Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

섀시 클러스터의 MACsec(Media Access Control Security)

MACsec(Media Access Control Security)은 이더넷 링크의 모든 트래픽에 대해 안전한 통신을 제공하는 업계 표준 보안 기술입니다. 자세한 내용은 다음 항목을 참조하세요.

MACsec(Media Access Control Security) 이해

MACsec(Media Access Control Security)은 이더넷 링크의 모든 트래픽에 대해 안전한 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 간의 이더넷 링크에서 포인트 투 포인트 보안을 제공하며 서비스 거부, 침입, 메시지 가로채기(man-in-the-middle), 마스커레이딩, 패시브 도청 및 재생 공격을 포함한 대부분의 보안 위협을 식별하고 방지할 수 있습니다.

MACsec을 사용하면 LLDP(Link Layer Discovery Protocol), LACP(Link Aggregation Control Protocol), DHCP(Dynamic Host Configuration Protocol), ARP(Address Resolution Protocol) 및 기타 보안 솔루션의 제한으로 인해 일반적으로 이더넷 링크에서 보호되지 않는 기타 프로토콜의 프레임을 포함하여 거의 모든 트래픽에 대해 이더넷 링크를 보호할 수 있습니다. MACsec은 IP 보안(IPsec) 및 SSL(Secure Sockets Layer)과 같은 다른 보안 프로토콜과 함께 사용하여 엔드 투 엔드 네트워크 보안을 제공할 수 있습니다.

Junos OS 릴리스 15.1X49-D60부터 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 제어 및 패브릭 포트에서 지원됩니다.

Junos OS 릴리스 20.1R1부터 MACsec은 트래픽 보안을 위해 섀시 클러스터 모드에서 SRX380 디바이스의 제어 포트, 패브릭 포트 및 수익 포트에서 지원됩니다. MACsec은 16X1기가비트 이더넷 포트(ge-0/0/0 - ge-0/0/15) 및 4X10기가비트 이더넷 포트(xe-0/0/16 - xe-0/0/19)에서 지원됩니다.

Junos OS 릴리스 17.4R1부터 MACsec은 섀시 클러스터 모드에서 SRX4600 디바이스의 HA 제어 및 패브릭 포트에서 지원됩니다.

이 항목에는 다음 섹션이 포함되어 있습니다.

MACsec 작동 방식

기능이 특정 플랫폼 또는 Junos OS 릴리스에서 지원되는지 확인하려면 기능 탐색기를 참조하십시오.

MACsec은 보안 포인트-투-포인트 이더넷 링크를 사용하여 업계 표준 보안을 제공합니다. 포인트 투 포인트 링크는 보안 키와 일치한 후에 보호됩니다. 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면 포인트 투 포인트 이더넷 링크의 각 끝에 있는 인터페이스 간에 사용자 구성 사전 공유 키가 교환되고 검증됩니다.

포인트 투 포인트 이더넷 링크에서 MACsec이 활성화되면 링크를 통과하는 모든 트래픽은 데이터 무결성 검사 및 암호화(구성된 경우)를 사용하여 MACsec으로 보호됩니다.

데이터 무결성 검사는 데이터의 무결성을 확인합니다. MACsec은 MACsec 보안 포인트-투-포인트 이더넷 링크를 트래버스하는 모든 이더넷 프레임에 8바이트 헤더와 16바이트 테일을 추가하며, 헤더와 테일은 링크를 트래버스하는 동안 데이터가 손상되지 않았는지 확인하기 위해 수신 인터페이스에 의해 검사됩니다. 데이터 무결성 검사가 트래픽에 대해 불규칙한 것을 감지하면 트래픽이 삭제됩니다.

또한 MACsec을 사용하여 이더넷 링크의 모든 트래픽을 암호화할 수 있습니다. MACsec에서 사용되는 암호화는 링크에서 트래픽을 모니터링하는 사람이 이더넷 프레임의 데이터를 볼 수 없도록 합니다.

기본적으로 정적 CAK 보안 모드를 사용하여 MACsec이 활성화되면 인터페이스에 들어오거나 나가는 모든 트래픽에 대해 암호화가 활성화됩니다.

MACsec은 MACsec 지원 인터페이스 간의 점대점 이더넷 링크에서 구성됩니다. 여러 이더넷 링크에서 MACsec을 활성화하려면 각 포인트-투-포인트 이더넷 링크에서 개별적으로 MACsec을 구성해야 합니다.

연결 연결 및 보안 채널 이해

MACsec은 연결 연결에서 구성됩니다. MACsec은 연결 연결이 인터페이스에 할당될 때 활성화됩니다.

정적 CAK 또는 동적 보안 모드를 사용하여 MACsec을 활성화할 때는 연결 연결을 생성하고 구성해야 합니다. 두 개의 보안 채널(인바운드 트래픽용 보안 채널과 아웃바운드 트래픽용 보안 채널)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 사용자가 구성할 수 있는 매개 변수가 없습니다. 모든 구성은 보안 채널 외부의 연결 연결에서 수행됩니다.

정적 연결 연결 키 보안 모드 이해

정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화하면 컨트롤 플레인 트래픽을 보호하는 연결 연결 키(CAK)와 데이터 플레인 트래픽을 보호하는 임의로 생성된 보안 연결 키(SAK)라는 두 개의 보안 키를 사용하여 지점 간 이더넷 링크를 보호합니다. 두 키는 링크 보안을 보장하기 위해 포인트 투 포인트 이더넷 링크의 양쪽 끝에 있는 두 디바이스 간에 정기적으로 교환됩니다.

정적 CAK 보안 모드를 사용하여 MACsec을 활성화할 때 처음에는 사전 공유 키를 사용하여 MACsec 보안 링크를 설정합니다. 사전 공유 키에는 CKN(연결 연결 이름)과 자체 CAK(연결 연결 키)가 포함됩니다. CKN 및 CAK는 연결 연결에서 사용자에 의해 구성되며 처음에 MACsec을 활성화하려면 링크의 양쪽 끝에서 일치해야 합니다.

일치하는 사전 공유 키가 성공적으로 교환되면 MACsec MKA(Key Agreement) 프로토콜이 활성화됩니다. MKA 프로토콜은 링크에서 MACsec을 유지 관리하는 역할을 하며, 포인트 투 포인트 링크의 어떤 스위치가 키 서버가 될지 결정합니다. 그런 다음 키 서버는 포인트 투 포인트 링크의 다른 쪽 끝에 있는 스위치와만 공유되는 SAK를 생성하며, 이 SAK는 링크를 통과하는 모든 데이터 트래픽을 보호하는 데 사용됩니다. 키 서버는 MACsec이 활성화되어 있는 한 포인트 투 포인트 링크를 통해 무작위로 생성된 SAK를 주기적으로 생성하고 공유합니다.

링크의 양쪽 끝에서 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화할 수 있습니다. 모든 구성은 연결 연결 내에서 수행되지만 보안 채널 외부에서 수행됩니다. 고정 CAK 보안 모드를 사용할 때 두 개의 보안 채널(인바운드 트래픽과 아웃바운드 트래픽용 채널)이 자동으로 만들어집니다. 자동으로 생성된 보안 채널에는 연결 연결에서 이미 구성할 수 없는 사용자 구성 가능한 매개 변수가 없습니다.

정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 임의 보안 키를 자주 새로 고치고 MACsec 보안 지점 간 링크에서 두 디바이스 간에만 보안 키를 공유하여 보안을 보장합니다. 또한 일부 선택적 MACsec 기능(재생 보호, SCI 태깅 및 MACsec에서 트래픽 제외 기능)은 정적 CAK 보안 모드를 사용하여 MACsec을 활성화한 경우에만 사용할 수 있습니다.

Junos OS 릴리스 15.1X49-D60 및 Junos OS 릴리스 17.3R1부터 HA 제어 및 패브릭 링크에서 MACsec을 지원하는 SRX 시리즈 방화벽의 경우, 명령이 기본 노드에서 실행되면 restart 802.1x-protocol-daemon 섀시 클러스터 제어 및 패브릭 링크가 플랩되어 클러스터 노드가 스플릿 브레인 모드로 전환됩니다.

MACsec 고려 사항

현재 모든 유형의 스패닝 트리 프로토콜 프레임은 MACsec을 사용하여 암호화할 수 없습니다.

연결 연결은 MACsec 인터페이스 구성에 표시되는 한 글로벌 또는 노드별 또는 기타 구성 그룹 중 어디에서나 정의할 수 있습니다.

MACsec 구성의 경우 양쪽 끝에 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다. 다른 노드가 구성되지 않았거나 다른 쪽의 MACsec으로 부적절하게 구성된 경우, 포트는 비활성화되고 트래픽 전달을 중단합니다.

SRX340, SRX345 및 SRX380 디바이스는 호스트-호스트 또는 스위치-호스트 연결을 위해 MACsec을 지원합니다.

SRX4600 디바이스는 현재 호스트 간 연결에 MACsec을 지원하지 않습니다. Macsec은 전용 팹 포트에서만 지원되며 트래픽 포트가 팹으로 사용되는 경우에는 지원되지 않습니다.

SRX340, SRX345 및 SRX380 디바이스에서 MACsec(Media Access Control Security) 구성이 노드에 로컬이 되도록 패브릭 인터페이스를 구성해야 합니다. 그렇지 않으면 패브릭 링크에 연결할 수 없습니다

MACsec(Media Access Control Security) 구성

Junos OS 릴리스 15.1X49-D60부터 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 제어 및 패브릭 포트에서 지원됩니다.

Junos OS 릴리스 17.4R1부터 MACsec은 섀시 클러스터 모드에서 SRX4600 디바이스의 제어 및 패브릭 포트에서 지원됩니다.

이 주제는 섀시 클러스터에서 지원되는 SRX 시리즈 방화벽의 제어 및 패브릭 포트에서 MACsec을 구성하여 클러스터의 피어 디바이스 간 점대점 이더넷 링크를 보호하는 방법을 보여줍니다. MACsec을 사용하여 보호하려는 각 점대점 이더넷 링크는 독립적으로 구성해야 합니다. 정적 연결 연결 키(CAK) 보안 모드를 사용하여 디바이스 간 링크에서 MACsec 암호화를 활성화할 수 있습니다.

두 프로세스의 구성 단계는 이 문서에 나와 있습니다.

섀시 클러스터 설정에서 MACsec을 구성할 때의 구성 고려 사항

시작하기 전에 다음 단계에 따라 제어 포트에서 MACsec을 구성하십시오.

  1. 섀시 클러스터가 이미 작동 중인 경우 명령을 사용하여 비활성화하고 set chassis cluster disable 두 노드를 모두 재부팅합니다.
  2. 섀시 클러스터 제어 포트에서 정적 CAK 구성 섹션에 설명된 대로 해당 속성을 사용하여 제어 포트에서 MACsec을 구성합니다. 두 노드 모두 동일한 구성으로 독립적으로 구성되어야 합니다.
  3. 두 노드 모두에서 를 사용하여 set chassis cluster cluster-id id 섀시 클러스터를 활성화합니다. 두 노드를 모두 재부팅합니다.

제어 포트 상태는 섀시 클러스터의 무결성에 영향을 미칩니다. 제어 포트에서 MACsec을 구성할 때 다음 사항을 고려하십시오.

  • 새로운 MACsec 섀시 클러스터 포트 구성 또는 기존 MACsec 섀시 클러스터 포트 구성을 수정하려면 섀시 클러스터를 비활성화해야 하며 경고 메시지가 Modifying cluster control port CA will break chassis cluster표시됩니다. 비활성화되면 이전 구성을 적용하고 섀시 클러스터를 활성화할 수 있습니다.

  • 기본적으로 섀시 클러스터는 모든 구성을 동기화합니다. 이에 따라 동기화로 인해 MACsec 구성이 손실되지 않는지 모니터링해야 합니다. 그렇지 않으면 섀시 클러스터가 손상됩니다. 예를 들어, 비대칭, 노드별 MACsec 구성의 경우 양쪽 끝에 동일한 구성이 존재해야 합니다. 즉, 각 노드는 다른 노드와 동일한 구성을 포함해야 합니다.

부적격 타이머는 SRX340, SRX345 및 SRX380 디바이스에서 섀시 클러스터 제어 포트의 MACsec이 활성화된 경우 300초입니다.

두 제어 링크가 모두 실패하면 Junos OS는 180초 동안 보조 노드의 작동 상태를 부적격으로 변경합니다. 제어 포트에서 MACsec이 활성화되면 SRX4600 디바이스에 대한 부적격 기간은 200초입니다.

Junos OS 릴리스 15.1X49-D60 및 Junos OS 릴리스 17.3R1부터 SRX340, SRX345 및 SRX380 디바이스의 섀시 클러스터에서 초기 보류 타이머가 30초에서 120초로 연장됩니다.

제어 포트의 MACsec 구성을 변경하려면 위에서 언급한 단계를 반복해야 합니다.

패브릭 포트에서 MACsec을 구성할 때 다음 사항을 고려하십시오.

MACsec을 구성하면 링크의 트래픽 기능에 영향을 줄 수 있는 링크 상태가 변경됩니다. 패브릭 포트를 구성할 때는 유효 링크 상태를 염두에 두어야 합니다. 패브릭 링크의 양쪽 끝에서 잘못된 MACsec 구성은 링크를 부적합 상태로 이동할 수 있습니다. 패브릭 링크 구성에 대한 다음 핵심 사항에 유의하십시오.

  • 섀시 클러스터가 형성될 때 링크의 양쪽 끝을 동시에 구성해야 합니다.

  • 잘못된 구성은 패브릭 장애 및 패브릭 복구 로직 오류로 이어질 수 있습니다.

    잠재적인 링크 장애 시나리오 때문에 섀시 클러스터를 형성하는 동안 패브릭 링크를 구성하는 것이 좋습니다.

정적 연결 연결 키 보안 모드를 사용하여 MACsec 구성

디바이스를 연결하는 점대점 이더넷 링크에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec 암호화를 활성화할 수 있습니다. 이 절차에서는 정적 CAK 보안 모드를 사용하여 MACsec을 구성하는 방법을 보여줍니다.

SRX340 및 SRX345 디바이스의 경우, ge-0/0/0은 패브릭 포트이고 ge-0/0/1은 섀시 클러스터의 제어 포트이며 cluster-control-port 0으로 할당됩니다.

SRX380 디바이스의 cluster-control-port 및 cluster-data-port에서 MACsec을 구성하려면 노드가 독립형 노드에 있어야 합니다. MACsec 구성은 노드 모두에 적용되며 노드는 섀시 클러스터 모드로 재부팅됩니다. SRX380 디바이스의 경우, ge-0/0/0은 패브릭 포트이며 ge-0/0/15는 섀시 클러스터의 제어 포트입니다.

SRX4600 장치의 경우 전용 제어 및 패브릭 포트를 사용할 수 있습니다. 제어 링크의 MACsec은 전용 제어 포트(제어 포트 0[em0] 및 포트 1[em1])에서 구성할 수 있습니다. 패브릭 링크의 MACsec은 fpc7 pic0의 포트-2 및 포트-3과 유사하게 fpc0 pic0의 전용 패브릭 포트 포트 2 및 포트 3(예: xe-0/0/2 및 xe-0/0/3)에서만 구성할 수 있습니다.

디바이스 간 이더넷 링크를 보호하기 위해 정적 CAK 보안 모드를 사용하여 MACsec을 구성하려면 다음을 수행합니다.

  1. 연결 연결을 만듭니다. 기존 연결 연결을 구성하는 경우 이 단계를 건너뛸 수 있습니다.

    예를 들어, 라는 ca1연결 연결을 만들려면 를 입력합니다.

  2. 연결 연결에 대해 MACsec 보안 모드를 static-cak 구성합니다.

    예를 들어, 연결 연결 ca1에서 MACsec 보안 모드를 static-cak 구성하려면 다음을 수행합니다.

  3. 연결 연결 키 이름(CKN) 및 연결 연결 키(CAK)를 구성하여 사전 공유 키를 만듭니다.

    MACsec 보안 링크를 설정하기 위해 직접 연결된 링크 간에 사전 공유 키가 교환됩니다. 사전 공유 키에는 CKN 및 CAK가 포함됩니다. CKN은 64자리 16진수이고 CAK는 64자리 16진수입니다. CKN과 CAK는 MACsec 보안 링크를 생성하기 위해 링크의 양쪽 끝에서 일치해야 합니다.

    보안을 최대화하려면 CKN의 64자리와 CAK의 64자리를 모두 구성하는 것이 좋습니다.

    링크의 양쪽 끝에서 사전 공유 키가 성공적으로 교환되고 확인되면 MACsec 키 계약(MKA) 프로토콜이 활성화되고 보안 링크를 관리합니다. 그런 다음 MKA 프로토콜은 직접 연결된 두 디바이스 중 하나를 키 서버로 선택합니다. 그런 다음 키 서버는 MACsec 보안 지점 간 링크를 통해 다른 디바이스와 임의 보안을 공유합니다. MACsec이 활성화되어 있는 한 키 서버는 계속해서 주기적으로 임의의 보안 키를 생성하고 MACsec 보안 포인트-투-포인트 링크를 통해 다른 디바이스와 공유합니다.

    연결 연결 ca1에서 의 CKN 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 및 의 228xx255aa23xx6729xx664xxx66e91f CAK를 구성하려면:

    MACsec은 연결 연결이 인터페이스에 연결될 때까지 활성화되지 않습니다. 이 절차의 마지막 단계를 참조하여 인터페이스에 연결 연결을 연결합니다.

  4. (선택 사항) MKA 키 서버 우선 순위를 설정합니다.

    키 서버를 선택하기 위해 MKA 프로토콜에서 사용하는 키 서버 우선 순위를 지정합니다. 하단 priority-number 에 있는 디바이스가 키 서버로 선택됩니다.

    기본값은 priority-number 16입니다.

    포인트 투 포인트 링크의 양쪽에서 이( key-server-priority 가) 동일한 경우, MKA 프로토콜은 MAC 주소가 낮은 인터페이스를 키 서버로 선택합니다. 따라서 MACsec 보안 점대점 링크의 각 끝에 있는 연결 연결에 이 문이 구성되지 않으면 MAC 주소가 낮은 인터페이스가 키 서버가 됩니다.

    연결 연결을 ca1사용하여 인터페이스에서 MACsec이 활성화될 때 현재 디바이스가 키 서버로 선택될 가능성을 높이기 위해 키 서버 우선 순위를 0으로 변경하려면:

    키 서버 우선 순위를 255로 변경하여 현재 디바이스가 연결 연결 ca1의 키 서버로 선택될 가능성을 줄이려면 다음을 수행합니다.

  5. (선택 사항) MKA 전송 간격을 설정합니다.

    MKA 전송 간격 설정은 링크에서 MACsec 연결을 유지하기 위해 MKA PDU(Protocol Data Unit)가 직접 연결된 디바이스로 전송되는 빈도를 설정합니다. 낮을 interval 수록 링크의 대역폭 오버헤드가 증가하고, 높을 interval 수록 MKA 프로토콜 통신이 최적화됩니다.

    기본값은 interval 2000ms입니다. 트래픽 부하가 많은 환경에서는 간격을 6000ms로 늘리는 것이 좋습니다. 정적 CAK 보안 모드를 사용하는 MACsec이 활성화된 경우 전송 간격 설정은 링크의 양쪽 끝에서 동일해야 합니다.

    Junos OS 릴리스 17.4부터 SRX340, SRX345 및 SRX4600의 경우 기본 MKA 전송 간격은 HA 링크에서 10000ms입니다.

    예를 들어, 연결 연결 ca1이 인터페이스에 연결되어 있을 때 MKA 전송 간격을 6000밀리초로 늘리려면 다음을 수행합니다.

  6. (선택 사항) MACsec 암호화를 비활성화합니다.

    기본적으로 정적 CAK 보안 모드를 사용하여 MACsec이 활성화되면 인터페이스에 들어오거나 나가는 모든 트래픽에 대해 암호화가 활성화됩니다.

    암호화가 비활성화되면 트래픽이 이더넷 링크를 통해 일반 텍스트로 전달됩니다. 모니터링 시 링크를 통과하는 이더넷 프레임에서 암호화되지 않은 데이터를 볼 수 있습니다. 그러나 MACsec 헤더는 여전히 프레임에 적용되며, 링크에서 송수신된 트래픽이 변조되지 않았으며 보안 위협이 되지 않도록 하기 위해 링크의 양쪽 끝에서 모든 MACsec 데이터 무결성 검사가 실행됩니다.

  7. (선택 사항) 링크를 통과하는 모든 패킷에 대한 오프셋을 설정합니다.

    예를 들어, 라는 ca1연결 연결에서 오프셋을 30으로 설정하려는 경우 :

    기본 오프셋은 0입니다. 암호화가 활성화되고 이(가 offset ) 설정되지 않은 경우 연결 연결의 모든 트래픽이 암호화됩니다.

    오프셋이 30으로 설정되면 나머지 트래픽을 암호화하는 동안 IPv4 헤더와 TCP/UDP 헤더가 암호화되지 않습니다. 오프셋이 50으로 설정되면 나머지 트래픽을 암호화하는 동안 IPv6 헤더와 TCP/UDP 헤더가 암호화되지 않습니다.

    기능이 기능을 수행하기 위해 옥텟의 데이터를 확인해야 하는 경우 일반적으로 처음 30 또는 50 옥텟이 암호화되지 않은 트래픽을 전달하지만, 그렇지 않으면 링크를 통과하는 프레임의 나머지 데이터를 암호화하는 것을 선호합니다. 특히 로드 밸런싱 기능은 일반적으로 트래픽을 적절하게 로드 밸런싱하기 위해 처음 30 또는 50 옥텟에서 IP 및 TCP/UDP 헤더를 확인해야 합니다.

  8. (선택 사항) 재생 보호를 사용하도록 설정합니다.

    링크에서 MACsec이 활성화되면 MACsec 보안 링크의 각 패킷에 ID 번호가 할당됩니다.

    재생 보호가 활성화되면 수신 인터페이스는 MACsec 보안 링크를 통과한 모든 패킷의 ID 번호를 확인합니다. 패킷이 순서 없이 도착하고 패킷 번호 간의 차이가 재생 보호 창 크기를 초과하면 수신 인터페이스에 의해 패킷이 삭제됩니다. 예를 들어 재생 보호 창 크기가 5로 설정되고 ID 1006이 할당된 패킷이 ID 1000이 할당된 패킷 직후 수신 링크에 도착하는 경우 ID 1006이 할당된 패킷은 재생 보호 창의 매개 변수를 벗어나기 때문에 삭제됩니다.

    재생 보호는 메시지 가로채기(man-in-the-middle) 공격에 대처하는 데 특히 유용합니다. 메시지 가로채기(man-in-the-middle) 공격자가 이더넷 링크에서 재생하는 패킷은 순서 없이 수신 링크에 도착하므로 재생 보호는 재생된 패킷이 네트워크를 통해 전달되지 않고 삭제되도록 하는 데 도움이 됩니다.

    패킷이 잘못된 순서로 도착할 것으로 예상되는 경우 재생 보호를 사용하도록 설정해서는 안 됩니다.

    재생 창 크기를 0으로 설정하여 모든 패킷이 순서대로 도착하도록 요구할 수 있습니다.

    연결 연결 ca1시 창 크기가 5인 재생 보호를 사용하도록 설정하려면:

  9. (선택 사항) MACsec에서 프로토콜을 제외합니다.

    예를 들어, MACsec을 사용하여 LLDP(Link Level Discovery Protocol)의 보안을 유지하지 않으려는 경우:

    이 옵션이 활성화되면 링크에서 송수신되는 지정된 프로토콜(이 경우 LLDP)의 모든 패킷에 대해 MACsec이 비활성화됩니다.

  10. 섀시 클러스터 제어 인터페이스에 연결 연결을 할당합니다.

    인터페이스에 연결 연결을 할당하는 것은 인터페이스에서 MACsec을 활성화하기 위한 마지막 구성 단계입니다.

    예를 들어, 인터페이스 ge-0/0/1에 연결 연결 ca1을 할당하려면(SRX340/SRX345/SRX380의 경우):

  11. 섀시 클러스터 패브릭 인터페이스에서 MACsec을 활성화하기 위한 연결 연결을 할당합니다.

정적 CAK 보안 모드를 사용하는 MACsec은 링크의 반대쪽 끝에 있는 연결 연결도 구성되고 링크의 양쪽 끝에서 일치하는 사전 공유 키를 포함할 때까지 활성화되지 않습니다.

섀시 클러스터 제어 포트에서 정적 CAK 구성

2개의 SRX345 디바이스에서 섀시 클러스터 제어 링크를 통해 CA를 설정합니다.

  1. 연결 연결에 대해 static-cak MACsec 보안 모드를 구성합니다.
  2. 연결 연관 키 이름(CKN)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자의 16진수 문자(0-9, a-f, A-F)의 짝수 길이 문자열이어야 합니다.

  3. CAK(연결 연결 키)를 구성하여 미리 공유한 키를 만듭니다.

    CAK는 64자의 16진수 문자(0-9, a-f, A-F)를 포함해야 합니다.

  4. 연결 연결을 위한 섀시 클러스터 제어 포트를 지정합니다.

섀시 클러스터 패브릭 포트에서 정적 CAK 구성

2개의 SRX345 디바이스에서 섀시 클러스터 패브릭 링크를 통해 연결 연결을 설정하려면 다음을 수행합니다.

  1. 연결 연결에 대해 MACsec 보안 모드를 static-cak 구성합니다.
  2. 연결 연관 키 이름(CKN)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자의 16진수 문자(0-9, a-f, A-F)의 짝수 길이 문자열이어야 합니다.

  3. CAK(연결 연결 키)를 구성하여 미리 공유한 키를 만듭니다.

    CAK는 64자의 16진수 문자(0-9, a-f, A-F)를 포함해야 합니다.

  4. 연결 연결에 대한 섀시 클러스터 패브릭 포트를 지정합니다.

섀시 클러스터에 있는 SRX4600 디바이스의 제어 포트에서 정적 CAK 구성

이 절차를 사용하여 두 개의 SRX4600 디바이스에서 섀시 클러스터 제어 링크를 통해 CA를 설정합니다.

  1. 연결 연결에 대해 static-cak MACsec 보안 모드를 구성합니다.
  2. 연결 연관 키 이름(CKN)을 구성하여 사전 공유 키를 생성합니다.

    CKN은 최대 64자의 16진수 문자(0-9, a-f, A-F)의 짝수 길이 문자열이어야 합니다.

  3. CAK(연결 연결 키)를 구성하여 미리 공유한 키를 만듭니다.

    CAK는 64자의 16진수 문자(0-9, a-f, A-F)를 포함해야 합니다.

  4. 연결 연결을 위한 섀시 클러스터 제어 포트를 지정합니다.

MACSEC 구성 검증

섀시 클러스터에 있는 디바이스의 제어 SRX4600포트에서 정적 CAK 구성에 제공된 구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

디바이스의 활성 MACsec 연결 상태 표시

목적

MACsec이 섀시 클러스터 설정에서 작동하는지 확인합니다.

작업

운영 모드에서 섀시 클러스터 설정의 노드 중 하나 또는 둘 다에 명령을 입력합니다 show security macsec connections interface interface-name .

의미

CA name 출력은 Interface name MACsec 연결 연결이 인터페이스 em0에서 작동한다는 것을 보여줍니다. 인터페이스에서 연결 연결이 작동하지 않으면 출력이 나타나지 않습니다.

MACsec 키 계약(MKA) 세션 정보 표시

목적

모든 인터페이스에 대한 MACsec 키 계약(MKA) 세션 정보를 표시합니다.

작업

운영 모드에서 명령을 입력합니다 show security mka sessions .

의미

출력은 MKA 세션의 상태를 보여줍니다.

MACsec 보안 트래픽이 인터페이스를 통해 트래버스되는지 확인

목적

인터페이스를 통과하는 트래픽이 MACsec 보안인지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security macsec statistics .

의미

필드 아래의 Secure Channel transmitted 줄은 Encrypted packets MACsec에 의해 보호되고 암호화된 인터페이스에서 패킷이 전송될 때마다 증가하는 값입니다.

필드 아래의 Secure Association received 줄은 Accepted packets MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 증가하는 값입니다. 출력 아래의 Secure Association received 줄은 암호화된 패킷이 Decrypted bytes 수신되고 복호화될 때마다 증가합니다.

섀시 클러스터 포트가 MACsec 구성으로 보호되는지 확인

목적

MACsec이 섀시 클러스터 포트에 구성되어 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show chassis cluster interfaces .

의미

로 표시된 Secured em0 인터페이스의 출력 아래 Control interfaces 줄은 Security em0 인터페이스에서 전송된 트래픽이 MACsec에 의해 보호되고 암호화됨을 의미합니다.

명령을 사용하여 show chassis cluster status 섀시 클러스터의 현재 상태를 표시할 수도 있습니다.

또한보십시오

관련 문서

릴리스 기록 테이블
릴리스
설명
17.4R1
Junos OS 릴리스 17.4R1부터 MACsec은 섀시 클러스터 모드에서 SRX4600 디바이스의 HA 제어 및 패브릭 포트에서 지원됩니다.
15.1X49-D60
Junos OS 릴리스 15.1X49-D60부터 MACsec(Media Access Control Security)은 섀시 클러스터 모드에서 SRX340 및 SRX345 디바이스의 제어 및 패브릭 포트에서 지원됩니다.