WAN pour obtenir des notes relatives à votre plate-forme.

Présentation du transport de MACsec sur plusieurs sauts

Pour établir une session MACsec, MACsec Key Agreement (MKA) est utilisé pour échanger les clés requises entre les nœuds homologues. Les PDU MKA sont transmises à l’aide du protocole EAPoL (Extensible Authentication Protocol over LAN) comme protocole de transport. EAPoL est un protocole de couche 2 qui devrait normalement être traité localement par le commutateur ou le routeur et ne pas être propagé davantage.

Dans le cas où les nœuds sont connectés via un réseau de fournisseur de services, cela présente un défi. La figure 1 illustre le transfert de MACsec sur le réseau d’un fournisseur de services. MKA doit échanger des clés entre les appareils A et B des clients. Les routeurs de périphérie, ou équipements intermédiaires, ne doivent pas traiter les paquets EAPoL. Au lieu de cela, ils doivent les transférer de manière transparente au saut suivant.

Figure 1 : MACsec transféré sur le réseau Network topology showing Customer Device A and B connected via a service provider core network. Edge routers are MACSec-unaware. Encrypted secure channel between devices bypasses non-MACSec routers. d’un fournisseur de services

L’adresse MAC de destination par défaut d’un paquet EAPoL est une adresse multicast de 01:80 :C2:00:00:03. Dans un réseau de fournisseur de services, il peut y avoir des appareils qui consomment ces paquets, en supposant que les paquets leur sont destinés. EAPoL est utilisé par la norme 802.1X et d’autres méthodes d’authentification, ce qui peut entraîner l’abandon des paquets par les appareils, selon leur configuration. Cela entraînerait l’échec de la session MKA entre les points de terminaison prévus. Pour vous assurer que le paquet EAPoL atteint le point de terminaison prévu, vous pouvez modifier les attributs du paquet tels que l’adresse MAC de destination, l’ID VLAN et l’EtherType afin que le réseau du fournisseur de services tunnelise le paquet au lieu de le consommer.

Configurer MACsec de niveau IFL sur les interfaces logiques

MACsec au niveau d’une interface logique (IFL) permet plusieurs sessions MKA sur un seul port physique. Cela permet le multiplexage de services avec chiffrement MACsec des connexions point à multipoint sur les WAN des fournisseurs de services.

Pour prendre en charge MACsec de niveau IFL, les paquets du protocole MKA sont envoyés avec les balises VLAN configurées sur l’interface logique. Les balises VLAN sont transmises en texte clair, ce qui permet aux commutateurs intermédiaires qui ne prennent pas en charge MACsec de basculer les paquets en fonction des balises VLAN.

Lorsque vous configurez MACsec, vous devez lier l’association de connectivité à une interface. Pour activer MACsec au niveau IFL, liez l’association de connectivité à une interface logique à l’aide de la commande suivante :

Pour plus de détails sur la configuration, consultez Configuration de MACsec en mode CAK statique.

Configurer l’adresse MAC de destination EAPoL pour MACsec

MACsec transmet les PDU MKA à l’aide de paquets EAPoL pour établir une session sécurisée. Par défaut, EAPoL utilise une adresse MAC de multicast de destination de 01:80 :C2:00:00:03. Pour empêcher que ces paquets ne soient consommés dans un réseau de fournisseur de services, vous pouvez modifier l’adresse MAC de destination.

Pour configurer l’adresse MAC de destination EAPoL, entrez l’une des commandes suivantes.

Remarque :

Pour que la session MACsec soit établie, la configuration doit correspondre sur les deux points de terminaison d’une association de sécurité ou d’une connexion sécurisée.
  • Pour configurer l’adresse multicast de l’entité d’accès au port :
  • Pour configurer une adresse multicast de pont de fournisseur :
  • Pour configurer l’adresse multicast LLDP :
  • Pour configurer une adresse de destination unicast :

Les options sont mappées aux adresses MAC comme suit :

Tableau 1 : Mappage des adresses EAPoL et MAC

Adresse EAPoL

Adresse MAC

pae

01:80 :C2:00:00:03

provider-bridge

01:80 :C2:00:00:00

lldp-multicast

01:80 :C2:00:00:0E

destination

configurable unicast address

Configurer EAPoL EtherType pour MACsec

MACsec utilise EAPoL comme protocole de transport pour établir des sessions. Lorsque vous configurez une adresse de destination MAC personnalisée pour les paquets EAPoL, dans la plupart des cas, le réseau tunnelise le paquet en fonction de l’adresse de destination. Cependant, certains réseaux filtrent les paquets en fonction de la valeur EtherType. L’EtherType est un champ dans une trame Ethernet. La valeur du champ EtherType identifie le protocole du paquet encapsulé dans la trame. Par défaut, l’EtherType pour EAPoL est 0x888e tel que défini par la norme IEEE 802.1X. Certains réseaux interceptent automatiquement les paquets non balisés avec cet EtherType. Pour vous assurer que le réseau achemine correctement les paquets MACsec vers le point de terminaison, vous pouvez définir un type Ethernet personnalisé pour EAPoL.

Lorsque MACsec est activé sur une interface, l’équipement intercepte les paquets EAPoL non balisés passant par cette interface et transfère les paquets EAPoL étiquetés. Par défaut, l’appareil intercepte ces paquets uniquement s’ils ont l'0x888e EtherType par défaut. Lorsque vous configurez un EtherType personnalisé, l’appareil intercepte les paquets qui ont cet EtherType personnalisé à la place ; il ne bloque pas les paquets avec EtherType 0x888e.

Choisissez la valeur EAPoL EtherType

Si vous configurez une valeur EtherType personnalisée, elle doit être :

  • Différents dans chaque profil EAPoL. Ne configurez pas le même type Ethernet pour plusieurs profils. Si vous n’avez besoin que d’un seul type EtherType, utilisez un seul profil.

  • Valide (supérieur ou égal à 0x600).

  • Disponible (non réservé à un autre usage).

L’utilisation d’un EtherType réservé peut interférer avec le trafic de données. Les EtherTypes réservés sont répartis en trois catégories :

  1. Valeurs EtherTypes réservées par la norme IEEE 802.1X, qui sont répertoriées sur la page des normes EtherTypes de l’IEEE.

  2. Valeurs EtherType utilisées dans les données de trafic.

  3. Valeurs EtherType réservées spécifiquement aux équipements Junos. Cette catégorie comprend des valeurs telles que 0x9100 et 0x9200, qui ne sont pas répertoriées sur la page des normes. Pour confirmer qu’EtherType n’est pas dans cette catégorie, consultez le tableau ci-dessous ou validez la configuration. Si la valeur EtherType figure dans le tableau suivant, la vérification de validation détecte la valeur réservée et la validation échoue.

Remarque : Le tableau suivant n’est pas une liste exhaustive des EtherTypes que vous ne devez pas utiliser. La vérification de validation ne peut pas intercepter tous les EtherTypes réservés, alors vérifiez que l’EtherType est disponible avant de valider votre configuration.
Tableau 2 : EtherTypes réservés interceptés par la vérification de validation sur les équipements Junos
EtherType Réservé pour EtherType Réservé pour
0x22F3 TRILL 0x88B6 EXP2
0x0800 IPv4 0x88B7 EXP3
0x0806 ARP 0x88cc LLDP
0x8035 RARP 0x88E5 La norme 802.1AE
0x8100 VLAN 0x88E7 Le PBB
0x86dd IPv6 0x88EE ELMI
0x8809 LENT 0x88F5 MVRP
0x8847 ÉTIQUETTE 0x88F6 MMRP
0x8848 Multicast MPLS 0x88F7 PTP
0x8863 DISQUE PPPoE 0x8902 Ethernet OAM CFM
0x8864 PPPoE SESS 0x8906 FCOE
0x888e 802.1X 0x8914 Le PCI
0x88a8 PVLAN 0x9100 9100
0x88B5 EXP1 0x9200 9200

La configuration

Le terminaux d’origine et le ne peuvent établir une session MACsec que si les deux équipements sont configurés avec le même EAPoL EtherType. Répétez la configuration sur les deux appareils.

Pour configurer une valeur EtherType personnalisée pour les paquets EAPoL :

  1. Configurez votre profil EAPoL EtherType personnalisé.
    Remarque :

    PTX Series routeurs sont livrés avec deux profils EtherType déjà configurés que vous pouvez choisir : EAPOL_ETHERTYPE1 ou EAPOL_ETHERTYPE2. Vous devez utiliser l’un de ces noms pour votre profil EAPoL EtherType.
  2. (Facultatif) Configurez une valeur EAPoL EtherType personnalisée.

    Voir Choisir la valeur EAPoL EtherType pour savoir comment choisir une valeur EtherType.

    Remarque : Sur les routeurs PTX Series, chaque profil prédéfini est préconfiguré avec un type Ethernet par défaut. Le profil EAPOL_ETHERTYPE1 a une valeur EtherType par défaut de 0x876f ; la valeur EtherType par défaut du profil EAPOL_ETHERTYPE2 est 0xb860. Vous pouvez configurer un autre type Ethernet si vous préférez.
  3. Appliquez votre profil EAPoL EtherType personnalisé à la configuration de l’association de connectivité MACsec.
  4. Validez votre configuration.
  5. (PTX10008 avec une carte de ligne PTX10K-LC1301 ou un PTX10002-36QDD) Redémarrez l’appareil si vous avez modifié la valeur EAPoL EtherType à partir de la valeur par défaut préconfigurée.
  6. Vérifiez la valeur EtherType que vous avez configurée à l’aide de la show security mka sessions detail commande. Par exemple :

    Vous avez configuré une valeur EtherType personnalisée pour EAPoL pour MACsec.

  7. Répétez la configuration sur l’autre appareil.

Comportement spécifique à la plateforme de MACsec sur WAN

Utilisez le tableau suivant pour passer en revue les comportements spécifiques à la plate-forme pour vos plates-formes.

Tableau 3 : comportement spécifique à la plate-forme de l’EAPoL EtherType pour MACsec

Plate-forme

Différence

ACX Series

  • Lorsque MACsec est activé sur une interface logique, l’équipement intercepte les paquets qui correspondent au balisage de cette interface (non balisés ou balisés). Si vous n'avez pas configuré d'EtherType personnalisé, l'appareil intercepte les paquets EAPoL correspondant au balisage de cette interface uniquement s'ils ont l'EtherType par défaut 0x888e. Si vous avez configuré un EtherType personnalisé, l’appareil intercepte uniquement les paquets qui ont cet EtherType personnalisé et n’intercepte pas les paquets avec EtherType 0x888e.

  • Toutes les interfaces appartenant à un groupe d’agrégation de liens (LAG) doivent utiliser le même profil EAPoL EtherType. Sinon, MACsec ne fonctionne pas sur les interfaces.

PTX Series

  • Vous ne pouvez configurer que deux profils EAPoL EtherType : EAPOL_ETHERTYPE1 et EAPOL_ETHERTYPE2. Par défaut, les EtherTypes associés à ces profils sont respectivement 0x876f et 0xb860. Vous pouvez configurer une valeur EtherType autre que la valeur par défaut si vous préférez.

  • (PTX10008 avec une carte de ligne PTX10K-LC1301 ou un PTX10002-36QDD) Un redémarrage est nécessaire après avoir modifié la valeur EtherType par rapport à la valeur par défaut préconfigurée.

  • (PTX10004, PTX10008 et PTX10016 avec des cartes de ligne PTX10K-LC1201 ou PTX10K-LC1202 ; PTX10001-36MR) La terminaison de tunnel n’est pas prise en charge pour les paquets MACsec reçus avec un EtherType personnalisé sur les services EVPN-MPLS et EVPN-VPWS.

  • (PTX10001-36MR, PTX10002-36QDD, PTX10004, PTX10008 et PTX10016) Si l’encapsulation Ethernet CCC est configurée sur une interface physique et que MACsec est configuré sur cette interface, l’équipement intercepte tous les paquets EAPoL de cette interface, qu’ils soient balisés ou non. Pour éviter cela, vous pouvez configurer un EtherType personnalisé sur cette interface qui est différent de celui utilisé pour les autres trafics MACsec. Après cette configuration, l’appareil intercepte les paquets avec l’EtherType personnalisé et laisse passer les autres paquets non balisés.