섀시 클러스터의 MACsec(Media Access Control Security)
MACsec(Media Access Control Security)은 이더넷 링크상의 모든 트래픽에 대한 안전한 통신을 제공하는 업계 표준 보안 기술입니다. 자세한 내용은 다음 항목을 참조하십시오.
MACsec(Understanding Media Access Control Security)
MACsec(Media Access Control Security)은 이더넷 링크상의 모든 트래픽에 대한 안전한 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 간 이더넷 링크에서 점대점(point-to-point) 보안을 제공합니다. 또한 서비스 거부, 침입, MAN-in-the-Middle, 가장, 수동적 도용 및 재생 공격을 비롯한 대부분의 보안 위협을 식별하고 방지할 수 있습니다.
MACsec을 사용하면 LLDP(Link Layer Discovery Protocol), LACP(Link Aggregation Control Protocol), DHCP(Dynamic Host Configuration Protocol), ARP(Address Resolution Protocol) 및 기타 다른 보안 솔루션으로 인해 이더넷 링크에서 일반적으로 보호되지 않는 프로토콜을 비롯한 거의 모든 트래픽에 대한 Ethernet 링크를 보호할 수 있습니다. MACsec은 IPsec(IP Security) 및 SSL(Secure Sockets Layer)과 같은 다른 보안 프로토콜과 함께 사용하여 엔드-엔드 네트워크 보안을 제공할 수 있습니다.
릴리스 Junos OS 릴리스 15.1X49-D60 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 컨트롤 및 패브릭 포트에서 지원됩니다.
릴리스 Junos OS 릴리스부터 17.4R1 SRX4600 디바이스의 고가용성(HA) 컨트롤 및 패브릭 포트에서 지원됩니다.
이 주제에는 다음 섹션이 포함되어 있습니다.
MACsec의 작동 방식
기능이 특정 플랫폼 또는 기존 릴리스에서 지원되는지 Junos OS Explorer를 참조하십시오.
MACsec은 안전한 점대점(point-to-point) 이더넷 링크를 사용하여 업계 표준 보안을 제공합니다. 점대점(point-to-point) 링크는 보안 키와 일치한 후에 보호됩니다. 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면 Point-to-Point Ethernet 링크의 각 끝에 있는 인터페이스 간에 사용자 구성 사전 공유 키가 교환 및 검증됩니다.
MACsec이 점대점(point-to-point) 이더넷 링크에서 활성화되면 링크를 통과하는 모든 트래픽은 데이터 무결성 검사와 구성된 경우 암호화를 사용하여 MACsec 보안이 유지됩니다.
데이터 무결성 검사는 데이터의 무결성을 검증합니다. MACsec은 8비트 헤더와 16비트 Tail를 MACsec 보안 포인트투 포인트 이더넷 링크를 통해 전달되는 모든 이더넷 프레임에 추가하고, 수신 인터페이스에서 헤더와 테일을 검사하여 링크를 통해 데이터가 손상되지 않도록 합니다. 데이터 무결성 검사가 트래픽에 대해 불규칙한 것을 탐지하면 트래픽은 드롭됩니다.
MACsec은 또한 이더넷 링크의 모든 트래픽을 암호화하는 데 사용할 수 있습니다. MACsec에서 사용되는 암호화는 이더넷 프레임의 데이터를 링크상의 트래픽을 모니터링하는 사람이 볼 수 없습니다.
기본적으로 정적 CAK 보안 모드를 사용하여 MACsec을 활성화하면 인터페이스로 들어오거나 나가는 모든 트래픽에 대한 암호화가 활성화됩니다.
MACsec은 MACsec 지원 인터페이스 간의 점대점(point-to-point) 이더넷 링크에서 구성됩니다. 여러 이더넷 링크에서 MACsec을 활성화하려면 각 점대점 이더넷 링크에서 MACsec을 개별적으로 구성해야 합니다.
연결 협회 및 보안 채널 이해
MACsec은 연결 연결로 구성됩니다. MACsec은 연결 연결에 인터페이스에 할당될 때 활성화됩니다.
정적 CAK 또는 동적 보안 모드를 사용하여 MACsec을 활성화할 경우 연결 연결을 생성하고 구성해야 합니다. 인바운드 트래픽을 위한 보안 채널 1개와 아웃바운드 트래픽을 위한 또 다른 보안 채널 2개가 자동으로 생성됩니다. 자동으로 생성되는 보안 채널에는 사용자가 구성할 수 있는 매개 변수가 없습니다. 모든 구성은 보안 채널 외부의 연결 연결에서 수행됩니다.
정적 연결 연결 이해 키 보안 모드
정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면, 컨트롤 플레인 트래픽을 보호하는 2개의 보안 키(CAK)와 데이터 플레인 트래픽을 보호하는 임의 생성된 SAK(Secure Association Key)가 포인트 투 포인트 이더넷 링크를 보호하는 데 사용됩니다. 링크 보안을 보장하기 위해 점대점(point-to-point) Ethernet 링크의 각 엔드에 있는 두 장비 간에 주기적으로 두 키가 교환됩니다.
처음에는 MACsec을 활성화하기 위해 정적 CAK 보안 모드를 사용할 때 사전 공유 키를 사용하여 MACsec 보안 링크를 구축했습니다. 사전 공유 키에는 CKN(Connectivity Association Name)과 자체 CAK(Connectivity Association Key)가 포함됩니다. CKN 및 CAK는 연결 연결에서 사용자가 구성하며 초기 MACsec을 활성화하려면 링크의 양 끝에 일치해야 합니다.
사전 공유 키 매칭에 성공하면 MKA(MACsec Key Agreement) 프로토콜이 활성화됩니다. MKA 프로토콜은 링크에서 MACsec을 유지 관리하는 업무를 담당하며 포인트 대 점(point-to-point) 링크의 어떤 스위치가 핵심 서버가 되는지 결정합니다. 그런 다음 키 서버는 점대점(point-to-point) 링크의 다른 단말에서만 스위치와 공유되는 SAK를 생성하며, SAK은 링크를 통해 전달되는 모든 데이터 트래픽을 보호하는 데 사용됩니다. 키 서버는 MACsec이 활성화되는 한 점대점(point-to-point) 링크상에서 임의로 생성된 SAK를 정기적으로 생성 및 공유합니다.
링크의 양 끝에 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서 수행되지만 보안 채널 외부에서 수행됩니다. 정적 CAK 보안 모드를 사용하면 2개의 보안 채널(하나는 인바운드 트래픽용 1개와 아웃바운드 트래픽용 1개)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 연결 연결에서 이미 구성할 수 없는 사용자 구성 가능한 매개 변수가 없습니다.
정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 임의 보안 키로 자주 업데이트하고 MACsec 보안 점대점 링크 상에 두 장치 간에 보안 키를 공유하기만 하면 보안이 보장됩니다. 또한 일부 MACsec 기능(재생 보호, SCI 태깅, MACsec에서 트래픽을 제외하는 기능)은 정적 CAK 보안 모드를 사용하여 MACsec을 활성화할 때만 사용할 수 있습니다.
기본 노드에서 명령어를 실행하면 Junos OS Release 15.1X49-D60 Junos OS 릴리스 17.3R1 SRX 디바이스의 경우 기본 컨트롤 및 패브릭 링크에서 MACs 고가용성(HA)ec을 지원하는 SRX 디바이스의 경우 섀시 클러스터 컨트롤 및 패브릭 링크가 플래프되어 클러스터 노드가 분할된 두뇌 모드로 들어갈 수 restart 802.1x-protocol-daemon
있습니다.
MACsec 고려 사항
모든 유형의 스패닝 트리 프로토콜 프레임은 현재 MACsec을 사용하여 암호화할 수 없습니다.
MACsec 인터페이스 구성에 가시적인 연결 연결은 글로벌 또는 노드별 또는 다른 구성 그룹을 정의할 수 있습니다.
MACsec 구성의 경우 두 엔드 모두에 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다. 다른 노드가 MACsec으로 구성되거나 부적절하게 구성되지 않은 경우 포트가 비활성화되어 트래픽 포우징이 중단됩니다.
이전에는 SRX340 15.1X49-D100 SRX345 디바이스는 호스트 대 호스트 또는 스위치-호스트 연결에 대해 MACsec을 지원하지 않습니다.
SRX4600 디바이스는 현재 호스트-호스트 연결에 대해 MACsec을 지원하지 않습니다. Macsec은 전용 fab 포트에서만 지원하며, 더r 트래픽 포트가 fab로 사용되는 경우 지원되지 않습니다.
SRX340 및 SRX345 디바이스에서 MACsec(Media Access Control Security) 구성이 노드에 로컬이 하도록 패브릭 인터페이스를 구성해야 합니다. 그렇지 않으면 패브릭 링크에 연결되지 않습니다.
MACsec(Configuring Media Access Control Security)
릴리스 Junos OS 릴리스 15.1X49-D60 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 컨트롤 및 패브릭 포트에서 지원됩니다.
릴리스 Junos OS 릴리스 17.4R1, MACsec은 섀시 클러스터 모드에서 SRX4600 디바이스의 컨트롤 및 패브릭 포트에서 지원됩니다.
이 주제에는 지원되는 SRX 시리즈 디바이스의 컨트롤 및 패브릭 포트에서 MACsec을 섀시 클러스터에 구성하여 클러스터의 피어 디바이스 간 점대점(point-to-point) 이더넷 링크를 보호하는 방법을 보여줍니다. MACsec을 사용하여 보호하려는 각 점대점 이더넷 링크는 독립적으로 구성되어야 합니다. CAK(Static Connectivity Association Key) 보안 모드를 사용하여 디바이스와 디바이스 링크에서 MACsec 암호화를 사용할 수 있습니다.
두 프로세스의 구성 단계가 이 문서에서 제공됩니다.
- 섀시 클러스터 설정에서 MACsec 구성 시 구성 고려 사항
- 정적 연결 연결 키 보안 모드를 사용하여 MACsec 구성
- 섀시 클러스터 컨트롤 포트에서 정적 CAK 구성
- 섀시 클러스터 패브릭 포트에서 정적 CAK 구성
- 섀시 클러스터의 SRX4600 디바이스 컨트롤 포트에서 정적 CAK 구성
- MACSEC 구성 검증
섀시 클러스터 설정에서 MACsec 구성 시 구성 고려 사항
시작하기 전에 다음 단계를 수행하여 제어 포트에서 MACsec을 구성합니다.
- 섀시 클러스터가 이미 실행 중인 경우, 명령을 사용하여 섀시 클러스터를 비활성화하고 두 노드
set chassis cluster disable
모두를 재부팅합니다. - 다음 섹션에서 설명한 속성을 사용하여 제어 포트에서 MACsec을 구성합니다. 섀시 클러스터 컨트롤 포트에서 정적 CAK구성 두 노드는 동일한 구성으로 독립적으로 구성되어야 합니다.
- 노드 두 개에서 모두 사용하여 섀시
set chassis cluster cluster-id id
클러스터를 활성화합니다. 두 노드를 모두 재부팅합니다.
제어 포트 상태는 섀시 클러스터의 무결성에 영향을 미치고 있습니다. 제어 포트에서 MACsec을 구성할 때 다음을 고려합니다.
기존 MACsec 섀시 클러스터 포트 구성에 대한 새로운 MACsec 섀시 클러스터 포트 구성 또는 수정은 섀시 클러스터를 비활성화하고 경고 메시지를 표시해야
Modifying cluster control port CA will break chassis cluster
합니다. 비활성화된 후 앞의 구성을 적용하고 섀시 클러스터를 활성화할 수 있습니다.기본적으로 섀시 클러스터는 모든 구성을 동기화합니다. 이에 따라 동기화가 MACsec 구성의 손실로 이어지지 않는 모니터링을 해야 합니다. 그렇지 않으면 섀시 클러스터가 중단됩니다. 예를 들어 비대칭 노드별 MACsec 구성의 경우 두 엔드 모두에 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다.
섀시 클러스터 컨트롤 포트의 MACsec이 SRX340 및 SRX345 디바이스에 활성화되면 자격이 없는 타임러는 300초입니다.
두 컨트롤 링크에 장애가 Junos OS 보조 노드의 작동 상태를 180초 동안 자격이 없는 상태로 변경합니다. MACsec이 제어 포트에서 활성화되면 자격이 있는 기간은 SRX4600 디바이스에서 200초입니다.
릴리스 Junos OS 릴리스 15.1X49-D60 Junos OS 릴리스 17.3R1 시작으로 SRX340 및 SRX345 디바이스의 섀시 클러스터에서 초기 홀드 타임이 30초에서 120초로 확장됩니다.
제어 포트의 MACsec 구성이 변경되는 경우 위에서 언급한 단계를 반복해야 합니다.
패브릭 포트에서 MACsec을 구성할 때 다음을 고려합니다.
MACsec을 구성하면 링크의 트래픽 기능에 영향을 미칠 수 있는 링크 상태 변경이 가능합니다. 패브릭 포트를 구성할 때 효과적인 링크 상태를 염두에 두도록 합니다. 패브릭 링크의 양 끝에서 부정확한 MACsec 구성이 링크를 자격이 없는 상태로 이동할 수 있습니다. 패브릭 링크 구성에 대한 주요 포인트는 다음과 같습니다.
섀시 클러스터가 형성되면 링크의 두 엔드 모두를 동시에 구성해야 합니다.
구성이 잘못되어 패브릭 복구 로직에서 패브릭 장애 및 오류가 발생할 수 있습니다.
잠재적 링크 장애 시나리오 때문에 섀시 클러스터를 구성하는 동안 패브릭 링크를 구성하는 것이 좋습니다.
정적 연결 연결 키 보안 모드를 사용하여 MACsec 구성
점대점(point-to-point) 이더넷 링크 연결 장비에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec 암호화를 활성화할 수 있습니다. 이 절차는 정적 CAK 보안 모드를 사용하여 MACsec을 구성하는 방법을 보여줍니다.
SRX340 및 SRX345 디바이스의 경우 ge-0/0/0은 패브릭 포트, ge-0/0/1은 섀시 클러스터를 위한 컨트롤 포트로 클러스터 컨트롤 포트 0으로 지정됩니다.
SRX4600 디바이스의 경우 전용 컨트롤 및 패브릭 포트를 사용할 수 있습니다. 제어 링크의 MACsec은 전용 컨트롤 포트(컨트롤 포트 0 [em0] 및 포트 1 [em1])에서 구성할 수 있습니다. 패브릭 링크의 Macsec은 전용 패브릭 포트 포트 2 및 fpc0 pic0의 포트 3(예: xe-0/0/2 및 xe-0/0/3)에서만 구성할 수 있습니다.
정적 CAK 보안 모드를 사용하여 장비 대 디바이스 이더넷 링크를 보호하여 MACsec을 구성하려면 다음을 제공합니다.
정적 CAK 보안 모드를 사용하는 MACsec은 링크의 반대쪽 끝에 있는 연결 연결도 구성될 때까지 활성화되지 않을 뿐만 아니라 링크의 양 끝에 일치되는 사전 공유 키가 포함되어 있습니다.
섀시 클러스터 컨트롤 포트에서 정적 CAK 구성
2개의 SRX345 CA(certificate authority) 섀시 클러스터 제어 링크에서 디바이스를 구축하려면
섀시 클러스터 패브릭 포트에서 정적 CAK 구성
두 SRX345 디바이스에 대한 섀시 클러스터 패브릭 링크를 통해 연결 연결을 설정하려면 다음을 제공합니다.
섀시 클러스터의 SRX4600 디바이스 컨트롤 포트에서 정적 CAK 구성
이 프로시저를 사용하여 두 개의 SRX4600 CA(certificate authority) 섀시 클러스터 제어 링크에서 디바이스를 설정합니다.
MACSEC 구성 검증
섀시 클러스터의 SRX4600 Device의 컨트롤 포트에서 정적 CAK 구성에서 제공되는 구성이 제대로 작동하고 있는지 확인하려면 다음 작업을 수행합니다.
- 디바이스에서 활성 MACsec 연결의 상태를 표시합니다.
- MACsec MKA(Key Agreement) 세션 정보 표시
- MACsec 보안 트래픽이 인터페이스를 통해 통과하는지 검증
- MACsec 구성을 통해 섀시 클러스터 포트 보안 확인
디바이스에서 활성 MACsec 연결의 상태를 표시합니다.
목적
MACsec이 섀시 클러스터 설정에서 작동하고 있는지 확인
작업
운영 모드에서 섀시 클러스터 설정 노드 중 하나 또는 두 노드에 show security macsec connections interface interface-name
대한 명령을 입력합니다.
{primary:node0}[edit]
user@host# show security macsec connections
Interface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1 Secure associations AN: 3 Status: inuse Create time: 00:01:43 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 3 Status: inuse Create time: 00:01:43
의미
및 Interface name
CA name
출력은 MACsec 연결 연결이 인터페이스 em0에서 작동하고 있는 것으로 표시됩니다. 연결 연결이 인터페이스에서 작동하지 않을 경우 출력이 나타나지 않습니다.
MACsec MKA(Key Agreement) 세션 정보 표시
목적
모든 인터페이스에 대해 MACsec MKA(Key Agreement) 세션 정보를 표시합니다.
작업
작동 모드에서 명령어를 show security mka sessions
입력합니다.
user@host> show security mka sessions
Interface name: em0
Member identifier: B51CXXXX2678A7F5F6C12345
CAK name: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Transmit interval: 10000(ms)
Outbound SCI: 02:00:00:01:01:04/1
Message number: 270 Key number: 8
Key server: yes Key server priority: 16
Latest SAK AN: 3 Latest SAK KI: B51C8XXX2678A7A5B6C54321/8
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 0413427B38817XXXXF054321 (live)
Message number: 8 Hold time: 59000 (ms)
SCI: 02:00:00:02:01:04/1
Lowest acceptable PN: 0
의미
출력은 MKA 세션의 상태를 보여 주며,
MACsec 보안 트래픽이 인터페이스를 통해 통과하는지 검증
목적
인터페이스를 통과하는 트래픽이 MACsec 보안인지 확인
작업
작동 모드에서 명령어를 show security macsec statistics
입력합니다.
user@host> show security macsec statistics interface em0 detail
Interface name: em0
Secure Channel transmitted
Encrypted packets: 2397305
Encrypted bytes: 129922480
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 2397305
Protected packets: 0
Secure Channel received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 131715088
Secure Association received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 0
의미
필드의 Encrypted packets
라인은 MACsec에 의해 보호되고 암호화되는 인터페이스에서 패킷이 전송할 때마다 증분하는 Secure Channel transmitted
값입니다.
필드의 Accepted packets
Secure Association received
라인은 인터페이스에서 MACsec 무결성 검사를 통과한 패킷이 수신할 때마다 증분된 값입니다. 출력 아래에 있는 라인은 암호화된 패킷이 수신 및 복호화 될 때마다 Decrypted bytes
Secure Association received
증분됩니다.
MACsec 구성을 통해 섀시 클러스터 포트 보안 확인
목적
섀시 클러스터 포트에서 MACsec이 구성되어 있는지 검증합니다.
작업
작동 모드에서 명령어를 show chassis cluster interfaces
입력합니다.
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Enabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-1/1/6 Up / Up Enabled
fab0
fab1 xe-8/1/6 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 2
reth2 Down Not configured
reth3 Down Not configured
reth4 Down Not configured
reth5 Down Not configured
reth6 Down Not configured
reth7 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
의미
em0 인터페이스의 출력 하부 라인은 EM0 인터페이스에서 전송된 트래픽을 Security
Control interfaces
Secured
보호하고 MACsec에 의해 암호화됩니다.
또한 이 명령을 사용하여 섀시 클러스터의 현재 show chassis cluster status
상태를 표시할 수도 있습니다.