Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

MACsec 구성

구성 개요

MACsec(Media Access Control Security)은 이더넷 링크에서 거의 모든 유형의 트래픽에 보안 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 간 이더넷 링크에서 포인트 투 포인트 보안을 제공하며 서비스 거부, 침입, 메시지 가로채기(man-in-the-middle), 가장, 수동 도청, 재생 공격 등 대부분의 보안 위협을 식별하고 방지할 수 있습니다. MACsec은 IEEE 802.1AE로 표준화되어 있습니다.

스위치를 연결하는 포인트 투 포인트 이더넷 링크 또는 스위치를 PC, 전화 또는 서버와 같은 호스트 디바이스에 연결하는 이더넷 링크에서 MACsec을 구성할 수 있습니다. MACsec을 사용하여 보호하려는 각 포인트 투 포인트 이더넷 링크는 독립적으로 구성해야 합니다. 동적 또는 정적 연결 연결 키(CAK) 보안 모드를 사용하여 스위치 간 링크에서 MACsec을 활성화할 수 있습니다. 두 프로세스 모두 이 문서에 나와 있습니다.

섀시 클러스터 설정에서 지원되는 SRX 시리즈 방화벽의 제어 및 패브릭 포트에서 MACsec을 구성하는 방법에 대한 자세한 내용은 섀시 클러스터의 미디어 액세스 제어 보안(MACsec)을 참조하십시오.

메모:

SRX 시리즈 방화벽에서는 라우팅 모드에서 MACsec을 구성할 수 있습니다. MACsec은 투명 모드에서 지원되지 않습니다.

시작하기 전에

MACsec을 활성화하기 전에 인터페이스 미디어 최대 전송 단위(MTU)와 프로토콜 최대 전송 단위(MTU) 간의 차이가 추가 32바이트의 MACsec 오버헤드를 수용할 수 있을 만큼 큰지 확인해야 합니다.

인터페이스 최대 전송 단위(MTU) 및 프로토콜 최대 전송 단위(MTU) 구성 방법은 미디어 최대 전송 단위(MTU) 및 프로토콜 최대 전송 단위(Junos OS) 또는 미디어 최대 전송 단위(MTU) 및 프로토콜 최대 전송 단위(Junos OS)를 참조하십시오.

정적 CAK 모드에서 MACsec 구성

스위치 또는 라우터를 연결하는 포인트 투 포인트 이더넷 링크에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화할 수 있습니다. 이것은 스위치-스위치, 스위치-라우터 또는 라우터-라우터 링크일 수 있습니다.

모범 사례:

스위치나 라우터를 연결하는 링크에서 정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 임의 보안 연결 키(SAK)로 자주 새로 고치고 MACsec 보안 지점 간 링크의 두 디바이스 간에만 SAK를 공유하여 보안을 보장합니다.

정적 CAK 보안 모드를 사용하여 MACsec을 활성화하면 포인트 투 포인트 이더넷 링크의 각 끝에 있는 디바이스 간에 사전 공유 키가 교환됩니다. 사전 공유 키에는 CKN(연결 연결 이름) 및 CAK(연결 연결 키)가 포함됩니다. CKN과 CAK는 연결 연결에서 수동으로 구성해야 하며 링크의 양쪽 끝에서 일치하여 MACsec을 처음 활성화해야 합니다.

사전 공유 키가 교환되고 확인되면 MKA(MACsec Key Agreement) 프로토콜이 링크에서 MACsec을 활성화합니다. MKA는 포인트 투 포인트 링크에 있는 두 디바이스 중 하나를 키 서버로 선택해야 합니다. 그런 다음 키 서버는 MACsec 보안 링크를 통해 피어 디바이스와만 공유하는 무작위 보안 키를 생성합니다. 무작위 보안 키는 포인트 투 포인트 링크에서 MACsec을 활성화하고 유지합니다. 키 서버는 MACsec 세션 기간 동안 포인트-투-포인트 링크를 통해 무작위로 생성된 보안 키를 주기적으로 생성하고 공유합니다.

메모:

링크 장애로 인해 MACsec 세션이 종료되면 MKA 키 서버는 링크가 복원될 때 키 서버를 선택하고 새 SAK를 생성합니다.

링크의 양쪽 끝에서 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서 수행되지만 보안 채널 외부에서 수행됩니다. 정적 CAK 보안 모드를 사용할 때 두 개의 보안 채널(인바운드 트래픽용 및 아웃바운드 트래픽용 채널)이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 사용자가 구성할 수 있는 매개 변수가 없습니다. 모든 구성은 연결 연결에서 수행됩니다.

정적 CAK 보안 모드를 사용하여 MACsec을 구성하려면:

  1. 연결 연결을 만듭니다. 기존 연결 연결을 구성하는 경우 이 단계를 건너뛸 수 있습니다.

    예를 들어, 라는 ca1연결 연결을 생성하려면 다음과 같이 입력합니다.

  2. 연결 연결을 위해 MACsec 보안 모드를 로 static-cak 구성합니다.

    예를 들어, 연결 연결 ca1에서 MACsec 보안 모드를 로 static-cak 구성하려면 다음을 수행합니다.

  3. CKN 및 CAK를 구성하여 사전 공유 키를 생성합니다.

    직접 연결된 피어는 사전 공유 키를 교환하여 MACsec 보안 링크를 설정합니다. 사전 공유 키에는 16진수인 CKN 및 CAK가 포함됩니다. CKN과 CAK는 링크의 양쪽 끝에서 일치해야 MACsec 보안 링크를 생성할 수 있습니다.

    메모:

    보안을 극대화하려면 CKN의 모든 숫자와 CAK의 모든 숫자를 구성하는 것이 좋습니다.

    CKN의 모든 자릿수 또는 CAK의 모든 자릿수를 구성하지 않으면 나머지 모든 자릿수는 기본적으로 0으로 설정됩니다. 그러나 구성을 커밋하면 경고 메시지가 표시됩니다.

    사전 공유 키가 교환되고 링크의 두 피어에서 확인되면 MKA(MACsec Key Agreement) 프로토콜이 MACsec을 활성화합니다. 그런 다음 MKA 프로토콜은 직접 연결된 두 스위치 중 하나를 키 서버로 선택합니다. 그런 다음 키 서버는 MACsec 보안 지점 간 링크를 통해 다른 디바이스와 무작위 보안을 공유합니다. MACsec이 활성화되어 있는 한 키 서버는 계속해서 주기적으로 임의의 보안 키를 생성하고 MACsec 보안 지점 간 링크를 통해 다른 디바이스와 공유합니다.

    연결 연결 ca1에서 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 CKN 및 CAK 228ef255aa23ff6729ee664acb66e91f 를 구성하려면:

    메모:

    인터페이스에 연결 연결을 연결할 때까지 MACsec이 활성화되지 않습니다. 이 절차의 마지막 단계를 참조하여 인터페이스에 연결 연결을 연결합니다.
    메모:

    FIPS 모드에서는 명령을 사용하는 set connectivity-association ca1 pre-shared-key cak 대신 다음 명령을 사용해야 합니다.

    user@host# prompt connectivity-association ca1 pre-shared-key cak
  4. (EX4300 스위치에만 연결할 때 비 EX4300 스위치에서만 필요) SCI 태깅을 활성화합니다.

    EX4300 또는 EX4600 스위치에 연결된 이더넷 링크에서 MACsec을 활성화하는 스위치에서 SCI 태깅을 활성화해야 합니다.

    SCI 태그는 EX4300 또는 EX4600 스위치에서 MACsec 지원 인터페이스를 떠나는 패킷에 자동으로 추가되므로 이러한 스위치에서는 이 옵션을 사용할 수 없습니다.

    스위치를 EX4300 또는 EX4600 스위치나 SCI 태깅이 필요한 호스트 디바이스에 연결할 때만 이 옵션을 사용해야 합니다. SCI 태그의 길이는 8옥텟이므로 링크의 모든 트래픽에 SCI 태그를 추가하면 상당한 양의 불필요한 오버헤드가 추가됩니다.

  5. (선택 사항) MKA 키 서버 우선 순위를 설정합니다.

    MKA 프로토콜에서 키 서버를 선택하는 데 사용하는 키 서버 우선 순위를 지정합니다. 아래쪽 priority-number 에 있는 스위치가 키 서버로 선택됩니다.

    기본값은 priority-number 16입니다.

    이(가 key-server-priority ) 링크의 양쪽에서 동일하면, MKA 프로토콜은 MAC 주소가 낮은 인터페이스를 키 서버로 선택합니다. 따라서 이 문이 MACsec 보안 링크의 각 끝에서 구성되지 않으면 MAC 주소가 낮은 인터페이스가 키 서버가 됩니다.

    연결 연결을 사용하여 인터페이스에서 MACsec이 활성화될 때 현재 디바이스가 키 서버로 선택될 가능성을 높이기 위해 키 서버 ca1우선 순위를 0으로 변경하려면:

    키 서버 우선 순위를 255로 변경하여 현재 디바이스가 연결 연결 ca1에서 키 서버로 선택될 가능성을 줄이려면 다음을 수행합니다.

  6. (선택 사항) MKA 전송 간격을 설정합니다.

    MKA 전송 간격 설정은 링크의 연결을 유지하기 위해 MACsec 키 계약 프로토콜 데이터 유닛(PDU)이 연결된 디바이스로 전송되는 빈도입니다. 낮 interval 을수록 링크의 대역폭 오버헤드가 증가하고, 높을 interval 수록 MKA 프로토콜 통신이 최적화됩니다.

    기본값은 interval 2000ms입니다. 트래픽 부하가 많은 환경에서는 간격을 6000ms로 늘리는 것이 좋습니다. 정적 CAK 보안 모드를 사용하는 MACsec이 활성화된 경우 전송 간격 설정은 링크의 양쪽 끝에서 동일해야 합니다.

    예를 들어, 연결 연결 ca1이 인터페이스에 연결된 경우 MKA 전송 간격을 6000ms로 늘리려면 다음을 수행합니다.

  7. (선택 사항) MACsec에서 프로토콜을 제외합니다.

    이 옵션이 활성화되면 링크에서 송수신되는 지정된 프로토콜의 모든 패킷에 대해 MACsec이 비활성화됩니다. 예를 들어, MACsec을 사용하여 LLDP(Link Level Discovery Protocol)를 보호하지 않으려는 경우:

    이 옵션을 활성화하면 링크에서 송수신되는 지정된 프로토콜(이 경우 LLDP)의 모든 패킷에 대해 MACsec이 비활성화됩니다. 이 옵션을 사용하여 일부 프로토콜에 대한 제어 트래픽이 MACsec 태그 없이 MACsec 보안 연결을 통과하도록 허용할 수 있습니다. 이는 MACsec을 지원하지 않는 IP 전화와 같은 디바이스와의 상호 운용성을 제공합니다.

  8. 인터페이스에 연결 연결을 할당합니다.

    예를 들어, 인터페이스 xe-0/0/1에 연결 연결 ca1을 할당하려면 다음을 수행합니다.

    논리적 인터페이스에 연결 연결을 할당하려면 다음 명령을 사용합니다.

    메모:

    논리 인터페이스에 CA를 할당할 때 다음과 같은 제한이 적용됩니다.

    • 물리적 인터페이스와 논리적 인터페이스에서 CA를 구성하는 것은 상호 배타적입니다.

    • 네이티브 VLAN 구성을 가진 논리적 인터페이스는 MACsec을 지원하지 않습니다.

    • 논리적 어그리게이션 인터페이스는 MACsec을 지원하지 않습니다.

    메모:

    EX4300 업링크 모듈에서는 PIC가 SFP 유형을 인식하고 모든 포트를 ge- 또는 xe-로 프로그래밍하기 때문에 업링크 모듈에 연결된 첫 번째 트랜시버가 PIC 모드를 결정합니다. 인터페이스의 MACsec 구성이 업링크 모듈 포트의 링크 속도와 일치하는지 확인합니다.

    인터페이스에 연결 연결을 할당하는 것은 인터페이스에서 MACsec을 활성화하기 위한 마지막 구성 단계입니다.

정적 CAK 보안 모드를 사용하는 MACsec은 링크의 반대쪽 끝에 있는 연결 연결도 구성되면 활성화됩니다. 연결 연결에는 링크의 양쪽 끝에서 일치하는 사전 공유 키가 포함되어야 합니다.

참조

동적 CAK 모드에서 MACsec 구성

동적 CAK 모드에서 MACsec 링크의 피어 노드는 802.1X 인증 프로세스의 일환으로 보안 키를 동적으로 생성합니다. 동적 CAK 모드를 사용하여 스위치 또는 라우터를 연결하는 포인트 투 포인트 링크를 보호할 수 있습니다. 이는 스위치 간, 스위치 대 라우터 또는 라우터 간 연결일 수 있습니다. 디바이스는 서로 인증할 수 있도록 802.1X 인증을 위한 인증자 및 신청자 역할을 모두 수행해야 합니다.

동적 CAK 모드는 키를 수동으로 구성할 필요가 없기 때문에 정적 CAK 모드보다 더 쉽게 관리할 수 있습니다. 또한 RADIUS 서버에서 키를 중앙 집중식으로 관리할 수 있습니다. 그러나 정적 CAK 모드는 더 많은 기능을 제공합니다.

메모:

동적 CAK 모드는 논리적 인터페이스에서 지원되지 않습니다.

다음 절차는 스위치 또는 라우터 간의 링크에서 동적 CAK 모드를 구성하기 위한 것입니다. 스위치-호스트 링크에서 동적 CAK 모드를 구성하려면 스위치-호스트 링크 보안을 위한 MACsec 구성을 참조하십시오.

동적 CAK 모드에서 MACsec을 활성화하기 전에 RADIUS 서버를 구성해야 합니다. RADIUS 서버:

  • 서버 쪽 인증서로 구성해야 합니다.

  • EAP-TLS(확장할 수 있는 인증 프로토콜-전송 레이어 보안) 인증 프레임워크를 사용해야 합니다.

RADIUS 서버 구성에 대한 자세한 내용은 인증을 위한 RADIUS 서버 구성을 참조하십시오.

연결 연결 구성

  1. 연결 연결을 만듭니다. 기존 연결 연결을 구성하는 경우 이 단계를 건너뛸 수 있습니다.

    예를 들어, 라는 ca1연결 연결을 생성하려면 다음과 같이 입력합니다.

  2. 연결 연결을 위해 MACsec 보안 모드를 로 dynamic 구성합니다.

    예를 들어, 연결 연결 ca1에서 MACsec 보안 모드를 로 dynamic 구성하려면 다음을 수행합니다.

  3. 인터페이스에 연결 연결을 할당합니다.

    예를 들어, 인터페이스 xe-0/0/1에 연결 연결 ca1을 할당하려면 다음을 수행합니다.

802.1X 인증 구성

포인트 투 포인트 링크의 각 끝에 있는 인터페이스에서 EAP-TLS를 사용하여 802.1X 인증을 구성합니다. 인터페이스는 디바이스가 서로 인증할 수 있도록 인증자와 신청자의 역할을 모두 해야 합니다.

  1. no-reauthentication 옵션을 사용하여 인터페이스를 인증자로 구성합니다.
  2. 인터페이스를 신청자로 구성합니다.
  3. 인증 방법을 EAP-TLS로 구성합니다.
  4. 인터페이스에 로컬 인증서를 할당합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
16.1R2 시리즈
Junos OS 릴리스 16.1R2부터 인터페이스에서 MACsec(Media Access Control Security)이 활성화되면 계층 수준에서 문을 사용하여 (flow-control | no-flow-control) 설정한 구성과 관계없이 인터페이스 플로우 제어 기능이 기본값으로 [edit interfaces interface- name gigether-options] 활성화됩니다. MACsec이 활성화되면 추가 헤더 바이트가 MACsec PHY에 의해 패킷에 추가됩니다. 회선 속도 트래픽에서 MACsec이 활성화되고 플로우 제어가 비활성화되면 MACsec PHY에 의해 전송된 일시 중지 프레임은 MIC의 MAC(MX 시리즈 라우터의 향상된 20포트 기가비트 이더넷 MIC)에 의해 종료되고 패킷 포워딩 엔진으로 전송되지 않아 프레이밍 오류가 발생합니다. 따라서 인터페이스에서 MACsec이 활성화되면 해당 인터페이스에서 플로우 제어도 자동으로 활성화됩니다.
15.1
Junos OS 릴리스 15.1부터 MACsec을 구성하여 MX 시리즈 라우터와 MACsec 지원 MIC를 연결하는 포인트 투 포인트 이더넷 링크 또는 스위치를 PC, 전화 또는 서버와 같은 호스트 디바이스에 연결하는 이더넷 링크에서 보호할 수 있습니다.