Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: EX 시리즈 스위치에서 MPLS CCC를 통해 MACsec 구성

이 예에서는 MACsec을 활성화하여 기본 MPLS CCC를 통해 한 사이트의 사용자에서 다른 사이트의 사용자로 이동하는 민감한 트래픽을 보호하는 방법을 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • MPLS 네트워크에서 PE 및 프로바이더 스위치로 사용되는 EX4550 스위치 3개

  • 사이트 A를 MPLS 네트워크에 연결하는 CE 스위치로 사용되는 EX4550 스위치 1개

  • 사이트 B를 MPLS 네트워크에 연결하는 CE 스위치로 사용되는 SFP+ MACsec 업링크 모듈을 설치한 EX4200 스위치 1개

  • MPLS 네트워크(PE1, PE2 또는 프로바이더 스위치)의 모든 EX4550 스위치에서 실행되는 Junos OS 릴리스 12.2R1 이상

  • 사이트 A의 CE 스위치와 사이트 B의 CE 스위치에서 실행되는 Junos OS 릴리스 13.2X50-D15(제어 버전) 이상

    메모:

    MACsec을 활성화하려면 주니퍼 네트웍스 Junos 운영 체제(Junos OS) 소프트웨어의 제어 버전을 다운로드해야 합니다. MACsec 소프트웨어 지원은 기본적으로 스위치에 설치되는 Junos OS 소프트웨어의 국내 버전에서는 사용할 수 없습니다. Junos OS 소프트웨어의 제어 버전에는 MACsec을 지원하는 동시에 Junos OS의 국내 버전에서 사용할 수 있는 모든 기능이 포함되어 있습니다. MACsec 소프트웨어 요구 사항에 대한 자세한 내용은 MACsec(Media Access Control Security) 이해를 참조하십시오.

  • 사이트 A의 CE 스위치와 사이트 B의 CE 스위치에 설치된 MACsec 기능 라이선스

    메모:

    MACsec의 소프트웨어 라이선스를 구매하려면 주니퍼 네트웍스 영업 담당자(https://www.juniper.net/us/en/contact-us/sales-offices)에게 문의하십시오. 주니퍼 네트웍스 영업 담당자가 기능 라이선스 파일과 라이선스 키를 제공합니다. 스위치의 섀시 일련 번호를 입력하라는 메시지가 표시됩니다. 또는 show chassis hardware 명령을 실행하여 일련 번호를 얻을 수 있습니다show virtual-chassis.

개요 및 토폴로지

이 예에서는 재정적으로 중요한 회사 데이터가 사이트 A의 사용자와 사이트 B의 사용자 간에 전송되는 경우가 많습니다. 회사는 사이트 A의 사용자로부터 사이트 B의 사용자까지 이동하는 모든 네트워크 트래픽의 보안이 매우 안전하며 공격자가 보거나 손상시킬 수 없도록 하려고 합니다. 이 회사는 MACsec에서 제공하는 업계 표준 레이어 2 보안을 사용하고 있습니다. 이 보안은 공격자가 데이터를 볼 수 없도록 암호화하고 전송된 데이터가 손상되지 않도록 무결성 검사를 제공하여 사이트를 연결하는 MPLS 클라우드를 통해 CCC에서 이동하는 모든 트래픽을 보호합니다. VLAN은 두 사용자 간의 트래픽 이동이 MACsec 보안 CCC를 통해 사이트를 트래버스하도록 두 사이트 모두에서 구성됩니다.

이 예의 MPLS 네트워크에는 PE1 및 PE2라는 두 개의 프로바이더 에지(PE) 스위치와 한 개의 프로바이더(전송) 스위치가 포함되어 있습니다. PE1은 사이트 A의 고객 에지(CE) 스위치를 MPLS 네트워크에 연결하고, PE2는 사이트 B의 CE 스위치를 MPLS 네트워크에 연결합니다. MACsec은 사이트 A와 사이트 B의 CE 스위치를 연결하는 CCC에서 활성화되어 CCC를 통해 사이트 간에 이동하는 트래픽을 보호합니다. 사용자를 CE 스위치에 연결하는 인터페이스, 사이트 A의 CE 스위치에 있는 인터페이스 ge-0/0/0, 사이트 B의 CE 스위치에 있는 인터페이스 ge-0/0/2, 그리고 CE 스위치를 MPLS 클라우드에 연결하는 인터페이스(사이트 A CE 스위치의 ge-0/0/0 및 사이트 B CE 스위치의 xe-0/1/0)를 포함하는 VLAN, 사용자 간의 모든 트래픽을 MACsec 보안 CCC로 전달하는 데 사용됩니다.

그림 1 은 이 예에서 사용된 토폴로지를 보여줍니다. MACsec 보안 CCC 트래픽은 그림에 표시되어 MACsec CCC 있습니다.

그림 1: 사이트 A와 사이트 B 간의 MPLS 다이어그램

표 1 은 이 토폴로지의 MPLS 네트워크 구성 요소에 대한 요약을 제공합니다.

표 2 는 이 토폴로지에서 사용되는 MACsec 연결 연결을 요약한 것입니다. MACsec은 링크의 각 끝에 있는 인터페이스에 연결 연결을 생성하여 활성화됩니다. MACsec은 링크의 각 끝에 있는 인터페이스가 사전 공유 키(사전 공유 키는 연결 연결에 정의됨)를 교환하여 MACsec에 대한 링크를 보호할 때 활성화됩니다.

표 3 은 이 토폴로지에서 사용되는 VLAN에 대한 요약을 제공합니다. 이 토폴로지에서 VLAN은 사이트 A의 사용자로부터 사이트 B의 사용자로의 모든 통신을 MACsec 보안 CCC로 전달하는 데 사용됩니다.

표 1: MPLS 토폴로지의 구성 요소
구성 요소 설명

PE1

PE 스위치.

lo0:

  • IP 주소: 130.1.1.1/32

  • OSPF 및 RSVP에 참여합니다.

ge-0/0/0:

  • 사이트 A를 MPLS 네트워크에 연결하는 고객 에지 인터페이스.

  • PE2의 xe-0/1/1에 연결하는 CCC.

ge-0/0/1:

  • PE1을 프로바이더 스위치에 연결하는 코어 인터페이스.

  • IP 주소: 10.1.5.2/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

공급자

공급자 스위치.

lo0:

  • IP 주소: 130.1.1.2/32

  • OSPF 및 RSVP에 참여합니다.

ge-0/0/10:

  • 프로바이더 스위치를 PE1에 연결하는 코어 인터페이스입니다.

  • IP 주소: 10.1.5.1/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

xe-0/0/0:

  • 프로바이더 스위치를 PE2에 연결하는 코어 인터페이스입니다.

  • IP 주소: 10.1.9.1/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

PE2

PE 스위치.

lo0:

  • IP 주소: 130.1.1.3/32

  • OSPF 및 RSVP에 참여합니다.

xe-0/1/0

  • PE2를 프로바이더 스위치에 연결하는 코어 인터페이스.

  • IP 주소: 10.1.9.2/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

xe-0/1/1

  • 사이트 B를 MPLS 네트워크에 연결하는 고객 에지 인터페이스.

  • PE1에서 ge-0/0/0에 연결하는 CCC.

레이블 전환 경로 lsp_to_pe2_xe1

PE1에서 PE2로의 레이블 전환 경로.

레이블 전환 경로 lsp_to_pe1_ge0

PE2에서 PE1로의 레이블 전환 경로.
표 2: MACsec 연결 연결 요약
연결 연결 설명

CCC-MACsec

CCC에서 MACsec을 활성화하고 사이트 A를 사이트 B로 연결하는 연결 연결.

연결 연결은 다음 인터페이스에서 활성화됩니다.

  • Site A CE 스위치: ge-0/0/0

  • 사이트 B CE 스위치: xe-0/1/0
표 3: VLAN 요약
VLAN 설명

MACsec

사이트 A의 사용자와 사이트 B의 사용자 간의 트래픽을 MACsec 보안 CCC로 전달하는 VLAN.

VLAN에는 다음과 같은 인터페이스가 포함됩니다.

  • Site A CE 스위치: ge-0/0/0

  • Site A CE 스위치: ge-0/0/1

  • 사이트 B CE 스위치: xe-0/1/0

  • 사이트 B CE 스위치: ge-0/0/2

MPLS 구성

이 섹션에서는 MPLS 네트워크의 각 스위치에서 MPLS를 구성하는 방법에 대해 설명합니다.

여기에는 다음 섹션이 포함됩니다.

스위치 PE1에서 MPLS 구성

CLI 빠른 구성

PE1 스위치에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.

단계별 절차

스위치 PE1에서 MPLS를 구성하려면:

  1. 트래픽 엔지니어링이 활성화된 상태에서 OSPF를 구성합니다.

  2. 루프백 주소와 코어 인터페이스에서 OSPF를 구성합니다.

  3. PE2 스위치에 대한 LSP를 사용하여 이 스위치 PE1에서 MPLS를 구성합니다.

  4. 코어 인터페이스에서 MPLS를 구성합니다.

  5. 루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.

  6. 루프백 인터페이스와 코어 인터페이스에 대한 IP 주소를 구성합니다.

  7. 코어 인터페이스 주소의 논리적 단위에서 구성합니다 family mpls .

  8. 고객 에지 인터페이스의 논리적 장치를 CCC로 구성합니다.

  9. PE1에서 PE2로 인터페이스 기반의 CCC를 구성합니다.

결과

구성 결과를 표시합니다.

프로바이더 스위치에서 MPLS 구성

CLI 빠른 구성

프로바이더 스위치에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.

단계별 절차

프로바이더 스위치를 구성하려면 다음을 수행합니다.

  1. 트래픽 엔지니어링이 활성화된 상태에서 OSPF를 구성합니다.

  2. 루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.

  3. 스위치의 코어 인터페이스에서 MPLS를 구성합니다.

  4. 루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.

  5. 루프백 인터페이스와 코어 인터페이스에 대한 IP 주소를 구성합니다.

  6. 코어 인터페이스 주소의 논리적 단위에서 구성합니다 family mpls .

  7. PE2 스위치에 LSP를 구성합니다.

결과

구성 결과를 표시합니다.

스위치 PE2에서 MPLS 구성

CLI 빠른 구성

스위치 PE2에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.

단계별 절차

스위치 PE2 구성:

  1. 트래픽 엔지니어링이 활성화된 상태에서 OSPF를 구성합니다.

  2. 루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.

  3. 다른 PE 스위치(PE1)로 연결되는 레이블 스위칭 경로(LSP)가 있는 이 스위치(PE2)에서 MPLS를 구성합니다.

  4. 코어 인터페이스에서 MPLS를 구성합니다.

  5. 루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.

  6. 루프백 인터페이스와 코어 인터페이스에 대한 IP 주소를 구성합니다.

  7. 코어 인터페이스의 논리적 장치에서 구성합니다 family mpls .

  8. 고객 에지 인터페이스의 논리적 장치를 CCC로 구성합니다.

  9. 기본 에지 스위치 간에 인터페이스 기반 CCC를 구성합니다.

결과

구성 결과를 표시합니다.

MACsec 구성

이 섹션에서는 토폴로지의 각 스위치에서 MACsec을 구성하는 방법을 설명합니다.

여기에는 다음 섹션이 포함됩니다.

사이트 A에서 MACsec 구성을 통해 사이트 B로의 트래픽 보호 CE 스위치

CLI 빠른 구성

단계별 절차

이 예에서는 재정적으로 민감한 데이터를 자주 교환하는 사용자 간의 트래픽이 MPLS 클라우드를 통해 CCC의 사이트 간에 전송됩니다. MACsec은 MPLS PE 스위치에 연결되는 사이트 A 및 사이트 B CE 스위치의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결에 일치하는 연결 연결 이름(이 예 ccc-macsec의 경우), 일치하는 CKN(이 예 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311의 경우) 및 KK(이 예 228ef255aa23ff6729ee664acb66e91f의 경우)가 있어야 합니다.

사이트 A에서 사이트 B로 연결하는 CCC에서 MACsec을 활성화하려면 사이트 A CE 스위치에서 다음 절차를 수행합니다.

  1. 라는 ccc-macsec연결 연결을 만들고 MACsec 보안 모드를 다음과 같이 구성합니다.static-cak

  2. CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.

  3. PE1 스위치에 연결하는 인터페이스에 연결 연결을 할당합니다.

    이것으로 CCC의 한쪽 끝에서 연결 연결을 구성하는 단계가 완료됩니다. MACsec은 링크의 반대쪽 끝(이 경우 CCC의 사이트 B CE 스위치의 인터페이스)에서 일치하는 사전 공유 키와의 연결 연결이 활성화될 때까지 활성화되지 않습니다. 사이트 B CE 스위치에서 연결 연결을 구성하는 프로세스는 다음 섹션에 설명되어 있습니다.

결과

구성 결과를 표시합니다.

사이트 B CE 스위치에서 MACsec 구성을 통해 사이트 A로의 트래픽 보호

CLI 빠른 구성

단계별 절차

트래픽은 CCC를 사용하여 MPLS 네트워크를 통해 사이트 B에서 사이트 A로 이동합니다. MACsec은 MPLS PE 스위치에 연결되는 사이트 A 및 사이트 B CE 스위치의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결에 일치하는 연결 연결 이름(이 예에서는 ccc-macsec), 일치하는 CKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) 및 일치하는 KK(228ef255aa23ff6729ee664acb66e91f)가 있어야 합니다.

사이트 B에서 사이트 A로 연결하는 CCC에서 MACsec을 활성화하려면 사이트 B CE 스위치에서 다음 절차를 수행합니다.

  1. 라는 ccc-macsec연결 연결을 만들고 MACsec 보안 모드를 다음과 같이 구성합니다.static-cak

  2. CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.

  3. 스위치 PE2에 연결하는 인터페이스에 연결 연결을 할당합니다.

    MACsec은 이 절차가 완료된 직후인 사전 공유 키가 교환된 후 CCC에 대해 활성화됩니다.

결과

구성 결과를 표시합니다.

MACsec 보안 CCC로 트래픽을 전달하도록 VLAN 구성

이 섹션에서는 사이트 A 및 사이트 B CE 스위치에서 VLAN을 구성하는 방법에 대해 설명합니다. VLAN의 목적은 MACsec 보안을 원하는 트래픽을 MACsec 보안 CCC로 보내는 것입니다.

사이트의 MACsec CCC로 트래픽을 전달하도록 VLAN 구성 CE 스위치

CLI 빠른 구성

단계별 절차

사이트 A의 사용자로부터 MACsec 보안 CCC로 트래픽을 전달하는 VLAN(VLAN ID 50)을 생성하려면 다음을 수행합니다.

  1. ge-0/0/0 인터페이스를 macsec VLAN으로 구성합니다.

  2. ge-0/0/2 인터페이스를 macsec VLAN으로 구성합니다.

  3. macsec VLAN 브로드캐스트 도메인에 대한 IP 주소를 생성합니다.

  4. macsec VLAN에 대해 VLAN 태그 ID를 50으로 구성합니다.

  5. 레이어 3 인터페이스를 macsec VLAN과 연결합니다.

결과

구성 결과를 표시합니다.

사이트 B CE 스위치의 MACsec CCC로 트래픽을 전달하도록 VLAN 구성

CLI 빠른 구성

단계별 절차

사이트 B의 사용자에 대한 트래픽을 MACsec 보안 CCC로 보내기 위한 VLAN(VLAN ID 50)을 생성하려면 다음을 수행합니다.

  1. ge-0/0/2 인터페이스를 macsec VLAN으로 구성합니다.

  2. macsec VLAN에 xe-0/1/0 인터페이스를 구성합니다.

  3. macsec VLAN 브로드캐스트 도메인에 대한 IP 주소를 생성합니다.

  4. macsec VLAN에 대해 VLAN 태그 ID를 50으로 구성합니다.

  5. 레이어 3 인터페이스를 macsec VLAN과 연결합니다.

결과

구성 결과를 표시합니다.

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

MACsec 연결 확인

목적

MACsec이 CCC에서 작동하는지 확인합니다.

행동

show security macsec connections 고객 에지(CE) 스위치 중 하나 또는 둘 다에 명령을 입력합니다.

의미

CA name: 출력은 Interface name: 인터페이스 ge-0/0/0에서 ccc-macsec 연결 연결이 작동한다는 것을 보여줍니다. 인터페이스에서 연결 연결이 작동하지 않으면 출력이 나타나지 않습니다.

MACsec이 CCC에서 작동하는지 추가로 확인하기 위해 다른 CE 스위치에 명령을 입력할 show security macsec connections 수도 있습니다.

MACsec 보안 트래픽이 CCC를 트래버스하는지 확인

목적

CCC를 통과하는 트래픽이 MACsec 보안인지 확인합니다.

행동

show security macsec statistics CE 스위치 중 하나 또는 둘 다에 명령을 입력합니다.

의미

Encrypted packets 출력 아래의 Secure Channel transmitted 줄은 MACsec에 의해 보호되고 암호화된 인터페이스에서 패킷이 전송될 때마다 증가합니다. 출력은 Encrypted packets 인터페이스 ge-0/0/0에서 9784개의 암호화되고 안전한 패킷이 전송되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 전송됩니다.

Accepted packets 출력 아래의 Secure Association received 줄은 MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 증가합니다. 출력 아래의 Secure Association received 줄은 암호화된 패킷이 Decrypted bytes 수신되고 복호화될 때마다 증가합니다. 출력은 인터페이스 ge-0/0/0에서 9791개의 MACsec 보안 패킷이 수신되었으며, 이러한 패킷의 2823555바이트가 성공적으로 해독되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 수신됩니다.

추가 확인을 위해 다른 CE 스위치에 명령을 입력할 show security macsec statistics 수도 있습니다.

프로바이더 에지 및 프로바이더 스위치 인터페이스에서 MPLS 및 CCC 프로토콜이 사용되도록 설정되어 있는지 확인

목적

PE 및 프로바이더 스위치에 대한 올바른 인터페이스에서 MPLS가 활성화되었는지 확인합니다.

행동

show interfaces terse PE 스위치와 프로바이더 스위치 모두에 명령을 입력합니다.

의미

출력은 MPLS 트래픽(xe-0/0/0 및 ge-0/0/10)을 전달하는 프로바이더 스위치 인터페이스와 MPLS 트래픽을 전달하는 PE 스위치 인터페이스(PE1 스위치의 인터페이스 ge-0/0/1 및 PE2 스위치의 인터페이스 xe-0/1/0)에 대해 MPLS 프로토콜이 작동함을 확인합니다.

또한 출력은 CE(CE 스위치)와 마주하는 PE 스위치 인터페이스(PE1 스위치의 인터페이스 ge-0/0/0 및 PE2 스위치의 인터페이스 xe-0/1/1)에서 CCC가 활성화되었음을 확인합니다.

MPLS 레이블 작업 확인

목적

CCC의 시작으로 어떤 인터페이스가 사용되고 MPLS 패킷을 다음 홉으로 푸시하는 데 어떤 인터페이스가 사용되는지 확인합니다.

행동

PE 스위치 중 하나 또는 둘 다에 을 show route forwarding-table family mpls (를) 입력합니다.

의미

이 출력은 CCC가 인터페이스 ge-0/0/0.0에 구성되었음을 확인합니다. 스위치는 ge-0/0/1.0에서 수신 트래픽을 수신하고 레이블 299952 패킷에 푸시하며, 패킷은 인터페이스 ge-0/0/1.0을 통해 스위치를 빠져나갑니다. 출력은 또한 스위치가 레이블 299856 있는 MPLS 패킷을 수신할 때 레이블을 팝하고 인터페이스 ge-0/0/0.0을 통해 패킷을 전송한다는 것을 보여줍니다

MPLS 레이블 작업에 대한 추가 확인을 위해 다른 PE 스위치에 을 show route forwarding-table family mpls (를) 입력합니다.

MPLS CCC의 상태 확인

목적

MPLS CCC가 작동 중인지 확인합니다.

행동

PE 스위치에 show connections 명령을 입력합니다.

명령은 show connections CCC 연결의 상태를 표시합니다. 이 출력은 CCC 인터페이스와 관련 송수신 LSP Up 가 두 PE 스위치 모두에 있는지 확인합니다.

OSPF 작업 확인

목적

OSPF가 실행 중인지 확인합니다.

행동

show ospf neighbor 공급자 또는 PE 스위치 명령을 입력하고 출력을 확인합니다State.

의미

출력은 Full OSPF를 State 사용하는 모든 인터페이스에 있으므로 OSPF가 작동합니다.

OSPF에 대한 추가 확인을 위해 프로바이더 스위치와 함께 PE 스위치에 명령을 입력합니다 show ospf neighbor .

RSVP 세션의 상태 확인

목적

RSVP 세션의 상태를 확인합니다.

행동

show rsvp session 명령을 입력하고 각 RSVP 세션에 대한 상태가 up인지 확인합니다.

의미

Up(는State) 모든 연결을 위한 것이므로 RSVP가 정상적으로 작동합니다.

추가 확인을 위해 프로바이더 스위치와 함께 PE 스위치에 을 show rsvp session (를) 입력합니다.

관련 문서