이 페이지의

정적 연결 연결 키(CAK) 모드를 사용한 MACsec 구성
사전 공유 키 무중단 롤오버 키체인을 사용하여 MACsec 구성(라우터와 라우터 링크에서 MACsec을 활성화하는 데 권장)
Fail Open 모드에서 MACsec 키 계약 프로토콜 구성
폴백 PSK를 통한 MACsec 구성

라우터에서 MACsec(Media Access Control Security) 구성

MACsec(Media Access Control Security)은 이더넷 링크상의 거의 모든 유형의 트래픽에 대해 안전한 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 이더넷 링크에서 직접 연결된 노드 간 점대점(point-to-point) 보안을 제공하며 서비스 거부, 침입, 중간자, 가장, 수동적 도청, 재생 공격 등 대부분의 보안 위협을 식별하고 예방할 수 있습니다. MACsec은 IEEE 802.1AE로 표준화됩니다.

Junos OS Release 15.1부터 MACsec을 구성하여 MX 시리즈 라우터와 MACsec 지원 MIC를 연결하는 점대점(point-to-point) 이더넷 링크를 보호하거나, PC, 전화 또는 서버와 같은 호스트 디바이스에 스위치를 연결하는 이더넷 링크에서 MACsec을 구성할 수 있습니다. MACsec을 사용하여 보호하려는 각 점대점(point-to-point) 이더넷 링크는 독립적으로 구성되어야 합니다. CAK(정적 연결 연결 키) 보안 모드를 사용하여 라우터와 라우터 링크에서 MACsec을 활성화할 수 있습니다. 프로세스는 이 문서에서 제공됩니다.

정적 연결 연결 키(CAK) 모드를 사용한 MACsec 구성

포인트 투 포인트 이더넷 링크 연결 라우터에서 정적 CAK 보안 모드를 사용하여 MACsec을 사용할 수 있습니다.

정적 CAK 보안 모드를 사용해 MACsec을 활성화하면 P2M(Point-to-Point) 이더넷 링크의 각 끝에 있는 라우터 간에 사전 공유 키가 교환됩니다. 사전 공유 키에는 CKN(Connectivity Association Name) 및 CAK(Connectivity Association Key)가 포함됩니다. CKN 및 CAK는 연결 연결에서 사용자가 구성하며 링크의 양 끝에 일치하여 처음에 MACsec을 활성화해야 합니다.

사전 공유된 키가 교환되고 검증되면 MKA(MACsec Key Agreement) 프로토콜이 활성화됩니다. MKA는 링크에서 MACsec을 활성화 및 유지 관리하며, P2M(Point-to-Point) 링크에서 두 라우터 중 하나를 키 서버로 선택할 책임이 있습니다. 그런 다음 키 서버는 MACsec 보안 링크를 통해 다른 장비와만 공유되는 임의의 보안 키를 만듭니다. 임의화된 보안 키는 점대점(point-to-point) 링크에서 MACsec을 활성화하고 유지합니다. 키 서버는 MACsec이 활성화된 동안 점대점(point-to-point) 링크상에서 임의로 생성된 보안 키를 주기적으로 생성하고 공유합니다.

링크 양쪽 끝에 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서는 물론 보안 채널 외부에 수행됩니다. 정적 CAK 보안 모드를 사용할 때 인바운드 트래픽과 아웃바운드 트래픽을 위한 두 개의 보안 채널이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 연결 연결에서 이미 구성할 수 없는 사용자 구성 매개 변수가 없습니다.

정적 CAK 보안 모드를 사용하여 MACsec을 구성하여 라우터와 라우터 간의 이더넷 링크를 보호하려면 다음을 수행합니다.

연결 연결을 생성합니다. 기존 연결 연결을 구성하는 경우 이 단계를 건너뛸 수 있습니다.
예를 들어, 라는 연결 연결을 만들려면 다음을 ca1입력합니다.

연결 연결과 관련하여 static-cak MACsec 보안 모드를 구성합니다.

예를 들어 연결 연결 ca1에 MACsec 보안 모드를 구성하려면 static-cak 다음을 수행합니다.

CKN(Connectivity Association Key Name) 및 CAK(Connectivity Association Key)를 구성하여 사전 공유 키를 만듭니다.
사전 공유 키는 직접 연결된 링크 간에 교환되어 MACsec-secure 링크를 구축합니다. 사전 공유 키에는 CKN과 CAK가 포함됩니다. CKN은 64자리 16진수이며 CAK는 32자리 1진수입니다. CKN 및 CAK는 링크 양쪽 끝에 일치하여 MACsec 보안 링크를 생성해야 합니다.

참고:
보안을 극대화하기 위해 CKN의 64자리 숫자와 CAK의 모든 32자리 숫자를 구성하는 것이 좋습니다.

그러나 CKN의 64자리 숫자나 CAK의 32자리 숫자를 모두 구성하지 않는 경우, 나머지 모든 숫자는 0으로 자동 구성됩니다.

사전 공유된 키가 링크의 양 끝에서 성공적으로 교환되고 검증되면 MACsec 키 계약(MKA) 프로토콜이 활성화되고 보안 링크를 관리합니다. 그런 다음 MKA 프로토콜은 바로 연결된 두 개의 스위치 중 하나를 키 서버로 선택합니다. 그런 다음 키 서버는 MACsec 보안 포인트 투 포인트 링크를 통해 다른 장치와 임의의 보안을 공유합니다. 키 서버는 MACsec이 활성화된 한 MACsec 보안 포인트 투 포인트 링크상에서 다른 장비와 무작위 보안 키를 정기적으로 생성하고 공유합니다.

연결 연결 ca1에서 CKN 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 및 CAK를 228ef255aa23ff6729ee664acb66e91f 구성하려면 다음을 수행합니다.
참고:
- MACsec은 연결 연결이 인터페이스에 연결될 때까지 활성화되지 않습니다. 인터페이스에 연결 연결을 연결하는 이 절차의 마지막 단계를 참조하십시오.
- FIPS 모드에서는 명령을 사용하는 set connectivity-association ca1 pre-shared-key cak 대신 다음 명령을 사용해야 합니다.
  
  user@host # prompt connectivity-association ca1 pre-shared-key cak
(옵션) MKA 주요 서버 우선 순위 설정:
MKA 프로토콜이 키 서버를 선택하기 위해 사용하는 주요 서버 우선 순위를 지정합니다. 아래 priority-number 의 스위치가 키 서버로 선택됩니다.

기본값 priority-number 은 16입니다.

key-server-priority 점대점(point-to-point) 링크의 양쪽에서 동일한 경우, MKA 프로토콜은 하부 MAC 주소가 있는 인터페이스를 키 서버로 선택합니다. 따라서 이 명령문이 MACsec 보안 P2P 링크의 각 끝에 있는 연결 연결 연결에서 구성되지 않으면 하위 MAC 주소가 있는 인터페이스가 핵심 서버가 됩니다.

연결 연결을 사용하여 인터페이스에서 MACsec을 활성화할 때 현재 장비가 키 서버로 선택될 가능성을 높이기 위해 키 서버 우선 순위를 0으로 변경하려면 다음을 수행합니다 ca1.
주요 서버 우선 순위를 255로 변경하여 현재 디바이스가 연결 연결 ca1의 핵심 서버로 선택될 가능성을 줄이려면 다음을 수행합니다.
(옵션) MKA 전송 간격 설정:
MKA 전송 간격 설정은 링크에서 MACsec 연결을 유지하기 위해 MKA 프로토콜 데이터 유닛(PDU)이 직접 연결된 디바이스로 전송되는 빈도를 설정합니다. 링크의 대역폭 오버헤드가 낮 interval 아질수록 MKA 프로토콜 통신을 interval 최적화할 수 있습니다.

기본값 interval 은 2,000ms입니다. 트래픽이 많은 로드 환경에서 간격을 6,000ms로 늘리는 것이 좋습니다. 정적 CAK 보안 모드를 사용하여 MACsec을 사용할 때 전송 간격 설정은 링크의 양 끝에서 동일해야 합니다.

예를 들어, 연결 연결 연결 ca1이 인터페이스에 연결될 때 MKA 전송 간격을 6000밀리초로 늘리려면 다음을 수행합니다.
(옵션) MACsec 암호화 비활성화:
기본적으로 정적 CAK 보안 모드를 사용하여 MACsec을 활성화할 때 인터페이스에 들어오거나 나가는 모든 트래픽에 대해 암호화가 활성화됩니다.

암호화가 비활성화되면 트래픽은 지우는 텍스트로 이더넷 링크로 전달됩니다. 모니터링할 때 링크를 통과하는 이더넷 프레임에서 암호화되지 않은 데이터를 볼 수 있습니다. 그러나 MACsec 헤더는 여전히 프레임에 적용되며 링크에서 송수신된 트래픽이 변조되지 않고 보안 위협이 되지 않도록 모든 MACsec 데이터 무결성 검사가 링크의 양 끝에서 실행됩니다.
암호화 알고리즘 할당
다음과 같은 MACsec 암호화 알고리즘을 사용하여 인터페이스에 들어오거나 나가는 모든 트래픽을 암호화할 수 있습니다.
- gcm-aes-128—GCM-AES-128 XPN(Extended Packet Numbering) 모드가 없는 암호 제품군
- Gcm-aes-256—XPN이 없는 GCM-AES-256 암호문 스위트
- gcm-aes-xpn-128—XPN 모드가 포함된 GCM-AES-XPN_128 암호 세트
- gcm-aes-xpn-256—XPN 모드가 포함된 GCM-AES-XPN_256 암호 세트
MACsec 암호화가 활성화되고 암호화 알고리즘이 지정되지 않은 경우 XPN 모드 없이 기본(gcm-aes-128) 암호화 알고리즘이 사용됩니다.
참고:
- XPN 모드를 사용한 암호화 알고리즘은 MX-series MPC7E-10G 라우터에서는 지원되지 않습니다.
- MIC-3D-20GE-SFP-E 및 MIC-3D-20GE-SFP-EH에서는 GCM-AES-128만 지원됩니다.
예를 들어, 다음과 같은 이름의 ca1연결 연결에서 gcm-aes-xpn-128 알고리즘을 사용하여 암호화하려는 경우
(옵션) 링크를 통과하는 모든 패킷에 대한 오프셋 설정:
예를 들어, 다음 이름의 ca1연결 연결에서 오프셋을 30으로 설정하려는 경우
기본 오프셋은 0입니다. 암호화가 활성화되고 설정되지 않을 때 연결 연결의 모든 트래픽이 암호화됩니다 offset .

오프셋이 30으로 설정되면 IPv4 헤더와 TCP/UDP 헤더가 암호화되지 않고 나머지 트래픽을 암호화합니다. 오프셋이 50으로 설정되면 IPv6 헤더와 TCP/UDP 헤더가 암호화되지 않고 나머지 트래픽을 암호화합니다.

기능을 수행하기 위해 옥텟에서 데이터를 볼 필요가 있는 경우 일반적으로 처음 30 또는 50 옥텟으로 트래픽을 전송하지만, 그렇지 않으면 링크를 통과하는 프레임의 나머지 데이터를 암호화하는 것을 선호합니다. 특히 로드 밸런싱 기능은 트래픽 밸런싱을 적절히 하려면 일반적으로 처음 30 또는 50 옥텟에서 IP 및 TCP/UDP 헤더를 볼 수 있어야 합니다.
(선택 사항) 재생 보호를 활성화합니다.
링크에서 MACsec이 활성화되면 MACsec 보안 링크의 각 패킷에 ID 번호가 할당됩니다.

다시 재생 보호가 활성화되면 수신 인터페이스는 MACsec 보안 링크를 통과한 모든 패킷의 ID 번호를 확인합니다. 패킷이 순서대로 도착하고 패킷 번호 간의 차이가 replay 보호 창 크기를 초과하는 경우 패킷은 수신 인터페이스에 의해 삭제됩니다. 예를 들어, 다시보기 보호 창 크기가 5로 설정되고 1006의 ID가 할당된 패킷이 1000 ID를 할당한 직후 수신 링크에 도착하면 1006의 ID가 할당된 패킷은 다시 재생 보호 창의 매개 변수를 벗어나기 때문에 삭제됩니다.

리플레이 보호는 특히 중간자 공격에 맞서는 데 유용합니다. 이더넷 링크의 MAN-in-the-Middle 공격자가 재생한 패킷이 시퀀스 아웃(receiving link)에 도착하므로, 다시 재생 보호는 네트워크를 통해 전달되는 대신 재생된 패킷이 드롭되도록 보장합니다.

패킷이 순서를 벗어나게 될 것으로 예상되는 경우 재생 보호가 활성화되어서는 안 됩니다.

재생 창 크기를 0으로 설정하여 모든 패킷이 순서대로 도착하도록 요구할 수 있습니다.

연결 연결 ca1시 5개의 창 크기로 리플레이 보호를 구현하려면 다음을 수행합니다.
(옵션) MACsec에서 프로토콜 제외:
예를 들어, LLDP(Link Level Discovery Protocol)를 MACsec을 사용하여 보호하는 것을 원치 않으셨을 것입니다.
이 옵션이 활성화되면 링크에서 송수신되는 지정된 프로토콜(이 경우 LLDP)의 모든 패킷에 대해 MACsec이 비활성화됩니다.

보호하려는 인터페이스에 CA(Connectivity Association)를 할당합니다.

CA를 물리적 인터페이스에 할당하려면 다음을 수행합니다.

예를 들어 인터페이스에 할당 ca1 하려면 다음을 수행합니다.ge-0/0/1

또한 CA를 논리적 인터페이스에 할당할 수 있습니다.

참고:

CA를 논리적 인터페이스에 할당할 때 적용할 수 있는 제한은 다음과 같습니다.

물리적 인터페이스와 논리적 인터페이스에서 CA를 구성하는 것은 상호 배타적입니다.
MACsec은 네이티브 VLAN 구성의 논리적 인터페이스에서 지원되지 않습니다.
MACsec은 논리적 통합 인터페이스에서 지원되지 않습니다.

연결 연결을 인터페이스에 할당하는 것은 인터페이스에서 MACsec을 활성화하기 위한 최종 구성 단계입니다.

정적 CAK 보안 모드를 사용하는 MACsec은 링크의 반대쪽 끝에 있는 연결 연결도 구성되고 링크의 양 쪽 끝에 일치하는 사전 공유 키를 포함할 때까지 활성화되지 않습니다.

참고:

Junos OS Release 16.1R2부터 시작하여 인터페이스에서 MACsec(Media Access Control Security)을 활성화하면 계층 수준에서 명령문을 [edit interfaces interface- name gigether-options] 사용하여 (flow-control | no-flow-control) 설정한 구성에 관계없이 인터페이스 플로우 제어 기능이 기본적으로 활성화됩니다. MACsec이 비활성화되면 인터페이스 플로우 제어는 계층 수준에서 명령문을 [edit interfaces] 사용하여 flow-control 설정한 구성으로 복원됩니다. MACsec이 활성화되면 MACsec PHY에 의해 추가 헤더 바이트가 패킷에 추가됩니다. MACsec이 활성화되고 플로우 제어가 비활성화되면 회선 속도 트래픽이 MACsec PHY에 의해 전송되는 일시 중지 프레임이 MIC의 MAC(MX 시리즈 라우터에서 향상된 20포트 Gigabit Ethernet MIC)에 의해 종료되고 패킷 포워딩 엔진으로 전송되지 않아 프레이밍 오류가 발생합니다. 따라서 인터페이스에서 MACsec이 활성화되면 이러한 인터페이스에서도 플로우 제어가 자동으로 활성화됩니다.

사전 공유 키 무중단 롤오버 키체인을 사용하여 MACsec 구성(라우터와 라우터 링크에서 MACsec을 활성화하는 데 권장)

릴리스 17.4R1 이전에 정적 연결 연결 키(CAK)를 사용하는 MACsec 구현에서 사용자는 모든 연결 연결에 대해 하나의 정적 CAK를 구성할 수 있습니다. CAK 구성이 변경될 때마다 MACsec 세션이 드롭되고 피어 세션이 재설정되거나 라우팅 프로토콜이 중단됩니다.

CAK 구성이 변경될 때 보안을 강화하고 세션 드롭을 방지하기 위해 무중단 롤오버 키체인 기능이 구현됩니다. 이 구현에서는 여러 보안 키, 키 이름 및 시작 시간이 있는 키 체인이 사용됩니다. 키체인의 각 키에는 고유한 시작 시간이 있습니다. 다음 키의 시작 시간에는 현재 키에서 다음 키로 롤오버가 발생하고 다음 키는 현재 키가 됩니다. 무중단 롤오버 키체인 기능을 구현한 MACsec 키 계약(MKA) 프로토콜은 CAK 구성이 변경되면 세션 드롭 없이 MACsec 세션을 성공적으로 구축합니다.

PSK(Preshared Key) 히트리스 롤오버 키체인을 사용하여 성공적인 MACsec 구성을 구현하려면 다음을 수행합니다.

각 키의 키체인 이름, 키 및 시작 시간은 참여하는 노드 모두에서 동일해야 합니다.
키체인 이름, 키 및 시작 시간의 순서는 참여하는 노드 모두에서 동일해야 합니다.
시간은 참여하는 노드에서 동기화되어야 합니다.

기존 authentication-key-chains 및 macsec connectivity-association 명령은 두 가지 새로운 속성의 추가와 함께 무중단 롤오버 키체인을 구현하는 데 사용됩니다.

key-name—인증 키 이름입니다. 이 key-name 이름은 MACsec용 CKN으로 사용됩니다.
pre-shared-key-chain—사전 공유 연결 연결 키체인 이름입니다.

PSK 무중단 롤오버 키체인 구성과 MACsec을 사용하여 라우터 간 이더넷 링크를 보호하려면 다음을 수행합니다.

참고:

두 개의 참여 노드에서 동일한 순서로 다음 단계를 실행해야 합니다.

참여하는 노드의 시간을 동일한 NTP 서버와 동기화합니다.
예를 들어, NTP 서버 192.168.40.1에 따라 날짜와 시간을 설정하려면 다음을 입력합니다.
키체인에서 PSK 세트를 구성합니다. 키체인은 보안 키, 키 이름 및 시작 시간으로 구성됩니다.

키체인을 구성하려면 다음을 수행합니다.
1. 사용할 암호 만들기. 최대 64자리의 16진수 숫자입니다. 문자 문자열이 따옴표로 동봉된 경우 암호에 공백을 포함할 수 있습니다. 키체인의 비밀 데이터는 CAK로 사용됩니다.
  예를 들어 키체인 macsec_key_chain 및 키 1에 대한 암호 01111223345566778899aabbccddeeff를 생성하려면 다음을 입력합니다.
2. 인증 키 이름을 구성합니다. 최대 32자까지 16진수 숫자입니다.
  예를 들어, 키 이름 011122333455667788999aabbccddeefe를 만들려면 다음을 입력합니다.
3. 사전 공유된 롤오버 키체인이 시작되는 시간을 구성합니다.
  예를 들어, 0111223345566788899aabbccdeefe의 키 이름을 2017-12-18.20:55:00+0000으로 롤오버하려면 다음을 입력합니다.

새로 생성된 키체인을 MACsec 연결 연결과 연결합니다.

연결 연결에 대한 MACsec 보안 모드를 구성합니다.

예를 들어, 보안 모드 정적-cak으로 연결 연결 ca1을 구성하려면 다음을 입력합니다.

사전 공유된 키체인 이름을 연결 연결 연결과 연결합니다.

예를 들어 키체인 이름 macsec_key_chain 연결 연결 ca1과 연결하려면 다음을 입력합니다.

지정된 MACsec 인터페이스와 구성된 연결 연결을 할당합니다.

예를 들어, 연결 연결 ca1을 인터페이스 ge-0/0/1에 할당합니다.

Fail Open 모드에서 MACsec 키 계약 프로토콜 구성

MACsec에 페일 오픈 모드를 구성하여 MKA 세션이 비활성일 때 트래픽이 끊기지 않도록 방지할 수 있습니다. 이는 정보 보안보다 네트워크 가용성을 우선시하는 서비스 프로바이더는 권장됩니다.

MACsec은 MACsec 보안 링크에서 전송되는 이더넷 프레임에 MACsec 헤더를 추가함으로써 데이터 무결성을 유지합니다. MKA 세션이 활성화되면 MACsec 헤더가 있는 프레임에 대해서만 링크에서 트래픽이 허용됩니다. MKA 세션이 비활성일 경우 프레임에 MACsec 헤더가 수신되지 않습니다. 수신 및 송신의 모든 트래픽은 삭제됩니다. 유일한 예외는 EAPoL 트래픽입니다.

CLI 명령문을 사용하여 페일 오픈 모드를 should-secure 구성할 수 있습니다. 따라서 MKA 세션이 비활성 상태인 경우에도 MACsec 보안 링크에서 트래픽을 허용할 수 있습니다. 트래픽은 MACsec 헤더 없이 cleartext로 전송됩니다.

Fail Open 모드에서 MKA 프로토콜을 구성하려면 다음을 수행합니다.

폴백 PSK를 통한 MACsec 구성

정적 CAK 보안 모드를 사용해 MACsec을 활성화하면 PSK(Preshared Key)가 점대점(point-to-point) 이더넷 링크의 각 끝에 있는 장치 간에 교환됩니다. PSK에는 CKN(Connectivity Association Name) 및 CAK(Connectivity Association Key)가 포함됩니다. MACsec 세션을 설정하려면 PSK가 디바이스 전반에서 일치해야 합니다. 불일치가 있는 경우 세션이 설정되지 않고 모든 패킷이 드롭됩니다.

기본 PSK가 연결을 설정하지 못한 경우, 트래픽 손실을 방지하기 위해 폴백 PSK를 구성할 수 있습니다. 대체 PSK는 기본 키가 초기 MACsec 협상에 일치하지 않을 때 사용됩니다.

MACsec 세션이 이미 설정되고 기본 PSK가 한 디바이스에서 변경되었지만 다른 디바이스에서는 변경되지 않으면 이전 기본 PSK를 사용하여 불일치가 해결됩니다. 이전의 기본 PSK는 이전 PSK로 알려진 임시 키입니다.

폴백 PSK가 구성되면 MACsec 세션은 다음 키 중 하나로 보호될 수 있습니다.

기본 PSK(구성 가능)—기본 키입니다.
폴백 PSK(구성 가능)—기본 PSK가 MACsec 세션을 설정하지 못할 때 사용.
PSK 이전(구성 불가능)—새 기본 PSK가 구성되면 이전 기본 PSK가 이전 PSK가 됩니다.

각 키에 대한 CAK 상태는 활성 상태, 활성 상태 또는 진행 중일 수 있습니다. 각 상태에 대한 설명은 표 1 을 참조하십시오.

표 1: CAK 상태 설명
CAK 상태	설명
라이브	CAK는 MKA에 의해 검증되었습니다. MACsec 세션이 라이브로 진행됩니다. SAK는 이 키를 사용하여 성공적으로 생성됩니다. CAK는 MACsec 세션의 암호화 및 암호 해독에 사용됩니다. MKA hello 패킷은 구성된 간격으로 이 키에 대해 전송 및 수신됩니다.
활성	CAK는 MKA에 의해 검증되었습니다. MACsec 세션이 라이브로 진행됩니다. SAK는 이 키를 사용하여 생성되지 않습니다. CAK는 MACsec 세션의 암호화 및 암호 해독에 사용되지 않습니다. MKA hello 패킷은 구성된 간격으로 이 키에 대해 전송 및 수신됩니다.
진행 중	유효한 라이브 또는 잠재적 피어는 발견되지 않습니다. MACsec 세션이 진행 중이며 피어를 찾을 수 있습니다. MKA hello 패킷은 구성된 간격으로 이 키에 대해 전송됩니다.

키의 불일치는 MACsec 링크의 한쪽에서 새 PSK가 구성되고 다른 쪽이 새 키로 잘못 구성되거나 구성되지 않을 때 발생합니다. 대체 동작은 PSK의 어떤 컴포넌트(CAK, CKN 또는 둘 다)가 변경되었느냐에 따라 달라집니다. 각 불일치 시나리오는 아래에 설명되어 있습니다.

CAK가 변경되고 CKN이 동일하게 유지되면 기존 MACsec 세션의 연결이 끊어집니다. 이전 CKN 및 새로운 CAK 값으로 새로운 세션이 시작됩니다.
CKN이 변경되고 CAK가 동일하게 유지되면 기존 CAK와 쌍을 이은 기존 CKN이 앞의 PSK가 되고 세션은 이전 PSK와 함께 유효합니다. 피어 노드가 동일한 CKN으로 구성될 때까지 진행 중인 새로운 CKN 및 CAK로 새로운 세션이 시작됩니다.
CAK와 CKN이 모두 변경되면 이전 CAK+CKN 쌍이 앞의 PSK가 되고 세션은 앞의 PSK와 함께 진행됩니다. 피어 노드가 동일한 CAK+CKN으로 구성될 때까지 진행 중인 새로운 CAK+CKN 쌍으로 새로운 세션이 시작됩니다.

참고:

이전의 PSK는 폴백 PSK보다 우선 순위를 두므로, 세션이 앞 PSK와 함께 있는 경우 대체 PSK가 적용되지 않습니다. 대체 PSK와 함께 세션을 라이브로 설정하려면 명령문을 구성 disable-preceding-key 해야 합니다.

폴백 PSK는 사전 공유 키체인에 대해 지원됩니다. 사전 공유 키 또는 사전 공유 키체인과 함께 대체 PSK를 구성할 수 있습니다. 사전 공유 키 및 사전 공유 키체인은 상호 배타적입니다.

폴백 PSK만 구성되고 기본 PSK가 없는 경우, 두 장비 모두 대체 PSK로 세션을 설정하려고 시도합니다. 세션이 시작되면 폴백 PSK에서 파생된 SAK가 데이터 트래픽 암호화에 사용됩니다. 설정된 세션이 중단되면 디바이스는 계속해서 세션을 재구축하려고 시도하며 세션이 다시 설정될 때까지 트래픽이 드롭됩니다.

대체 PSK는 CA(Connectivity Association)의 일부로 구성됩니다. CA는 모든 인터페이스 또는 인터페이스별로 전역적으로 구성될 수 있어 서로 다른 인터페이스에 대해 서로 다른 대체 키를 허용합니다.

대체 PSK를 구성하려면 CA의 일부로 CAK 및 CKN을 구성합니다.

폴백 PSK 구성에는 다음과 같은 제한이 적용됩니다.

폴백 CAK 및 CKN은 사전 공유된 키 CKN 및 CAK 또는 동일한 CA 하의 키체인에 구성된 키와 일치해서는 안 됩니다.
폴백 키를 구성하려면 보안 모드 구성이 있어야 합니다.
구성된 암호 모음의 주요 길이 제한은 대체 CAK 및 CKN에 적용됩니다.

릴리스 히스토리 테이블

릴리스

설명

16.1R2

Junos OS 릴리스 16.1R2부터 시작하여 인터페이스에서 MACsec(Media Access Control Security)이 활성화되면 인터페이스 플로우 제어 기능은 [편집 인터페이스 인터페이스- 이름 Gigether-options] 계층 수준에서 (플로우 제어 | 무 플로우 제어) 명령문을 사용하여 설정한 구성에 관계없이 기본적으로 활성화됩니다.

15.1

Junos OS Release 15.1부터 MACsec을 구성하여 MX 시리즈 라우터와 MACsec 지원 MIC를 연결하는 점대점(point-to-point) 이더넷 링크를 보호하거나, PC, 전화 또는 서버와 같은 호스트 디바이스에 스위치를 연결하는 이더넷 링크에서 MACsec을 구성할 수 있습니다.