섀시 클러스터의 MACsec(Media Access Control Security)
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.
플랫폼별 MACsec 동작 섹션에서 플랫폼 관련 참고 사항을 검토하십시오.
MACsec(Media Access Control Security)은 이더넷 링크의 모든 트래픽에 보안 통신을 제공하는 업계 표준 보안 기술입니다. 자세한 내용은 다음 항목을 참조하세요.
MACsec(Media Access Control Security) 이해
MACsec(Media Access Control Security)은 이더넷 링크의 모든 트래픽에 보안 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 간 이더넷 링크에서 포인트 투 포인트 보안을 제공하며 서비스 거부, 침입, 메시지 가로채기(man-in-the-middle), 가장, 수동 도청, 재생 공격 등 대부분의 보안 위협을 식별하고 방지할 수 있습니다.
MACsec을 사용하면 LLDP(Link Layer Discovery Protocol), LACP(Link Aggregation Control Protocol), DHCP(Dynamic Host Configuration Protocol), ARP(Address Resolution Protocol) 및 다른 보안 솔루션과의 제한으로 인해 일반적으로 이더넷 링크에서 보호되지 않는 기타 프로토콜의 프레임을 포함하여 거의 모든 트래픽에 대해 이더넷 링크를 보호할 수 있습니다. MACsec은 엔드 투 엔드 네트워크 보안을 제공하기 위해 IP 보안(IPsec) 및 SSL(Secure Sockets Layer)과 같은 다른 보안 프로토콜과 함께 사용할 수 있습니다.
이러한 주제에는 다음 섹션이 포함됩니다.
MACsec 작동 방식
MACsec은 안전한 점대점(point-to-point) 이더넷 링크를 사용하여 업계 표준 보안을 제공합니다. 포인트 투 포인트 링크는 보안 키를 일치시킨 후 보호됩니다. CAK(정적 연결 연결 키) 보안 모드를 사용하여 MACsec을 활성화하면 포인트 투 포인트 이더넷 링크의 각 끝에 있는 인터페이스 간에 사용자 구성 사전 공유 키가 교환되고 확인됩니다.
포인트 투 포인트 이더넷 링크에서 MACsec이 활성화되면 링크를 통과하는 모든 트래픽은 데이터 무결성 검사 및 암호화(구성된 경우)를 사용하여 MACsec으로 보호됩니다.
데이터 무결성 검사는 데이터의 무결성을 확인합니다. MACsec은 MACsec 보안 포인트 투 포인트 이더넷 링크를 통과하는 모든 이더넷 프레임에 8바이트 헤더와 16바이트 꼬리를 추가하고, 수신 인터페이스는 헤더와 꼬리를 검사하여 링크를 통과하는 동안 데이터가 손상되지 않았는지 확인합니다. 데이터 무결성 검사에서 트래픽에 대한 불규칙한 것이 감지되면 트래픽이 삭제됩니다.
MACsec은 또한 이더넷 링크의 모든 트래픽을 암호화하는 데 사용될 수 있습니다. MACsec에서 사용하는 암호화는 링크의 트래픽을 모니터링하는 사람이 이더넷 프레임의 데이터를 볼 수 없도록 합니다.
기본적으로 정적 CAK 보안 모드를 사용하여 MACsec이 활성화되면 인터페이스를 출입하는 모든 트래픽에 대해 암호화가 활성화됩니다.
MACsec은 MACsec 지원 인터페이스 간의 포인트 투 포인트 이더넷 링크에서 구성됩니다. 여러 이더넷 링크에서 MACsec을 활성화하려면 각 포인트 투 포인트 이더넷 링크에서 개별적으로 MACsec을 구성해야 합니다.
연결 연결 및 보안 채널 이해
MACsec은 연결 연결에서 구성됩니다. MACsec은 연결 연결이 인터페이스에 할당될 때 활성화됩니다.
정적 CAK 또는 동적 보안 모드를 사용하여 MACsec을 사용하도록 설정하는 경우 연결 연결을 생성하고 구성해야 합니다. 두 개의 보안 채널(인바운드 트래픽을 위한 보안 채널 하나와 아웃바운드 트래픽을 위한 보안 채널 하나)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 사용자가 구성할 수 있는 매개 변수가 없습니다. 모든 구성은 보안 채널 외부의 연결 연결에서 수행됩니다.
정적 연결 연결 이해 키 보안 모드
정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면 컨트롤 플레인 트래픽을 보호하는 연결 연결 키(CAK)와 데이터 플레인 트래픽을 보호하는 임의로 생성된 보안 연결 키(SAK)의 두 가지 보안 키가 포인트 투 포인트 이더넷 링크를 보호하는 데 사용됩니다. 두 키는 링크 보안을 보장하기 위해 포인트 투 포인트 이더넷 링크의 양쪽 끝에 있는 두 디바이스 간에 정기적으로 교환됩니다.
MACsec을 활성화하기 위해 정적 CAK 보안 모드를 사용하는 경우 사전 공유 키를 사용하여 처음에 MACsec 보안 링크를 설정합니다. 사전 공유 키에는 CKN(연결 연결 이름)과 자체 연결 연결 키(CAK)가 포함됩니다. CKN 및 CAK는 연결 연결에서 사용자에 의해 구성되며 링크의 양쪽 끝에서 일치해야 MACsec을 처음 활성화할 수 있습니다.
일치하는 사전 공유 키가 성공적으로 교환되면 MKA(MACsec Key Agreement) 프로토콜이 활성화됩니다. MKA 프로토콜은 링크에서 MACsec을 유지 관리하는 역할을 하며, 포인트 투 포인트 링크의 어떤 스위치가 키 서버가 될지 결정합니다. 그런 다음 키 서버는 포인트 투 포인트 링크의 다른 쪽 끝에 있는 스위치와만 공유되는 SAK를 생성하며, 이 SAK는 링크를 통과하는 모든 데이터 트래픽을 보호하는 데 사용됩니다. 키 서버는 MACsec이 활성화되어 있는 한 포인트-투-포인트 링크를 통해 무작위로 생성된 SAK를 주기적으로 생성하고 공유합니다.
링크의 양쪽 끝에서 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서 수행되지만 보안 채널 외부에서 수행됩니다. 정적 CAK 보안 모드를 사용할 때 두 개의 보안 채널(인바운드 트래픽용 및 아웃바운드 트래픽용 채널)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 연결 연결에서 이미 구성할 수 없는 사용자 구성 가능한 매개 변수가 없습니다.
정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 임의 보안 키로 자주 새로 고치고 MACsec 보안 지점 간 링크에서 두 디바이스 간에만 보안 키를 공유하여 보안을 보장합니다. 또한 재생 보호, SCI 태깅, MACsec에서 트래픽을 제외하는 기능 등 일부 선택적 MACsec 기능은 정적 CAK 보안 모드를 사용하여 MACsec을 활성화할 때만 사용할 수 있습니다.
SRX 시리즈 방화벽은 HA 제어 및 패브릭 링크에서 MACsec을 지원합니다. 명령이 restart 802.1x-protocol-daemon
기본 노드에서 실행되면 섀시 클러스터 컨트롤 및 패브릭 링크가 플랩되어 클러스터 노드가 스플릿 브레인 모드로 전환됩니다.
MACsec 고려 사항
모든 유형의 스패닝 트리 프로토콜 프레임은 현재 MACsec을 사용하여 암호화할 수 없습니다.
연결 연결은 MACsec 인터페이스 구성에서 볼 수 있는 한 전역, 노드별 또는 다른 구성 그룹 등 어디에서나 정의할 수 있습니다.
MACsec 구성의 경우, 양쪽 끝에서 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다. 다른 노드가 다른 쪽의 MACsec으로 구성되지 않았거나 부적절하게 구성된 경우 포트는 비활성화되고 트래픽 전달을 중단합니다.
MACsec(Media Access Control Security) 구성
이 주제는 섀시 클러스터에서 지원되는 SRX 시리즈 방화벽의 제어 및 패브릭 포트에서 MACsec을 구성하여 클러스터의 피어 디바이스 간 point-to-point 이더넷 링크를 보호하는 방법을 보여줍니다. MACsec을 사용하여 보호하려는 각 포인트 투 포인트 이더넷 링크는 독립적으로 구성해야 합니다. 정적 연결 연결 키(CAK) 보안 모드를 사용하여 디바이스 간 링크에서 MACsec 암호화를 활성화할 수 있습니다.
두 프로세스에 대한 구성 단계는 이 문서에 나와 있습니다.
- 섀시 클러스터 설정에서 MACsec을 구성할 때 구성 고려 사항
- 정적 연결 연결 키 보안 모드를 사용하여 MACsec 구성
- 섀시 클러스터 제어 포트에서 정적 CAK 구성
- 섀시 클러스터 패브릭 포트에서 정적 CAK 구성
- SRX1600, SRX2300 및 SRX4300 디바이스의 제어 포트에서 정적 CAK를 구성합니다
- 에 대한 제어 포트에서 정적 CAK를 구성합니다SRX4600
- MACSEC 구성 확인
섀시 클러스터 설정에서 MACsec을 구성할 때 구성 고려 사항
시작하기 전에 다음 단계에 따라 제어 포트에서 MACsec을 구성하십시오.
- 섀시 클러스터가 이미 실행 중인 경우 명령을 사용하여
set chassis cluster disable
비활성화하고 두 노드를 모두 재부팅합니다. - 다음 섹션에 설명된 대로 속성을 사용하여 제어 포트에서 MACsec을 구성합니다. 섀시 클러스터 제어 포트에서 정적 CAK를 구성합니다. 두 노드는 동일한 구성으로 독립적으로 구성되어야 합니다.
- 두 노드 모두에서 을(를) 사용하여
set chassis cluster cluster-id id
섀시 클러스터를 활성화합니다. 두 노드를 모두 재부팅합니다.
제어 포트 상태는 섀시 클러스터의 무결성에 영향을 미칩니다. 제어 포트에서 MACsec을 구성할 때 다음 사항을 고려하십시오.
-
새로운 MACsec 섀시 클러스터 포트 구성 또는 기존 MACsec 섀시 클러스터 포트 구성을 수정하려면 섀시 클러스터를 비활성화해야 하며 경고 메시지가
Modifying cluster control port CA will break chassis cluster
표시됩니다. 비활성화되면 이전 구성을 적용하고 섀시 클러스터를 활성화할 수 있습니다. -
기본적으로 섀시 클러스터는 모든 구성을 동기화합니다. 따라서 동기화로 인해 MACsec 구성이 손실되지 않도록 모니터링해야 합니다. 그렇지 않으면 섀시 클러스터가 중단됩니다. 예를 들어, 비대칭 노드별 MACsec 구성의 경우 양쪽 끝에 동일한 구성이 있어야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다.
제어 포트의 MACsec 구성을 변경하려면 위에서 언급한 단계를 반복해야 합니다.
패브릭 포트에서 MACsec을 구성할 때 다음 사항을 고려하십시오.
MACsec을 구성하면 링크 상태가 변경되어 링크의 트래픽 기능에 영향을 미칠 수 있습니다. 패브릭 포트를 구성할 때는 유효한 링크 상태를 염두에 두어야 합니다. 패브릭 링크의 양쪽 끝에서 잘못된 MACsec 구성으로 인해 링크가 부적격 상태로 전환될 수 있습니다. 패브릭 링크 구성에 대한 다음 주요 사항에 유의하십시오.
-
섀시 클러스터가 형성될 때 링크의 양쪽 끝을 동시에 구성해야 합니다.
-
잘못된 구성은 패브릭 장애 및 패브릭 복구 로직 오류로 이어질 수 있습니다.
잠재적인 링크 장애 시나리오 때문에 섀시 클러스터 형성 중에 패브릭 링크를 구성하는 것이 좋습니다.
정적 연결 연결 키 보안 모드를 사용하여 MACsec 구성
디바이스를 연결하는 포인트 투 포인트 이더넷 링크에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec 암호화를 활성화할 수 있습니다. 이 절차에서는 정적 CAK 보안 모드를 사용하여 MACsec을 구성하는 방법을 보여줍니다.
이중 제어 링크의 MACsec은 제어 포트 0 [em0] 및 제어 포트 1 [em1]에서 구성됩니다. 수익 인터페이스에 구성된 MACsec은 패브릭 링크를 형성하는 데 사용됩니다. 패브릭 링크는 패브릭 포트(mge-0/0/1 및 mge-7/0/1)에서 구성됩니다.
정적 CAK 보안 모드를 사용하여 장치 간 이더넷 링크를 보호함으로써 MACsec을 구성하려면,
정적 CAK 보안 모드를 사용하는 MACsec은 링크의 반대쪽 끝에 있는 연결 연결도 구성되고 링크의 양쪽 끝에서 일치하는 사전 공유 키를 포함할 때까지 활성화되지 않습니다.
섀시 클러스터 제어 포트에서 정적 CAK 구성
섀시 클러스터를 통해 CA를 설정하려면 두 개의 SRX345 디바이스에 제어 링크가 있습니다.
섀시 클러스터 패브릭 포트에서 정적 CAK 구성
SRX345 디바이스 2개에서 섀시 클러스터 패브릭 링크를 통해 연결 연결을 설정하려면 다음을 수행합니다.
SRX1600, SRX2300 및 SRX4300 디바이스의 제어 포트에서 정적 CAK를 구성합니다
두 개의 SRX1600 디바이스 또는 두 개의 SRX2300 디바이스 또는 SRX4300 디바이스에서 섀시 클러스터 제어 링크를 통해 연결 연결을 구성합니다.
활성 MACsec 연결의 상태를 보려면 명령을 실행합니다 show security macsec connections .
user@host> show security macsec connections Interface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1914287 Secure associations AN: 0 Status: inuse Create time: 07:33:26 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 0 Status: inuse Create time: 07:33:26 Interface name: em1 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:01:01:01:04/1 Outgoing packet number: 108885 Secure associations AN: 0 Status: inuse Create time: 07:33:26 Inbound secure channels SC Id: 02:00:01:02:01:04/1 Secure associations AN: 0 Status: inuse Create time: 07:33:26
MACsec 키 계약 세션 정보를 보려면 명령을 실행합니다 show security mka sessions .
user@host> show security mka sessions Interface name: em0 Interface State: Secured - Primary Member identifier: 7A3FC14B77F5296124A8D22A CAK name: 12345678 CAK type: primary Security mode: static MKA suspended: 0(s) Transmit interval: 10000(ms) SAK rekey interval: 0(s) Preceding Key: enabled Bounded Delay: disabled Outbound SCI: 02:00:00:01:01:04/1 Message number: 2713 Key number: 1 MKA ICV Indicator: enabled Key server: yes Key server priority: 16 Latest SAK AN: 0 Latest SAK KI: 7A3FC14B77F5296124A8D22A/1 MKA Suspend For: disabled MKA Suspend On Request: disabled Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0 Peer list 1. Member identifier: 6A9B3CC75376160D74AAA1E7 (live) Message number: 2711 Hold time: 57000 (ms) SCI: 02:00:00:02:01:04/1 Uptime: 07:31:39 Lowest acceptable PN: 1674733 Interface name: em1 Interface State: Secured - Primary Member identifier: 989CB809BF3759C9EAC10F5A CAK name: 12345678 CAK type: primary Security mode: static MKA suspended: 0(s) Transmit interval: 10000(ms) SAK rekey interval: 0(s) Preceding Key: enabled Bounded Delay: disabled Outbound SCI: 02:00:01:01:01:04/1 Message number: 2713 Key number: 1 MKA ICV Indicator: enabled Key server: yes Key server priority: 16 Latest SAK AN: 0 Latest SAK KI: 989CB809BF3759C9EAC10F5A/1 MKA Suspend For: disabled MKA Suspend On Request: disabled Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0 Peer list 1. Member identifier: 16015BCD3844F12DFA89AB7F (live) Message number: 2711 Hold time: 57000 (ms) SCI: 02:00:01:02:01:04/1 Uptime: 07:31:39 Lowest acceptable PN: 111017
제어 및 패브릭 포트의 보안 상태를 확인합니다. MACsec이 제어 포트 0 및 제어 포트 1 모두에 대해 활성화되면 명령을 실행합니다 show chassis cluster interfaces .
user@host> show chassis cluster interfaces Control link status: Up Control interfaces: Index Interface Monitored-Status Internal-SA Security 0 em0 Up Disabled Enabled 1 em1 Up Disabled Enabled Fabric link status: Up Fabric interfaces: Name Child-interface Status Security (Physical/Monitored) fab0 et-0/3/0 Up / Up Disabled fab0 et-0/3/1 Up / Up Disabled fab1 et-7/3/0 Up / Up Disabled fab1 et-7/3/1 Up / Up Disabled Redundant-pseudo-interface Information: Name Status Redundancy-group lo0 Up 0
에 대한 제어 포트에서 정적 CAK를 구성합니다SRX4600
이 절차를 사용하여 두 개의 SRX4600 디바이스에서 섀시 클러스터 제어 링크를 통해 CA를 설정합니다.
MACSEC 구성 확인
SRX4600의 제어 포트에서 정적 CAK 구성에 제공된 구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
- 디바이스의 활성 MACsec 연결 상태 표시
- MKA(MACsec Key Agreement) 세션 정보 표시
- MACsec 보안 트래픽이 인터페이스를 통해 트래버스하는지 확인합니다
- MACsec 구성으로 섀시 클러스터 포트가 보호되는지 확인합니다.
디바이스의 활성 MACsec 연결 상태 표시
목적
MACsec이 섀시 클러스터 설정에서 작동하는지 확인합니다.
행동
운영 모드에서 섀시 클러스터 설정의 노드 중 하나 또는 둘 다에 명령을 입력합니다 show security macsec connections interface interface-name
.
{primary:node0}[edit]
user@host# show security macsec connections
Interface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1 Secure associations AN: 3 Status: inuse Create time: 00:01:43 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 3 Status: inuse Create time: 00:01:43
의미
및 CA name
출력은 Interface name
MACsec 연결 연결이 인터페이스 em0에서 작동함을 보여줍니다. 연결 연결이 인터페이스에서 작동하지 않을 때는 출력이 나타나지 않습니다.
MKA(MACsec Key Agreement) 세션 정보 표시
목적
모든 인터페이스에 대한 MKA(MACsec Key Agreement) 세션 정보를 표시합니다.
행동
운영 모드에서 명령을 입력합니다 show security mka sessions
.
user@host> show security mka sessions
Interface name: em0
Member identifier: B51CXXXX2678A7F5F6C12345
CAK name: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Transmit interval: 10000(ms)
Outbound SCI: 02:00:00:01:01:04/1
Message number: 270 Key number: 8
Key server: yes Key server priority: 16
Latest SAK AN: 3 Latest SAK KI: B51C8XXX2678A7A5B6C54321/8
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 0413427B38817XXXXF054321 (live)
Message number: 8 Hold time: 59000 (ms)
SCI: 02:00:00:02:01:04/1
Lowest acceptable PN: 0
의미
출력은 MKA 세션의 상태를 보여줍니다.
MACsec 보안 트래픽이 인터페이스를 통해 트래버스하는지 확인합니다
목적
인터페이스를 통과하는 트래픽이 MACsec으로 보호되는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security macsec statistics
.
user@host> show security macsec statistics interface em0 detail
Interface name: em0
Secure Channel transmitted
Encrypted packets: 2397305
Encrypted bytes: 129922480
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 2397305
Protected packets: 0
Secure Channel received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 131715088
Secure Association received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 0
의미
Encrypted packets
필드 아래의 Secure Channel transmitted
줄은 MACsec에 의해 보안 및 암호화된 인터페이스에서 패킷이 전송될 때마다 증가되는 값입니다.
필드 아래의 Secure Association received
줄은 Accepted packets
MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 증가하는 값입니다. Decrypted bytes
출력 아래의 Secure Association received
줄은 암호화된 패킷이 수신되고 해독될 때마다 증가합니다.
MACsec 구성으로 섀시 클러스터 포트가 보호되는지 확인합니다.
목적
MACsec이 섀시 클러스터 포트에 구성되어 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster interfaces
.
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Enabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-1/1/6 Up / Up Enabled
fab0
fab1 xe-8/1/6 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 2
reth2 Down Not configured
reth3 Down Not configured
reth4 Down Not configured
reth5 Down Not configured
reth6 Down Not configured
reth7 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
의미
로 Secured
표시된 em0 인터페이스의 출력 아래 Control interfaces
줄은 Security
em0 인터페이스에서 전송된 트래픽이 MACsec에 의해 보안 및 암호화됨을 의미합니다.
또한 show chassis cluster status
명령을 사용하여 섀시 클러스터의 현재 상태를 표시할 수 있습니다.
플랫폼별 MACsec 동작
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.
다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토합니다.
플랫폼 |
다름 |
---|---|
SRX 시리즈 |
|
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.