Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

섀시 클러스터의 MACsec(Media Access Control Security)

MACsec(Media Access Control Security)은 이더넷 링크상의 모든 트래픽에 대한 안전한 통신을 제공하는 업계 표준 보안 기술입니다. 자세한 내용은 다음 항목을 참조하십시오.

MACsec(Understanding Media Access Control Security)

MACsec(Media Access Control Security)은 이더넷 링크상의 모든 트래픽에 대한 안전한 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 간 이더넷 링크에서 점대점(point-to-point) 보안을 제공합니다. 또한 서비스 거부, 침입, MAN-in-the-Middle, 가장, 수동적 도용 및 재생 공격을 비롯한 대부분의 보안 위협을 식별하고 방지할 수 있습니다.

MACsec을 사용하면 LLDP(Link Layer Discovery Protocol), LACP(Link Aggregation Control Protocol), DHCP(Dynamic Host Configuration Protocol), ARP(Address Resolution Protocol) 및 기타 다른 보안 솔루션으로 인해 이더넷 링크에서 일반적으로 보호되지 않는 프로토콜을 비롯한 거의 모든 트래픽에 대한 Ethernet 링크를 보호할 수 있습니다. MACsec은 IPsec(IP Security) 및 SSL(Secure Sockets Layer)과 같은 다른 보안 프로토콜과 함께 사용하여 엔드-엔드 네트워크 보안을 제공할 수 있습니다.

릴리스 Junos OS 릴리스 15.1X49-D60 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 컨트롤 및 패브릭 포트에서 지원됩니다.

릴리스 Junos OS 릴리스부터 17.4R1 SRX4600 디바이스의 고가용성(HA) 컨트롤 및 패브릭 포트에서 지원됩니다.

이 주제에는 다음 섹션이 포함되어 있습니다.

MACsec의 작동 방식

기능이 특정 플랫폼 또는 기존 릴리스에서 지원되는지 Junos OS Explorer를 참조하십시오.

MACsec은 안전한 점대점(point-to-point) 이더넷 링크를 사용하여 업계 표준 보안을 제공합니다. 점대점(point-to-point) 링크는 보안 키와 일치한 후에 보호됩니다. 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면 Point-to-Point Ethernet 링크의 각 끝에 있는 인터페이스 간에 사용자 구성 사전 공유 키가 교환 및 검증됩니다.

MACsec이 점대점(point-to-point) 이더넷 링크에서 활성화되면 링크를 통과하는 모든 트래픽은 데이터 무결성 검사와 구성된 경우 암호화를 사용하여 MACsec 보안이 유지됩니다.

데이터 무결성 검사는 데이터의 무결성을 검증합니다. MACsec은 8비트 헤더와 16비트 Tail를 MACsec 보안 포인트투 포인트 이더넷 링크를 통해 전달되는 모든 이더넷 프레임에 추가하고, 수신 인터페이스에서 헤더와 테일을 검사하여 링크를 통해 데이터가 손상되지 않도록 합니다. 데이터 무결성 검사가 트래픽에 대해 불규칙한 것을 탐지하면 트래픽은 드롭됩니다.

MACsec은 또한 이더넷 링크의 모든 트래픽을 암호화하는 데 사용할 수 있습니다. MACsec에서 사용되는 암호화는 이더넷 프레임의 데이터를 링크상의 트래픽을 모니터링하는 사람이 볼 수 없습니다.

기본적으로 정적 CAK 보안 모드를 사용하여 MACsec을 활성화하면 인터페이스로 들어오거나 나가는 모든 트래픽에 대한 암호화가 활성화됩니다.

MACsec은 MACsec 지원 인터페이스 간의 점대점(point-to-point) 이더넷 링크에서 구성됩니다. 여러 이더넷 링크에서 MACsec을 활성화하려면 각 점대점 이더넷 링크에서 MACsec을 개별적으로 구성해야 합니다.

연결 협회 및 보안 채널 이해

MACsec은 연결 연결로 구성됩니다. MACsec은 연결 연결에 인터페이스에 할당될 때 활성화됩니다.

정적 CAK 또는 동적 보안 모드를 사용하여 MACsec을 활성화할 경우 연결 연결을 생성하고 구성해야 합니다. 인바운드 트래픽을 위한 보안 채널 1개와 아웃바운드 트래픽을 위한 또 다른 보안 채널 2개가 자동으로 생성됩니다. 자동으로 생성되는 보안 채널에는 사용자가 구성할 수 있는 매개 변수가 없습니다. 모든 구성은 보안 채널 외부의 연결 연결에서 수행됩니다.

정적 연결 연결 이해 키 보안 모드

정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면, 컨트롤 플레인 트래픽을 보호하는 2개의 보안 키(CAK)와 데이터 플레인 트래픽을 보호하는 임의 생성된 SAK(Secure Association Key)가 포인트 투 포인트 이더넷 링크를 보호하는 데 사용됩니다. 링크 보안을 보장하기 위해 점대점(point-to-point) Ethernet 링크의 각 엔드에 있는 두 장비 간에 주기적으로 두 키가 교환됩니다.

처음에는 MACsec을 활성화하기 위해 정적 CAK 보안 모드를 사용할 때 사전 공유 키를 사용하여 MACsec 보안 링크를 구축했습니다. 사전 공유 키에는 CKN(Connectivity Association Name)과 자체 CAK(Connectivity Association Key)가 포함됩니다. CKN 및 CAK는 연결 연결에서 사용자가 구성하며 초기 MACsec을 활성화하려면 링크의 양 끝에 일치해야 합니다.

사전 공유 키 매칭에 성공하면 MKA(MACsec Key Agreement) 프로토콜이 활성화됩니다. MKA 프로토콜은 링크에서 MACsec을 유지 관리하는 업무를 담당하며 포인트 대 점(point-to-point) 링크의 어떤 스위치가 핵심 서버가 되는지 결정합니다. 그런 다음 키 서버는 점대점(point-to-point) 링크의 다른 단말에서만 스위치와 공유되는 SAK를 생성하며, SAK은 링크를 통해 전달되는 모든 데이터 트래픽을 보호하는 데 사용됩니다. 키 서버는 MACsec이 활성화되는 한 점대점(point-to-point) 링크상에서 임의로 생성된 SAK를 정기적으로 생성 및 공유합니다.

링크의 양 끝에 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서 수행되지만 보안 채널 외부에서 수행됩니다. 정적 CAK 보안 모드를 사용하면 2개의 보안 채널(하나는 인바운드 트래픽용 1개와 아웃바운드 트래픽용 1개)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 연결 연결에서 이미 구성할 수 없는 사용자 구성 가능한 매개 변수가 없습니다.

정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 임의 보안 키로 자주 업데이트하고 MACsec 보안 점대점 링크 상에 두 장치 간에 보안 키를 공유하기만 하면 보안이 보장됩니다. 또한 일부 MACsec 기능(재생 보호, SCI 태깅, MACsec에서 트래픽을 제외하는 기능)은 정적 CAK 보안 모드를 사용하여 MACsec을 활성화할 때만 사용할 수 있습니다.

기본 노드에서 명령어를 실행하면 Junos OS Release 15.1X49-D60 Junos OS 릴리스 17.3R1 SRX 디바이스의 경우 기본 컨트롤 및 패브릭 링크에서 MACs 고가용성(HA)ec을 지원하는 SRX 디바이스의 경우 섀시 클러스터 컨트롤 및 패브릭 링크가 플래프되어 클러스터 노드가 분할된 두뇌 모드로 들어갈 수 restart 802.1x-protocol-daemon 있습니다.

MACsec 고려 사항

모든 유형의 스패닝 트리 프로토콜 프레임은 현재 MACsec을 사용하여 암호화할 수 없습니다.

MACsec 인터페이스 구성에 가시적인 연결 연결은 글로벌 또는 노드별 또는 다른 구성 그룹을 정의할 수 있습니다.

MACsec 구성의 경우 두 엔드 모두에 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다. 다른 노드가 MACsec으로 구성되거나 부적절하게 구성되지 않은 경우 포트가 비활성화되어 트래픽 포우징이 중단됩니다.

이전에는 SRX340 15.1X49-D100 SRX345 디바이스는 호스트 대 호스트 또는 스위치-호스트 연결에 대해 MACsec을 지원하지 않습니다.

SRX4600 디바이스는 현재 호스트-호스트 연결에 대해 MACsec을 지원하지 않습니다. Macsec은 전용 fab 포트에서만 지원하며, 더r 트래픽 포트가 fab로 사용되는 경우 지원되지 않습니다.

SRX340 및 SRX345 디바이스에서 MACsec(Media Access Control Security) 구성이 노드에 로컬이 하도록 패브릭 인터페이스를 구성해야 합니다. 그렇지 않으면 패브릭 링크에 연결되지 않습니다.

MACsec(Configuring Media Access Control Security)

릴리스 Junos OS 릴리스 15.1X49-D60 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 컨트롤 및 패브릭 포트에서 지원됩니다.

릴리스 Junos OS 릴리스 17.4R1, MACsec은 섀시 클러스터 모드에서 SRX4600 디바이스의 컨트롤 및 패브릭 포트에서 지원됩니다.

이 주제에는 지원되는 SRX 시리즈 디바이스의 컨트롤 및 패브릭 포트에서 MACsec을 섀시 클러스터에 구성하여 클러스터의 피어 디바이스 간 점대점(point-to-point) 이더넷 링크를 보호하는 방법을 보여줍니다. MACsec을 사용하여 보호하려는 각 점대점 이더넷 링크는 독립적으로 구성되어야 합니다. CAK(Static Connectivity Association Key) 보안 모드를 사용하여 디바이스와 디바이스 링크에서 MACsec 암호화를 사용할 수 있습니다.

두 프로세스의 구성 단계가 이 문서에서 제공됩니다.

섀시 클러스터 설정에서 MACsec 구성 시 구성 고려 사항

시작하기 전에 다음 단계를 수행하여 제어 포트에서 MACsec을 구성합니다.

  1. 섀시 클러스터가 이미 실행 중인 경우, 명령을 사용하여 섀시 클러스터를 비활성화하고 두 노드 set chassis cluster disable 모두를 재부팅합니다.
  2. 다음 섹션에서 설명한 속성을 사용하여 제어 포트에서 MACsec을 구성합니다. 섀시 클러스터 컨트롤 포트에서 정적 CAK구성 두 노드는 동일한 구성으로 독립적으로 구성되어야 합니다.
  3. 노드 두 개에서 모두 사용하여 섀시 set chassis cluster cluster-id id 클러스터를 활성화합니다. 두 노드를 모두 재부팅합니다.

제어 포트 상태는 섀시 클러스터의 무결성에 영향을 미치고 있습니다. 제어 포트에서 MACsec을 구성할 때 다음을 고려합니다.

  • 기존 MACsec 섀시 클러스터 포트 구성에 대한 새로운 MACsec 섀시 클러스터 포트 구성 또는 수정은 섀시 클러스터를 비활성화하고 경고 메시지를 표시해야 Modifying cluster control port CA will break chassis cluster 합니다. 비활성화된 후 앞의 구성을 적용하고 섀시 클러스터를 활성화할 수 있습니다.

  • 기본적으로 섀시 클러스터는 모든 구성을 동기화합니다. 이에 따라 동기화가 MACsec 구성의 손실로 이어지지 않는 모니터링을 해야 합니다. 그렇지 않으면 섀시 클러스터가 중단됩니다. 예를 들어 비대칭 노드별 MACsec 구성의 경우 두 엔드 모두에 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다.

섀시 클러스터 컨트롤 포트의 MACsec이 SRX340 및 SRX345 디바이스에 활성화되면 자격이 없는 타임러는 300초입니다.

두 컨트롤 링크에 장애가 Junos OS 보조 노드의 작동 상태를 180초 동안 자격이 없는 상태로 변경합니다. MACsec이 제어 포트에서 활성화되면 자격이 있는 기간은 SRX4600 디바이스에서 200초입니다.

릴리스 Junos OS 릴리스 15.1X49-D60 Junos OS 릴리스 17.3R1 시작으로 SRX340 및 SRX345 디바이스의 섀시 클러스터에서 초기 홀드 타임이 30초에서 120초로 확장됩니다.

제어 포트의 MACsec 구성이 변경되는 경우 위에서 언급한 단계를 반복해야 합니다.

패브릭 포트에서 MACsec을 구성할 때 다음을 고려합니다.

MACsec을 구성하면 링크의 트래픽 기능에 영향을 미칠 수 있는 링크 상태 변경이 가능합니다. 패브릭 포트를 구성할 때 효과적인 링크 상태를 염두에 두도록 합니다. 패브릭 링크의 양 끝에서 부정확한 MACsec 구성이 링크를 자격이 없는 상태로 이동할 수 있습니다. 패브릭 링크 구성에 대한 주요 포인트는 다음과 같습니다.

  • 섀시 클러스터가 형성되면 링크의 두 엔드 모두를 동시에 구성해야 합니다.

  • 구성이 잘못되어 패브릭 복구 로직에서 패브릭 장애 및 오류가 발생할 수 있습니다.

    잠재적 링크 장애 시나리오 때문에 섀시 클러스터를 구성하는 동안 패브릭 링크를 구성하는 것이 좋습니다.

정적 연결 연결 키 보안 모드를 사용하여 MACsec 구성

점대점(point-to-point) 이더넷 링크 연결 장비에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec 암호화를 활성화할 수 있습니다. 이 절차는 정적 CAK 보안 모드를 사용하여 MACsec을 구성하는 방법을 보여줍니다.

SRX340 및 SRX345 디바이스의 경우 ge-0/0/0은 패브릭 포트, ge-0/0/1은 섀시 클러스터를 위한 컨트롤 포트로 클러스터 컨트롤 포트 0으로 지정됩니다.

SRX4600 디바이스의 경우 전용 컨트롤 및 패브릭 포트를 사용할 수 있습니다. 제어 링크의 MACsec은 전용 컨트롤 포트(컨트롤 포트 0 [em0] 및 포트 1 [em1])에서 구성할 수 있습니다. 패브릭 링크의 Macsec은 전용 패브릭 포트 포트 2 및 fpc0 pic0의 포트 3(예: xe-0/0/2 및 xe-0/0/3)에서만 구성할 수 있습니다.

정적 CAK 보안 모드를 사용하여 장비 대 디바이스 이더넷 링크를 보호하여 MACsec을 구성하려면 다음을 제공합니다.

  1. 연결 연결을 생성합니다. 기존 연결 연결 구성의 경우 이 단계를 건너뛸 수 있습니다.

    예를 들어, 이름에 있는 연결 연결을 생성하고 ca1 다음을 입력합니다.

  2. 연결 연결에 대해 MACsec 보안 static-cak 모드를 구성합니다.

    예를 들어, 연결 연결 ca1에서 MACsec 보안 모드를 static-cak 구성합니다.

  3. CKN(Connectivity Association Key Name) 및 CAK(Connectivity Association Key)를 구성하여 사전 공유 키를 생성합니다.

    사전 공유 키는 직접 연결된 링크 간에 교환하여 MACsec 보안 링크를 구축합니다. 사전 공유 키에는 CKN 및 CAK가 포함됩니다. CKN은 64자리 숫자, CAK는 64자리 숫자입니다. CKN과 CAK는 링크 양단에 일치해야 MACsec 보안 링크를 생성합니다.

    보안을 극대화하기 위해 CKN의 모든 64자리와 CAK의 64자리 모두를 구성하는 것이 좋습니다.

    사전 공유 키가 링크 양쪽 끝에 의해 성공적으로 교환 및 검증되면 MACsec MKA(Key Agreement) 프로토콜을 활성화하고 보안 링크를 관리합니다. 그런 다음 MKA 프로토콜은 두 대의 직접 연결된 장비 중 하나를 핵심 서버로 선택합니다. 그런 다음 키 서버는 MACsec 보안 점대점(point-to-point) 링크를 통해 다른 장비와 임의 보안을 공유합니다. 키 서버는 MACsec을 활성화하는 한 MACsec 보안 점대점(point-to-point) 링크를 통해 다른 장비와 임의 보안 키를 정기적으로 생성 및 공유합니다.

    connectivity association ca1에 대한 CKN 및 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 CAK 228xx255aa23xx6729xx664xxx66e91f 구성:

    MACsec은 연결 연결(connectivity association)이 인터페이스에 연결될 때까지 활성화되지 않습니다. 인터페이스에 연결 연결을 연결하기 위한 이 절차의 마지막 단계를 참조합니다.

  4. (옵션) MKA 주요 서버 우선 순위를 설정합니다.

    주요 서버를 선택하는 데 MKA 프로토콜이 사용하는 주요 서버 우선 순위를 지정합니다. 하단의 디바이스가 키 priority-number 서버로 선택됩니다.

    기본 priority-number 설정은 16입니다.

    점대점(point-to-point) 링크의 양측에서 동일할 경우, MKA 프로토콜은 하위 MAC 주소가 있는 인터페이스를 키 서버로 key-server-priority 선택합니다. 따라서 MACsec 보안 포인트 대 점(point-to-point) 링크의 각 끝에 있는 연결 연결에서 이 명령문이 구성되지 않을 경우, 낮은 MAC 주소가 있는 인터페이스가 주요 서버가 됩니다.

    연결 연결(connectivity association)을 사용하여 인터페이스에서 MACsec을 활성화할 때 현재 장비가 키 서버로 선택될 가능성을 높이기 위해 주요 서버 우선 순위를 0으로 변경하려면 ca1 다음을 제공합니다.

    키 서버 우선 순위를 255로 변경하여 현재 디바이스가 연결 ca1의 키 서버로 선택될 가능성을 줄이면

  5. (옵션) MKA 전송 간격을 설정합니다.

    MKA는 간격 설정이 MKA PDU(Protocol Data Unit)가 링크에서 MACsec 연결을 유지하기 위해 직접 연결된 장비로 전송되는 빈도를 설정합니다. 링크의 대역폭 오버헤드가 낮을수록 MKA 프로토콜 interval interval 통신을 최적화할 수 있습니다.

    기본 interval 설정은 2000 ms입니다. 트래픽 부하가 많은 환경에서 간격을 6000 ms로 늘리는 것이 좋습니다. 정적 CAK 보안 모드를 사용하는 MACsec이 활성화되면 전송 간격 설정은 링크의 양 끝에서 동일해야 합니다.

    SRX340, SRX345 및 SRX4600의 경우 릴리스 17.Junos OS 릴리스 17.4에서 시작하여 기본 MKA 전송 간격은 링크에서 10000 ms 고가용성(HA) 있습니다.

    예를 들어, 연결 연결 ca1이 인터페이스에 연결된 경우, MKA 전송 간격을 6000밀리초로 높이고자 할 경우

  6. (옵션) MACsec 암호화를 비활성화합니다.

    기본적으로 정적 CAK 보안 모드를 사용하여 MACsec을 활성화하면 인터페이스로 들어오거나 나가는 모든 트래픽에 대한 암호화가 활성화됩니다.

    암호화가 비활성화된 경우, 트래픽은 투명한 텍스트로 이더넷 링크 전반으로 전달됩니다. 모니터링할 때 링크를 통해 전달되는 이더넷 프레임에서 암호화되지 않은 데이터를 볼 수 있습니다. MACsec 헤더는 여전히 프레임에 적용되고 있으며, 모든 MACsec 데이터 무결성 검사는 링크의 양 끝에서 실행하여 링크에서 전송되거나 수신된 트래픽이 변조되지 않도록 보장하며 보안 위협을 나타내지 않습니다.

  7. (옵션) 링크를 통과하는 모든 패킷에 대한 상한을 설정합니다.

    예를 들어, 다음 이름의 연결 연결에서 오프셋을 30으로 설정하기를 원할 경우 ca1

    기본 오프셋은 0입니다. 암호화를 활성화하고 설정되지 않은 경우 연결 연결의 모든 트래픽이 offset 암호화됩니다.

    상계가 30으로 설정된 경우 IPv4 헤더 및 TCP/UDP 헤더는 암호화되지 않은 반면 나머지 트래픽은 암호화됩니다. 상계가 50으로 설정되어 있는 경우 IPv6 헤더와 TCP/UDP 헤더는 암호화되지 않은 반면 나머지 트래픽은 암호화됩니다.

    일반적으로 기능을 수행하기 위해 기능을 수행하기 위해 기능이 필요한 경우 암호화되지 않은 첫 번째 30개 또는 50 옥트(octets)로 트래픽을 전달하지만 그렇지 않은 경우 링크를 통해 전송되는 프레임의 나머지 데이터를 암호화하는 것을 선호합니다. 특히 로드 밸런싱 기능은 일반적으로 처음 30개 또는 50개 옥켓에서 IP 및 TCP/UDP 헤더를 확인하여 트래픽을 적절하게 로드 밸런싱해야 합니다.

  8. (옵션) 재생 보호를 활성화합니다.

    MACsec이 링크에서 활성화되면 MACsec 보안 링크의 각 패킷에 ID 번호가 할당됩니다.

    리플레이 보호가 활성화되면 수신 인터페이스는 MACsec 보안 링크를 통과한 모든 패킷의 ID 번호를 확인합니다. 패킷이 순서대로 도착하고 패킷 번호 간의 차이가 재생 보호 창 크기를 초과하면 패킷은 수신 인터페이스에 의해 드롭됩니다. 예를 들어, 재생 보호 윈도우 크기가 5개로 설정되어 1006 ID가 할당된 패킷이 1000개가 할당된 직후 수신 링크에 도착하면, 1006 ID가 할당된 패킷은 리플레이 보호 창의 매개 변수를 밖에 터뜨리기 때문에 드롭됩니다.

    리플레이 보호는 특히 MAN-in-the-Middle 공격에 유용합니다. 이더넷 링크상의 MAN-in-the-middle 공격자가 재생하는 패킷은 시퀀스에서 수신 링크에 도착하기 때문에, 재생 보호는 네트워크를 통해 전송되는 대신, 재생된 패킷이 드롭되도록 하는 데 도움이 됩니다.

    패킷이 순서대로 도착할 것으로 예상되는 경우, 재생 보호를 사용할 수 없습니다.

    재생 창 크기를 0으로 설정하여 모든 패킷이 도착해야 할 수 있습니다.

    연결 연결에 대해 5개의 창 크기로 재생 보호를 ca1 사용하려면:

  9. (옵션) MACsec에서 프로토콜을 제외합니다.

    예를 들어, MACsec을 사용하여 LLDP(Link Level Discovery Protocol)를 보호하지 원치 않는 경우:

    이 옵션이 활성화되면 링크에서 전송 또는 수신되는 LLDP인 지정된 프로토콜의 모든 패킷에 대해 MACsec이 비활성화됩니다.

  10. 섀시 클러스터 제어 인터페이스에 연결 연결을 할당합니다.

    인터페이스에 연결 연결을 할당하는 것은 인터페이스에서 MACsec을 활성화하기 위한 최종 구성 단계입니다.

    예를 들어 인터페이스 ge-0/0/1에 연결 ca1을 할당(SRX340/SRX345의 경우):

  11. 섀시 클러스터 패브릭 인터페이스에서 MACsec을 활성화하기 위해 연결 연결을 할당합니다.

정적 CAK 보안 모드를 사용하는 MACsec은 링크의 반대쪽 끝에 있는 연결 연결도 구성될 때까지 활성화되지 않을 뿐만 아니라 링크의 양 끝에 일치되는 사전 공유 키가 포함되어 있습니다.

섀시 클러스터 컨트롤 포트에서 정적 CAK 구성

2개의 SRX345 CA(certificate authority) 섀시 클러스터 제어 링크에서 디바이스를 구축하려면

  1. 연결 연결에 대해 MACsec 보안 모드를 static-cak 구성합니다.
  2. CKN(Connectivity Association Key Name)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자(0-9, a-f, A-F)의 등한 길이의 문자열이 되어야 합니다.

  3. 연결 연결 키(CAK)를 구성하여 사전 공유 키를 생성합니다.

    CAK에는 64 hexadecimal 문자(0-9, a-f, A-F)가 포함되어야 합니다.

  4. 연결 연결에 대해 섀시 클러스터 컨트롤 포트를 지정합니다.

섀시 클러스터 패브릭 포트에서 정적 CAK 구성

두 SRX345 디바이스에 대한 섀시 클러스터 패브릭 링크를 통해 연결 연결을 설정하려면 다음을 제공합니다.

  1. 연결 연결에 대해 MACsec 보안 static-cak 모드를 구성합니다.
  2. CKN(Connectivity Association Key Name)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자(0-9, a-f, A-F)의 등한 길이의 문자열이 되어야 합니다.

  3. CAK(Connectivity Association Key)를 구성하여 사전 공유 키를 생성합니다.

    CAK에는 64 hexadecimal 문자(0-9, a-f, A-F)가 포함되어야 합니다.

  4. 연결 연결에 섀시 클러스터 패브릭 포트를 지정합니다.

섀시 클러스터의 SRX4600 디바이스 컨트롤 포트에서 정적 CAK 구성

이 프로시저를 사용하여 두 개의 SRX4600 CA(certificate authority) 섀시 클러스터 제어 링크에서 디바이스를 설정합니다.

  1. 연결 연결에 대해 MACsec 보안 모드를 static-cak 구성합니다.
  2. CKN(Connectivity Association Key Name)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자(0-9, a-f, A-F)의 등한 길이의 문자열이 되어야 합니다.

  3. CAK(Connectivity Association Key)를 구성하여 사전 공유 키를 생성합니다.

    CAK에는 64 hexadecimal 문자(0-9, a-f, A-F)가 포함되어야 합니다.

  4. 연결 연결에 대한 섀시 클러스터 컨트롤 포트를 지정합니다.

MACSEC 구성 검증

섀시 클러스터의 SRX4600 Device의 컨트롤 포트에서 정적 CAK 구성에서 제공되는 구성이 제대로 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

디바이스에서 활성 MACsec 연결의 상태를 표시합니다.

목적

MACsec이 섀시 클러스터 설정에서 작동하고 있는지 확인

작업

운영 모드에서 섀시 클러스터 설정 노드 중 하나 또는 두 노드에 show security macsec connections interface interface-name 대한 명령을 입력합니다.

의미

Interface name CA name 출력은 MACsec 연결 연결이 인터페이스 em0에서 작동하고 있는 것으로 표시됩니다. 연결 연결이 인터페이스에서 작동하지 않을 경우 출력이 나타나지 않습니다.

MACsec MKA(Key Agreement) 세션 정보 표시

목적

모든 인터페이스에 대해 MACsec MKA(Key Agreement) 세션 정보를 표시합니다.

작업

작동 모드에서 명령어를 show security mka sessions 입력합니다.

의미

출력은 MKA 세션의 상태를 보여 주며,

MACsec 보안 트래픽이 인터페이스를 통해 통과하는지 검증

목적

인터페이스를 통과하는 트래픽이 MACsec 보안인지 확인

작업

작동 모드에서 명령어를 show security macsec statistics 입력합니다.

의미

필드의 Encrypted packets 라인은 MACsec에 의해 보호되고 암호화되는 인터페이스에서 패킷이 전송할 때마다 증분하는 Secure Channel transmitted 값입니다.

필드의 Accepted packets Secure Association received 라인은 인터페이스에서 MACsec 무결성 검사를 통과한 패킷이 수신할 때마다 증분된 값입니다. 출력 아래에 있는 라인은 암호화된 패킷이 수신 및 복호화 될 때마다 Decrypted bytes Secure Association received 증분됩니다.

MACsec 구성을 통해 섀시 클러스터 포트 보안 확인

목적

섀시 클러스터 포트에서 MACsec이 구성되어 있는지 검증합니다.

작업

작동 모드에서 명령어를 show chassis cluster interfaces 입력합니다.

의미

em0 인터페이스의 출력 하부 라인은 EM0 인터페이스에서 전송된 트래픽을 Security Control interfaces Secured 보호하고 MACsec에 의해 암호화됩니다.

또한 이 명령을 사용하여 섀시 클러스터의 현재 show chassis cluster status 상태를 표시할 수도 있습니다.

릴리스 내역 표
릴리스
설명
17.4R1
섀시 Junos OS 릴리스 17.4R1 SRX4600 디바이스의 고가용성(HA) 컨트롤 및 패브릭 포트에서 지원됩니다.
15.1X49-D60
릴리스 Junos OS 릴리스 15.1X49-D60 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 컨트롤 및 패브릭 포트에서 지원됩니다.