예: EX 시리즈 스위치에서 MPLS CCC를 통해 MACsec 구성
이 예에서는 MACsec을 활성화하여 기본 MPLS CCC를 통해 한 사이트의 사용자에서 다른 사이트의 사용자로 이동하는 민감한 트래픽을 보호하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MPLS 네트워크에서 PE 및 프로바이더 스위치로 사용되는 EX4550 스위치 3개
사이트 A를 MPLS 네트워크에 연결하는 CE 스위치로 사용되는 EX4550 스위치 1개
사이트 B를 MPLS 네트워크에 연결하는 CE 스위치로 사용되는 SFP+ MACsec 업링크 모듈을 설치한 EX4200 스위치 1개
MPLS 네트워크(PE1, PE2 또는 프로바이더 스위치)의 모든 EX4550 스위치에서 실행되는 Junos OS 릴리스 12.2R1 이상
사이트 A의 CE 스위치와 사이트 B의 CE 스위치에서 실행되는 Junos OS 릴리스 13.2X50-D15(제어 버전) 이상
메모:MACsec을 활성화하려면 주니퍼 네트웍스 Junos 운영 체제(Junos OS) 소프트웨어의 제어 버전을 다운로드해야 합니다. MACsec 소프트웨어 지원은 기본적으로 스위치에 설치되는 Junos OS 소프트웨어의 국내 버전에서는 사용할 수 없습니다. Junos OS 소프트웨어의 제어 버전에는 MACsec을 지원하는 동시에 Junos OS의 국내 버전에서 사용할 수 있는 모든 기능이 포함되어 있습니다. MACsec 소프트웨어 요구 사항에 대한 자세한 내용은 MACsec(Media Access Control Security) 이해를 참조하십시오.
사이트 A의 CE 스위치와 사이트 B의 CE 스위치에 설치된 MACsec 기능 라이선스
메모:MACsec의 소프트웨어 라이선스를 구매하려면 주니퍼 네트웍스 영업 담당자(https://www.juniper.net/us/en/contact-us/sales-offices)에게 문의하십시오. 주니퍼 네트웍스 영업 담당자가 기능 라이선스 파일과 라이선스 키를 제공합니다. 스위치의 섀시 일련 번호를 입력하라는 메시지가 표시됩니다. 또는
show chassis hardware
명령을 실행하여 일련 번호를 얻을 수 있습니다show virtual-chassis
.
개요 및 토폴로지
이 예에서는 재정적으로 중요한 회사 데이터가 사이트 A의 사용자와 사이트 B의 사용자 간에 전송되는 경우가 많습니다. 회사는 사이트 A의 사용자로부터 사이트 B의 사용자까지 이동하는 모든 네트워크 트래픽의 보안이 매우 안전하며 공격자가 보거나 손상시킬 수 없도록 하려고 합니다. 이 회사는 MACsec에서 제공하는 업계 표준 레이어 2 보안을 사용하고 있습니다. 이 보안은 공격자가 데이터를 볼 수 없도록 암호화하고 전송된 데이터가 손상되지 않도록 무결성 검사를 제공하여 사이트를 연결하는 MPLS 클라우드를 통해 CCC에서 이동하는 모든 트래픽을 보호합니다. VLAN은 두 사용자 간의 트래픽 이동이 MACsec 보안 CCC를 통해 사이트를 트래버스하도록 두 사이트 모두에서 구성됩니다.
이 예의 MPLS 네트워크에는 PE1 및 PE2라는 두 개의 프로바이더 에지(PE) 스위치와 한 개의 프로바이더(전송) 스위치가 포함되어 있습니다. PE1은 사이트 A의 고객 에지(CE) 스위치를 MPLS 네트워크에 연결하고, PE2는 사이트 B의 CE 스위치를 MPLS 네트워크에 연결합니다. MACsec은 사이트 A와 사이트 B의 CE 스위치를 연결하는 CCC에서 활성화되어 CCC를 통해 사이트 간에 이동하는 트래픽을 보호합니다. 사용자를 CE 스위치에 연결하는 인터페이스, 사이트 A의 CE 스위치에 있는 인터페이스 ge-0/0/0, 사이트 B의 CE 스위치에 있는 인터페이스 ge-0/0/2, 그리고 CE 스위치를 MPLS 클라우드에 연결하는 인터페이스(사이트 A CE 스위치의 ge-0/0/0 및 사이트 B CE 스위치의 xe-0/1/0)를 포함하는 VLAN, 사용자 간의 모든 트래픽을 MACsec 보안 CCC로 전달하는 데 사용됩니다.
그림 1 은 이 예에서 사용된 토폴로지를 보여줍니다. MACsec 보안 CCC 트래픽은 그림에 표시되어 MACsec CCC
있습니다.
표 1 은 이 토폴로지의 MPLS 네트워크 구성 요소에 대한 요약을 제공합니다.
표 2 는 이 토폴로지에서 사용되는 MACsec 연결 연결을 요약한 것입니다. MACsec은 링크의 각 끝에 있는 인터페이스에 연결 연결을 생성하여 활성화됩니다. MACsec은 링크의 각 끝에 있는 인터페이스가 사전 공유 키(사전 공유 키는 연결 연결에 정의됨)를 교환하여 MACsec에 대한 링크를 보호할 때 활성화됩니다.
표 3 은 이 토폴로지에서 사용되는 VLAN에 대한 요약을 제공합니다. 이 토폴로지에서 VLAN은 사이트 A의 사용자로부터 사이트 B의 사용자로의 모든 통신을 MACsec 보안 CCC로 전달하는 데 사용됩니다.
구성 요소 | 설명 |
---|---|
PE1 |
PE 스위치. lo0:
ge-0/0/0:
ge-0/0/1:
|
공급자 |
공급자 스위치. lo0:
ge-0/0/10:
xe-0/0/0:
|
PE2 |
PE 스위치. lo0:
xe-0/1/0
xe-0/1/1
|
레이블 전환 경로 lsp_to_pe2_xe1 |
PE1에서 PE2로의 레이블 전환 경로. |
레이블 전환 경로 lsp_to_pe1_ge0 |
PE2에서 PE1로의 레이블 전환 경로. |
연결 연결 설명 | |
---|---|
CCC-MACsec |
CCC에서 MACsec을 활성화하고 사이트 A를 사이트 B로 연결하는 연결 연결. 연결 연결은 다음 인터페이스에서 활성화됩니다.
|
VLAN | 설명 |
---|---|
MACsec |
사이트 A의 사용자와 사이트 B의 사용자 간의 트래픽을 MACsec 보안 CCC로 전달하는 VLAN. VLAN에는 다음과 같은 인터페이스가 포함됩니다.
|
MPLS 구성
이 섹션에서는 MPLS 네트워크의 각 스위치에서 MPLS를 구성하는 방법에 대해 설명합니다.
여기에는 다음 섹션이 포함됩니다.
스위치 PE1에서 MPLS 구성
CLI 빠른 구성
PE1 스위치에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
단계별 절차
스위치 PE1에서 MPLS를 구성하려면:
트래픽 엔지니어링이 활성화된 상태에서 OSPF를 구성합니다.
[edit protocols] user@switch-PE1# set ospf traffic-engineering
루프백 주소와 코어 인터페이스에서 OSPF를 구성합니다.
[edit protocols] user@switch-PE1# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
PE2 스위치에 대한 LSP를 사용하여 이 스위치 PE1에서 MPLS를 구성합니다.
[edit protocols] user@switch-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
코어 인터페이스에서 MPLS를 구성합니다.
[edit protocols] user@switch-PE1# set mpls interface ge-0/0/1.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@switch-PE1# set rsvp interface lo0.0 user@switch-PE1# set rsvp interface ge-0/0/1.0
루프백 인터페이스와 코어 인터페이스에 대한 IP 주소를 구성합니다.
[edit] user@switch-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@switch-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
코어 인터페이스 주소의 논리적 단위에서 구성합니다
family mpls
.[edit] user@switch-PE1# set interfaces ge-0/0/1 unit 0 family mpls
고객 에지 인터페이스의 논리적 장치를 CCC로 구성합니다.
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
PE1에서 PE2로 인터페이스 기반의 CCC를 구성합니다.
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
결과
구성 결과를 표시합니다.
user@PE-1> show configuration
interfaces { ge-0/0/0 { unit 0 { family ccc; } } ge-0/0/1{ unit 0 { family inet { address 130.1.5.2/24; } family mpls; } } lo0 { unit 0 { family inet { address 130.1.1.1/32; } } } } protocols { rsvp { interface lo0.0; interface ge-0/0/1.0; } mpls { label-switched-path lsp_to_pe2_xe1 { to 130.1.1.3; } interface ge-0/0/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface ge-0/0/1.0; } } connections { remote-interface-switch ge-1-to-pe2 { interface ge-0/0/0.0; transmit-lsp lsp_to_pe2_xe1; receive-lsp lsp_to_pe1_ge0; } } }
프로바이더 스위치에서 MPLS 구성
CLI 빠른 구성
프로바이더 스위치에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
단계별 절차
프로바이더 스위치를 구성하려면 다음을 수행합니다.
트래픽 엔지니어링이 활성화된 상태에서 OSPF를 구성합니다.
[edit protocols] user@switch-P# set ospf traffic-engineering
루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.
[edit protocols] user@switch-P# set ospf area 0.0.0.0 interface lo0.0 user@switch-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@switch-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
스위치의 코어 인터페이스에서 MPLS를 구성합니다.
[edit protocols] user@switch-P# set mpls interface ge-0/0/10.0 user@switch-P# set mpls interface xe-0/0/0.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@switch-P# set rsvp interface lo0.0 user@switch-P# set rsvp interface ge-0/0/10.0 user@switch-P# set rsvp interface xe-0/0/0.0
루프백 인터페이스와 코어 인터페이스에 대한 IP 주소를 구성합니다.
[edit] user@switch-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@switch-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@switch-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
코어 인터페이스 주소의 논리적 단위에서 구성합니다
family mpls
.[edit] user@switch-P# set interfaces ge-0/0/10 unit 0 family mpls user@switch-P# set interfaces xe-0/0/0 unit 0 family mpls
PE2 스위치에 LSP를 구성합니다.
[edit] user@switch-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
결과
구성 결과를 표시합니다.
user@switch-P> show configuration
interfaces { ge-0/0/10 { unit 0 { family inet { address 10.1.5.1/24; } family mpls; } } xe-0/0/0 { unit 0 { family inet { address 10.1.9.1/24; } family mpls; } } lo0 { unit 0 { family inet { address 130.1.1.2/32; } } } } protocols { rsvp { interface lo0.0; interface ge-0/0/10.0; interface xe-0/0/0.0; } mpls { label-switched-path lsp_to_pe2_xe1 { to 130.1.1.3; } interface ge-0/0/10.0; interface xe-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface ge-0/0/10.0; interface xe-0/0/0.0; } } }
스위치 PE2에서 MPLS 구성
CLI 빠른 구성
스위치 PE2에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
단계별 절차
스위치 PE2 구성:
트래픽 엔지니어링이 활성화된 상태에서 OSPF를 구성합니다.
[edit protocols] user@switch-PE2# set ospf traffic-engineering
루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.
[edit protocols] user@switch-PE2# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
다른 PE 스위치(PE1)로 연결되는 레이블 스위칭 경로(LSP)가 있는 이 스위치(PE2)에서 MPLS를 구성합니다.
[edit protocols] user@switch-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
코어 인터페이스에서 MPLS를 구성합니다.
[edit protocols] user@switch-PE2# set mpls interface xe-0/1/0.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@switch-PE2# set rsvp interface lo0.0 user@switch-PE2# set rsvp interface xe-0/1/0.0
루프백 인터페이스와 코어 인터페이스에 대한 IP 주소를 구성합니다.
[edit] user@switch-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@switch-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
코어 인터페이스의 논리적 장치에서 구성합니다
family mpls
.[edit] user@switch-PE2# set interfaces xe-0/1/0 unit 0 family mpls
고객 에지 인터페이스의 논리적 장치를 CCC로 구성합니다.
[edit interfaces xe-0/1/1 unit 0] user@switch-PE2# set family ccc
기본 에지 스위치 간에 인터페이스 기반 CCC를 구성합니다.
[edit protocols] user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
결과
구성 결과를 표시합니다.
user@switch-PE2> show configuration
interfaces { xe-0/1/0 { unit 0 { family inet { address 10.1.9.2/24; } family mpls; } } xe-0/1/1 { unit 0 { family ccc; } } lo0 { unit 0 { family inet { address 130.1.1.3/32; } } } } protocols { rsvp { interface lo0.0; interface xe-0/1/0.0; } mpls { label-switched-path lsp_to_pe1_ge0 { to 130.1.1.1; } interface xe-0/1/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface xe-0/1/0.0; } } connections { remote-interface-switch xe-1-to-pe1 { interface xe-0/1/1.0; transmit-lsp lsp_to_pe1_ge0; receive-lsp lsp_to_pe2_xe1; } } }
MACsec 구성
이 섹션에서는 토폴로지의 각 스위치에서 MACsec을 구성하는 방법을 설명합니다.
여기에는 다음 섹션이 포함됩니다.
사이트 A에서 MACsec 구성을 통해 사이트 B로의 트래픽 보호 CE 스위치
CLI 빠른 구성
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
단계별 절차
이 예에서는 재정적으로 민감한 데이터를 자주 교환하는 사용자 간의 트래픽이 MPLS 클라우드를 통해 CCC의 사이트 간에 전송됩니다. MACsec은 MPLS PE 스위치에 연결되는 사이트 A 및 사이트 B CE 스위치의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결에 일치하는 연결 연결 이름(이 예 ccc-macsec의 경우), 일치하는 CKN(이 예 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311의 경우) 및 KK(이 예 228ef255aa23ff6729ee664acb66e91f의 경우)가 있어야 합니다.
사이트 A에서 사이트 B로 연결하는 CCC에서 MACsec을 활성화하려면 사이트 A CE 스위치에서 다음 절차를 수행합니다.
라는 ccc-macsec연결 연결을 만들고 MACsec 보안 모드를 다음과 같이 구성합니다.
static-cak
[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec security-mode static-cak
CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.
[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
PE1 스위치에 연결하는 인터페이스에 연결 연결을 할당합니다.
[edit security macsec] user@switch-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
이것으로 CCC의 한쪽 끝에서 연결 연결을 구성하는 단계가 완료됩니다. MACsec은 링크의 반대쪽 끝(이 경우 CCC의 사이트 B CE 스위치의 인터페이스)에서 일치하는 사전 공유 키와의 연결 연결이 활성화될 때까지 활성화되지 않습니다. 사이트 B CE 스위치에서 연결 연결을 구성하는 프로세스는 다음 섹션에 설명되어 있습니다.
결과
구성 결과를 표시합니다.
user@switch-CE-A> show configuration
security { macsec { connectivity-association { ccc-macsec { pre-shared-key { cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311; } security-mode { static-cak; } } } interfaces { ge-0/0/0 { connectivity-association { ccc-macsec; } } } } }
사이트 B CE 스위치에서 MACsec 구성을 통해 사이트 A로의 트래픽 보호
CLI 빠른 구성
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
단계별 절차
트래픽은 CCC를 사용하여 MPLS 네트워크를 통해 사이트 B에서 사이트 A로 이동합니다. MACsec은 MPLS PE 스위치에 연결되는 사이트 A 및 사이트 B CE 스위치의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결에 일치하는 연결 연결 이름(이 예에서는 ccc-macsec), 일치하는 CKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) 및 일치하는 KK(228ef255aa23ff6729ee664acb66e91f)가 있어야 합니다.
사이트 B에서 사이트 A로 연결하는 CCC에서 MACsec을 활성화하려면 사이트 B CE 스위치에서 다음 절차를 수행합니다.
라는 ccc-macsec연결 연결을 만들고 MACsec 보안 모드를 다음과 같이 구성합니다.
static-cak
[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec security-mode static-cak
CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.
[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
스위치 PE2에 연결하는 인터페이스에 연결 연결을 할당합니다.
[edit security macsec] user@switch-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
MACsec은 이 절차가 완료된 직후인 사전 공유 키가 교환된 후 CCC에 대해 활성화됩니다.
결과
구성 결과를 표시합니다.
user@switch-CE-B> show configuration
security { macsec { connectivity-association { ccc-macsec { security-mode { static-cak; } pre-shared-key { cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311; } } } interfaces { xe-0/1/0 { connectivity-association { ccc-macsec; } } } } }
MACsec 보안 CCC로 트래픽을 전달하도록 VLAN 구성
이 섹션에서는 사이트 A 및 사이트 B CE 스위치에서 VLAN을 구성하는 방법에 대해 설명합니다. VLAN의 목적은 MACsec 보안을 원하는 트래픽을 MACsec 보안 CCC로 보내는 것입니다.
사이트의 MACsec CCC로 트래픽을 전달하도록 VLAN 구성 CE 스위치
CLI 빠른 구성
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members macsec set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec set interfaces vlan unit 50 family inet address 5.5.5.1/24 set vlans macsec vlan-id 50 set vlans macsec l3-interface vlan.50
단계별 절차
사이트 A의 사용자로부터 MACsec 보안 CCC로 트래픽을 전달하는 VLAN(VLAN ID 50)을 생성하려면 다음을 수행합니다.
ge-0/0/0 인터페이스를 macsec VLAN으로 구성합니다.
[edit interfaces ge-0/0/0 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec
ge-0/0/2 인터페이스를 macsec VLAN으로 구성합니다.
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec
macsec VLAN 브로드캐스트 도메인에 대한 IP 주소를 생성합니다.
[edit interfaces] user@switch-CE-A# set vlan unit 50 family inet address 5.5.5.1/24
macsec VLAN에 대해 VLAN 태그 ID를 50으로 구성합니다.
[edit vlans] user@switch-CE-A# set macsec vlan-id 50
레이어 3 인터페이스를 macsec VLAN과 연결합니다.
[edit vlans] user@switch-CE-A# set macsec l3-interface vlan.50
결과
구성 결과를 표시합니다.
user@switch-CE-A> show configuration interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { vlan members macsec; } } } ge-0/0/2 { unit 0 { family ethernet-switching { vlan members macsec; } } } vlan { unit 50 { family inet address 5.5.5.1/24; } } } vlans { macsec { l3-interface vlan.50; vlan-id 50; } }
사이트 B CE 스위치의 MACsec CCC로 트래픽을 전달하도록 VLAN 구성
CLI 빠른 구성
[edit] set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members macsec set interfaces vlan unit 50 family inet address 5.5.5.2/24 set vlans macsec vlan-id 50 set vlans macsec l3-interface vlan.50
단계별 절차
사이트 B의 사용자에 대한 트래픽을 MACsec 보안 CCC로 보내기 위한 VLAN(VLAN ID 50)을 생성하려면 다음을 수행합니다.
ge-0/0/2 인터페이스를 macsec VLAN으로 구성합니다.
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec
macsec VLAN에 xe-0/1/0 인터페이스를 구성합니다.
[edit interfaces xe-0/1/0 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec
macsec VLAN 브로드캐스트 도메인에 대한 IP 주소를 생성합니다.
[edit interfaces] user@switch-CE-B# set vlan unit 50 family inet address 5.5.5.2/24
macsec VLAN에 대해 VLAN 태그 ID를 50으로 구성합니다.
[edit vlans] user@switch-CE-B# set macsec vlan-id 50
레이어 3 인터페이스를 macsec VLAN과 연결합니다.
[edit vlans] user@switch-CE-B# set macsec l3-interface vlan.50
결과
구성 결과를 표시합니다.
user@switch-CE-B> show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { vlan members macsec; } } } xe-0/1/0 { unit 0 { family ethernet-switching { vlan members macsec; } } } vlan { unit 50 { family inet address 5.5.5.2/24; } } } vlans { macsec { l3-interface vlan.50; vlan-id 50; } }
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
- MACsec 연결 확인
- MACsec 보안 트래픽이 CCC를 트래버스하는지 확인
- 프로바이더 에지 및 프로바이더 스위치 인터페이스에서 MPLS 및 CCC 프로토콜이 사용되도록 설정되어 있는지 확인
- MPLS 레이블 작업 확인
- MPLS CCC의 상태 확인
- OSPF 작업 확인
- RSVP 세션의 상태 확인
MACsec 연결 확인
목적
MACsec이 CCC에서 작동하는지 확인합니다.
행동
show security macsec connections
고객 에지(CE) 스위치 중 하나 또는 둘 다에 명령을 입력합니다.
user@switch-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
의미
및 CA name:
출력은 Interface name:
인터페이스 ge-0/0/0에서 ccc-macsec 연결 연결이 작동한다는 것을 보여줍니다. 인터페이스에서 연결 연결이 작동하지 않으면 출력이 나타나지 않습니다.
MACsec이 CCC에서 작동하는지 추가로 확인하기 위해 다른 CE 스위치에 명령을 입력할 show security macsec connections
수도 있습니다.
MACsec 보안 트래픽이 CCC를 트래버스하는지 확인
목적
CCC를 통과하는 트래픽이 MACsec 보안인지 확인합니다.
행동
show security macsec statistics
CE 스위치 중 하나 또는 둘 다에 명령을 입력합니다.
user@switch-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
의미
Encrypted packets
출력 아래의 Secure Channel transmitted
줄은 MACsec에 의해 보호되고 암호화된 인터페이스에서 패킷이 전송될 때마다 증가합니다. 출력은 Encrypted packets
인터페이스 ge-0/0/0에서 9784개의 암호화되고 안전한 패킷이 전송되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 전송됩니다.
Accepted packets
출력 아래의 Secure Association received
줄은 MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 증가합니다. 출력 아래의 Secure Association received
줄은 암호화된 패킷이 Decrypted bytes
수신되고 복호화될 때마다 증가합니다. 출력은 인터페이스 ge-0/0/0에서 9791개의 MACsec 보안 패킷이 수신되었으며, 이러한 패킷의 2823555바이트가 성공적으로 해독되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 수신됩니다.
추가 확인을 위해 다른 CE 스위치에 명령을 입력할 show security macsec statistics
수도 있습니다.
프로바이더 에지 및 프로바이더 스위치 인터페이스에서 MPLS 및 CCC 프로토콜이 사용되도록 설정되어 있는지 확인
목적
PE 및 프로바이더 스위치에 대한 올바른 인터페이스에서 MPLS가 활성화되었는지 확인합니다.
행동
show interfaces terse
PE 스위치와 프로바이더 스위치 모두에 명령을 입력합니다.
user@switch-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@switch-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@switch-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
의미
출력은 MPLS 트래픽(xe-0/0/0 및 ge-0/0/10)을 전달하는 프로바이더 스위치 인터페이스와 MPLS 트래픽을 전달하는 PE 스위치 인터페이스(PE1 스위치의 인터페이스 ge-0/0/1 및 PE2 스위치의 인터페이스 xe-0/1/0)에 대해 MPLS 프로토콜이 작동함을 확인합니다.
또한 출력은 CE(CE 스위치)와 마주하는 PE 스위치 인터페이스(PE1 스위치의 인터페이스 ge-0/0/0 및 PE2 스위치의 인터페이스 xe-0/1/1)에서 CCC가 활성화되었음을 확인합니다.
MPLS 레이블 작업 확인
목적
CCC의 시작으로 어떤 인터페이스가 사용되고 MPLS 패킷을 다음 홉으로 푸시하는 데 어떤 인터페이스가 사용되는지 확인합니다.
행동
PE 스위치 중 하나 또는 둘 다에 을 show route forwarding-table family mpls
(를) 입력합니다.
user@switch-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
의미
이 출력은 CCC가 인터페이스 ge-0/0/0.0에 구성되었음을 확인합니다. 스위치는 ge-0/0/1.0에서 수신 트래픽을 수신하고 레이블 299952 패킷에 푸시하며, 패킷은 인터페이스 ge-0/0/1.0을 통해 스위치를 빠져나갑니다. 출력은 또한 스위치가 레이블 299856 있는 MPLS 패킷을 수신할 때 레이블을 팝하고 인터페이스 ge-0/0/0.0을 통해 패킷을 전송한다는 것을 보여줍니다
MPLS 레이블 작업에 대한 추가 확인을 위해 다른 PE 스위치에 을 show route forwarding-table family mpls
(를) 입력합니다.
MPLS CCC의 상태 확인
목적
MPLS CCC가 작동 중인지 확인합니다.
행동
PE 스위치에 show connections
명령을 입력합니다.
user@switch-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@switch-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
명령은 show connections
CCC 연결의 상태를 표시합니다. 이 출력은 CCC 인터페이스와 관련 송수신 LSP Up
가 두 PE 스위치 모두에 있는지 확인합니다.
OSPF 작업 확인
목적
OSPF가 실행 중인지 확인합니다.
행동
show ospf neighbor
공급자 또는 PE 스위치 명령을 입력하고 출력을 확인합니다State
.
user@switch-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
의미
출력은 Full
OSPF를 State
사용하는 모든 인터페이스에 있으므로 OSPF가 작동합니다.
OSPF에 대한 추가 확인을 위해 프로바이더 스위치와 함께 PE 스위치에 명령을 입력합니다 show ospf neighbor
.
RSVP 세션의 상태 확인
목적
RSVP 세션의 상태를 확인합니다.
행동
show rsvp session
명령을 입력하고 각 RSVP 세션에 대한 상태가 up인지 확인합니다.
user@switch-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
의미
은Up
(는State
) 모든 연결을 위한 것이므로 RSVP가 정상적으로 작동합니다.
추가 확인을 위해 프로바이더 스위치와 함께 PE 스위치에 을 show rsvp session
(를) 입력합니다.