Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: EX 시리즈 스위치에서 MPLS CCC를 통해 MACsec 구성

이 예에서는 MACsec이 기본 MPLS CCC를 통해 한 사이트에서 사용자로 이동하는 민감한 트래픽을 다른 사이트에서 사용자로 보호하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • MPLS 네트워크에서 PE 및 프로바이더는 스위치로 사용하는 EX4550 스위치 3개

  • 사이트 A를 MPLS 네트워크에 연결하는 CE 스위치로 사용되는 EX4550 스위치 1개

  • 사이트 B를 MPLS 네트워크에 연결하는 CE 스위치로 사용되는 SFP+ MACsec 업링크 모듈을 설치한 EX4200 스위치 1개

  • MPLS 네트워크의 모든 EX4550 스위치(PE1, PE2 또는 프로바이더 스위치)에서 실행되는 Junos OS 릴리스 12.2R1 이상

  • Junos OS 릴리스 13.2X50-D15(제어 버전) 이상 사이트 A 및 사이트 B의 CE 스위치에서 CE 스위치에서 실행

    참고:

    MACsec을 활성화하려면 주니퍼 네트웍스 Junos 운영 체제(Junos OS) 소프트웨어의 제어 버전을 다운로드해야 합니다. MACsec 소프트웨어 지원은 기본적으로 스위치에 설치된 Junos OS 소프트웨어의 국내 버전에서는 지원되지 않습니다. Junos OS 소프트웨어의 제어 버전에는 JUNOS OS의 국내 버전에서 사용할 수 있는 모든 기능과 기능이 포함되며 MACsec도 지원합니다. MACsec 소프트웨어 요구 사항에 대한 추가 정보는 MACsec(Media Access Control Security) 이해를 참조하십시오.

  • 사이트 A의 CE 스위치와 사이트 B의 CE 스위치에 설치된 MACsec 기능 라이선스

    참고:

    MACsec용 소프트웨어 라이선스를 구입하려면 주니퍼 네트웍스 영업 담당자(https://www.juniper.net/us/en/contact-us/sales-offices)에게 문의하십시오. 주니퍼 네트웍스 영업 담당자가 기능 라이선스 파일과 라이센스 키를 제공합니다. 스위치의 섀시 일련 번호를 공급하라는 메시지가 표시됩니다. 또는 show chassis hardware 명령을 실행 show virtual-chassis 하여 일련 번호를 얻을 수 있습니다.

개요 및 토폴로지

이 예에서는 재정적으로 민감한 회사 데이터가 사이트 A의 사용자와 사이트 B의 사용자 간에 전송되는 경우가 많습니다. 회사는 사이트 A에서 사용자로 사이트 B에서 사용자로 이동하는 모든 네트워크 트래픽이 매우 안전하며 공격자가 보거나 손상할 수 없도록 보장하고자 합니다. 이 회사는 MACsec에서 제공하는 업계 표준 레이어 2 보안을 사용하고 있으며, 암호화를 통해 공격자가 데이터를 볼 수 없도록 하고 무결성 검사를 통해 전송된 데이터가 손상되지 않도록 보장하여 사이트를 연결하는 MPLS 클라우드를 통해 CCC로 이동하는 모든 트래픽을 보호하고 있습니다. 두 사이트 모두에서 VLAN이 구성되어 두 사용자 간의 트래픽이 MACsec 보안 CCC를 통해 사이트를 통과하도록 보장합니다.

이 예의 MPLS 네트워크에는 2개의 PE(Provider Edge) 스위치(PE1 및 PE2)와 1개의 프로바이더는 전송 스위치가 포함됩니다. PE1은 사이트 A의 고객 에지(CE) 스위치를 MPLS 네트워크에 연결하고 PE2는 사이트 B의 CE 스위치를 MPLS 네트워크에 연결합니다. MACsec은 CCC에서 사이트 A 및 사이트 B의 CE 스위치를 연결하여 CCC를 통해 사이트 사이를 이동하는 트래픽을 보호합니다. 사용자를 CE 스위치에 연결하는 인터페이스, 사이트 A의 CE 스위치의 ge-0/0/0 인터페이스, 사이트 B의 CE 스위치의 ge-0/0/2 인터페이스, CE 스위치를 MPLS 클라우드에 연결하는 인터페이스(사이트 A CE 스위치에서 ge-0/0/0/0), 사이트 B CE 스위치의 xe-0/1/0을 연결하는 인터페이스가 포함된 VLAN MACsec 보안 CCC로 사용자 간의 모든 트래픽을 지시하는 데 사용됩니다.

그림 1 은 이 예에서 사용된 토폴로지입니다. MACsec 보안 CCC 트래픽은 그림에 레이블이 지정됩니다 MACsec CCC .

그림 1: 사이트 A와 사이트 B 간의 MPLS 다이어그램

표 1 은 이 토폴로지의 MPLS 네트워크 구성 요소에 대한 요약을 제공합니다.

표 2 는 이 토폴로지에서 사용되는 MACsec 연결 연결에 대한 요약을 제공합니다. MACsec은 링크의 각 끝에 있는 인터페이스에 연결 연결을 생성하여 활성화됩니다. MACsec은 링크 교환 사전 공유 키의 각 끝에 있는 인터페이스(사전 공유 키가 연결 연결에 정의됨)가 MACsec에 대한 링크를 보호하도록 할 때 활성화됩니다.

표 3 은 이 토폴로지에서 사용되는 VLAN에 대한 요약을 제공합니다. VLAN은 이 토폴로지에서 사이트 A의 사용자로부터 사이트 B의 사용자와 MACsec 보안 CCC로 모든 통신을 지시하는 데 사용됩니다.

표 1: MPLS 토폴로지의 구성 요소
구성 요소 설명

PE1

PE 스위치.

lo0:

  • IP 주소: 130.1.1.1/32

  • OSPF 및 RSVP 참가

ge-0/0/0:

  • 사이트 A를 MPLS 네트워크에 연결하는 고객 에지 인터페이스.

  • PE2에서 xe-0/1/1에 연결하는 CCC.

ge-0/0/1:

  • PE1을 프로바이더는 스위치에 연결하는 코어 인터페이스입니다.

  • IP 주소: 10.1.5.2/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

공급자

프로바이더는 스위치입니다.

lo0:

  • IP 주소: 130.1.1.2/32

  • OSPF 및 RSVP 참가

ge-0/0/10:

  • PE1에 프로바이더는 코어 인터페이스를 연결합니다.

  • IP 주소: 10.1.5.1/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

xe-0/0/0:

  • PE2에 프로바이더는 코어 인터페이스를 연결합니다.

  • IP 주소: 10.1.9.1/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

PE2

PE 스위치.

lo0:

  • IP 주소: 130.1.1.3/32

  • OSPF 및 RSVP 참가

xe-0/1/0

  • PE2를 프로바이더는 스위치에 연결하는 코어 인터페이스입니다.

  • IP 주소: 10.1.9.2/24

  • OSPF, RSVP 및 MPLS에 참여합니다.

xe-0/1/1

  • 사이트 B를 MPLS 네트워크에 연결하는 고객 에지 인터페이스.

  • PE1에서 ge-0/0/0에 연결하는 CCC.

레이블 스위칭 경로 lsp_to_pe2_xe1

PE1에서 PE2로의 레이블 스위칭 경로.

lsp_to_pe1_ge0 레이블 스위칭 경로

PE2에서 PE1로의 레이블 스위칭 경로.

표 2: MACsec 연결 연결 요약
연결 연결 설명

ccc-macsec

CCC에서 MACsec을 활성화하는 연결 연결 사이트 A와 사이트 B를 연결합니다.

연결 연결은 다음 인터페이스에서 활성화됩니다.

  • 사이트 A CE 스위치: ge-0/0/0

  • 사이트 B CE 스위치: xe-0/1/0

표 3: VLAN 요약
VLAN 설명

macsec

VLAN은 사이트 A에서 사용자와 사이트 B의 사용자 간의 트래픽을 MACsec 보안 CCC로 전송합니다.

VLAN에는 다음과 같은 인터페이스가 포함되어 있습니다.

  • 사이트 A CE 스위치: ge-0/0/0

  • 사이트 A CE 스위치: ge-0/0/1

  • 사이트 B CE 스위치: xe-0/1/0

  • 사이트 B CE 스위치: ge-0/0/2

MPLS 구성

이 섹션에서는 MPLS 네트워크의 각 스위치에서 MPLS를 구성하는 방법을 설명합니다.

다음 섹션이 포함되어 있습니다.

스위치 PE1에서 MPLS 구성

CLI 빠른 구성

PE1 스위치에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.

단계별 절차

스위치 PE1에서 MPLS를 구성하려면 다음을 수행합니다.

  1. 트래픽 엔지니어링을 활성화하여 OSPF 구성:

  2. 루프백 주소와 코어 인터페이스에서 OSPF를 구성합니다.

  3. 이 스위치에서 LSP를 PE2 스위치로 구성합니다. PE1은 다음을 수행합니다.

  4. 코어 인터페이스에서 MPLS 구성:

  5. 루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.

  6. 루프백 인터페이스 및 코어 인터페이스에 대한 IP 주소를 구성합니다.

  7. 코어 인터페이스 주소의 논리적 단위에서 구성 family mpls :

  8. CCC로 고객 에지 인터페이스의 논리적 단위를 구성합니다.

  9. PE1에서 PE2로의 인터페이스 기반 CCC 구성:

결과

구성 결과를 표시합니다.

프로바이더는 스위치에서 MPLS 구성

CLI 빠른 구성

공급업체 스위치에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.

단계별 절차

프로바이더는 다음을 구성합니다.

  1. 트래픽 엔지니어링을 활성화하여 OSPF 구성:

  2. 루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.

  3. 스위치의 코어 인터페이스에서 MPLS 구성:

  4. 루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.

  5. 루프백 인터페이스 및 코어 인터페이스에 대한 IP 주소를 구성합니다.

  6. 코어 인터페이스 주소의 논리적 단위에서 구성 family mpls :

  7. PE2 스위치에 LSP를 구성합니다.

결과

구성 결과를 표시합니다.

스위치 PE2에서 MPLS 구성

CLI 빠른 구성

Switch PE2에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.

단계별 절차

Switch PE2를 구성하려면:

  1. 트래픽 엔지니어링을 활성화하여 OSPF 구성:

  2. 루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.

  3. 다른 PE1에 LSP(Label-Switched Path)를 적용하여 이 스위치(PE2)에서 MPLS를 구성합니다.

  4. 코어 인터페이스에서 MPLS 구성:

  5. 루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.

  6. 루프백 인터페이스 및 코어 인터페이스에 대한 IP 주소를 구성합니다.

  7. 코어 인터페이스의 논리적 단위에서 구성 family mpls :

  8. CCC로 고객 에지 인터페이스의 논리적 단위를 구성합니다.

  9. 기본 에지 스위치 간의 인터페이스 기반 CCC 구성:

결과

구성 결과를 표시합니다.

MACsec 구성

이 섹션에서는 토폴로지의 각 스위치에서 MACsec을 구성하는 방법을 설명합니다.

다음 섹션이 포함되어 있습니다.

사이트에서 MACsec 구성 사이트 B로 트래픽을 보호하기 위한 CE 스위치

CLI 빠른 구성

단계별 절차

이 예에서는 매우 민감한 데이터를 교환하는 사용자 간의 트래픽이 MPLS 클라우드를 통해 CCC의 사이트 간에 전송됩니다. MACsec은 사이트 A 및 MPLS PE 스위치에 연결하는 사이트 B CE 스위치의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결 연결에 일치하는 연결 연결 이름(이 예ccc-macsec37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311에서는 CKN)과 CAK(이 예228ef255aa23ff6729ee664acb66e91f에서 참조)가 있어야 합니다.

CCC 연결 사이트 A와 사이트 B에서 MACsec을 사용하려면 사이트 A CE 스위치에서 다음 절차를 수행합니다.

  1. 라는 연결 ccc-macsec연결을 생성하고 MACsec 보안 모드를 다음과 같이 static-cak구성합니다.

  2. CKN 및 CAK를 구성하여 사전 공유 키를 만듭니다.

  3. PE1 스위치에 연결하는 인터페이스에 연결 연결을 할당합니다.

    이는 CCC의 한쪽 끝에 연결 연결을 구성하기 위한 단계를 완료합니다. MACsec은 사전 공유 키와 일치하는 연결 연결이 링크의 반대 쪽 끝에 활성화될 때까지 활성화되지 않습니다. 이 경우 CCC의 사이트 B CE 스위치의 인터페이스입니다. 사이트 B CE 스위치에서 연결 연결을 구성하는 프로세스는 다음 섹션에서 설명합니다.

결과

구성 결과를 표시합니다.

사이트 B CE 스위치에서 MACsec 구성하여 사이트로 트래픽 보호 A

CLI 빠른 구성

단계별 절차

트래픽은 CCC를 사용하여 MPLS 네트워크를 통해 사이트 B에서 사이트 A로 이동합니다. MACsec은 사이트 A 및 MPLS PE 스위치에 연결하는 사이트 B CE 스위치의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결 연결에 일치하는 연결 연결 이름(예: ccc-macsecCKN과37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 매칭하고 CAK228ef255aa23ff6729ee664acb66e91f)을 일치시켜야 합니다.

사이트 B와 사이트 A를 연결하는 CCC에서 MACsec을 사용하려면 사이트 B CE 스위치에서 다음 절차를 수행합니다.

  1. 라는 연결 ccc-macsec연결을 생성하고 MACsec 보안 모드를 다음과 같이 static-cak구성합니다.

  2. CKN 및 CAK를 구성하여 사전 공유 키를 만듭니다.

  3. Switch PE2에 연결하는 인터페이스에 연결 연결 할당:

    사전 공유 키가 교환된 후 이 절차가 완료된 직후에 MACsec이 CCC에 활성화됩니다.

결과

구성 결과를 표시합니다.

MACsec 보안 CCC로 트래픽을 이동하도록 VLAN 구성

이 섹션에서는 사이트 A 및 사이트 B CE 스위치에서 VLAN을 구성하는 방법을 설명합니다. VLAN의 목적은 MACsec 보안 트래픽을 MACsec 보안 CCC에 전송하는 것입니다.

VLAN을 구성하여 사이트 A CE 스위치에서 MACsec CCC로 트래픽을 이동

CLI 빠른 구성

단계별 절차

사이트 A에서 사용자로부터 MACsec 보안 CCC로 트래픽을 지시하는 VLAN(VLAN ID 50)을 생성하려면 다음을 수행합니다.

  1. macsec VLAN에 대한 ge-0/0/0 인터페이스 구성:

  2. macsec VLAN에 ge-0/0/2 인터페이스를 구성합니다.

  3. macsec VLAN 브로드캐스트 도메인을 위한 IP 주소를 만듭니다.

  4. macsec VLAN에 대해 VLAN 태그 ID를 50으로 구성합니다.

  5. 레이어 3 인터페이스와 macsec VLAN 연결:

결과

구성 결과를 표시합니다.

사이트 B CE 스위치에서 MACsec CCC로 트래픽을 이동하도록 VLAN 구성

CLI 빠른 구성

단계별 절차

VLAN(VLAN ID 50)을 생성하여 사이트 B에서 사용자를 위한 트래픽을 MACsec 보안 CCC로 이동하려면 다음을 수행합니다.

  1. macsec VLAN에 ge-0/0/2 인터페이스를 구성합니다.

  2. macsec VLAN에 xe-0/1/0 인터페이스를 구성합니다.

  3. macsec VLAN 브로드캐스트 도메인을 위한 IP 주소를 만듭니다.

  4. macsec VLAN에 대해 VLAN 태그 ID를 50으로 구성합니다.

  5. 레이어 3 인터페이스와 macsec VLAN 연결:

결과

구성 결과를 표시합니다.

확인

구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.

MACsec 연결 검증

목적

MACsec이 CCC에서 작동하는지 확인합니다.

작업

show security macsec connections 고객 에지(CE) 스위치 중 하나 또는 두 개 모두에서 명령을 입력합니다.

의미

CA name: 출력은 Interface name: ccc-macsec 연결 연결이 인터페이스 ge-0/0/0에서 작동한다는 것을 보여줍니다. 연결 연결이 인터페이스에서 작동되지 않을 때 출력이 나타나지 않습니다.

MACsec이 CCC에서 작동하고 있는지 추가 확인을 위해 다른 CE 스위치의 show security macsec connections 명령도 입력할 수 있습니다.

MACsec 보안 트래픽이 CCC를 통과하는지 검증

목적

CCC를 통과하는 트래픽이 MACsec 보안인지 확인합니다.

작업

show security macsec statistics CE 스위치 중 하나 또는 두 개 모두에서 명령을 입력합니다.

의미

Encrypted packets MACsec에 Secure Channel transmitted 의해 보호되고 암호화되는 인터페이스에서 패킷이 전송될 때마다 출력 아래의 선이 증분됩니다. 출력은 Encrypted packets 9784 암호화 및 보안 패킷이 인터페이스 ge-0/0/0에서 전송되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 전송됩니다.

Accepted packets MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 출력 아래 Secure Association received 의 선이 증분됩니다. Decrypted bytes 암호화된 패킷이 Secure Association received 수신 및 복호화될 때마다 출력 아래의 선이 증분됩니다. 이 출력은 인터페이스 ge-0/0/0에서 9791개의 MACsec 보안 패킷이 수신되었으며 해당 패킷의 2823555 바이트가 성공적으로 복호화되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 수신됩니다.

추가적인 확인을 위해 다른 CE 스위치의 명령어 show security macsec statistics 도 입력할 수 있습니다.

프로바이더는 에지 및 프로바이더는 스위치 인터페이스상에서 MPLS 및 CCC 프로토콜을 사용할 수 있는지 검증

목적

PE 및 프로바이더는 올바른 인터페이스에서 MPLS가 활성화되어 있는지 확인합니다.

작업

show interfaces terse PE 스위치와 프로바이더는 다음 모두에서 명령을 입력합니다.

의미

출력을 통해 MPLS 프로토콜이 MPLS 트래픽(xe-0/0/0 및 ge-0/0/10)을 통과하는 프로바이더는 물론, PE2 스위치의 인터페이스 ge-0/0/1인 MPLS 트래픽을 전달하는 PE 스위치 인터페이스와 인터페이스 xe-0/1/0을 위한 MPLS 프로토콜이 가동되고 있음을 확인할 수 있습니다.

또한, 출력을 통해 PE1 스위치의 인터페이스 ge-0/0/0인 CE 스위치를 마주보는 PE 스위치 인터페이스와 PE2 스위치의 인터페이스 xe-0/1/1에서 CCC가 실행됨을 확인할 수 있습니다.

MPLS Label 운영 검증

목적

CCC의 시작으로 사용되는 인터페이스와 MPLS 패킷을 다음 홉으로 푸시하는 데 사용되는 인터페이스를 검증합니다.

작업

show route forwarding-table family mpls PE 스위치 중 하나 또는 둘 다에 입력합니다.

의미

이 출력은 CCC가 인터페이스 ge-0/0/0.0상에서 구성되어 있음을 확인합니다. 이 스위치는 ge-0/0/1.0에서 수신 트래픽을 수신하고 label 299952 패킷으로 푸시하며, 이 패킷은 인터페이스 ge-0/0/1.0을 통해 스위치를 종료합니다. 또한, 이 출력은 스위치가 label 299856 있는 MPLS 패킷을 수신하면, label을 파프(pop)하고 인터페이스 ge-0/0/0.0을 통해 패킷을 전송한다는 것을 보여줍니다.

MPLS Label 작동에 대한 추가 검증을 위해 다른 PE 스위치에 입력 show route forwarding-table family mpls 하십시오.

MPLS CCC의 상태 검증

목적

MPLS CCC가 작동하고 있는지 확인합니다.

작업

PE 스위치에서 show connections 명령을 입력합니다.

명령은 show connections CCC 연결의 상태를 표시합니다. 이 출력은 CCC 인터페이스와 관련 전송 및 수신 LSP가 두 PE 스위치에 있는지 Up 검증합니다.

OSPF 작동 검증

목적

OSPF가 실행 중인지 확인합니다.

작업

show ospf neighbor 프로바이드 또는 PE 스위치 명령을 입력하고 출력을 State 확인합니다.

의미

State OSPF를 Full 사용하는 모든 인터페이스에서 출력이 실행되므로 OSPF가 작동합니다.

OSPF에 대한 추가 검증을 show ospf neighbor 위해 프로바이더는 스위치와 함께 PE 스위치에 명령을 입력합니다.

RSVP 세션의 상태 검증

목적

RSVP 세션의 상태를 확인합니다.

작업

show rsvp session 명령을 입력하고 상태가 각 RSVP 세션에 대해 설정되었는지 확인합니다.

의미

모든 State Up 연결을 위한 것이므로 RSVP는 정상적으로 작동합니다.

추가 검증을 show rsvp session 위해 프로바이더는 물론, PE 스위치를 입력하십시오.