예: MX 시리즈 라우터에서 MPLS CCC를 통해 MACsec 구성
이 예에서는 MACsec을 활성화하여 기본 MPLS CCC를 통해 한 사이트의 사용자로부터 다른 사이트의 사용자로 이동하는 민감한 트래픽을 보호하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MPLS 네트워크에서 PE 및 프로바이더 라우터로 사용되는 MX 시리즈 라우터 3개
사이트 A를 MPLS 네트워크에 연결하는 CE 라우터로 사용되는 MX 시리즈 라우터 1개
사이트 B를 MPLS 네트워크에 연결하는 CE 라우터로 사용되는 향상된 20포트 기가비트 이더넷 MIC(모델 번호 MIC-3D-20GE-SFP-E)가 장착된 MX240, MX480 또는 MX960 라우터 한 개
MPLS 네트워크(PE1, PE2 또는 프로바이더 라우터)의 모든 MX 시리즈 라우터에서 실행되는 Junos OS 릴리스 15.1R1 이상
사이트 A의 CE 라우터와 사이트 B의 CE 라우터에서 실행되는 Junos OS 릴리스 15.1R1 이상
개요 및 토폴로지
이 예에서 재정적으로 중요한 회사 데이터는 사이트 A의 사용자와 사이트 B의 사용자 간에 전송되는 경우가 많습니다. 회사는 사이트 A의 사용자로부터 사이트 B의 사용자에게 전달되는 모든 네트워크 트래픽이 매우 안전하며 공격자가 보거나 손상시킬 수 없도록 하려고 합니다. 이 회사는 MACsec에서 제공하는 업계 표준 레이어 2 보안을 사용하고 있습니다. 이 보안은 공격자가 데이터를 볼 수 없도록 암호화를 제공하고 전송된 데이터가 손상되지 않도록 무결성 검사를 제공하여 사이트를 연결하는 MPLS 클라우드를 통해 CCC로 이동하는 모든 트래픽을 보호합니다. VLAN은 두 사용자 간에 이동하는 트래픽이 MACsec 보안 CCC를 통해 사이트를 통과하도록 두 사이트 모두에서 구성됩니다.
이 예의 MPLS 네트워크에는 두 개의 프로바이더 에지(PE) 라우터(PE1 및 PE2)와 한 개의 프로바이더(전송) 라우터가 포함되어 있습니다. PE1은 사이트 A의 고객 에지(CE) 라우터를 MPLS 네트워크에 연결하고 PE2는 사이트 B의 CE 라우터를 MPLS 네트워크에 연결합니다. MACsec은 CCC를 통해 사이트 간에 이동하는 트래픽을 보호하기 위해 사이트 A와 사이트 B의 CE 라우터를 연결하는 CCC에서 활성화됩니다. 사용자를 CE 라우터에 연결하는 인터페이스, 사이트 A의 CE 라우터의 인터페이스 ge-0/0/0 및 사이트 B의 CE 라우터의 인터페이스 ge-0/0/2, CE 라우터를 MPLS 클라우드에 연결하는 인터페이스(사이트 A CE 라우터의 ge-0/0/0 및 사이트 B CE 라우터의 xe-0/1/0)를 포함하는 VLAN, 은(는) 사용자 간의 모든 트래픽을 MACsec 보안 CCC로 전달하는 데 사용됩니다.
표 1 에는 이 토폴로지의 MPLS 네트워크 구성 요소가 요약되어 있습니다.
표 2 는 이 토폴로지에서 사용되는 MACsec 연결 연결을 요약한 것입니다. MACsec은 링크의 각 끝에서 인터페이스에 연결 연결을 생성하여 활성화됩니다. 링크의 각 끝에 있는 인터페이스가 사전 공유 키(사전 공유 키는 연결 연결에 정의됨)를 교환하여 MACsec에 대한 링크를 보호할 때 MACsec이 활성화됩니다.
표 3 에는 이 토폴로지에서 사용되는 브리지 도메인 및 VLAN ID가 요약되어 있습니다. VLAN은 이 토폴로지에서 사이트 A의 사용자로부터 사이트 B의 사용자에게 전달되는 모든 통신을 MACsec 보안 CCC로 전달하는 데 사용됩니다.
| 구성 요소 | 설명 |
|---|---|
PE1 |
PE 라우터. lo0:
ge-0/0/0:
ge-0/0/1:
|
공급자 |
공급자 라우터. lo0:
ge-0/0/10:
xe-0/0/0:
|
PE2 |
PE 라우터. lo0:
xe-0/1/0
xe-0/1/1
|
lsp_to_pe2_xe1 레이블 스위칭 경로 |
PE1에서 PE2로의 레이블 스위칭 경로입니다. |
lsp_to_pe1_ge0 레이블 스위칭 경로 |
PE2에서 PE1로의 레이블 스위칭 경로. |
| 연결 연결 | 설명 |
|---|---|
CCC-MACsec (영문) |
사이트 A를 사이트 B에 연결하는 CCC에서 MACsec을 활성화하는 연결 연결입니다. 연결 연결은 다음 인터페이스에서 활성화됩니다.
|
| 브리지 도메인 | 설명 |
|---|---|
MACsec (맥섹) |
사이트 A의 사용자와 사이트 B의 사용자 간의 트래픽을 MACsec 보안 CCC로 전달하는 VLAN. 브리지 도메인에는 다음 인터페이스가 포함됩니다.
|
MPLS 구성
이 섹션에서는 MPLS 네트워크의 각 라우터에서 MPLS를 구성하는 방법을 설명합니다.
여기에는 다음 섹션이 포함됩니다.
PE1에서 MPLS 구성
CLI 빠른 구성
PE1 라우터에서 MPLS 구성을 빠르게 구성하려면 다음 명령을 사용하십시오.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
단계별 절차
라우터 PE1에서 MPLS를 구성하려면 다음을 수행합니다.
트래픽 엔지니어링이 활성화된 상태에서 최단 경로 우선(OSPF)을 구성합니다.
[edit protocols] user@router-PE1# set ospf traffic-engineering
루프백 주소와 코어 인터페이스에서 최단 경로 우선(OSPF)을 구성합니다.
[edit protocols] user@router-PE1# set ospf area 0.0.0.0 interface lo0.0 user@router-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
PE2 라우터에 LSP를 사용하여 이 라우터 PE1에서 MPLS를 구성합니다.
[edit protocols] user@router-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
코어 인터페이스에서 MPLS를 구성합니다.
[edit protocols] user@router-PE1# set mpls interface ge-0/0/1.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@router-PE1# set rsvp interface lo0.0 user@router-PE1# set rsvp interface ge-0/0/1.0
루프백 인터페이스와 코어 인터페이스에 대해 IP 주소를 구성합니다.
[edit] user@router-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@router-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
코어 인터페이스 주소의 논리적 장치에서 를 구성합니다
family mpls.[edit] user@router-PE1# set interfaces ge-0/0/1 unit 0 family mpls
고객 에지 인터페이스의 논리적 장치를 CCC로 구성합니다.
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
PE1에서 PE2로 인터페이스 기반의 CCC를 구성합니다.
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
결과
구성의 결과를 표시합니다.
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
프로바이더 라우터에서 MPLS 구성
CLI 빠른 구성
공급자 라우터에서 MPLS 구성을 신속하게 구성하려면 다음 명령을 사용하십시오.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
단계별 절차
공급자 라우터를 구성하려면 다음을 수행합니다.
트래픽 엔지니어링이 활성화된 상태에서 최단 경로 우선(OSPF)을 구성합니다.
[edit protocols] user@router-P# set ospf traffic-engineering
루프백 인터페이스와 코어 인터페이스에서 최단 경로 우선(OSPF)을 구성합니다.
[edit protocols] user@router-P# set ospf area 0.0.0.0 interface lo0.0 user@router-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@router-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
라우터의 코어 인터페이스에서 MPLS를 구성합니다.
[edit protocols] user@router-P# set mpls interface ge-0/0/10.0 user@router-P# set mpls interface xe-0/0/0.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@router-P# set rsvp interface lo0.0 user@router-P# set rsvp interface ge-0/0/10.0 user@router-P# set rsvp interface xe-0/0/0.0
루프백 인터페이스와 코어 인터페이스에 대해 IP 주소를 구성합니다.
[edit] user@router-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@router-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@router-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
코어 인터페이스 주소의 논리적 장치에서 를 구성합니다
family mpls.[edit] user@router-P# set interfaces ge-0/0/10 unit 0 family mpls user@router-P# set interfaces xe-0/0/0 unit 0 family mpls
PE2 라우터에 LSP를 구성합니다.
[edit] user@router-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
결과
구성의 결과를 표시합니다.
user@router-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
PE2에서 MPLS 구성
CLI 빠른 구성
라우터 PE2에서 MPLS 구성을 빠르게 구성하려면 다음 명령을 사용하십시오.
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
단계별 절차
다음을 참조하여 라우터 PE2를 구성하십시오.
트래픽 엔지니어링이 활성화된 상태에서 최단 경로 우선(OSPF)을 구성합니다.
[edit protocols] user@router-PE2# set ospf traffic-engineering
루프백 인터페이스와 코어 인터페이스에서 최단 경로 우선(OSPF)을 구성합니다.
[edit protocols] user@router-PE2# set ospf area 0.0.0.0 interface lo0.0 user@router-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
다른 PE 라우터(PE1)로 연결되는 레이블 스위칭 경로(LSP)가 있는 이 라우터(PE2)에서 MPLS를 구성합니다.
[edit protocols] user@router-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
코어 인터페이스에서 MPLS를 구성합니다.
[edit protocols] user@router-PE2# set mpls interface xe-0/1/0.0
루프백 인터페이스와 코어 인터페이스에서 RSVP를 구성합니다.
[edit protocols] user@router-PE2# set rsvp interface lo0.0 user@router-PE2# set rsvp interface xe-0/1/0.0
루프백 인터페이스와 코어 인터페이스에 대한 IP 주소를 구성합니다.
[edit] user@router-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@router-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
코어 인터페이스의 논리적 장치에서 를 구성합니다
family mpls.[edit] user@router-PE2# set interfaces xe-0/1/0 unit 0 family mpls
고객 에지 인터페이스의 논리적 장치를 CCC로 구성합니다.
[edit interfaces xe-0/1/1 unit 0] user@router-PE2# set family ccc
기본 에지 라우터 간에 인터페이스 기반의 CCC를 구성합니다.
[edit protocols] user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@router-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
결과
구성의 결과를 표시합니다.
user@router-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
MACsec 구성
이 섹션에서는 토폴로지의 각 라우터에서 MACsec을 구성하는 방법을 설명합니다.
여기에는 다음 섹션이 포함됩니다.
사이트 A에서 MACsec 구성 사이트 B로의 트래픽 보안을 위한 CE 라우터
CLI 빠른 구성
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
단계별 절차
이 예에서 재정적으로 민감한 데이터를 자주 교환하는 사용자 간의 트래픽은 MPLS 클라우드를 통해 CCC의 사이트 간에 전송됩니다. MPLS PE 라우터에 연결하는 사이트 A 및 사이트 B CE 라우터의 인터페이스에 MACsec 연결 연결을 구성하여 CCC에서 MACsec을 활성화할 수 있습니다. MACsec 보안 연결을 설정하려면 연결 연결에 일치하는 연결 연결 이름(이 예에서는 ), ccc-macsec일치하는 CKN(이 예에서는 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) 및 CAP(이 예에서는 228ef255aa23ff6729ee664acb66e91f)가 있어야 합니다.
사이트 A를 사이트 B에 연결하는 CCC에서 MACsec을 활성화하려면 사이트 A CE 라우터에서 다음 절차를 수행합니다.
(으)로 ccc-macsec연결 연결을 생성하고 MACsec 보안 모드를 (으)로 구성합니다.
static-cak[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec security-mode static-cak
CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.
[edit security macsec] user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
PE1 라우터에 연결하는 인터페이스에 연결 연결을 할당합니다.
[edit security macsec] user@router-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
이것으로 CCC의 한쪽 끝에서 연결 연결을 구성하는 단계를 완료합니다. 일치하는 사전 공유 키와의 연결 연결이 링크의 반대쪽 끝(이 경우 CCC의 사이트 B CE 라우터의 인터페이스)에서 활성화될 때까지 MACsec이 활성화되지 않습니다. 사이트 B CE 라우터에서 연결 연결을 구성하는 프로세스는 다음 섹션에 설명되어 있습니다.
결과
구성의 결과를 표시합니다.
user@router-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
사이트 B에서 MACsec 구성 사이트 A에 대한 트래픽 보안을 위한 CE 라우터
CLI 빠른 구성
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
단계별 절차
트래픽은 CCC를 사용하여 MPLS 네트워크를 통해 사이트 B에서 사이트 A로 이동합니다. MPLS PE 라우터에 연결하는 사이트 A 및 사이트 B CE 라우터의 인터페이스에 MACsec 연결 연결을 구성하여 CCC에서 MACsec을 활성화할 수 있습니다. MACsec 보안 연결을 설정하려면 연결 연결에 일치하는 연결 연결 이름(이 예에서는 ccc-macsec), 일치하는 CKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) 및 일치하는 CAP(228ef255aa23ff6729ee664acb66e91f)가 있어야 합니다.
사이트 B를 사이트 A에 연결하는 CCC에서 MACsec을 활성화하려면 사이트 B CE 라우터에서 다음 절차를 수행합니다.
(으)로 ccc-macsec연결 연결을 생성하고 MACsec 보안 모드를 (으)로 구성합니다.
static-cak[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec security-mode static-cak
CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.
[edit security macsec] user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@router-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
라우터 PE2에 연결하는 인터페이스에 연결 연결을 할당합니다.
[edit security macsec] user@router-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
MACsec은 사전 공유 키가 교환된 후, 즉 이 절차가 완료된 직후에 CCC에 대해 활성화됩니다.
결과
구성의 결과를 표시합니다.
user@router-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
MACsec 보안 CCC로 트래픽을 전송하도록 VLAN 구성
이 섹션에서는 사이트 A 및 사이트 B CE 라우터에서 VLAN을 구성하는 방법에 대해 설명합니다. VLAN의 목적은 MACsec으로 보호하려는 트래픽을 MACsec으로 보호하려는 트래픽을 MACsec 보안 CCC로 보내는 것입니다.
사이트의 MACsec CCC로 트래픽을 전송하도록 브리지 도메인 구성 CE 라우터
CLI 빠른 구성
[edit] set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/0 set bridge-domains macsec interface ge-0/0/2 set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
단계별 절차
사이트 A의 사용자로부터 MACsec 보안 CCC로 트래픽을 전달하는 브리지 도메인(VLAN ID 50)을 생성하려면 다음을 수행합니다.
VLAN 캡슐화 및 브리지 패밀리를 사용하여 ge-0/0/0 인터페이스를 구성합니다.
user@router-CE-A# set interfaces ge-0/0/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces ge-0/0/0 unit 0 family bridge vlan-id 50
VLAN 캡슐화 및 브리지 패밀리를 사용하여 ge-0/0/2 인터페이스를 구성합니다.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
macsec 브리지 도메인을 정의하고 인터페이스 ge-0/0/0 및 ge-0/0/2를 브리지 도메인과 연결합니다.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface ge-0/0/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
macsec 브리지 도메인에 대한 IP 주소를 생성합니다.
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.1/24
결과
구성의 결과를 표시합니다.
user@router-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.1/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface ge-0/0/0;
interface ge-0/0/2;
}
}
사이트 B CE 라우터의 MACsec CCC로 트래픽을 전송하도록 브리지 도메인 구성
CLI 빠른 구성
[edit] set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge set interfaces xe-0/1/0 unit 0 family bridge set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 0 family bridge set bridge-domains macsec vlan-id 50 set bridge-domains macsec domain-type bridge set bridge-domains macsec vlan-id all set bridge-domains macsec interface ge-0/0/2 set bridge-domains macsec interface xe-0/1/0 set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
단계별 절차
사이트 B의 사용자에 대한 트래픽을 MACsec 보안 CCC로 보내기 위한 브리지 도메인(VLAN ID 50)을 생성하려면 다음을 수행합니다.
VLAN 캡슐화 및 브리지 패밀리를 사용하여 xe-0/1/0 인터페이스를 구성합니다.
user@router-CE-A# set interfaces xe-0/1/0 unit 0 encapsulation vlan-bridge user@router-CE-A# set interfaces xe-0/1/0 unit 0 family bridge vlan-id 50
VLAN 캡슐화 및 브리지 패밀리를 사용하여 ge-0/0/2 인터페이스를 구성합니다.
[edit] user@router-CE-A#set interfaces ge-0/0/2 unit 0 encapsulation vlan-bridge user@router-CE-A#set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50
macsec 브리지 도메인을 정의하고 인터페이스 xe-0/1/0 및 ge-0/0/2를 브리지 도메인과 연결합니다.
[edit] user@router-CE-A# set bridge-domains macsec vlan-id 50 user@router-CE-A# set bridge-domains macsec domain-type bridge user@router-CE-A# set bridge-domains macsec interface xe-0/1/0 user@router-CE-A# set bridge-domains macsec interface ge-0/0/2
macsec 브리지 도메인에 대한 IP 주소를 생성합니다.
[edit] user@router-CE-A# set interfaces irb vlan-id 50 family inet address 5.5.5.2/24
결과
구성의 결과를 표시합니다.
user@router-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
xe-0/1/0 {
unit 0 {
encapsulation vlan-bridge;
family bridge {
vlan-id 50;
}
}
}
irb {
vlan-id 50 {
family inet address 5.5.5.2/24;
}
}
}
bridge-domains {
macsec {
domain-type bridge;
vlan-id 50;
interface xe-0/1/0;
interface ge-0/0/2;
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
- MACsec 연결 확인
- MACsec 보안 트래픽이 CCC를 통과하는지 확인
- 프로바이더 에지 및 프로바이더 스위치 인터페이스에서 MPLS 및 CCC 프로토콜이 활성화되었는지 확인
- MPLS 레이블 작업 확인
- MPLS CCC의 상태 확인
- OSPF 작업 확인
- RSVP 세션의 상태 확인
MACsec 연결 확인
목적
MACsec이 CCC에서 작동하는지 확인합니다.
행동
show security macsec connections 고객 에지(CE) 스위치 중 하나 또는 둘 다에 명령을 입력합니다.
user@router-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
의미
및 CA name: 출력은 Interface name: ccc-macsec 연결 연결이 인터페이스 ge-0/0/0에서 작동함을 보여줍니다. 연결 연결이 인터페이스에서 작동하지 않을 때는 출력이 나타나지 않습니다.
MACsec이 CCC에서 작동하는지 추가로 확인하기 위해 다른 CE 스위치에서 명령을 입력할 show security macsec connections 수도 있습니다.
MACsec 보안 트래픽이 CCC를 통과하는지 확인
목적
CCC를 통과하는 트래픽이 MACsec으로 보호되는지 확인합니다.
행동
고객 에지( show security macsec statistics CE) 스위치 중 하나 또는 둘 다에 명령을 입력합니다.
user@router-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
의미
Encrypted packets 출력 아래의 Secure Channel transmitted 줄은 MACsec에 의해 보안 및 암호화된 인터페이스에서 패킷이 전송될 때마다 증가합니다. 출력은 Encrypted packets 인터페이스 ge-0/0/0에서 9784개의 암호화 및 보안 패킷이 전송되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0으로 전송됩니다.
Accepted packets 출력 아래의 Secure Association received 줄은 MACsec 무결성 검사를 통과한 패킷이 인터페이스에서 수신될 때마다 증가합니다. Decrypted bytes 출력 아래의 Secure Association received 줄은 암호화된 패킷이 수신되고 해독될 때마다 증가합니다. 출력은 인터페이스 ge-0/0/0에서 9791개의 MACsec 보안 패킷이 수신되었으며 이러한 패킷의 2823555바이트가 성공적으로 해독되었음을 보여줍니다. 따라서 MACsec 보안 트래픽은 인터페이스 ge-0/0/0에서 수신됩니다.
추가 확인을 위해 다른 CE 스위치에서 명령을 입력할 show security macsec statistics 수도 있습니다.
프로바이더 에지 및 프로바이더 스위치 인터페이스에서 MPLS 및 CCC 프로토콜이 활성화되었는지 확인
목적
PE 및 프로바이더 스위치의 올바른 인터페이스에서 MPLS가 활성화되었는지 확인합니다.
행동
show interfaces terse PE 라우터와 프로바이더 스위치 모두에서 명령을 입력합니다.
user@router-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@router-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@router-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
의미
출력 결과, MPLS 트래픽을 전달하는 프로바이더 스위치 인터페이스(xe-0/0/0 및 ge-0/0/10)와 MPLS 트래픽을 전달하는 PE 라우터 인터페이스(PE1 스위치의 인터페이스 ge-0/0/1 및 PE2 라우터의 인터페이스 xe-0/1/0)에서 MPLS 프로토콜이 작동함을 확인합니다.
또한 출력은 CE 스위치를 마주보고 있는 PE 라우터 인터페이스(PE1 스위치의 인터페이스 ge-0/0/0 및 PE2 라우터의 인터페이스 xe-0/1/1)에서 CCC가 활성화되어 있음을 확인합니다.
MPLS 레이블 작업 확인
목적
CCC의 시작으로 어떤 인터페이스가 사용되고 MPLS 패킷을 다음 홉으로 푸시하는데 어떤 인터페이스가 사용되는지 확인합니다.
행동
PE 라우터 중 하나 또는 둘 다에 을(를 show route forwarding-table family mpls ) 입력합니다.
user@router-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
의미
이 출력 결과를 보면 CCC가 인터페이스 ge-0/0/0.0에서 구성되었음을 확인할 수 있습니다. 스위치는 ge-0/0/1.0에서 수신 트래픽을 수신하고 레이블 299952 패킷에 푸시하며, 패킷은 인터페이스 ge-0/0/1.0을 통해 스위치를 나갑니다. 또한 출력은 스위치가 레이블 299856의 MPLS 패킷을 수신할 때 레이블을 내보내고 인터페이스 ge-0/0/0.0을 통해 패킷을 전송한다는 것을 보여줍니다
MPLS 레이블 작업에 대한 추가 확인을 위해 다른 PE 라우터에 을(를 show route forwarding-table family mpls ) 입력합니다.
MPLS CCC의 상태 확인
목적
MPLS CCC가 작동하는지 확인합니다.
행동
show connections PE 라우터에서 명령을 입력합니다.
user@router-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@router-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
show connections 명령은 CCC 연결의 상태를 보여줍니다. 이 출력 결과를 보면 CCC 인터페이스와 연결된 해당 전송 및 수신 LSP가 두 PE 라우터 모두에 있음을 Up 알 수 있습니다.
OSPF 작업 확인
목적
OSPF가 실행 중인지 확인합니다.
행동
show ospf neighbor 명령을 입력하고, 프로바이더 또는 PE 라우터를 State 입력하고, 출력을 확인합니다.
user@router-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
의미
출력 Full 은 OSPF State 를 사용하는 모든 인터페이스에 있으므로 OSPF가 작동합니다.
최단 경로 우선(OSPF)에 대한 추가적인 확인을 위해 프로바이더 스위치 외에 PE 라우터에 대한 명령을 입력합니다 show ospf neighbor .
RSVP 세션의 상태 확인
목적
RSVP 세션의 상태를 확인합니다.
행동
show rsvp session 명령을 입력하고 각 RSVP 세션에 대해 상태가 켜져 있는지 확인합니다.
user@router-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
의미
은(는) State 모든 연결에 대한 것 Up 이므로, RSVP가 정상적으로 작동합니다.
추가 확인을 위해 공급자 라우터 외에 PE 라우터에 을(를 show rsvp session ) 입력합니다.