Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

MACsec(Media Access Control Security) 이해

MACsec(Media Access Control Security) 이해

MACsec(Media Access Control Security)은 이더넷 링크에서 지점 간 보안을 제공합니다. MACsec은 IEEE 표준 802.1AE에 의해 정의됩니다. MACsec을 IP 보안(IPsec) 및 SSL(Secure Sockets Layer)과 같은 다른 보안 프로토콜과 함께 사용하여 엔드 투 엔드 네트워크 보안을 제공할 수 있습니다.

MACsec은 서비스 거부, 침입, 메시지 가로채기(man-in-the-middle), 가장, 수동 도청, 재생 공격 등 대부분의 보안 위협을 식별하고 방지할 수 있습니다. MACsec은 LLDP(Link Layer Discovery Protocol), LACP(Link Aggregation Control Protocol), DHCP(Dynamic Host Configuration Protocol), ARP(Address Resolution Protocol) 및 다른 보안 솔루션의 제한으로 인해 일반적으로 이더넷 링크에서 보호되지 않는 기타 프로토콜의 프레임을 포함하여 거의 모든 트래픽에 대해 이더넷 링크를 보호합니다.

기능 탐색기를 사용하여 MACsec에 대한 플랫폼 및 릴리스 지원을 확인합니다.

"Platform-Specific MACsec Behavior(플랫폼별 MACsec 동작)" 섹션에서 플랫폼 관련 참고 사항을 검토하십시오.

MACsec 작동 방식

포인트 투 포인트 이더넷 링크에서 MACsec이 활성화되면 링크의 각 끝에 있는 인터페이스 간에 일치하는 보안 키가 교환되고 확인된 후 링크가 보호됩니다. 키는 MACsec을 활성화하는 데 사용되는 보안 모드에 따라 수동으로 구성하거나 동적으로 생성할 수 있습니다. MACsec 보안 모드에 대한 자세한 내용은 MACsec 보안 모드를 참조하십시오.

MACsec은 데이터 무결성 검사와 암호화 조합을 사용하여 링크를 통과하는 트래픽을 보호합니다.

Data integrity

MACsec은 MACsec 보안 링크를 통과하는 모든 이더넷 프레임에 8바이트 헤더와 16바이트 꼬리를 추가합니다. 헤더와 테일은 링크를 통과하는 동안 데이터가 손상되지 않았는지 확인하기 위해 수신 인터페이스에 의해 검사됩니다. 데이터 무결성 검사에서 트래픽에 대한 불규칙한 것이 감지되면 트래픽이 삭제됩니다.
Encryption

암호화는 링크의 트래픽을 모니터링하는 사람이 이더넷 프레임의 데이터를 볼 수 없도록 합니다. MACsec 암호화는 선택 사항이며 사용자가 구성할 수 있습니다. 원하는 경우 MACsec 보안 링크를 통해 암호화되지 않은 데이터를 "암호화되지 않은" 상태로 전송하면서 데이터 무결성 검사가 수행되도록 MACsec을 활성화할 수 있습니다.

메모:

논리적 인터페이스에서 MACsec이 활성화되면 VLAN 태그가 암호화되지 않습니다. MACsec에 대해 활성화된 논리적 인터페이스에 구성된 모든 VLAN 태그는 일반 텍스트로 전송됩니다.

연결 연결

MACsec은 연결 연결에서 구성됩니다. 연결 연결은 인터페이스가 두 개의 보안 채널, 즉 인바운드 트래픽과 아웃바운드 트래픽에 대한 보안 채널을 생성하는 데 사용하는 MACsec 속성 집합입니다. 보안 채널은 MACsec 보안 링크에서 데이터 송수신을 담당합니다.

보안 채널이 자동으로 생성됩니다. 사용자가 구성할 수 있는 매개 변수가 없습니다. 모든 구성은 연결 연결 내에서 수행되지만 보안 채널 외부에서 수행됩니다.

연결 연결은 포인트 투 포인트 이더넷 링크의 각 측면에 있는 MACsec 지원 인터페이스에 할당되어야 합니다. 여러 이더넷 링크에서 MACsec을 활성화하려면 각 링크에서 개별적으로 MACsec을 구성해야 합니다. MAC 주소 또는 포트와 같은 다른 사용자 구성 매개 변수도 링크의 각 측면에 있는 인터페이스에서 일치해야 MACsec을 활성화할 수 있습니다.

MACsec 보안 모드

MACsec은 다음 보안 모드 중 하나를 사용하여 활성화할 수 있습니다.

  • 정적 CAK 모드

  • 동적 CAK 모드

모범 사례:

정적 CAK 모드는 스위치 또는 라우터를 연결하는 링크에 권장됩니다. 정적 CAK 모드는 새로운 임의 보안 키로 자주 새로 고치고 MACsec 보안 지점 간 링크에서 두 디바이스 간에 보안 키만 공유하여 보안을 보장합니다.

정적 CAK 모드

정적 CAK 모드를 사용하여 MACsec을 활성화하면 컨트롤 플레인 트래픽을 보호하는 연결 연결 키(CAK)와 데이터 플레인 트래픽을 보호하는 임의로 생성된 보안 연결 키(SAK)의 두 가지 보안 키가 링크를 보호하는 데 사용됩니다. 두 키는 링크 보안을 보장하기 위해 포인트 투 포인트 이더넷 링크의 양쪽 끝에 있는 두 디바이스 간에 정기적으로 교환됩니다.

MACsec을 활성화하기 위해 정적 CAK 보안 모드를 사용하는 경우 사전 공유 키를 사용하여 처음에 MACsec 보안 링크를 설정합니다. 사전 공유 키에는 CKN(연결 연결 이름) 및 자체 CAK가 포함됩니다. CKN 및 CAK는 연결 연결에서 사용자에 의해 구성되며 링크의 양쪽 끝에서 일치해야 MACsec을 처음 활성화할 수 있습니다.

일치하는 사전 공유 키가 성공적으로 교환되면 MKA(MACsec Key Agreement) 프로토콜이 활성화됩니다. MKA 프로토콜은 링크에서 MACsec을 유지 관리하는 역할을 하며, 포인트 투 포인트 링크의 어떤 스위치가 키 서버가 될지 결정합니다. 그런 다음 키 서버는 포인트 투 포인트 링크의 다른 쪽 끝에 있는 스위치와만 공유되는 SAK를 생성하며, 이 SAK는 링크를 통과하는 모든 데이터 트래픽을 보호하는 데 사용됩니다. 키 서버는 MACsec이 활성화되어 있는 한 포인트-투-포인트 링크를 통해 무작위로 생성된 SAK를 주기적으로 생성하고 공유합니다.

메모:

링크 장애로 인해 MACsec 세션이 종료된 경우 링크가 복원되면 MKA 키 서버가 키 서버를 선택하고 새로운 SAK를 생성합니다.

메모:

정적 CAK 보안 모드를 사용할 때 MACsec 보안 연결을 설정하려면 MACsec 보안 스위치-스위치 링크의 각 끝에 있는 스위치가 모두 Junos OS 릴리스 14.1X53-D10 이상을 사용하거나, 둘 다 이전 버전의 Junos를 사용해야 합니다.

동적 CAK 모드

동적 CAK 모드에서 MACsec 링크의 피어 노드는 802.1X 인증 프로세스의 일환으로 보안 키를 동적으로 생성합니다. 피어 노드는 인증 중에 RADIUS 서버로부터 MACsec 키 속성을 수신하고 이러한 속성을 사용하여 CAK 및 CKN을 동적으로 생성합니다. 그런 다음 키를 교환하여 MACsec 보안 연결을 만듭니다.

동적 CAK 모드는 키를 수동으로 구성할 필요가 없기 때문에 정적 CAK 모드보다 더 쉽게 관리할 수 있습니다. 또한 RADIUS 서버에서 키를 중앙 집중식으로 관리할 수 있습니다.

동적 CAK 모드를 사용하여 스위치-호스트 링크 또는 스위치나 라우터를 연결하는 링크를 보호할 수 있습니다. 스위치-호스트 링크에서 스위치는 802.1X 인증자이고 호스트는 신청자입니다. 스위치나 라우터를 연결하는 링크에서 디바이스는 서로를 인증할 수 있도록 인증자 및 신청자 역할을 모두 해야 합니다.

동적 CAK 모드는 EAP-TLS(확장할 수 있는 인증 프로토콜-전송 레이어 보안)를 사용한 인증서 기반 검증에 의존합니다. RADIUS 서버 및 스위칭 디바이스는 동적 CAK 모드에서 MACsec을 지원하기 위해 EAP-TLS 및 공개 키 인프라를 사용해야 합니다.

Virtual Chassis의 MACsec

MACsec 지원 인터페이스가 MACsec을 지원하지 않는 스위치 인터페이스를 포함하는 혼합 Virtual Chassis 또는 VCF의 구성원 스위치에 있는 경우를 포함하여 해당 스위치가 Virtual Chassis 또는 VCF(Virtual Chassis Fabric)에서 구성될 때 지원되는 스위치 인터페이스에서 MACsec을 구성할 수 있습니다. 그러나 Virtual Chassis 포트(VCP)에서 MACsec을 활성화하여 Virtual Chassis 또는 VCF의 구성원 스위치 간에 이동하는 트래픽을 보호할 수는 없습니다.

MACsec 제한 사항

  • 모든 유형의 스패닝 트리 프로토콜 프레임은 현재 MACsec을 사용하여 암호화할 수 없습니다.

  • GRES 전환 중에 MACsec 트래픽 손실이 예상됩니다.

SRX 플랫폼에 지원되는 암호 제품군

다음 표에는 SRX 플랫폼에서 지원되는 암호 스위트가 나와 있습니다.

표 1: SRX 플랫폼에서 지원되는 암호(IKE)

암호(IKE)

SRX1500

SRX1600

SRX2300

SRX4100, SRX4200 및 SRX4300

SRX4600 및 SRX4700

SRX5400, SRX5600 및 SRX5800

AES-128-GCM

AES-192-GCM

아니요

아니요

아니요

아니요

아니요

아니요

AES-256-GCM

표 2: SRX 플랫폼에서 지원되는 암호(IPSec)

암호(IPSec)

SRX1500

SRX1600

SRX2300

SRX4100, SRX4200 및 SRX4300

SRX4600 및 SRX4700

SRX5400, SRX5600 및 SRX5800

AES-128-GCM

AES-192-GCM

AES-256-GCM

플랫폼별 MACsec 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토합니다.

플랫폼

다름

  • EX 시리즈

자동 협상EX 시리즈 활성화되고 MACsec이 구성된 경우, MACsec을 지원하는 디바이스PHY84756 1G SFP 포트에서 제대로 작동하지 않을 수 있습니다. 해결 방법으로, 해당 포트에 MACsec을 구성하기 전에 PHY84756 1G SFP 포트에서 을(를) 구성 no- auto-negotiation 하십시오.

참조

MACsec 라이선스 및 소프트웨어 요구 사항

MACsec 기능 라이선스

QFX10000-6C-고집적 파장 분할 멀티플렉싱(DWDM) 및 QFX10000-30C-M 라인 카드를 제외하고 EX 시리즈 및 QFX 시리즈 스위치에서 MACsec을 구성하려면 기능 라이선스가 필요합니다. MACsec 라이선스가 설치되어 있지 않으면 MACsec 기능을 활성화할 수 없습니다.

MACsec에 대한 기능 라이선스를 구입하려면 주니퍼 네트웍스 영업 담당자(https://www.juniper.net/us/en/contact-us/sales-offices)에게 문의하십시오. 주니퍼 영업 담당자가 기능 라이선스 파일과 라이선스 키를 제공할 것입니다. 스위치의 섀시 일련 번호를 제공하라는 메시지가 표시됩니다. 명령을 실행하여 show chassis hardware 일련 번호를 얻을 수 있습니다.

MACsec 기능 라이선스는 독립적인 기능 라이선스입니다. EX 시리즈 또는 QFX 시리즈 스위치의 일부 기능을 활성화하기 위해 구매해야 하는 EFL(Enhanced Feature License) 또는 AFL(Advanced Feature License)은 MACsec을 활성화하기 위해 구입할 수 없습니다.

Virtual Chassis 구축의 경우 이중화를 위해 두 개의 MACsec 라이선스 키를 사용하는 것이 좋습니다. 하나는 기본 역할의 디바이스용이고 다른 하나는 백업 역할의 디바이스용입니다. 모델 및 구성에 따라 VCF(Virtual Chassis Fabric) 및 VC(Virtual Chassis)당 2개의 MACsec 라이선스가 필요할 수 있습니다. 플랫폼 및 기능별 세부 정보는 아래의 라이선싱 문서를 참조하십시오.

MACsec 기능 라이선스는 다른 스위치 라이선스처럼 설치 및 유지됩니다. MACsec 소프트웨어 라이선스 구성 및 관리에 대한 자세한 내용은 EX 시리즈 스위치 라이선스 관리(CLI 절차) 또는 새 라이선스 추가(CLI 절차) 를 참조하십시오.

MX 시리즈 라우터에 대한 MACsec 소프트웨어 요구 사항

다음은 MX 시리즈 라우터에서 MACsec에 대한 몇 가지 주요 소프트웨어 요구 사항입니다.

메모:

향상된 20포트 기가비트 이더넷 MIC(모델 번호 MIC-3D-20GE-SFP-E)가 있는 MX 시리즈 라우터에서 MACsec을 구성하는 데 기능 라이선스가 필요하지 않습니다.

MACsec은 MACsec 지원 인터페이스가 있는 MX 시리즈 라우터에서 지원됩니다.

MACsec은 XPN(Extended Packet Numbering)을 사용하거나 사용하지 않는 128비트 및 256비트 cipher-suite를 지원합니다.

MACsec은 사전 공유 키를 사용하여 Static-CAK 모드로 MKA(MACsec Key Agreement) 프로토콜을 지원합니다.

MACsec은 물리적 포트 또는 물리적 인터페이스당 단일 연결 연결(CA)을 지원합니다.

Junos OS 릴리스 20.3R1부터는 MPC7E-10G 라인 카드의 논리적 인터페이스 수준에서 MACsec(Media Access Control Security)을 구성할 수 있습니다. 이 구성으로 단일 물리적 포트에서 여러 MKA(MACsec Key Agreement) 세션을 사용할 수 있습니다. VLAN 태그는 일반 텍스트로 전송되므로 MACsec을 인식하지 못하는 중간 스위치가 VLAN 태그를 기반으로 패킷을 전환할 수 있습니다.

Junos OS 릴리스 15.1부터 MACsec은 통합 이더넷(ae-) 인터페이스 번들의 멤버 링크와 인터페이스 번들의 일부가 아닌 일반 인터페이스에서 지원됩니다.

Junos OS 릴리스 17.3R2부터 MACsec은 모듈형 MIC(모델 번호-JNP-MIC1-MACSEC)가 있는 MX10003 라우터에서 256비트 암호 제품군 GCM-AES-256 및 GCM-AES-XPN-256을 지원합니다.

Junos OS 릴리스 18.4R2부터 MIC-MACSEC-20GE MIC는 256비트 암호 제품군 GCM-AES-256 및 GCM-AES-XPN-256을 제공합니다. MIC-MACSEC-20GE MIC는 다음 하드웨어 구성에서 20개의 1기가비트 이더넷 SFP 포트와 2개의 10기가비트 이더넷 SFP+ 포트 모두에서 MACsec을 지원합니다.

  • MX80 및 MX104 라우터에 직접 설치

  • MX240, MX480 및 MX960 라우터의 MPC1, MPC2, MPC3, MPC2E, MPC3E, MPC2E-NG 및 MPC3E-NG 라인 카드에 설치

자세한 내용은 MIC-MACSEC-20GE의 인터페이스 명명 규칙라우팅 디바이스의 포트 속도를 참조하십시오.

EX 시리즈 및 QFX 시리즈 스위치에 대한 MACsec 소프트웨어 이미지 요구 사항

Junos OS 릴리스 16.1 이상

Junos OS 릴리스 16.1 및 이후 버전의 경우 MACsec을 활성화하려면 표준 Junos 이미지를 다운로드해야 합니다. 제한된 이미지에서는 MACsec이 지원되지 않습니다.

Junos OS 소프트웨어의 표준 버전에는 암호화가 포함되어 있으므로 모든 지역의 고객이 사용할 수 있는 것은 아닙니다. 이 Junos OS 소프트웨어의 수출 및 재수출은 미국 수출법에 따라 엄격하게 통제됩니다. 이 Junos OS 소프트웨어의 수출, 가져오기 및 사용도 다른 국가의 법률에 따라 부과되는 통제의 적용을 받습니다. 이 버전의 Junos OS 소프트웨어 구입에 대한 질문이 있는 경우 mailto:compliance_helpdesk@juniper.net 의 주니퍼 네트웍스 무역 규정 준수 그룹에 문의하십시오.

16.1 이전 Junos OS 릴리스

Junos OS 릴리스 16.1 이전 릴리스의 경우, MACsec을 활성화하려면 Junos OS 소프트웨어의 제어된 버전을 다운로드해야 합니다. MACsec 지원은 Junos OS 릴리스 16.1 이전 릴리스의 Junos OS 소프트웨어의 국내 버전에서는 사용할 수 없습니다.

Junos OS 소프트웨어의 제어 버전에는 국내 버전의 Junos OS에서 사용할 수 있는 모든 특징과 기능이 포함되어 있으며 MACsec도 지원합니다. Junos OS 소프트웨어의 국내 버전은 MACsec을 지원하는 모든 스위치에 제공되므로 MACsec을 활성화하기 전에 스위치에 대해 제어된 버전의 Junos OS 소프트웨어를 다운로드하여 설치해야 합니다.

Junos OS 소프트웨어의 제어된 버전에는 암호화가 포함되어 있으므로 모든 지역의 고객이 사용할 수 있는 것은 아닙니다. 통제된 버전의 Junos OS 소프트웨어의 수출 및 재수출은 미국 수출법에 따라 엄격하게 통제됩니다. Junos OS 소프트웨어의 제어된 버전의 수출, 수입 및 사용 또한 다른 국가의 법률에 따라 부과되는 통제의 적용을 받습니다. Junos OS 소프트웨어의 제어 버전 취득에 대한 질문이 있는 경우 mailto:compliance_helpdesk@juniper.net 의 주니퍼 네트웍스 무역 규정 준수 그룹에 문의하십시오.

Junos OS 소프트웨어 획득 및 다운로드

패키지 이름을 보면 소프트웨어 패키지가 Junos OS의 표준 버전인지 제어된 버전인지 식별할 수 있습니다. 제어된 버전의 Junos OS용 소프트웨어 패키지는 다음 형식을 사용해 명명됩니다.

Junos OS의 표준 버전용 소프트웨어 패키지는 다음 형식을 사용하여 명명됩니다.

스위치에서 실행 중인 Junos OS 버전을 확인하려면 명령을 입력합니다 show version . 출력에 설명이 JUNOS Crypto Software Suite 나타나면 제어된 버전의 Junos OS를 실행하고 있는 것입니다. Junos OS의 제어된 버전을 실행 중인 경우 명령을 입력하여 show system software 버전을 표시합니다. 출력에는 로드된 모든 소프트웨어 패키지의 버전도 표시됩니다.

Junos OS 소프트웨어의 제어 버전 또는 표준 버전을 스위치에 설치하는 프로세스는 다른 버전의 Junos OS 소프트웨어를 설치하는 것과 동일합니다. 문을 입력하여 Junos OS 이미지를 다운로드하고, request system reboot 업그레이드 절차를 완료하려면 스위치를 재부팅하는 문을 입력 request system software add 해야 합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
23.4R1 시리즈
Junos OS 릴리스 23.4R1은 QSFP-SFP(QSA) 어댑터 또는 브레이크아웃 액티브 옵티컬 케이블(AOC)을 사용하여 MX304 라우터의 1GbE 인터페이스에서 MACsec을 지원합니다. 1GbE 인터페이스에서 MACsec을 지원하려면 플로우 제어가 필요하며, 플로우 제어는 기본적으로 활성화되어 있습니다.
20.4R1-평가
Junos OS Evolved 릴리스 20.4R1은 동적 전력 관리에 대한 지원을 도입했습니다. MACsec 블록은 MACsec 구성에 따라 동적으로 전원이 켜지고 꺼집니다. 인터페이스에 MACsec이 구성되면 해당 포트 그룹에 대해 MACsec 블록의 전원이 켜집니다. 포트 그룹의 인터페이스가 MACsec에 대해 구성되지 않은 경우 전원은 MACsec 블록을 우회합니다. 전원 블록 전환 중에 트래픽 손실이 최소화될 수 있습니다.
18.3R1 시리즈
Junos OS 릴리스 18.4R2부터 MIC-MACSEC-20GE MIC는 256비트 암호 제품군 GCM-AES-256 및 GCM-AES-XPN-256을 제공합니다.
18.2R1 시리즈
Junos OS 릴리스 18.2R1부터 EX9200-40XS 라인 카드에서 AES-256이 지원됩니다.
15.1
Junos OS 릴리스 15.1부터 MACsec은 어그리게이션 이더넷( ae-) 인터페이스 번들의 멤버 링크와 인터페이스 번들의 일부가 아닌 일반 인터페이스에서 지원됩니다.