Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

섀시 클러스터의 MACsec(Media Access Control Security)

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

플랫폼별 MACsec 동작 섹션에서 플랫폼 관련 참고 사항을 검토하십시오.

MACsec(Media Access Control Security)은 이더넷 링크의 모든 트래픽에 보안 통신을 제공하는 업계 표준 보안 기술입니다. 자세한 내용은 다음 항목을 참조하세요.

MACsec(Media Access Control Security) 이해

MACsec(Media Access Control Security)은 이더넷 링크의 모든 트래픽에 보안 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 간 이더넷 링크에서 포인트 투 포인트 보안을 제공하며 서비스 거부, 침입, 메시지 가로채기(man-in-the-middle), 가장, 수동 도청, 재생 공격 등 대부분의 보안 위협을 식별하고 방지할 수 있습니다.

MACsec을 사용하면 LLDP(Link Layer Discovery Protocol), LACP(Link Aggregation Control Protocol), DHCP(Dynamic Host Configuration Protocol), ARP(Address Resolution Protocol) 및 다른 보안 솔루션과의 제한으로 인해 일반적으로 이더넷 링크에서 보호되지 않는 기타 프로토콜의 프레임을 포함하여 거의 모든 트래픽에 대해 이더넷 링크를 보호할 수 있습니다. MACsec은 엔드 투 엔드 네트워크 보안을 제공하기 위해 IP 보안(IPsec) 및 SSL(Secure Sockets Layer)과 같은 다른 보안 프로토콜과 함께 사용할 수 있습니다.

이러한 주제에는 다음 섹션이 포함됩니다.

MACsec 작동 방식

MACsec은 안전한 점대점(point-to-point) 이더넷 링크를 사용하여 업계 표준 보안을 제공합니다. 포인트 투 포인트 링크는 보안 키를 일치시킨 후 보호됩니다. CAK(정적 연결 연결 키) 보안 모드를 사용하여 MACsec을 활성화하면 포인트 투 포인트 이더넷 링크의 각 끝에 있는 인터페이스 간에 사용자 구성 사전 공유 키가 교환되고 확인됩니다.

포인트 투 포인트 이더넷 링크에서 MACsec이 활성화되면 링크를 통과하는 모든 트래픽은 데이터 무결성 검사 및 암호화(구성된 경우)를 사용하여 MACsec으로 보호됩니다.

데이터 무결성 검사는 데이터의 무결성을 확인합니다. MACsec은 MACsec 보안 포인트 투 포인트 이더넷 링크를 통과하는 모든 이더넷 프레임에 8바이트 헤더와 16바이트 꼬리를 추가하고, 수신 인터페이스는 헤더와 꼬리를 검사하여 링크를 통과하는 동안 데이터가 손상되지 않았는지 확인합니다. 데이터 무결성 검사에서 트래픽에 대한 불규칙한 것이 감지되면 트래픽이 삭제됩니다.

MACsec은 또한 이더넷 링크의 모든 트래픽을 암호화하는 데 사용될 수 있습니다. MACsec에서 사용하는 암호화는 링크의 트래픽을 모니터링하는 사람이 이더넷 프레임의 데이터를 볼 수 없도록 합니다.

기본적으로 정적 CAK 보안 모드를 사용하여 MACsec이 활성화되면 인터페이스를 출입하는 모든 트래픽에 대해 암호화가 활성화됩니다.

MACsec은 MACsec 지원 인터페이스 간의 포인트 투 포인트 이더넷 링크에서 구성됩니다. 여러 이더넷 링크에서 MACsec을 활성화하려면 각 포인트 투 포인트 이더넷 링크에서 개별적으로 MACsec을 구성해야 합니다.

연결 연결 및 보안 채널 이해

MACsec은 연결 연결에서 구성됩니다. MACsec은 연결 연결이 인터페이스에 할당될 때 활성화됩니다.

정적 CAK 또는 동적 보안 모드를 사용하여 MACsec을 사용하도록 설정하는 경우 연결 연결을 생성하고 구성해야 합니다. 두 개의 보안 채널(인바운드 트래픽을 위한 보안 채널 하나와 아웃바운드 트래픽을 위한 보안 채널 하나)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 사용자가 구성할 수 있는 매개 변수가 없습니다. 모든 구성은 보안 채널 외부의 연결 연결에서 수행됩니다.

정적 연결 연결 이해 키 보안 모드

정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면 컨트롤 플레인 트래픽을 보호하는 연결 연결 키(CAK)와 데이터 플레인 트래픽을 보호하는 임의로 생성된 보안 연결 키(SAK)의 두 가지 보안 키가 포인트 투 포인트 이더넷 링크를 보호하는 데 사용됩니다. 두 키는 링크 보안을 보장하기 위해 포인트 투 포인트 이더넷 링크의 양쪽 끝에 있는 두 디바이스 간에 정기적으로 교환됩니다.

MACsec을 활성화하기 위해 정적 CAK 보안 모드를 사용하는 경우 사전 공유 키를 사용하여 처음에 MACsec 보안 링크를 설정합니다. 사전 공유 키에는 CKN(연결 연결 이름)과 자체 연결 연결 키(CAK)가 포함됩니다. CKN 및 CAK는 연결 연결에서 사용자에 의해 구성되며 링크의 양쪽 끝에서 일치해야 MACsec을 처음 활성화할 수 있습니다.

일치하는 사전 공유 키가 성공적으로 교환되면 MKA(MACsec Key Agreement) 프로토콜이 활성화됩니다. MKA 프로토콜은 링크에서 MACsec을 유지 관리하는 역할을 하며, 포인트 투 포인트 링크의 어떤 스위치가 키 서버가 될지 결정합니다. 그런 다음 키 서버는 포인트 투 포인트 링크의 다른 쪽 끝에 있는 스위치와만 공유되는 SAK를 생성하며, 이 SAK는 링크를 통과하는 모든 데이터 트래픽을 보호하는 데 사용됩니다. 키 서버는 MACsec이 활성화되어 있는 한 포인트-투-포인트 링크를 통해 무작위로 생성된 SAK를 주기적으로 생성하고 공유합니다.

링크의 양쪽 끝에서 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서 수행되지만 보안 채널 외부에서 수행됩니다. 정적 CAK 보안 모드를 사용할 때 두 개의 보안 채널(인바운드 트래픽용 및 아웃바운드 트래픽용 채널)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 연결 연결에서 이미 구성할 수 없는 사용자 구성 가능한 매개 변수가 없습니다.

정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 임의 보안 키로 자주 새로 고치고 MACsec 보안 지점 간 링크에서 두 디바이스 간에만 보안 키를 공유하여 보안을 보장합니다. 또한 재생 보호, SCI 태깅, MACsec에서 트래픽을 제외하는 기능 등 일부 선택적 MACsec 기능은 정적 CAK 보안 모드를 사용하여 MACsec을 활성화할 때만 사용할 수 있습니다.

SRX 시리즈 방화벽은 HA 제어 및 패브릭 링크에서 MACsec을 지원합니다. 명령이 restart 802.1x-protocol-daemon 기본 노드에서 실행되면 섀시 클러스터 컨트롤 및 패브릭 링크가 플랩되어 클러스터 노드가 스플릿 브레인 모드로 전환됩니다.

MACsec 고려 사항

모든 유형의 스패닝 트리 프로토콜 프레임은 현재 MACsec을 사용하여 암호화할 수 없습니다.

연결 연결은 MACsec 인터페이스 구성에서 볼 수 있는 한 전역, 노드별 또는 다른 구성 그룹 등 어디에서나 정의할 수 있습니다.

MACsec 구성의 경우, 양쪽 끝에서 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다. 다른 노드가 다른 쪽의 MACsec으로 구성되지 않았거나 부적절하게 구성된 경우 포트는 비활성화되고 트래픽 전달을 중단합니다.

MACsec(Media Access Control Security) 구성

이 주제는 섀시 클러스터에서 지원되는 SRX 시리즈 방화벽의 제어 및 패브릭 포트에서 MACsec을 구성하여 클러스터의 피어 디바이스 간 point-to-point 이더넷 링크를 보호하는 방법을 보여줍니다. MACsec을 사용하여 보호하려는 각 포인트 투 포인트 이더넷 링크는 독립적으로 구성해야 합니다. 정적 연결 연결 키(CAK) 보안 모드를 사용하여 디바이스 간 링크에서 MACsec 암호화를 활성화할 수 있습니다.

두 프로세스에 대한 구성 단계는 이 문서에 나와 있습니다.

섀시 클러스터 설정에서 MACsec을 구성할 때 구성 고려 사항

시작하기 전에 다음 단계에 따라 제어 포트에서 MACsec을 구성하십시오.

  1. 섀시 클러스터가 이미 실행 중인 경우 명령을 사용하여 set chassis cluster disable 비활성화하고 두 노드를 모두 재부팅합니다.
  2. 다음 섹션에 설명된 대로 속성을 사용하여 제어 포트에서 MACsec을 구성합니다. 섀시 클러스터 제어 포트에서 정적 CAK를 구성합니다. 두 노드는 동일한 구성으로 독립적으로 구성되어야 합니다.
  3. 두 노드 모두에서 을(를) 사용하여 set chassis cluster cluster-id id 섀시 클러스터를 활성화합니다. 두 노드를 모두 재부팅합니다.

제어 포트 상태는 섀시 클러스터의 무결성에 영향을 미칩니다. 제어 포트에서 MACsec을 구성할 때 다음 사항을 고려하십시오.

  • 새로운 MACsec 섀시 클러스터 포트 구성 또는 기존 MACsec 섀시 클러스터 포트 구성을 수정하려면 섀시 클러스터를 비활성화해야 하며 경고 메시지가 Modifying cluster control port CA will break chassis cluster표시됩니다. 비활성화되면 이전 구성을 적용하고 섀시 클러스터를 활성화할 수 있습니다.

  • 기본적으로 섀시 클러스터는 모든 구성을 동기화합니다. 따라서 동기화로 인해 MACsec 구성이 손실되지 않도록 모니터링해야 합니다. 그렇지 않으면 섀시 클러스터가 중단됩니다. 예를 들어, 비대칭 노드별 MACsec 구성의 경우 양쪽 끝에 동일한 구성이 있어야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다.

제어 포트의 MACsec 구성을 변경하려면 위에서 언급한 단계를 반복해야 합니다.

패브릭 포트에서 MACsec을 구성할 때 다음 사항을 고려하십시오.

MACsec을 구성하면 링크 상태가 변경되어 링크의 트래픽 기능에 영향을 미칠 수 있습니다. 패브릭 포트를 구성할 때는 유효한 링크 상태를 염두에 두어야 합니다. 패브릭 링크의 양쪽 끝에서 잘못된 MACsec 구성으로 인해 링크가 부적격 상태로 전환될 수 있습니다. 패브릭 링크 구성에 대한 다음 주요 사항에 유의하십시오.

  • 섀시 클러스터가 형성될 때 링크의 양쪽 끝을 동시에 구성해야 합니다.

  • 잘못된 구성은 패브릭 장애 및 패브릭 복구 로직 오류로 이어질 수 있습니다.

    잠재적인 링크 장애 시나리오 때문에 섀시 클러스터 형성 중에 패브릭 링크를 구성하는 것이 좋습니다.

정적 연결 연결 키 보안 모드를 사용하여 MACsec 구성

디바이스를 연결하는 포인트 투 포인트 이더넷 링크에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec 암호화를 활성화할 수 있습니다. 이 절차에서는 정적 CAK 보안 모드를 사용하여 MACsec을 구성하는 방법을 보여줍니다.

이중 제어 링크의 MACsec은 제어 포트 0 [em0] 및 제어 포트 1 [em1]에서 구성됩니다. 수익 인터페이스에 구성된 MACsec은 패브릭 링크를 형성하는 데 사용됩니다. 패브릭 링크는 패브릭 포트(mge-0/0/1 및 mge-7/0/1)에서 구성됩니다.

정적 CAK 보안 모드를 사용하여 장치 간 이더넷 링크를 보호함으로써 MACsec을 구성하려면,

  1. 연결 연결을 만듭니다. 기존 연결 연결을 구성하는 경우 이 단계를 건너뛸 수 있습니다.

    예를 들어 라는 ca1연결 연결을 만들려면 다음과 같이 입력합니다.

  2. 연결 연결에 대해 MACsec 보안 모드를 로 static-cak 구성합니다.

    예를 들어, 연결 연결 ca1에서 MACsec 보안 모드를 로 static-cak 구성하려면 다음을 수행합니다.

  3. 연결 연결 키 이름(CKN) 및 연결 연결 키(CAK)를 구성하여 사전 공유 키를 만듭니다.

    직접 연결된 링크 간에 사전 공유 키가 교환되어 MACsec 보안 링크를 설정합니다. 사전 공유 키에는 CKN과 CAK가 포함됩니다. CKN은 64자리 16진수이고 CAK는 64자리 16진수입니다. CKN과 CAK는 링크의 양쪽 끝에서 일치해야 MACsec 보안 링크를 생성할 수 있습니다.

    보안을 최대화하려면 CKN의 64자리와 CAK의 64자리를 모두 구성하는 것이 좋습니다.

    사전 공유 키가 성공적으로 교환되고 링크의 양쪽 끝에서 확인되면 MKA(MACsec Key Agreement) 프로토콜이 활성화되고 보안 링크가 관리됩니다. 그런 다음 MKA 프로토콜은 직접 연결된 두 디바이스 중 하나를 키 서버로 선택합니다. 그런 다음 키 서버는 MACsec 보안 지점 간 링크를 통해 다른 디바이스와 무작위 보안을 공유합니다. MACsec이 활성화되어 있는 한 키 서버는 계속해서 주기적으로 임의의 보안 키를 생성하고 MACsec 보안 지점 간 링크를 통해 다른 디바이스와 공유합니다.

    연결 연결 ca1에서 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 CKN 및 CAK 228xx255aa23xx6729xx664xxx66e91f 를 구성하려면:

    MACsec은 연결 연결이 인터페이스에 연결될 때까지 활성화되지 않습니다. 이 절차의 마지막 단계를 참조하여 인터페이스에 연결 연결을 연결합니다.

  4. (옵션) MKA 키 서버 우선 순위를 설정합니다.

    MKA 프로토콜에서 키 서버를 선택하는 데 사용하는 키 서버 우선 순위를 지정합니다. 아래쪽 priority-number 의 디바이스가 키 서버로 선택됩니다.

    기본값은 priority-number 16입니다.

    key-server-priority (가) 포인트 투 포인트 링크의 양쪽에서 동일한 경우, MKA 프로토콜은 MAC 주소가 낮은 인터페이스를 키 서버로 선택합니다. 따라서 MACsec 보안 포인트 투 포인트 링크의 각 끝에서 연결 연결에 이 문이 구성되지 않으면 MAC 주소가 낮은 인터페이스가 키 서버가 됩니다.

    연결 연결을 사용하여 인터페이스에서 MACsec이 활성화될 때 현재 디바이스가 키 서버로 선택될 가능성을 높이기 위해 키 서버 ca1우선 순위를 0으로 변경하려면:

    키 서버 우선 순위를 255로 변경하여 현재 디바이스가 연결 연결 ca1에서 키 서버로 선택될 가능성을 줄이려면 다음을 수행합니다.

  5. (옵션) MKA 전송 간격을 설정합니다.

    MKA 전송 간격 설정은 링크에서 MACsec 연결을 유지하기 위해 MKA PDU(프로토콜 데이터 유닛)가 직접 연결된 디바이스로 전송되는 빈도를 설정합니다. 낮 interval 을수록 링크의 대역폭 오버헤드가 증가하고, 높을 interval 수록 MKA 프로토콜 통신이 최적화됩니다.

    기본값은 interval 2000밀리초입니다. 트래픽 부하가 많은 환경에서는 간격을 6000ms로 늘리는 것이 좋습니다. 정적 CAK 보안 모드를 사용하는 MACsec이 활성화된 경우 전송 간격 설정은 링크의 양쪽 끝에서 동일해야 합니다.

    SRX340, SRX345 및 SRX4600 디바이스의 경우 기본 MKA 전송 간격은 HA 링크에서 10000ms입니다.

    예를 들어, 연결 연결 ca1이 인터페이스에 연결되어 있을 때 MKA 전송 간격을 6000밀리초로 늘리려면 다음을 수행합니다.

  6. (선택 사항) MACsec 암호화를 비활성화합니다.

    기본적으로 정적 CAK 보안 모드를 사용하여 MACsec이 활성화되면 인터페이스를 출입하는 모든 트래픽에 대해 암호화가 활성화됩니다.

    암호화가 비활성화되면 트래픽이 이더넷 링크를 통해 일반 텍스트로 전달됩니다. 모니터링 시 링크를 트래버스하는 이더넷 프레임에서 암호화되지 않은 데이터를 볼 수 있습니다. 그러나 MACsec 헤더는 여전히 프레임에 적용되며, 모든 MACsec 데이터 무결성 검사는 링크의 양쪽 끝에서 실행되어 링크에서 송수신된 트래픽이 변조되지 않았으며 보안 위협을 나타내지 않는지 확인합니다.

  7. (선택 사항) 링크를 통과하는 모든 패킷에 대해 오프셋을 설정합니다.

    예를 들어, 라는 ca1연결 연결에서 오프셋을 30으로 설정하려는 경우:

    기본 오프셋은 0입니다. 암호화가 활성화되고 이 offset 설정되지 않으면 연결 연결의 모든 트래픽이 암호화됩니다.

    오프셋을 30으로 설정하면 IPv4 헤더와 TCP/UDP 헤더는 암호화되지 않고 나머지 트래픽은 암호화됩니다. 오프셋을 50으로 설정하면 IPv6 헤더와 TCP/UDP 헤더는 암호화되지 않고 나머지 트래픽은 암호화됩니다.

    기능이 기능을 수행하기 위해 옥텟의 데이터를 확인해야 하는 경우 일반적으로 처음 30 또는 50 옥텟을 암호화하지 않은 상태로 트래픽을 전달하지만, 그렇지 않은 경우에는 링크를 통과하는 프레임의 나머지 데이터를 암호화하는 것이 좋습니다. 특히 로드 밸런싱 기능은 일반적으로 트래픽 로드 밸런싱을 제대로 위해 처음 30 또는 50 옥텟에서 IP 및 TCP/UDP 헤더를 확인해야 합니다.

  8. (옵션) 재생 보호를 활성화합니다.

    링크에서 MACsec이 활성화되면 MACsec 보안 링크의 각 패킷에 ID 번호가 할당됩니다.

    재생 보호가 활성화되면 수신 인터페이스는 MACsec 보안 링크를 통과한 모든 패킷의 ID 번호를 확인합니다. 패킷이 순서에 맞지 않게 도착하고 패킷 번호 간의 차이가 재생 보호 창 크기를 초과하면 수신 인터페이스에 의해 패킷이 삭제됩니다. 예를 들어 재생 보호 창 크기가 5로 설정되어 있고 ID 1000이 할당된 패킷이 패킷 ID 1000 직후 수신 링크에 도착하는 경우 ID 1006이 할당된 패킷은 재생 보호 창의 매개 변수를 벗어나기 때문에 삭제됩니다.

    재생 보호는 메시지 가로채기(man-in-the-middle) 공격에 대처하는 데 특히 유용합니다. 이더넷 링크에서 메시지 가로채기(man-in-the-middle) 공격자가 재생하는 패킷은 순서에 맞지 않게 수신 링크에 도착하므로 재생 보호를 통해 재생된 패킷이 네트워크를 통해 전달되지 않고 드롭되도록 할 수 있습니다.

    패킷이 잘못된 순서로 도착할 것으로 예상되는 경우 재생 보호를 사용하도록 설정하면 안 됩니다.

    재생 창 크기를 0으로 설정하여 모든 패킷이 순서대로 도착하도록 요구할 수 있습니다.

    연결 연결 ca1시 창 크기가 5인 재생 보호를 사용하도록 설정하려면:

  9. (옵션) MACsec에서 프로토콜을 제외합니다.

    예를 들어, MACsec을 사용하여 LLDP(Link Level Discovery Protocol)를 보호하지 않으려는 경우:

    이 옵션을 활성화하면 링크에서 송수신되는 지정된 프로토콜(이 경우 LLDP)의 모든 패킷에 대해 MACsec이 비활성화됩니다.

  10. 섀시 클러스터 제어 인터페이스에 연결 연결을 할당합니다.

    인터페이스에 연결 연결을 할당하는 것은 인터페이스에서 MACsec을 활성화하기 위한 마지막 구성 단계입니다.

    예를 들어, 인터페이스 ge-0/0/1에 연결 연결 ca1을 할당하려면(SRX340/SRX345의 경우):

    예를 들어, 인터페이스 ge-0/0/0에 연결 연결 ca1을 할당하려면(SRX380의 경우):

  11. 섀시 클러스터 패브릭 인터페이스에서 MACsec을 활성화하기 위한 연결 연결을 할당합니다.

정적 CAK 보안 모드를 사용하는 MACsec은 링크의 반대쪽 끝에 있는 연결 연결도 구성되고 링크의 양쪽 끝에서 일치하는 사전 공유 키를 포함할 때까지 활성화되지 않습니다.

섀시 클러스터 제어 포트에서 정적 CAK 구성

섀시 클러스터를 통해 CA를 설정하려면 두 개의 SRX345 디바이스에 제어 링크가 있습니다.

  1. 연결 연결을 위해 MACsec 보안 모드를 로 static-cak 구성합니다.
  2. 연결 연결 키 이름(CKN)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자의 16진수 문자(0-9, a-f, A-F)의 짝수 길이 문자열이어야 합니다.

  3. CAK(연결 연결 키)를 구성하여 사전 공유 키를 만듭니다.

    CAK에는 64개의 16진수 문자(0-9, a-f, A-F)가 포함되어야 합니다.

  4. 연결 연결을 위한 섀시 클러스터 제어 포트를 지정합니다.

섀시 클러스터 패브릭 포트에서 정적 CAK 구성

SRX345 디바이스 2개에서 섀시 클러스터 패브릭 링크를 통해 연결 연결을 설정하려면 다음을 수행합니다.

  1. 연결 연결에 대해 MACsec 보안 모드를 로 static-cak 구성합니다.
  2. 연결 연결 키 이름(CKN)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자의 16진수 문자(0-9, a-f, A-F)의 짝수 길이 문자열이어야 합니다.

  3. 연결 연결 키(CAK)를 구성하여 사전 공유 키를 만듭니다.

    CAK에는 64개의 16진수 문자(0-9, a-f, A-F)가 포함되어야 합니다.

  4. 연결 연결에 대한 섀시 클러스터 패브릭 포트를 지정합니다.

SRX1600, SRX2300 및 SRX4300 디바이스의 제어 포트에서 정적 CAK를 구성합니다

두 개의 SRX1600 디바이스 또는 두 개의 SRX2300 디바이스 또는 SRX4300 디바이스에서 섀시 클러스터 제어 링크를 통해 연결 연결을 구성합니다.

  1. 연결 연결에 대해 MACsec 보안 모드를 로 static-cak 구성합니다.
  2. 연결 연결 키 이름(CKN)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자의 16진수 문자(0-9, a-f, A-F)의 짝수 길이 문자열이어야 합니다.

  3. 연결 연결 키(CAK)를 구성하여 사전 공유 키를 만듭니다.

    CAK에는 64개의 16진수 문자(0-9, a-f, A-F)가 포함되어야 합니다.

  4. 연결 연결을 위한 섀시 클러스터 제어 포트를 지정합니다.

활성 MACsec 연결의 상태를 보려면 명령을 실행합니다 show security macsec connections .

MACsec 키 계약 세션 정보를 보려면 명령을 실행합니다 show security mka sessions .

제어 및 패브릭 포트의 보안 상태를 확인합니다. MACsec이 제어 포트 0 및 제어 포트 1 모두에 대해 활성화되면 명령을 실행합니다 show chassis cluster interfaces .

에 대한 제어 포트에서 정적 CAK를 구성합니다SRX4600

이 절차를 사용하여 두 개의 SRX4600 디바이스에서 섀시 클러스터 제어 링크를 통해 CA를 설정합니다.

  1. 연결 연결을 위해 MACsec 보안 모드를 로 static-cak 구성합니다.
  2. 연결 연결 키 이름(CKN)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자의 16진수 문자(0-9, a-f, A-F)의 짝수 길이 문자열이어야 합니다.

  3. 연결 연결 키(CAK)를 구성하여 사전 공유 키를 만듭니다.

    CAK에는 64개의 16진수 문자(0-9, a-f, A-F)가 포함되어야 합니다.

  4. 연결 연결을 위한 섀시 클러스터 제어 포트를 지정합니다.

MACSEC 구성 확인

SRX4600의 제어 포트에서 정적 CAK 구성에 제공된 구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

디바이스의 활성 MACsec 연결 상태 표시

목적

MACsec이 섀시 클러스터 설정에서 작동하는지 확인합니다.

행동

운영 모드에서 섀시 클러스터 설정의 노드 중 하나 또는 둘 다에 명령을 입력합니다 show security macsec connections interface interface-name .

의미

CA name 출력은 Interface name MACsec 연결 연결이 인터페이스 em0에서 작동함을 보여줍니다. 연결 연결이 인터페이스에서 작동하지 않을 때는 출력이 나타나지 않습니다.

MKA(MACsec Key Agreement) 세션 정보 표시

목적

모든 인터페이스에 대한 MKA(MACsec Key Agreement) 세션 정보를 표시합니다.

행동

운영 모드에서 명령을 입력합니다 show security mka sessions .

의미

출력은 MKA 세션의 상태를 보여줍니다.

MACsec 보안 트래픽이 인터페이스를 통해 트래버스하는지 확인합니다

목적

인터페이스를 통과하는 트래픽이 MACsec으로 보호되는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security macsec statistics .

의미

Encrypted packets 필드 아래의 Secure Channel transmitted 줄은 MACsec에 의해 보안 및 암호화된 인터페이스에서 패킷이 전송될 때마다 증가되는 값입니다.

필드 아래의 Secure Association received 줄은 Accepted packets MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 증가하는 값입니다. Decrypted bytes 출력 아래의 Secure Association received 줄은 암호화된 패킷이 수신되고 해독될 때마다 증가합니다.

MACsec 구성으로 섀시 클러스터 포트가 보호되는지 확인합니다.

목적

MACsec이 섀시 클러스터 포트에 구성되어 있는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster interfaces .

의미

Secured 표시된 em0 인터페이스의 출력 아래 Control interfaces 줄은 Security em0 인터페이스에서 전송된 트래픽이 MACsec에 의해 보안 및 암호화됨을 의미합니다.

또한 show chassis cluster status 명령을 사용하여 섀시 클러스터의 현재 상태를 표시할 수 있습니다.

플랫폼별 MACsec 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토합니다.

플랫폼

다름

SRX 시리즈

  • SRX340, SRX345 및 SRX380 MACsec을 지원하는 방화벽은 섀시 클러스터 제어 포트에서 MACsec이 활성화될 때 300초 부적격 타이머를 갖습니다. 두 제어 링크에 모두 장애가 발생하면 Junos OS는 보조 노드의 운영 상태를 180초 동안 부적격으로 변경합니다.

  • 제어 포트에서 MACsec을 지원하는 방화벽SRX4600 부적격 기간은 200초입니다.

  • MACsec을 지원하는 SRX340, SRX345 및 SRX380 방화벽은 초기 보류 타이머를 30초가 아닌 120초로 설정합니다.

  • MACsec을 지원하는 SRX340 및 SRX345 방화벽은 다음 포트를 사용합니다.

    • ge-0/0/0은 패브릭 포트입니다

    • ge-0/0/1은 섀시 클러스터의 제어 포트입니다.

      섀시 클러스터는 ge-0/0/1을 cluster-control-port 0으로 할당합니다.

  • SRX380 방화벽은 MACsec을 지원합니다. 및 cluster-data-port에서 cluster-control-port MACsec을 구성하기 전에 각 노드를 독립형 모드로 설정합니다. 두 노드에 MACsec을 적용한 다음 섀시 클러스터 모드로 재부팅합니다.

  • MACsec을 지원하는 SRX380 방화벽은 ge-0/0/0을 패브릭 포트로 사용합니다. 인터페이스 ge-0/0/15는 섀시 클러스터의 제어 포트 역할을 합니다.

  • MACsec을 지원하는 SRX4600 방화벽에는 전용 제어 및 패브릭 포트가 포함되어 있습니다. 전용 제어 포트 0 [em0] 및 포트 1 [em1]이 있는 제어 링크에서 MACsec을 구성합니다. 전용 패브릭 포트의 패브릭 링크에서 MACsec을 구성합니다.

    • fpc0 pic0의 포트 2 및 포트 3(예: xe-0/0/2 및 xe-0/0/3)

    • fpc7 pic0의 포트 2 및 포트 3

  • MACsec을 지원하는 SRX1600 방화벽은 전용 듀얼 컨트롤 포트(em0/em1)를 포함하며 듀얼 패브릭 포트를 제공합니다.

  • MACsec을 지원하는 SRX2300 방화벽은 이중 제어 포트(em0/em1)를 포함하며 이중 패브릭 포트를 제공합니다.

  • SRX340 및 SRX345 방화벽은 섀시 클러스터 모드에서 컨트롤 및 패브릭 포트의 MACsec을 지원합니다.

  • SRX340, SRX345 및 SRX380 방화벽은 호스트-호스트 또는 스위치-호스트 MACsec을 지원합니다.

  • 방화벽SRX4600 호스트 간 연결에 대해 MACsec을 지원하지 않습니다. 전용 팹 포트만 MACsec을 지원합니다. 방화벽은 다른 트래픽 포트가 팹 역할을 하는 경우 MACsec을 허용하지 않습니다.

  • SRX340, SRX345 및 SRX380 MACsec을 지원하는 방화벽은 각 노드에 로컬 MACsec 구성이 필요합니다. 그렇지 않으면 이러한 방화벽이 패브릭 링크에 연결할 수 없습니다.

  • MACsec을 지원하는 SRX1600, SRX2300 및 SRX4300 방화벽은 MACsec 구성에서 이중 제어 포트를 사용할 수 있습니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
20.1
Junos OS 릴리스 20.1R1부터 MACsec은 트래픽을 보호하기 위해 섀시 클러스터 모드에서 SRX380 디바이스의 컨트롤 포트, 패브릭 포트 및 수익 포트에서 지원됩니다. MACsec은 16X1기가비트 이더넷 포트(ge-0/0/0 - ge-0/0/15) 및 4X10기가비트 이더넷 포트(xe-0/0/16 - xe-0/0/19)에서 지원됩니다.