Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

MACsec 구성

MACsec(Media Access Control Security)은 이더넷 링크의 거의 모든 트래픽 유형에 대해 안전한 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 사이의 이더넷 링크에 포인트 투 포인트 보안을 제공하며 서비스 거부, 침입, 중간자, 가장, 수동적 도청 및 재생 공격 등 대부분의 보안 위협을 식별하고 예방할 수 있습니다. MACsec은 IEEE 802.1AE에서 표준화됩니다.

스위치를 연결하는 포인트 투 포인트 이더넷 링크 또는 스위치를 PC, 전화 또는 서버와 같은 호스트 디바이스에 연결하는 이더넷 링크에서 보안을 위해 MACsec을 구성할 수 있습니다. MACsec을 사용하여 보호하려는 각 포인트 투 포인트 이더넷 링크는 독립적으로 구성되어야 합니다. 동적 또는 정적 연결 연결 키(CAK) 보안 모드를 사용하여 스위치 투 스위치 링크에서 MACsec을 활성화할 수 있습니다. 이 문서에서는 두 프로세스 모두 제공됩니다.

섀시 클러스터 설정에서 지원되는 SRX 시리즈 디바이스의 제어 및 패브릭 포트에서 MACsec을 구성하는 방법에 대한 정보는 섀 시 클러스터의 MACsec(Media Access Control Security)을 참조하십시오.

모범 사례:

MACsec을 활성화할 때는 인터페이스 MTU를 검사하여 32바이트인 MACsec 오버헤드에 맞게 조정하는 것이 좋습니다.

정적 CAK 모드에서 MACsec 구성

스위치 또는 라우터를 연결하는 포인트 투 포인트 이더넷 링크에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화할 수 있습니다. 스위치 투 스위치, 스위치 투 라우터 또는 라우터 투 라우터 링크일 수 있습니다.

모범 사례:

스위치 또는 라우터를 연결하는 링크에서 정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 SAK(Random Secure Association Key)를 자주 새로 고침하고 MACsec 보안 포인트 투 포인트 링크의 두 디바이스 간에 SAK만 공유함으로써 보안을 보장합니다.

정적 CAK 보안 모드를 사용하여 MACsec을 활성화하면 포인트 투 포인트 이더넷 링크의 각 끝 디바이스 간에 사전 공유 키가 교환됩니다. 사전 공유 키에는 CKN(Connectivity Association Name) 및 CAK(Connectivity Association Key)가 포함됩니다. CKN 및 CAK는 연결 연결에서 수동으로 구성되어야 하며 처음에 MACsec을 활성화하려면 링크의 양쪽 끝에서 일치해야 합니다.

사전 공유 키를 교환하고 확인하면 MACsec 키 계약(MKA) 프로토콜은 링크에서 MACsec을 활성화합니다. MKA는 포인트 투 포인트 링크에서 두 디바이스 중 하나를 키 서버로 선택할 책임이 있습니다. 그런 다음 키 서버는 MACsec 보안 링크를 통해 피어 디바이스와만 공유하는 무작위 보안 키를 만듭니다. 무작위 보안 키는 포인트 투 포인트 링크에서 MACsec을 활성화하고 유지합니다. 키 서버는 MACsec 세션 시간에 대해 포인트 투 포인트 링크에서 무작위로 생성된 보안 키를 주기적으로 생성하고 공유합니다.

참고:

링크 장애로 인해 MACsec 세션이 종료되면 링크가 복원되고 새 SAK를 생성할 때 MKA 키 서버가 키 서버를 선택합니다.

링크의 양쪽 끝에서 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서는 하지만 보안 채널 외부에 수행됩니다. 정적 CAK 보안 모드를 사용할 때 인바운드 트래픽과 아웃바운드 트래픽을 위한 두 개의 보안 채널이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 사용자가 구성 가능한 매개 변수가 없습니다. 모든 구성은 연결 연결에서 수행됩니다.

정적 CAK 보안 모드를 사용하여 MACsec을 구성하려면,

  1. 연결 연결을 생성합니다. 기존 연결 연결을 구성하는 경우 이 단계를 건너뛰게 됩니다.

    예를 들어, 라는 ca1연결 연결을 생성하려면 , 을(를) 입력합니다.

  2. 연결 연결에 대해 MACsec 보안 모드 static-cak 를 로 구성합니다.

    예를 들어, 연결 연결 ca1에서 MACsec 보안 모드를 구성하려면 static-cak 다음을 수행합니다.

  3. CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.

    직접 연결된 피어는 사전 공유 키를 교환하여 MACsec-secure 링크를 설정합니다. 사전 공유 키에는 CKN 및 CAK가 포함됩니다. CKN은 64자리 16진수이며 CAK는 32자리 16진수입니다. CKN 및 CAK는 링크의 양쪽 끝에서 일치하여 MACsec 보안 링크를 생성해야 합니다.

    참고:

    보안을 극대화하기 위해 CKN의 64 자릿수와 CAK의 모든 32 자릿수를 구성하는 것이 좋습니다.

    CKN의 64 자릿수 또는 CAK의 모든 32 자릿수를 구성하지 않으면 나머지 모든 자릿수는 기본값으로 0으로 설정됩니다. 그러나 구성을 커밋할 때 경고 메시지가 표시됩니다.

    링크에서 두 피어가 사전 공유 키를 교환하고 확인하면 MACsec 키 계약(MKA) 프로토콜은 MACsec을 활성화합니다. 그런 다음 MKA 프로토콜은 직접 연결된 두 개의 스위치 중 하나를 키 서버로 선택합니다. 그런 다음 키 서버는 MACsec 보안 포인트 투 포인트 링크를 통해 다른 디바이스와 임의의 보안을 공유합니다. 키 서버는 MACsec이 활성화된 한 MACsec 보안 포인트 투 포인트 링크를 통해 다른 디바이스와 정기적으로 임의의 보안 키를 생성하고 공유합니다.

    연결 연결 ca1에서 CKN 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 및 CAK를 228ef255aa23ff6729ee664acb66e91f 구성하려면 다음을 수행합니다.

    참고:

    인터페이스에 연결 연결을 연결할 때까지 MACsec이 활성화되지 않습니다. 인터페이스에 연결 연결을 연결하려면 이 절차의 마지막 단계를 참조하십시오.
    참고:

    FIPS 모드에서는 명령을 사용하는 set connectivity-association ca1 pre-shared-key cak 대신 다음 명령을 사용해야 합니다.

    user@host # prompt connectivity-association ca1 pre-shared-key cak
  4. (EX4300 스위치에 연결할 때는 EX4300이 아닌 스위치에만 필요) SCI 태깅 활성화:

    EX4300 또는 EX4600 스위치에 연결된 이더넷 링크에서 MACsec을 활성화하는 스위치에서 SCI 태깅을 활성화해야 합니다.

    SCI 태그는 EX4300 또는 EX4600 스위치에서 MACsec 지원 인터페이스를 나가는 패킷에 자동으로 추가되므로 이 옵션은 이러한 스위치에서 사용할 수 없습니다.

    스위치를 EX4300 또는 EX4600 스위치 또는 SCI 태깅이 필요한 호스트 디바이스에 연결할 때만 이 옵션을 사용해야 합니다. SCI 태그의 길이는 8옥텟이므로 링크의 모든 트래픽에 SCI 태그를 추가하면 상당한 양의 오버헤드가 추가됩니다.

  5. (선택 사항) MKA 주요 서버 우선 순위를 설정합니다.

    MKA 프로토콜이 키 서버를 선택하는 데 사용하는 키 서버 우선 순위를 지정합니다. 하위 priority-number 스위치가 키 서버로 선택됩니다.

    기본값 priority-number 은 16입니다.

    링크의 key-server-priority 양쪽에서 이(가) 동일할 경우, MKA 프로토콜은 하위 MAC 주소 있는 인터페이스를 키 서버로 선택합니다. 따라서 이 명령문이 MACsec 보안 링크의 각 끝에서 구성되지 않으면 MAC 주소 낮은 인터페이스가 키 서버가 됩니다.

    연결 연결을 사용하여 인터페이스에서 MACsec이 활성화될 때 키 서버 우선 순위를 0으로 변경하여 현재 디바이스가 키 서버로 선택될 가능성을 높이기 위해 다음을 수행합니다 ca1.

    주요 서버 우선 순위를 255로 변경하여 현재 디바이스가 연결 연결 ca1에서 핵심 서버로 선택될 가능성을 줄이기 위해 다음을 수행합니다.

  6. (선택 사항) MKA 전송 간격을 설정합니다.

    MKA 전송 간격 설정은 링크의 연결을 유지하기 위해 MACsec PDU(Key Agreement Protocol Data Unit)가 연결된 디바이스로 얼마나 자주 전송되는지에 대한 주파수입니다. 더 낮은 interval 링크에서 대역폭 오버헤드가 증가하며, 더 높을 interval 수록 MKA 프로토콜 통신을 최적화합니다.

    기본값 interval 은 2,000ms입니다. 트래픽이 많은 로드 환경에서 간격을 6,000ms로 늘리는 것이 좋습니다. 정적 CAK 보안 모드를 사용하는 MACsec이 활성화되면 링크 양쪽 끝에서 전송 간격 설정이 동일해야 합니다.

    예를 들어, 연결 연결 ca1이 인터페이스에 연결될 때 MKA 전송 간격을 6,000ms로 늘리고자 하는 경우:

  7. (선택 사항) MACsec에서 프로토콜 제외:

    이 옵션이 활성화되면 링크에서 송수신된 지정된 프로토콜의 모든 패킷에 대해 MACsec이 비활성화됩니다. 예를 들어, LLDP(Link Level Discovery Protocol)를 MACsec을 사용하여 보호하지 않으셨다면,

    이 옵션이 활성화되면 링크에서 송수신된 지정된 프로토콜(이 경우 LLDP)의 모든 패킷에 대해 MACsec이 비활성화됩니다. 이 옵션을 사용하여 일부 프로토콜에 대한 제어 트래픽이 MACsec 태그 없이 MACsec 보안 연결을 통과하도록 허용할 수 있습니다. 이것은 MACsec을 지원하지 않는 IP 전화와 같은 디바이스와의 상호 운용성을 제공합니다.

  8. 인터페이스에 연결 연결을 할당합니다.

    예를 들어, 연결 연결 ca1을 xe-0/0/1 인터페이스에 할당합니다.

    논리적 인터페이스에 연결 연결을 할당하려면 다음 명령을 사용합니다.

    참고:

    논리적 인터페이스에 CA를 할당할 때 다음과 같은 제한이 적용됩니다.

    • 물리적 인터페이스와 논리적 인터페이스에서 CA를 구성하는 것은 상호 배타적입니다.

    • 네이티브 VLAN 구성을 가진 논리적 인터페이스는 MACsec을 지원하지 않습니다.

    • 논리적 어그리게이션 인터페이스는 MACsec을 지원하지 않습니다.

    참고:

    EX4300 업링크 모듈에서 업링크 모듈에 연결된 첫 번째 트랜시버는 PIC 모드를 결정합니다. PIC는 SFP 유형을 인식하고 모든 포트를 ge- 또는 xe-로 프로그래밍합니다. 인터페이스의 MACsec 구성이 업링크 모듈 포트의 링크 속도와 일치하는지 확인합니다.

    인터페이스에 연결 연결을 할당하는 것은 인터페이스에서 MACsec을 활성화하기 위한 마지막 구성 단계입니다.

링크의 반대쪽 끝에 있는 연결 연결도 구성되면 정적 CAK 보안 모드를 사용하는 MACsec이 활성화됩니다. 연결 연결에는 링크의 양쪽 끝에서 일치하는 사전 공유 키가 포함되어야 합니다.

더 보기

동적 CAK 모드에서 MACsec 구성

동적 CAK 모드에서 MACsec 링크의 피어 노드는 802.1X 인증 프로세스의 일부로 보안 키를 동적으로 생성합니다. 동적 CAK 모드를 사용하여 스위치 또는 라우터를 연결하는 포인트 투 포인트 링크를 보호할 수 있습니다. 스위치 투 스위치, 스위치 투 라우터 또는 라우터 투 라우터 연결이 될 수 있습니다. 디바이스는 802.1X 인증을 위해 인증자 및 요청자 역할을 하여 서로를 인증할 수 있어야 합니다.

동적 CAK 모드는 키를 수동으로 구성할 필요가 없으므로 정적 CAK 모드보다 손쉽게 관리합니다. 또한 RADIUS 서버에서 키를 중앙에서 관리할 수 있습니다. 그러나 정적 CAK 모드는 더 많은 기능을 제공합니다.

참고:

동적 CAK 모드는 논리적 인터페이스에서 지원되지 않습니다.

다음 절차는 스위치 또는 라우터 간의 링크에서 동적 CAK 모드를 구성하는 것입니다. 스위치 투 호스트 링크에서 동적 CAK 모드를 구성하려면 스위치-호스트 링크 보안으로 MACsec 구성을 참조하십시오.

동적 CAK 모드에서 MACsec을 활성화하기 전에 RADIUS 서버를 구성해야 합니다. RADIUS 서버:

  • 서버측 인증서로 구성해야 합니다.

  • 확장형 인증 프로토콜 전송 레이어 보안(EAP-TLS) 인증 프레임워크를 사용해야 합니다.

RADIUS 서버 구성에 대한 자세한 내용은 인증을 위한 RADIUS 서버 구성을 참조하십시오.

연결 연결 구성

  1. 연결 연결을 생성합니다. 기존 연결 연결을 구성하는 경우 이 단계를 건너뛰게 됩니다.

    예를 들어, 라는 ca1연결 연결을 생성하려면 , 을(를) 입력합니다.

  2. 연결 연결에 대해 MACsec 보안 모드 dynamic 를 로 구성합니다.

    예를 들어, 연결 연결 ca1에서 MACsec 보안 모드를 구성하려면 dynamic 다음을 수행합니다.

  3. 인터페이스에 연결 연결을 할당합니다.

    예를 들어, 연결 연결 ca1을 xe-0/0/1 인터페이스에 할당합니다.

인증서 구성

로컬 인증서와 인증 기관(CA) 인증서를 각 신청자 인터페이스에 할당해야 합니다. 신청자 및 RADIUS 서버는 인증서 자격 증명을 교환하여 서로 인증합니다. 로컬 인증서와 서버 인증서는 동일한 CA에 의해 서명되어야 합니다. PKI(Public Key Infrastructure) 또는 원격으로 생성한 로드 인증서를 사용하여 인증서를 로컬로 생성할 수 있습니다.

로컬 인증서 생성

CA 인증서를 생성하려면 다음을 수행합니다.

  1. CA 프로필을 구성합니다.
  2. 해지 점검 비활성화:
  3. CA에 인증서를 등록합니다.

로컬 인증서를 생성하려면 다음을 수행합니다.

  1. 퍼블릭-프라이빗 키 쌍을 생성합니다.
  2. SCEP(Simple Certificate Enrollment Protocol)를 사용하여 로컬 인증서를 생성하고 등록합니다.

원격으로 생성된 인증서 로드하기

원격으로 생성된 인증서를 로드하려면 다음을 수행합니다.

  1. CA 프로필을 로드합니다.
  2. 로컬 인증서 로드:

802.1X 인증 구성

포인트 투 포인트 링크의 각 끝에서 인터페이스에 EAP-TLS로 802.1X 인증을 구성합니다. 디바이스가 서로를 인증할 수 있도록 인터페이스는 인증자 및 서플리컨트 모두 역할을 해야 합니다.

  1. 재인증 없이 인증자로 인터페이스를 구성합니다.
  2. 인터페이스를 서플리컨트로 구성합니다.
  3. 인증 방법을 EAP-TLS로 구성합니다.
  4. 인터페이스에 로컬 인증서를 할당합니다.
릴리스 기록 테이블
릴리스
설명
16.1R2
릴리스 16.1R2 Junos OS 시작하여 MACsec(Media Access Control Security)가 인터페이스에서 [edit interfaces interface- name gigether-options] 활성화되면 계층 수준에서 문을 사용하여 (flow-control | no-flow-control) 설정한 구성에 관계없이 인터페이스 플로우 제어 기능이 기본적으로 활성화됩니다. MACsec이 활성화되면 MACsec PHY에 의해 추가 헤더 바이트가 패킷에 추가됩니다. 회선 속도 트래픽의 경우 MACsec이 활성화되고 플로우 제어가 비활성화되면 MACsec PHY에 의해 전송된 일시 중지 프레임은 MIC의 MAC(MX 시리즈 라우터의 향상된 20포트 기가비트 이더넷 MIC)에 의해 종료되고 패킷 전달 엔진 전송되지 않아 프레이밍 오류가 발생합니다. 따라서 MACsec이 인터페이스에서 활성화되면 이러한 인터페이스에서도 플로우 제어가 자동으로 활성화됩니다.
15.1
Junos OS 릴리스 15.1부터 MX 시리즈 라우터와 MACsec 지원 MIC를 연결하는 포인트 투 포인트 이더넷 링크 또는 스위치를 PC, 전화 또는 서버와 같은 호스트 디바이스에 연결하는 이더넷 링크에서 보호하도록 MACsec을 구성할 수 있습니다.