예: MX 시리즈 라우터의 MPLS CCC를 통한 MACsec 구성
이 예에서는 MACsec이 기본 MPLS CCC를 통해 한 사이트에서 사용자로 이동하는 민감한 트래픽을 다른 사이트에서 사용자로 보호하는 방법을 보여줍니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
MPLS 네트워크에서 PE 및 프로바이더 라우터로 사용되는 3개의 MX 시리즈 라우터
사이트 A를 MPLS 네트워크에 연결하는 CE 라우터로 사용되는 MX 시리즈 라우터 1개
사이트 B를 MPLS 네트워크에 연결하는 CE 라우터로 사용되는 향상된 20포트 Gigabit Ethernet MIC(모델 번호 MIC-3D-20GE-SFP-E)를 갖춘 1개의 MX240, MX480 또는 MX960 라우터
MPLS 네트워크의 모든 MX 시리즈 라우터(PE1, PE2 또는 프로바이더 라우터)에서 실행되는 Junos OS Release 15.1R1 이상
사이트 A의 CE 라우터와 사이트 B의 CE 라우터에서 실행되는 Junos OS 릴리스 15.1R1 이상
개요 및 토폴로지
이 예에서는 재정적으로 민감한 회사 데이터가 사이트 A의 사용자와 사이트 B의 사용자 간에 전송되는 경우가 많습니다. 회사는 사이트 A에서 사용자로 사이트 B에서 사용자로 이동하는 모든 네트워크 트래픽이 매우 안전하며 공격자가 보거나 손상할 수 없도록 보장하고자 합니다. 이 회사는 MACsec에서 제공하는 업계 표준 레이어 2 보안을 사용하고 있으며, 암호화를 통해 공격자가 데이터를 볼 수 없도록 하고 무결성 검사를 통해 전송된 데이터가 손상되지 않도록 보장하여 사이트를 연결하는 MPLS 클라우드를 통해 CCC로 이동하는 모든 트래픽을 보호하고 있습니다. 두 사이트 모두에서 VLAN이 구성되어 두 사용자 간의 트래픽이 MACsec 보안 CCC를 통해 사이트를 통과하도록 보장합니다.
이 예의 MPLS 네트워크에는 2개의 PE(Provider Edge) 라우터(PE1 및 PE2)와 1개의 프로바이더(전송) 라우터가 포함됩니다. PE1은 사이트 A의 고객 에지(CE) 라우터를 MPLS 네트워크에 연결하고, PE2는 사이트 B의 CE 라우터를 MPLS 네트워크에 연결합니다. MACsec은 CCC에서 사이트 A 및 사이트 B의 CE 라우터를 연결하여 CCC를 통해 사이트 사이를 이동하는 트래픽을 보호합니다. 사용자를 CE 라우터에 연결하는 인터페이스가 포함된 VLAN, 사이트 A의 CE 라우터에서 인터페이스 ge-0/0/0과 사이트 B의 CE 라우터에서 ge-0/0/2 인터페이스, 그리고 CE 라우터를 MPLS 클라우드에 연결하는 인터페이스(사이트에서 ge-0/0/0/0, 사이트 B CE 라우터의 xe-0/1/0) MACsec 보안 CCC로 사용자 간의 모든 트래픽을 지시하는 데 사용됩니다.
표 1 은 이 토폴로지의 MPLS 네트워크 구성 요소에 대한 요약을 제공합니다.
표 2 는 이 토폴로지에서 사용되는 MACsec 연결 연결에 대한 요약을 제공합니다. MACsec은 링크의 각 끝에 있는 인터페이스에 연결 연결을 생성하여 활성화됩니다. MACsec은 링크 교환 사전 공유 키의 각 끝에 있는 인터페이스(사전 공유 키가 연결 연결에 정의됨)가 MACsec에 대한 링크를 보호하도록 할 때 활성화됩니다.
표 3 은 이 토폴로지에서 사용되는 브리지 도메인 및 VLAN IP에 대한 요약을 제공합니다. VLAN은 이 토폴로지에서 사이트 A의 사용자로부터 사이트 B의 사용자와 MACsec 보안 CCC로 모든 통신을 지시하는 데 사용됩니다.
| 구성 요소 | 설명 |
|---|---|
PE1 |
PE 라우터. lo0:
ge-0/0/0:
ge-0/0/1:
|
공급자 |
프로바이더 라우터. lo0:
ge-0/0/10:
xe-0/0/0:
|
PE2 |
PE 라우터. lo0:
xe-0/1/0
xe-0/1/1
|
레이블 스위칭 경로 lsp_to_pe2_xe1 |
PE1에서 PE2로의 레이블 스위칭 경로. |
lsp_to_pe1_ge0 레이블 스위칭 경로 |
PE2에서 PE1로의 레이블 스위칭 경로. |
| 연결 연결 | 설명 |
|---|---|
ccc-macsec |
CCC에서 MACsec을 활성화하는 연결 연결 사이트 A와 사이트 B를 연결합니다. 연결 연결은 다음 인터페이스에서 활성화됩니다.
|
| 브리지 도메인 | 설명 |
|---|---|
macsec |
VLAN은 사이트 A에서 사용자와 사이트 B의 사용자 간의 트래픽을 MACsec 보안 CCC로 전송합니다. 브리지 도메인에는 다음 인터페이스가 포함됩니다.
|
MPLS 구성
이 섹션에서는 MPLS 네트워크의 각 라우터에서 MPLS를 구성하는 방법을 설명합니다.
다음 섹션이 포함되어 있습니다.
PE1에서 MPLS 구성
CLI 빠른 구성
PE1 라우터에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
단계별 절차
라우터 PE1에서 MPLS를 구성하려면 다음을 수행합니다.
트래픽 엔지니어링을 활성화하여 OSPF 구성:
[edit protocols] user@router-PE1# set ospf traffic-engineering
루프백 주소와 코어 인터페이스에서 OSPF를 구성합니다.
[edit protocols] user@router-PE1# set ospf area 0.0.0.0 interface lo0.0 user@router-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
PE2 라우터에 대한 LSP를 사용하여 이 라우터 PE1에서 MPLS를 구성합니다.
[edit protocols] user@router-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
코어 인터페이스에서 MPLS 구성:
[edit protocols] user@router-PE1# set mpls interface ge-0/0/1.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@router-PE1# set rsvp interface lo0.0 user@router-PE1# set rsvp interface ge-0/0/1.0
루프백 인터페이스 및 코어 인터페이스에 대한 IP 주소를 구성합니다.
[edit] user@router-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@router-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
코어 인터페이스 주소의 논리적 단위에서 구성
family mpls:[edit] user@router-PE1# set interfaces ge-0/0/1 unit 0 family mpls
CCC로 고객 에지 인터페이스의 논리적 단위를 구성합니다.
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
PE1에서 PE2로의 인터페이스 기반 CCC 구성:
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
결과
구성 결과를 표시합니다.
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
프로바이더 라우터에서 MPLS 구성
CLI 빠른 구성
프로바이더 라우터에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
단계별 절차
프로바이더 라우터를 구성하려면 다음을 수행합니다.
트래픽 엔지니어링을 활성화하여 OSPF 구성:
[edit protocols] user@router-P# set ospf traffic-engineering
루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.
[edit protocols] user@router-P# set ospf area 0.0.0.0 interface lo0.0 user@router-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@router-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
라우터의 코어 인터페이스에서 MPLS 구성:
[edit protocols] user@router-P# set mpls interface ge-0/0/10.0 user@router-P# set mpls interface xe-0/0/0.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@router-P# set rsvp interface lo0.0 user@router-P# set rsvp interface ge-0/0/10.0 user@router-P# set rsvp interface xe-0/0/0.0
루프백 인터페이스 및 코어 인터페이스에 대한 IP 주소를 구성합니다.
[edit] user@router-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@router-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@router-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
코어 인터페이스 주소의 논리적 단위에서 구성
family mpls:[edit] user@router-P# set interfaces ge-0/0/10 unit 0 family mpls user@router-P# set interfaces xe-0/0/0 unit 0 family mpls
PE2 라우터에 LSP를 구성합니다.
[edit] user@router-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
결과
구성 결과를 표시합니다.
user@router-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
PE2에서 MPLS 구성
CLI 빠른 구성
라우터 PE2에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용합니다.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
단계별 절차
라우터 PE2를 구성하려면 다음을 수행합니다.
트래픽 엔지니어링을 활성화하여 OSPF 구성:
[edit protocols] user@router-PE2# set ospf traffic-engineering
루프백 인터페이스와 코어 인터페이스에서 OSPF를 구성합니다.
[edit protocols] user@router-PE2# set ospf area 0.0.0.0 interface lo0.0 user@router-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
이 라우터(PE2)에서 LSP(Label-Switched Path)를 다른 PE 라우터(PE1)로 MPLS 구성:
[edit protocols] user@router-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
코어 인터페이스에서 MPLS 구성:
[edit protocols] user@router-PE2# set mpls interface xe-0/1/0.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@router-PE2# set rsvp interface lo0.0 user@router-PE2# set rsvp interface xe-0/1/0.0
루프백 인터페이스 및 코어 인터페이스에 대한 IP 주소를 구성합니다.
[edit] user@router-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@router-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
코어 인터페이스의 논리적 단위에서 구성
family mpls:[edit] user@router-PE2# set interfaces xe-0/1/0 unit 0 family mpls
CCC로 고객 에지 인터페이스의 논리적 단위를 구성합니다.
[edit interfaces xe-0/1/1 unit 0] user@router-PE2# set family ccc
기본 에지 라우터 간의 인터페이스 기반 CCC 구성:
[edit protocols] user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
결과
구성 결과를 표시합니다.
user@router-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
MACsec 구성
이 섹션에서는 토폴로지의 각 라우터에서 MACsec을 구성하는 방법을 설명합니다.
다음 섹션이 포함되어 있습니다.
사이트 B로 트래픽을 보호하기 위해 사이트 A CE 라우터에서 MACsec 구성
CLI 빠른 구성
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
단계별 절차
이 예에서는 매우 민감한 데이터를 교환하는 사용자 간의 트래픽이 MPLS 클라우드를 통해 CCC의 사이트 간에 전송됩니다. MACsec은 사이트 A 및 MPLS PE 라우터에 연결하는 사이트 B CE 라우터의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결 연결에 일치하는 연결 연결 이름(이 예ccc-macsec37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311에서는 CKN)과 CAK(이 예228ef255aa23ff6729ee664acb66e91f에서 참조)가 있어야 합니다.
CCC 연결 사이트 A에서 사이트 B에 MACsec을 사용하려면 사이트 A CE 라우터에서 다음 절차를 수행합니다.
라는 연결 ccc-macsec연결을 생성하고 MACsec 보안 모드를 다음과 같이
static-cak구성합니다.[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec security-mode static-cak
CKN 및 CAK를 구성하여 사전 공유 키를 만듭니다.
[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
PE1 라우터에 연결하는 인터페이스에 연결 연결 할당:
[edit security macsec] user@router-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
이는 CCC의 한쪽 끝에 연결 연결을 구성하기 위한 단계를 완료합니다. MACsec은 사전 공유 키와 일치하는 연결 연결이 링크의 반대 쪽 끝에 활성화될 때까지 활성화되지 않습니다. 이 경우 CCC의 사이트 B CE 라우터의 인터페이스입니다. 사이트 B CE 라우터에서 연결 연결을 구성하는 프로세스는 다음 섹션에서 설명합니다.
결과
구성 결과를 표시합니다.
user@router-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
사이트 A에 트래픽을 보호하기 위해 사이트 B CE 라우터에서 MACsec 구성
CLI 빠른 구성
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
단계별 절차
트래픽은 CCC를 사용하여 MPLS 네트워크를 통해 사이트 B에서 사이트 A로 이동합니다. MACsec은 사이트 A 및 MPLS PE 라우터에 연결하는 사이트 B CE 라우터의 인터페이스에서 MACsec 연결 연결을 구성하여 CCC에서 활성화됩니다. MACsec 보안 연결을 설정하려면 연결 연결 연결에 일치하는 연결 연결 이름(예: ccc-macsecCKN과37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 매칭하고 CAK228ef255aa23ff6729ee664acb66e91f)을 일치시켜야 합니다.
사이트 B와 사이트 A를 연결하는 CCC에서 MACsec을 사용하려면 사이트 B CE 라우터에서 다음 절차를 수행합니다.
라는 연결 ccc-macsec연결을 생성하고 MACsec 보안 모드를 다음과 같이
static-cak구성합니다.[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec security-mode static-cak
CKN 및 CAK를 구성하여 사전 공유 키를 만듭니다.
[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
라우터 PE2에 연결하는 인터페이스에 연결 연결 할당:
[edit security macsec] user@router-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
사전 공유 키가 교환된 후 이 절차가 완료된 직후에 MACsec이 CCC에 활성화됩니다.
결과
구성 결과를 표시합니다.
user@router-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
MACsec 보안 CCC로 트래픽을 이동하도록 VLAN 구성
이 섹션에서는 사이트 A 및 사이트 B CE 라우터에서 VLAN을 구성하는 방법을 설명합니다. VLAN의 목적은 MACsec 보안 트래픽을 MACsec 보안 CCC에 전송하는 것입니다.
브리지 도메인을 구성하여 사이트 A CE 라우터에서 MACsec CCC로 트래픽을 이동
CLI 빠른 구성
[edit] set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/0 set bridge-domains macsec interface ge-0/0/2 set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
단계별 절차
사이트 A에서 사용자로부터 MACsec 보안 CCC로 트래픽을 지시하는 브리지 도메인(VLAN ID 50)을 생성하려면 다음을 수행합니다.
VLAN 캡슐화 및 브리지 제품군으로 ge-0/0/0 인터페이스를 구성합니다.
user@router-CE-A# set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces ge-0/0/0 unit 0 family bridge vlan-id 50
VLAN 캡슐화 및 브리지 제품군으로 ge-0/0/2 인터페이스를 구성합니다.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
macsec 브리지 도메인을 정의하고 인터페이스, ge-0/0/0 및 ge-0/0/2를 브리지 도메인과 연결합니다.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface ge-0/0/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
macsec 브리지 도메인에 대한 IP 주소 생성:
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
결과
구성 결과를 표시합니다.
user@router-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.1/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface ge-0/0/0;
interface ge-0/0/2;
}
}
브리지 도메인을 구성하여 사이트 B CE 라우터에서 MACsec CCC로 트래픽을 이동
CLI 빠른 구성
[edit] set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge set interfaces xe-0/1/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/2 set bridge-domains macsec interface xe-0/1/0 set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
단계별 절차
브리지 도메인(VLAN ID 50)을 생성하여 사이트 B에서 사용자를 위한 트래픽을 MACsec 보안 CCC로 이동하려면 다음을 수행합니다.
VLAN 캡슐화 및 브리지 제품군으로 xe-0/1/0 인터페이스를 구성합니다.
user@router-CE-A# set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces xe-0/1/0 unit 0 family bridge vlan-id 50
VLAN 캡슐화 및 브리지 제품군으로 ge-0/0/2 인터페이스를 구성합니다.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
macsec 브리지 도메인을 정의하고 인터페이스, xe-0/1/0 및 ge-0/0/2를 브리지 도메인과 연결합니다.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface xe-0/1/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
macsec 브리지 도메인에 대한 IP 주소 생성:
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
결과
구성 결과를 표시합니다.
user@router-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
xe-0/1/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.2/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface xe-0/1/0;
interface ge-0/0/2;
}
}
확인
구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.
- MACsec 연결 검증
- MACsec 보안 트래픽이 CCC를 통과하는지 검증
- 프로바이더는 에지 및 프로바이더는 스위치 인터페이스상에서 MPLS 및 CCC 프로토콜을 사용할 수 있는지 검증
- MPLS Label 운영 검증
- MPLS CCC의 상태 검증
- OSPF 작동 검증
- RSVP 세션의 상태 검증
MACsec 연결 검증
목적
MACsec이 CCC에서 작동하는지 확인합니다.
작업
show security macsec connections 고객 에지(CE) 스위치 중 하나 또는 두 개 모두에서 명령을 입력합니다.
user@router-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
의미
및 CA name: 출력은 Interface name: ccc-macsec 연결 연결이 인터페이스 ge-0/0/0에서 작동한다는 것을 보여줍니다. 연결 연결이 인터페이스에서 작동되지 않을 때 출력이 나타나지 않습니다.
MACsec이 CCC에서 작동하고 있는지 추가 확인을 위해 다른 CE 스위치의 show security macsec connections 명령도 입력할 수 있습니다.
MACsec 보안 트래픽이 CCC를 통과하는지 검증
목적
CCC를 통과하는 트래픽이 MACsec 보안인지 확인합니다.
작업
show security macsec statistics CE 스위치 중 하나 또는 두 개 모두에서 명령을 입력합니다.
user@router-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
의미
Encrypted packets MACsec에 Secure Channel transmitted 의해 보호되고 암호화되는 인터페이스에서 패킷이 전송될 때마다 출력 아래의 선이 증분됩니다. 출력은 Encrypted packets 9784 암호화 및 보안 패킷이 인터페이스 ge-0/0/0에서 전송되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 전송됩니다.
Accepted packets MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 출력 아래 Secure Association received 의 선이 증분됩니다. Decrypted bytes 암호화된 패킷이 Secure Association received 수신 및 복호화될 때마다 출력 아래의 선이 증분됩니다. 이 출력은 인터페이스 ge-0/0/0에서 9791개의 MACsec 보안 패킷이 수신되었으며 해당 패킷의 2823555 바이트가 성공적으로 복호화되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 수신됩니다.
추가적인 확인을 위해 다른 CE 스위치의 명령어 show security macsec statistics 도 입력할 수 있습니다.
프로바이더는 에지 및 프로바이더는 스위치 인터페이스상에서 MPLS 및 CCC 프로토콜을 사용할 수 있는지 검증
목적
PE 및 프로바이더는 올바른 인터페이스에서 MPLS가 활성화되어 있는지 확인합니다.
작업
show interfaces terse PE 라우터와 프로바이더 스위치 모두에서 다음 명령을 입력합니다.
user@router-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@router-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@router-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
의미
출력은 MPLS 트래픽을 전달하는 프로바이더 스위치 인터페이스(xe-0/0/0 및 ge-0/0/10)와 MPLS 트래픽을 전달하는 PELS 인터페이스, PE1 스위치의 인터페이스 ge-0/0/1, PE2 라우터의 인터페이스 xe-0/1/0에 대한 MPLS 프로토콜이 가동된다는 것을 확인합니다.
또한 출력은 CE 스위치를 마주보는 PE 라우터 인터페이스에서 CCC가 실행됨을 확인합니다. CE 스위치는 PE1 스위치의 인터페이스 ge-0/0/0이고 PE2 라우터의 인터페이스 xe-0/1/1입니다.
MPLS Label 운영 검증
목적
CCC의 시작으로 사용되는 인터페이스와 MPLS 패킷을 다음 홉으로 푸시하는 데 사용되는 인터페이스를 검증합니다.
작업
show route forwarding-table family mpls PE 라우터 하나 또는 둘 다에 입력합니다.
user@router-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
의미
이 출력은 CCC가 인터페이스 ge-0/0/0.0상에서 구성되어 있음을 확인합니다. 이 스위치는 ge-0/0/1.0에서 수신 트래픽을 수신하고 label 299952 패킷으로 푸시하며, 이 패킷은 인터페이스 ge-0/0/1.0을 통해 스위치를 종료합니다. 또한, 이 출력은 스위치가 label 299856 있는 MPLS 패킷을 수신하면, label을 파프(pop)하고 인터페이스 ge-0/0/0.0을 통해 패킷을 전송한다는 것을 보여줍니다.
MPLS Label 작동에 대한 추가 검증을 위해 다른 PE 라우터에 입력 show route forwarding-table family mpls 하십시오.
MPLS CCC의 상태 검증
목적
MPLS CCC가 작동하고 있는지 확인합니다.
작업
PE 라우터에서 show connections 명령을 입력합니다.
user@router-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@router-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
명령은 show connections CCC 연결의 상태를 표시합니다. 이 출력은 CCC 인터페이스와 관련 전송 및 수신 LSP가 모두 PE 라우터에 있는지 Up 확인합니다.
OSPF 작동 검증
목적
OSPF가 실행 중인지 확인합니다.
작업
show ospf neighbor 프로바이더 또는 PE 라우터 명령을 입력하고 출력을 확인합니다State.
user@router-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
의미
State OSPF를 Full 사용하는 모든 인터페이스에서 출력이 실행되므로 OSPF가 작동합니다.
OSPF에 대한 추가 검증을 show ospf neighbor 위해 프로바이더 스위치 외에도 PE 라우터의 명령을 입력합니다.
RSVP 세션의 상태 검증
목적
RSVP 세션의 상태를 확인합니다.
작업
show rsvp session 명령을 입력하고 상태가 각 RSVP 세션에 대해 설정되었는지 확인합니다.
user@router-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
의미
모든 State Up 연결을 위한 것이므로 RSVP는 정상적으로 작동합니다.
추가 검증을 show rsvp session 위해 프로바이더 라우터와 함께 PE 라우터에 입력하십시오.