Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Seguridad de control de acceso a medios (MACsec) en el clúster de chasis

Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.

Revise la sección Comportamiento MACsec específico de la plataforma para obtener notas relacionadas con su plataforma.

Media Access Control Security (MACsec) es una tecnología de seguridad estándar de la industria que proporciona una comunicación segura para todo el tráfico en los vínculos Ethernet. Para obtener más información, consulte los temas siguientes:

Descripción de la seguridad del control de acceso a medios (MACsec)

Media Access Control Security (MACsec) es una tecnología de seguridad estándar de la industria que proporciona una comunicación segura para todo el tráfico en los vínculos Ethernet. MACsec proporciona seguridad punto a punto en enlaces Ethernet entre nodos conectados directamente y es capaz de identificar y prevenir la mayoría de las amenazas de seguridad, incluyendo la denegación de servicio, la intrusión, el hombre en el medio, el enmascaramiento, las escuchas telefónicas pasivas y los ataques de reproducción.

MACsec le permite proteger un vínculo Ethernet para casi todo el tráfico, incluidas las tramas del protocolo de descubrimiento de capa de vínculo (LLDP), el protocolo de control de agregación de vínculos (LACP), el protocolo de configuración dinámica de host (DHCP), el protocolo de resolución de direcciones (ARP) y otros protocolos que normalmente no están protegidos en un vínculo Ethernet debido a limitaciones con otras soluciones de seguridad. MACsec se puede utilizar en combinación con otros protocolos de seguridad, como IP Security (IPsec) y Secure Sockets Layer (SSL) para proporcionar seguridad de red de extremo a extremo.

Este tema contiene las siguientes secciones:

Cómo funciona MACsec

MACsec proporciona seguridad estándar de la industria mediante el uso de vínculos Ethernet punto a punto seguros. Los enlaces punto a punto se protegen después de hacer coincidir las claves de seguridad. Cuando se habilita MACsec mediante el modo de seguridad de clave de asociación de conectividad estática (CAK), las claves previamente compartidas configuradas por el usuario se intercambian y verifican entre las interfaces en cada extremo del vínculo Ethernet punto a punto.

Una vez que MACsec está habilitado en un vínculo Ethernet punto a punto, todo el tráfico que atraviesa el vínculo está protegido por MACsec mediante el uso de comprobaciones de integridad de datos y, si está configurado, cifrado.

Las comprobaciones de integridad de datos verifican la integridad de los datos. MACsec anexa un encabezado de 8 bytes y una cola de 16 bytes a todas las tramas Ethernet que atraviesan el vínculo Ethernet punto a punto protegido por MACsec, y la interfaz receptora comprueba el encabezado y la cola para asegurarse de que los datos no se vieron comprometidos al atravesar el vínculo. Si la comprobación de integridad de los datos detecta algo irregular en el tráfico, el tráfico se interrumpe.

MACsec también se puede utilizar para cifrar todo el tráfico en el vínculo Ethernet. El cifrado utilizado por MACsec garantiza que los datos en la trama Ethernet no puedan ser vistos por nadie que supervise el tráfico en el vínculo.

El cifrado está habilitado para todo el tráfico que entra o sale de la interfaz cuando MACsec está habilitado mediante el modo de seguridad CAK estático, de forma predeterminada.

MACsec se configura en vínculos Ethernet punto a punto entre interfaces compatibles con MACsec. Si desea activar MACsec en varios vínculos Ethernet, debe configurar MACsec individualmente en cada vínculo Ethernet punto a punto.

Descripción de las asociaciones de conectividad y los canales seguros

MACsec se configura en asociaciones de conectividad. MACsec se habilita cuando se asigna una asociación de conectividad a una interfaz.

Cuando se habilita MACsec mediante CAK estático o modo de seguridad dinámico, debe crear y configurar una asociación de conectividad. Se crean automáticamente dos canales seguros: uno seguro para el tráfico entrante y otro canal seguro para el tráfico saliente. Los canales seguros creados automáticamente no tienen ningún parámetro configurable por el usuario; Toda la configuración se realiza en la asociación de conectividad fuera de los canales seguros.

Descripción del modo de seguridad de clave de asociación de conectividad estática

Cuando se habilita MACsec mediante el modo de seguridad de clave de asociación de conectividad estática (CAK), se utilizan dos claves de seguridad: una clave de asociación de conectividad (CAK) que protege el tráfico del plano de control y una clave de asociación segura (SAK) generada aleatoriamente que protege el tráfico del plano de datos, para proteger el vínculo Ethernet punto a punto. Ambas claves se intercambian regularmente entre ambos dispositivos en cada extremo del vínculo Ethernet punto a punto para garantizar la seguridad del vínculo.

Inicialmente, se establece un vínculo protegido por MACsec mediante una clave previamente compartida cuando se utiliza el modo de seguridad CAK estático para activar MACsec. Una clave previamente compartida incluye un nombre de asociación de conectividad (CKN) y su propia clave de asociación de conectividad (CAK). El usuario configura el CKN y el CAK en la asociación de conectividad y deben coincidir en ambos extremos del vínculo para habilitar MACsec inicialmente.

Una vez que las claves precompartidas coincidentes se intercambian correctamente, se habilita el protocolo MACsec Key Agreement (MKA). El protocolo MKA es responsable de mantener MACsec en el vínculo y decide qué conmutador del vínculo punto a punto se convierte en el servidor clave. A continuación, el servidor de claves crea un SAK que se comparte con el conmutador solo en el otro extremo del vínculo punto a punto y que SAK se usa para proteger todo el tráfico de datos que atraviesa el vínculo. El servidor de claves seguirá creando y compartiendo periódicamente un SAK creado aleatoriamente a través del vínculo punto a punto mientras MACsec esté habilitado.

MACsec se habilita mediante el modo de seguridad CAK estático configurando una asociación de conectividad en ambos extremos del vínculo. Toda la configuración se realiza dentro de la asociación de conectividad, pero fuera del canal seguro. Cuando se utiliza el modo de seguridad CAK estático, se crean automáticamente dos canales seguros, uno para el tráfico entrante y otro para el saliente. Los canales seguros creados automáticamente no tienen parámetros configurables por el usuario que no se puedan configurar ya en la asociación de conectividad.

Se recomienda habilitar MACsec mediante el modo de seguridad CAK estático. El modo de seguridad CAK estático garantiza la seguridad al actualizar con frecuencia a una nueva clave de seguridad aleatoria y al compartir solo la clave de seguridad entre los dos dispositivos en el vínculo punto a punto protegido por MACsec. Además, algunas funciones opcionales de MACsec (protección contra reproducción, etiquetado SCI y la capacidad de excluir tráfico de MACsec) sólo están disponibles cuando se habilita MACsec mediante el modo de seguridad CAK estático.

Los firewalls de la serie SRX admiten MACsec en el control de alta disponibilidad y los vínculos de estructura, si el comando restart 802.1x-protocol-daemon se ejecuta en el nodo principal, el control del clúster del chasis y los vínculos de estructura se agitarán, lo que hará que los nodos del clúster entren en modo de cerebro dividido.

Consideraciones sobre MACsec

Actualmente, todos los tipos de tramas del Protocolo de árbol de expansión no se pueden cifrar con MACsec.

La asociación de conectividad se puede definir en cualquier lugar, ya sea global o específica del nodo o cualquier otro grupo de configuración, siempre que sea visible para la configuración de la interfaz MACsec.

Para las configuraciones MACsec, deben existir configuraciones idénticas en ambos extremos. Es decir, cada nodo debe contener la misma configuración que el otro nodo. Si el otro nodo no está configurado o configurado incorrectamente con MACsec en el otro lado, el puerto se deshabilita y deja de reenviar el tráfico.

Configurar la seguridad de control de acceso a medios (MACsec)

En este tema se muestra cómo configurar MACsec en puertos de control y estructura del firewall serie SRX compatible en un clúster de chasis para proteger los vínculos Ethernet punto a punto entre los dispositivos del mismo nivel de un clúster. Cada vínculo Ethernet punto a punto que desee proteger mediante MACsec debe configurarse de forma independiente. Puede habilitar el cifrado MACsec en vínculos de dispositivo a dispositivo mediante el modo de seguridad de clave de asociación de conectividad estática (CAK).

Los pasos de configuración para ambos procesos se proporcionan en este documento.

Consideraciones de configuración al configurar MACsec en la instalación del clúster de chasis

Antes de comenzar, siga estos pasos para configurar MACsec en los puertos de control:

  1. Si el clúster de chasis ya está activo, deshabilítelo con el set chassis cluster disable comando y reinicie ambos nodos.
  2. Configure MACsec en el puerto de control con sus atributos como se describe en las secciones siguientes Configurar CAK estático en el puerto de control del clúster de chasis. Ambos nodos deben configurarse de forma independiente con configuraciones idénticas.
  3. Habilite el clúster de chasis mediante el uso set chassis cluster cluster-id id en ambos nodos. Reinicie ambos nodos.

Los estados del puerto de control afectan a la integridad de un clúster de chasis. Tenga en cuenta lo siguiente al configurar MACsec en puertos de control:

  • Cualquier nueva configuración de puerto de clúster de chasis MACsec o modificación de las configuraciones de puerto de clúster de chasis MACsec existentes requerirá que el clúster de chasis esté deshabilitado y mostrará un mensaje Modifying cluster control port CA will break chassis clusterde advertencia. Una vez deshabilitado, puede aplicar las configuraciones anteriores y habilitar el clúster de chasis.

  • De forma predeterminada, los clústeres de chasis sincronizan todas las configuraciones. En consecuencia, debe supervisar que la sincronización no provoque la pérdida de ninguna configuración de MACsec. De lo contrario, el clúster del chasis se romperá. Por ejemplo, para configuraciones MACsec no simétricas y específicas de nodos, deben existir configuraciones idénticas en ambos extremos. Es decir, cada nodo debe contener la misma configuración que el otro nodo.

Para cualquier cambio en las configuraciones MACsec de los puertos de control, se deben repetir los pasos mencionados anteriormente.

Tenga en cuenta lo siguiente al configurar MACsec en puertos de estructura:

La configuración de MACsec provoca cambios en el estado del vínculo que pueden afectar a la capacidad de tráfico del vínculo. Cuando configure puertos de estructura, tenga en cuenta el estado efectivo del vínculo. Una configuración incorrecta de MACsec en ambos extremos de los vínculos de estructura puede mover el vínculo a un estado no elegible. Tenga en cuenta los siguientes puntos clave sobre la configuración de vínculos de estructura:

  • Ambos extremos de los vínculos deben configurarse simultáneamente cuando se forma el clúster de chasis.

  • Una configuración incorrecta puede provocar errores en la estructura y errores en la lógica de recuperación de la estructura.

    Debido a los posibles escenarios de error de vínculo, se recomienda configurar los vínculos de estructura durante la formación del clúster de chasis.

Configurar MACsec mediante el modo de seguridad de clave de asociación de conectividad estática

Puede habilitar el cifrado MACsec mediante el modo de seguridad de clave de asociación de conectividad estática (CAK) en un vínculo Ethernet punto a punto que conecte dispositivos. En este procedimiento se muestra cómo configurar MACsec mediante el modo de seguridad CAK estático.

MACsec en el vínculo de control dual se configura en el puerto de control 0 [em0] y el puerto de control 1 [em1]. MACsec configurado en interfaces de ingresos se utiliza para formar vínculos de estructura. Los vínculos de estructura se configuran en los puertos de estructura (mge-0/0/1 y mge-7/0/1).

Para configurar MACsec utilizando el modo de seguridad CAK estático para proteger un vínculo Ethernet de dispositivo a dispositivo:

  1. Cree una asociación de conectividad. Puede omitir este paso si está configurando una asociación de conectividad existente.

    Por ejemplo, para crear una asociación de conectividad denominada ca1, escriba:

  2. Configure el modo de seguridad MACsec como static-cak para la asociación de conectividad.

    Por ejemplo, para configurar el modo de seguridad MACsec en static-cak la asociación de conectividad ca1:

  3. Cree la clave previamente compartida configurando el nombre de clave de asociación de conectividad (CKN) y la clave de asociación de conectividad (CAK).

    Se intercambia una clave previamente compartida entre enlaces conectados directamente para establecer un vínculo seguro MACsec. La clave precompartida incluye el CKN y el CAK. El CKN es un número hexadecimal de 64 dígitos y el CAK es un número hexadecimal de 64 dígitos. El CKN y el CAK deben coincidir en ambos extremos de un vínculo para crear un vínculo protegido por MACsec.

    Para maximizar la seguridad, recomendamos configurar los 64 dígitos de un CKN y los 64 dígitos de un CAK.

    Una vez que las claves previamente compartidas se intercambian y verifican correctamente por ambos extremos del vínculo, se habilita el protocolo MACsec Key Agreement (MKA) y administra el vínculo seguro. Luego, el protocolo MKA elige uno de los dos dispositivos conectados directamente como servidor clave. A continuación, el servidor de claves comparte una seguridad aleatoria con el otro dispositivo a través del vínculo punto a punto seguro para MACsec. El servidor de claves continuará creando y compartiendo periódicamente una clave de seguridad aleatoria con el otro dispositivo a través del vínculo punto a punto protegido por MACsec mientras MACsec esté habilitado.

    Para configurar un CKN de 11c1c1c11xxx012xx5xx8ef284aa23ff6729xx2e4xxx66e91fe34ba2cd9fe311 y un CAK de en la asociación de 228xx255aa23xx6729xx664xxx66e91f conectividad ca1:

    MACsec no se habilita hasta que se adjunta una asociación de conectividad a una interfaz. Consulte el paso final de este procedimiento para asociar una asociación de conectividad a una interfaz.

  4. (Opcional) Establezca la prioridad del servidor de claves MKA.

    Especifica la prioridad del servidor de claves utilizada por el protocolo MKA para seleccionar el servidor de claves. El dispositivo con la parte inferior priority-number se selecciona como servidor de claves.

    El valor predeterminado priority-number es 16.

    Si es key-server-priority idéntico en ambos lados del enlace punto a punto, el protocolo MKA selecciona la interfaz con la dirección MAC inferior como servidor clave. Por lo tanto, si esta instrucción no está configurada en las asociaciones de conectividad en cada extremo de un vínculo punto a punto protegido por MACsec, la interfaz con la dirección MAC inferior se convierte en el servidor clave.

    Para cambiar la prioridad del servidor de claves a 0 para aumentar la probabilidad de que se seleccione el dispositivo actual como servidor de claves cuando MACsec está habilitado en la interfaz mediante la asociación ca1de conectividad:

    Para cambiar la prioridad del servidor clave a 255 para disminuir la probabilidad de que el dispositivo actual sea seleccionado como servidor clave en la asociación de conectividad ca1:

  5. (Opcional) Establezca el intervalo de transmisión MKA.

    La configuración del intervalo de transmisión MKA establece la frecuencia con la que se envía la unidad de datos de protocolo MKA (PDU) al dispositivo conectado directamente para mantener la conectividad MACsec en el vínculo. Una menor interval aumenta la sobrecarga del ancho de banda en el enlace; una mayor interval optimiza la comunicación del protocolo MKA.

    El valor predeterminado interval es 2000 milisegundos. Se recomienda aumentar el intervalo a 6000 ms en entornos de carga de alto tráfico. La configuración del intervalo de transmisión debe ser idéntica en ambos extremos del vínculo cuando MACsec con el modo de seguridad CAK estático está activado.

    Para los dispositivos SRX340, SRX345 y SRX4600, el intervalo de transmisión MKA predeterminado es de 10000 ms en los vínculos de alta disponibilidad.

    Por ejemplo, si desea aumentar el intervalo de transmisión MKA a 6000 milisegundos cuando la asociación de conectividad ca1 está conectada a una interfaz:

  6. (Opcional) Desactive el cifrado MACsec.

    El cifrado está habilitado para todo el tráfico que entra o sale de la interfaz cuando MACsec está habilitado mediante el modo de seguridad CAK estático, de forma predeterminada.

    Cuando el cifrado está deshabilitado, el tráfico se reenvía a través del vínculo Ethernet en texto sin cifrar. Puede ver datos no cifrados en la trama Ethernet que atraviesa el vínculo cuando lo está supervisando. Sin embargo, el encabezado MACsec todavía se aplica a la trama y todas las comprobaciones de integridad de datos MACsec se ejecutan en ambos extremos del vínculo para garantizar que el tráfico enviado o recibido en el vínculo no haya sido manipulado y no represente una amenaza para la seguridad.

  7. (Opcional) Establezca un desplazamiento para todos los paquetes que atraviesan el vínculo.

    Por ejemplo, si desea establecer el desplazamiento en 30 en la asociación de conectividad denominada ca1:

    El desplazamiento predeterminado es 0. Todo el tráfico de la asociación de conectividad se cifra cuando el cifrado está habilitado y no se establece un offset .

    Cuando el desplazamiento se establece en 30, el encabezado IPv4 y el encabezado TCP/UDP no se cifran mientras cifran el resto del tráfico. Cuando el desplazamiento se establece en 50, el encabezado IPv6 y el encabezado TCP/UDP no se cifran mientras cifran el resto del tráfico.

    Normalmente, reenviaría el tráfico con los primeros 30 o 50 octetos sin cifrar si una característica necesitara ver los datos de los octetos para realizar una función, pero por lo demás preferiría cifrar los datos restantes en las tramas que atraviesan el vínculo. Las características de equilibrio de carga, en particular, normalmente necesitan ver los encabezados IP y TCP/UDP en los primeros 30 o 50 octetos para equilibrar correctamente la carga del tráfico.

  8. (Opcional) Habilite la protección contra reproducción.

    Cuando MACsec está activado en un vínculo, se asigna un número de identificación a cada paquete del vínculo protegido por MACsec.

    Cuando la protección contra reproducción está activada, la interfaz receptora comprueba el número de identificación de todos los paquetes que han atravesado el vínculo protegido por MACsec. Si un paquete llega fuera de secuencia y la diferencia entre los números de paquete supera el tamaño de la ventana de protección de reproducción, la interfaz receptora lo descarta. Por ejemplo, si el tamaño de la ventana de protección de reproducción se establece en cinco y un paquete al que se le asignó el ID de 1006 llega al vínculo de recepción inmediatamente después de que el paquete al que se le asignó el ID de 1000, el paquete al que se le asigna el ID de 1006 se descarta porque queda fuera de los parámetros de la ventana de protección de reproducción.

    La protección de reproducción es especialmente útil para combatir ataques man-in-the-middle. Un paquete que es reproducido por un atacante man-in-the-middle en el vínculo Ethernet llegará al vínculo receptor fuera de secuencia, por lo que la protección de reproducción ayuda a garantizar que el paquete reproducido se descarte en lugar de reenviarse a través de la red.

    La protección contra reproducción no debe habilitarse en los casos en que se espera que los paquetes lleguen fuera de servicio.

    Puede exigir que todos los paquetes lleguen en orden estableciendo el tamaño de la ventana de reproducción en 0.

    Para activar la protección contra reproducción con un tamaño de ventana de cinco en la asociación ca1de conectividad:

  9. (Opcional) Excluya un protocolo de MACsec.

    Por ejemplo, si no desea que el Protocolo de detección a nivel de vínculo (LLDP) se proteja mediante MACsec:

    Cuando esta opción está habilitada, MACsec se deshabilita para todos los paquetes del protocolo especificado (en este caso, LLDP) que se envían o reciben en el vínculo.

  10. Asigne la asociación de conectividad a una interfaz de control de clúster de chasis.

    La asignación de la asociación de conectividad a una interfaz es el paso final de configuración para habilitar MACsec en una interfaz.

    Por ejemplo, para asignar la asociación de conectividad ca1 a la interfaz ge-0/0/1 (para SRX340/SRX345):

    Por ejemplo, para asignar la asociación de conectividad ca1 a la interfaz ge-0/0/0 (para SRX380):

  11. Asigne una asociación de conectividad para habilitar MACsec en una interfaz de estructura de clúster de chasis.

MACsec mediante el modo de seguridad CAK estático no se habilita hasta que también se configura una asociación de conectividad en el extremo opuesto del vínculo y contiene claves previamente compartidas que coinciden en ambos extremos del vínculo.

Configurar CAK estático en el puerto de control del clúster de chasis

Para establecer una CA a través de un vínculo de control de clúster de chasis en dos dispositivos SRX345.

  1. Configure el modo de seguridad MACsec como static-cak para la asociación de conectividad:
  2. Cree la clave previamente compartida configurando el nombre de clave de asociación de conectividad (CKN).

    El CKN debe ser una cadena de longitud par de hasta 64 caracteres hexadecimales (0-9, a-f, A-F).

  3. Cree la clave previamente compartida configurando la clave de asociación de conectividad (CAK).

    El CAK debe contener 64 caracteres hexadecimales (0-9, a-f, A-F).

  4. Especifique los puertos de control del clúster del chasis para la asociación de conectividad.

Configurar CAK estático en el puerto de estructura del clúster de chasis

Para establecer una asociación de conectividad a través de un vínculo de estructura de clúster de chasis en dos dispositivos SRX345:

  1. Configure el modo de seguridad MACsec como static-cak para la asociación de conectividad.
  2. Cree la clave previamente compartida configurando el nombre de clave de asociación de conectividad (CKN).

    El CKN debe ser una cadena de longitud par de hasta 64 caracteres hexadecimales (0-9, a-f, A-F).

  3. Cree la clave previamente compartida configurando la clave de asociación de conectividad (CAK).

    El CAK debe contener 64 caracteres hexadecimales (0-9, a-f, A-F).

  4. Especifique los puertos de una estructura de clúster de chasis a una asociación de conectividad.

Configurar CAK estático en el puerto de control para dispositivos SRX1600, SRX2300 y SRX4300

Para configurar una asociación de conectividad a través de un vínculo de control de clúster de chasis en dos dispositivos SRX1600 o dos dispositivos SRX2300 o dispositivos SRX4300.

  1. Configure el modo de seguridad MACsec como static-cak para la asociación de conectividad.
  2. Cree la clave previamente compartida configurando el nombre de clave de asociación de conectividad (CKN).

    El CKN debe ser una cadena de longitud par de hasta 64 caracteres hexadecimales (0-9, a-f, A-F).

  3. Cree la clave previamente compartida configurando la clave de asociación de conectividad (CAK).

    El CAK debe contener 64 caracteres hexadecimales (0-9, a-f, A-F).

  4. Especifique un puerto de control de clúster de chasis para la asociación de conectividad.

Para ver el estado de las conexiones MACsec activas, ejecute el show security macsec connections comando.

Para ver la información de la sesión del acuerdo de clave MACsec, ejecute el show security mka sessions comando.

Para ver el estado de seguridad de los puertos de control y de estructura. MACsec está habilitado tanto para el puerto de control 0 como para el puerto de control 1, ejecute el show chassis cluster interfaces comando.

Configurar CAK estático en el puerto de control para SRX4600

Use este procedimiento para establecer una CA a través de un vínculo de control de clúster de chasis en dos dispositivos SRX4600.

  1. Configure el modo de seguridad MACsec como static-cak para la asociación de conectividad:
  2. Cree la clave previamente compartida configurando el nombre de clave de asociación de conectividad (CKN).

    El CKN debe ser una cadena de longitud par de hasta 64 caracteres hexadecimales (0-9, a-f, A-F).

  3. Cree la clave previamente compartida configurando la clave de asociación de conectividad (CAK).

    El CAK debe contener 64 caracteres hexadecimales (0-9, a-f, A-F).

  4. Especifique un puerto de control de clúster de chasis para la asociación de conectividad.

Verificar la configuración de MACSEC

Para confirmar que la configuración proporcionada en Configurar CAK estático en el puerto de control para SRX4600 funciona correctamente, realice estas tareas:

Mostrar el estado de las conexiones MACsec activas en el dispositivo

Propósito

Compruebe que MACsec esté operativo en la configuración del clúster de chasis.

Acción

Desde el modo operativo, escriba el show security macsec connections interface interface-name comando en uno o ambos nodos de la configuración del clúster de chasis.

Significado

Los Interface name resultados y CA name muestran que la asociación de conectividad MACsec está operativa en la interfaz em0. El resultado no aparece cuando la asociación de conectividad no está operativa en la interfaz.

Mostrar información de sesión del Acuerdo de clave MACsec (MKA)

Propósito

Muestra la información de sesión del Acuerdo de clave MACsec (MKA) para todas las interfaces.

Acción

Desde el modo operativo, ingrese el show security mka sessions comando.

Significado

Los resultados muestran el estado de las sesiones MKA.

Compruebe que el tráfico protegido por MACsec atraviesa la interfaz

Propósito

Verifique que el tráfico que atraviesa la interfaz esté protegido por MACsec.

Acción

Desde el modo operativo, ingrese el show security macsec statistics comando.

Significado

La Encrypted packets línea debajo del Secure Channel transmitted campo son los valores incrementados cada vez que se envía un paquete desde la interfaz protegida y cifrada por MACsec.

La Accepted packets línea debajo del Secure Association received campo son los valores incrementados cada vez que se recibe en la interfaz un paquete que ha superado la comprobación de integridad MACsec. La Decrypted bytes línea debajo de la Secure Association received salida se incrementa cada vez que se recibe y descifra un paquete cifrado.

Verificar que los puertos del clúster del chasis estén protegidos con la configuración MACsec

Propósito

Compruebe que MACsec esté configurado en los puertos del clúster del chasis.

Acción

Desde el modo operativo, ingrese el show chassis cluster interfaces comando.

Significado

La Security línea debajo de la salida para la Control interfaces interfaz em0 que se muestra como Secured significa que MACsec protege y cifra el tráfico enviado desde la interfaz em0.

También puede utilizar el show chassis cluster status comando para mostrar el estado actual del clúster de chasis.

Ver también

Comportamiento MACsec específico de la plataforma

Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.

Use la tabla siguiente para revisar los comportamientos específicos de la plataforma para su plataforma.

Plataforma

Diferencia

Serie SRX

  • Los firewalls SRX340, SRX345 y SRX380 que admiten MACsec tienen un temporizador de 300 segundos no elegible cuando MACsec está habilitado en el puerto de control del clúster del chasis. Si se produce un error en ambos vínculos de control, Junos OS cambia el estado operativo del nodo secundario a no elegible durante 180 segundos.

  • SRX4600 firewall que admite MACsec en el puerto de control, la duración de la inelegibilidad es de 200 segundos.

  • Los firewalls SRX340, SRX345 y SRX380 compatibles con MACsec establecen el temporizador de espera inicial en 120 segundos en lugar de 30 segundos.

  • Los firewalls SRX340 y SRX345 compatibles con MACsec utilizan los siguientes puertos:

    • ge-0/0/0 es un puerto de estructura

    • GE-0/0/1 es un puerto de control para el clúster de chasis.

      El clúster de chasis asigna ge-0/0/1 como puerto de control de clúster 0.

  • El firewall SRX380 admite MACsec. Coloque cada nodo en modo independiente antes de configurar MACsec en el cluster-control-port y cluster-data-port. Aplique MACsec en ambos nodos y, a continuación, reinícielo en modo de clúster de chasis.

  • El firewall SRX380 compatible con MACsec usa ge-0/0/0 como puerto de estructura. La interfaz ge-0/0/15 sirve como puerto de control para el clúster de chasis.

  • SRX4600 firewall compatible con MACsec incluye puertos de estructura y control dedicados. Configure MACsec en vínculos de control con puerto de control dedicado 0 [em0] y puerto 1 [em1]. Configure MACsec en vínculos de estructura en puertos de estructura dedicados:

    • Puerto 2 y puerto 3 de fpc0 pic0 (por ejemplo, xe-0/0/2 y xe-0/0/3)

    • Puerto 2 y puerto 3 de fpc7 pic0

  • SRX1600 firewall compatible con MACsec incluye puertos de control dual dedicados (em0/em1) y puertos de estructura dual.

  • SRX2300 firewall compatible con MACsec incluye puertos de control dual (em0/em1) y puertos de estructura dual.

  • Los firewalls SRX340 y SRX345 admiten MACsec en puertos de control y estructura en modo de clúster de chasis.

  • Los firewalls SRX340, SRX345 y SRX380 admiten MACsec de host a host o de conmutador a host.

  • SRX4600 Firewall no admite MACsec para conexiones de host a host. Solo los puertos fab dedicados admiten MACsec. El firewall no permite MACsec si algún otro puerto de tráfico sirve como fab.

  • Los firewalls SRX340, SRX345 y SRX380 que admiten MACsec requieren configuraciones MACsec locales en cada nodo. De lo contrario, estos firewalls no podrán llegar al vínculo de estructura.

  • SRX1600, SRX2300 y SRX4300 Los firewalls compatibles con MACsec pueden utilizar puertos de control dual en una configuración MACsec.

Documentación relacionada

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
20.1
A partir de Junos OS versión 20.1R1, MACsec se admite en puertos de control, puertos de estructura y puertos de ingresos de dispositivos SRX380 en modo de clúster de chasis para proteger el tráfico. MACsec es compatible con puertos 16X1Gigabit Ethernet (ge-0/0/0 a ge-0/0/15) y puertos 4X10Gigabit Ethernet (xe-0/0/16 a xe-0/0/19).