Ejemplo: configuración de MACsec a través de un CCC MPLS en conmutadores de la serie EX
En este ejemplo se muestra cómo habilitar MACsec para proteger el tráfico confidencial que viaja de un usuario en un sitio a un usuario en otro sitio a través de un CCC MPLS básico.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Tres conmutadores EX4550 utilizados como conmutadores de PE y proveedor en la red MPLS
Un conmutador EX4550 utilizado como conmutador CE que conecta el sitio A a a la red MPLS
Un conmutador EX4200 que haya instalado un módulo de vínculo ascendente SFP+ MACsec utilizado como conmutador CE que conecta el sitio B a la red MPLS
Junos OS versión 12.2R1 o posterior que se ejecuta en todos los conmutadores EX4550 de la red MPLS (PE1, PE2 o el conmutador proveedor)
Junos OS versión 13.2X50-D15 (versión controlada) o posterior ejecutándose en el conmutador CE en el sitio A y en el conmutador CE en el sitio B
Nota:La versión controlada del software del sistema operativo Junos (Junos OS) de Juniper Networks debe descargarse para activar MACsec. La compatibilidad con el software MACsec no está disponible en la versión doméstica del software Junos OS, que está instalada en el conmutador de forma predeterminada. La versión controlada del software Junos OS incluye todas las características y funcionalidades disponibles en la versión doméstica de Junos OS, a la vez que es compatible con MACsec. Consulte Descripción de la seguridad del control de acceso a medios (MACsec) para obtener información adicional acerca de los requisitos del software MACsec.
Una licencia de función MACsec instalada en el conmutador CE del sitio A y en el conmutador CE del sitio B
Nota:Para adquirir una licencia de software para MACsec, comuníquese con su representante de ventas de Juniper Networks (https://www.juniper.net/us/en/contact-us/sales-offices). El representante de ventas de Juniper Networks le proporcionará un archivo de licencia de función y una clave de licencia. Se le pedirá que proporcione el número de serie del chasis del conmutador; Puede obtener el número de serie ejecutando el
show virtual-chassiscomando oshow chassis hardware.
Descripción general y topología
En este ejemplo, los datos financieros sensibles de la empresa a menudo se envían entre un usuario en el sitio A y un usuario en el sitio B. La empresa quiere asegurarse de que todo el tráfico de red que viaja del usuario en el sitio A al usuario en el sitio B sea altamente seguro y no pueda ser visto o dañado por un atacante. La compañía está utilizando la seguridad de capa 2 estándar de la industria proporcionada por MACsec, que proporciona cifrado para garantizar que los atacantes no puedan ver los datos y verifica la integridad para garantizar que los datos transmitidos no estén dañados, para asegurar todo el tráfico que viaja en el CCC a través de la nube MPLS que conecta los sitios. Las VLAN están configuradas en ambos sitios para garantizar que el tráfico que viaja entre los dos usuarios atraviese los sitios a través del CCC protegido por MACsec.
En este ejemplo, la red MPLS incluye dos conmutadores perimetrales de proveedor (PE), PE1 y PE2, y un conmutador de proveedor (tránsito). PE1 conecta el conmutador perimetral del cliente (CE) del sitio A a la red MPLS y PE2 conecta el conmutador CE del sitio B a la red MPLS. MACsec está habilitado en el CCC que conecta los conmutadores CE en los sitios A y B para proteger el tráfico que viaja entre los sitios a través del CCC. Una VLAN que incluya las interfaces que conectan a los usuarios con los conmutadores CE, la interfaz ge-0/0/0 en el conmutador CE del sitio A y la interfaz ge-0/0/2 en el conmutador CE del sitio B, y las interfaces que conectan los conmutadores CE a la nube MPLS (ge-0/0/0 en el conmutador CE del sitio A y xe-0/1/0 en el conmutador CE del sitio B), se utiliza para dirigir todo el tráfico entre los usuarios hacia el CCC protegido por MACsec.
La figura 1 muestra la topología utilizada en este ejemplo. El tráfico de CCC protegido por MACsec se etiqueta MACsec CCC en la figura.
En la tabla 1 se proporciona un resumen de los componentes de red MPLS de esta topología.
En la tabla 2 se proporciona un resumen de la asociación de conectividad MACsec utilizada en esta topología. MACsec se habilita mediante la creación de una asociación de conectividad en las interfaces en cada extremo de un vínculo. MACsec se activa cuando las interfaces en cada extremo del vínculo intercambian claves previamente compartidas (las claves previamente compartidas se definen en la asociación de conectividad) para proteger el vínculo para MACsec.
En la tabla 3 se proporciona un resumen de la VLAN utilizada en esta topología. La VLAN se utiliza en esta topología para dirigir toda la comunicación del usuario del sitio A al usuario del sitio B al CCC protegido por MACsec.
| Descripción del componente | |
|---|---|
PE1 |
Conmutador de PE. lo0:
ge-0/0/0:
GE-0/0/1:
|
Proveedor |
Conmutador de proveedor. lo0:
GE-0/0/10:
xe-0/0/0:
|
PE2 |
Conmutador de PE. lo0:
xe-0/1/0
xe-0/1/1
|
lsp_to_pe2_xe1 ruta de conmutación de etiquetas |
Ruta de conmutación de etiquetas de PE1 a PE2. |
lsp_to_pe1_ge0 ruta conmutada por etiquetas |
Ruta de conmutación de etiquetas de PE2 a PE1. |
| Descripción de la asociación de conectividad | |
|---|---|
CCC-MACsec |
Asociación de conectividad que habilita MACsec en CCC conectando el sitio A al sitio B. La asociación de conectividad está habilitada en las siguientes interfaces:
|
| Descripción | de VLAN |
|---|---|
MACSec |
VLAN que dirige el tráfico entre el usuario del sitio A y el usuario del sitio B al CCC protegido por MACsec. La VLAN incluye las siguientes interfaces:
|
Configuración de MPLS
En esta sección se explica cómo configurar MPLS en cada conmutador de la red MPLS.
Incluye las siguientes secciones:
- Configuración de MPLS en el conmutador PE1
- Configuración de MPLS en el conmutador del proveedor
- Configuración de MPLS en el conmutador PE2
- Resultados
Configuración de MPLS en el conmutador PE1
Configuración rápida de CLI
Para configurar rápidamente la configuración de MPLS en el conmutador PE1, utilice los siguientes comandos:
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Procedimiento paso a paso
Para configurar MPLS en el conmutador PE1:
Configure OSPF con la ingeniería de tráfico habilitada:
[edit protocols] user@switch-PE1# set ospf traffic-engineering
Configure OSPF en la dirección de circuito cerrado y en las interfaces principales:
[edit protocols] user@switch-PE1# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
Configure MPLS en este conmutador, PE1, con un LSP al conmutador PE2:
[edit protocols] user@switch-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Configure MPLS en las interfaces principales:
[edit protocols] user@switch-PE1# set mpls interface ge-0/0/1.0
Configure RSVP en la interfaz de circuito cerrado y en las interfaces principales:
[edit protocols] user@switch-PE1# set rsvp interface lo0.0 user@switch-PE1# set rsvp interface ge-0/0/1.0
Configure las direcciones IP para la interfaz de circuito cerrado y las interfaces principales:
[edit] user@switch-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@switch-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
Configure
family mplsen la unidad lógica de las direcciones de interfaz principal:[edit] user@switch-PE1# set interfaces ge-0/0/1 unit 0 family mpls
Configure la unidad lógica de la interfaz perimetral del cliente como CCC:
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
Configure el CCC basado en interfaz de PE1 a PE2:
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
Resultados
Mostrar los resultados de la configuración:
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
Configuración de MPLS en el conmutador del proveedor
Configuración rápida de CLI
Para configurar rápidamente la configuración de MPLS en el conmutador de proveedor, use los siguientes comandos:
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
Procedimiento paso a paso
Para configurar el conmutador de proveedor:
Configure OSPF con la ingeniería de tráfico habilitada:
[edit protocols] user@switch-P# set ospf traffic-engineering
Configure OSPF en la interfaz de circuito cerrado y en las interfaces principales:
[edit protocols] user@switch-P# set ospf area 0.0.0.0 interface lo0.0 user@switch-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@switch-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
Configure MPLS en las interfaces principales del conmutador:
[edit protocols] user@switch-P# set mpls interface ge-0/0/10.0 user@switch-P# set mpls interface xe-0/0/0.0
Configure RSVP en la interfaz de circuito cerrado y en las interfaces principales:
[edit protocols] user@switch-P# set rsvp interface lo0.0 user@switch-P# set rsvp interface ge-0/0/10.0 user@switch-P# set rsvp interface xe-0/0/0.0
Configure las direcciones IP para la interfaz de circuito cerrado y las interfaces principales:
[edit] user@switch-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@switch-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@switch-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
Configure
family mplsen la unidad lógica de las direcciones de interfaz principal:[edit] user@switch-P# set interfaces ge-0/0/10 unit 0 family mpls user@switch-P# set interfaces xe-0/0/0 unit 0 family mpls
Configure el LSP en el conmutador PE2:
[edit] user@switch-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
Resultados
Mostrar los resultados de la configuración:
user@switch-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
Configuración de MPLS en el conmutador PE2
Configuración rápida de CLI
Para cconfigurar rápidamente la configuración de MPLS en el conmutador PE2, utilice los siguientes comandos:
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Procedimiento paso a paso
Para configurar el conmutador PE2:
Configure OSPF con la ingeniería de tráfico habilitada:
[edit protocols] user@switch-PE2# set ospf traffic-engineering
Configure OSPF en la interfaz de circuito cerrado y en la interfaz principal:
[edit protocols] user@switch-PE2# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
Configure MPLS en este conmutador (PE2) con una ruta de conmutación de etiqueta (LSP) al otro conmutador de PE (PE1):
[edit protocols] user@switch-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
Configure MPLS en la interfaz principal:
[edit protocols] user@switch-PE2# set mpls interface xe-0/1/0.0
Configure RSVP en la interfaz de circuito cerrado y en la interfaz principal:
[edit protocols] user@switch-PE2# set rsvp interface lo0.0 user@switch-PE2# set rsvp interface xe-0/1/0.0
Configure las direcciones IP para la interfaz de circuito cerrado y la interfaz principal:
[edit] user@switch-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@switch-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
Configure
family mplsen la unidad lógica de la interfaz principal:[edit] user@switch-PE2# set interfaces xe-0/1/0 unit 0 family mpls
Configure la unidad lógica de la interfaz perimetral del cliente como CCC:
[edit interfaces xe-0/1/1 unit 0] user@switch-PE2# set family ccc
Configure el CCC basado en interfaz entre los conmutadores perimetrales principales:
[edit protocols] user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
Resultados
Mostrar los resultados de la configuración:
user@switch-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
Configuración de MACsec
En esta sección se explica cómo configurar MACsec en cada conmutador de la topología.
Incluye las siguientes secciones:
- Configuración de MACsec en el sitio Un conmutador CE para proteger el tráfico al sitio B
- Configuración de MACsec en el conmutador CE del sitio B para proteger el tráfico al sitio A
Configuración de MACsec en el sitio Un conmutador CE para proteger el tráfico al sitio B
Configuración rápida de CLI
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
Procedimiento paso a paso
En este ejemplo, el tráfico entre los usuarios que a menudo intercambian datos financieros confidenciales se envía entre los sitios en un CCC a través de la nube MPLS. MACsec se habilita en el CCC mediante la configuración de una asociación de conectividad MACsec en las interfaces de los conmutadores CE del sitio A y del sitio B que se conectan a los conmutadores MPLS PE. Las asociaciones de conectividad deben tener nombres de asociación de conectividad coincidentes (en este ejemplo, ccc-macsec), CKN coincidentes (en este ejemplo, 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) y CAK (en este ejemplo, 228ef255aa23ff6729ee664acb66e91f) para establecer una conexión segura para MACsec.
Para habilitar MACsec en el CCC que conecta el sitio A al sitio B, realice el procedimiento siguiente en el conmutador CE del sitio A:
Cree la asociación de conectividad denominada ccc-macsecy configure el modo de seguridad MACsec como
static-cak:[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec security-mode static-cak
Cree la clave previamente compartida configurando el CKN y el CAK:
[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
Asigne la asociación de conectividad a la interfaz que se conecta al conmutador PE1:
[edit security macsec] user@switch-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
Esto completa los pasos para configurar la asociación de conectividad en un extremo del CCC. MACsec no se habilita hasta que se habilita una asociación de conectividad con claves precompartidas coincidentes en el extremo opuesto de un vínculo, que en este caso es la interfaz en el conmutador CE del sitio B del CCC. El proceso para configurar la asociación de conectividad en el conmutador CE del sitio B se describe en la siguiente sección.
Resultados
Mostrar los resultados de la configuración:
user@switch-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuración de MACsec en el conmutador CE del sitio B para proteger el tráfico al sitio A
Configuración rápida de CLI
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
Procedimiento paso a paso
El tráfico viaja del sitio B al sitio A a través de la red MPLS mediante un CCC. MACsec se habilita en el CCC mediante la configuración de una asociación de conectividad MACsec en las interfaces de los conmutadores CE del sitio A y del sitio B que se conectan a los conmutadores MPLS PE. Las asociaciones de conectividad deben tener nombres de asociación de conectividad coincidentes (en este ejemplo, ccc-macsec), CKN coincidentes (37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311) y CAK coincidentes (228ef255aa23ff6729ee664acb66e91f) para establecer una conexión segura para MACsec.
Para habilitar MACsec en el CCC que conecta el sitio B al sitio A, realice el procedimiento siguiente en el conmutador CE del sitio B:
Cree la asociación de conectividad denominada ccc-macsecy configure el modo de seguridad MACsec como
static-cak:[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec security-mode static-cak
Cree la clave previamente compartida configurando el CKN y el CAK:
[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
Asigne la asociación de conectividad a la interfaz que se conecta al conmutador PE2:
[edit security macsec] user@switch-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
MACsec se habilita para el CCC después de intercambiar las claves previamente compartidas, que es poco después de que se complete este procedimiento.
Resultados
Mostrar los resultados de la configuración:
user@switch-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
Configuración de VLAN para dirigir el tráfico al CCC protegido por MACsec
En esta sección se explica cómo configurar VLAN en los conmutadores CE del sitio A y del sitio B. El propósito de las VLAN es dirigir el tráfico que desea que esté protegido por MACsec al CCC protegido por MACsec.
- Configuración de la VLAN para dirigir el tráfico al CCC MACsec en el sitio Un conmutador CE
- Configuración de la VLAN para dirigir el tráfico al CCC MACsec en el conmutador Site B CE
Configuración de la VLAN para dirigir el tráfico al CCC MACsec en el sitio Un conmutador CE
Configuración rápida de CLI
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members macsec set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec set interfaces vlan unit 50 family inet address 5.5.5.1/24 set vlans macsec vlan-id 50 set vlans macsec l3-interface vlan.50
Procedimiento paso a paso
Para crear una VLAN (ID de VLAN 50) que dirija el tráfico del usuario del sitio A al CCC protegido por MACsec:
Configure la interfaz ge-0/0/0 en la VLAN macsec:
[edit interfaces ge-0/0/0 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec
Configure la interfaz ge-0/0/2 en la VLAN macsec:
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec
Cree la dirección IP para el dominio de difusión de VLAN macsec:
[edit interfaces] user@switch-CE-A# set vlan unit 50 family inet address 5.5.5.1/24
Configure el ID de etiqueta VLAN en 50 para la VLAN macsec:
[edit vlans] user@switch-CE-A# set macsec vlan-id 50
Asocie una interfaz de capa 3 con la VLAN macsec:
[edit vlans] user@switch-CE-A# set macsec l3-interface vlan.50
Resultados
Mostrar los resultados de la configuración:
user@switch-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.1/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
Configuración de la VLAN para dirigir el tráfico al CCC MACsec en el conmutador Site B CE
Configuración rápida de CLI
[edit] set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members macsec set interfaces vlan unit 50 family inet address 5.5.5.2/24 set vlans macsec vlan-id 50 set vlans macsec l3-interface vlan.50
Procedimiento paso a paso
Para crear una VLAN (ID de VLAN 50) para dirigir el tráfico del usuario en el sitio B al CCC protegido por MACsec:
Configure la interfaz ge-0/0/2 en la VLAN macsec:
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec
Configure la interfaz xe-0/1/0 en la VLAN macsec:
[edit interfaces xe-0/1/0 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec
Cree la dirección IP para el dominio de difusión de VLAN macsec:
[edit interfaces] user@switch-CE-B# set vlan unit 50 family inet address 5.5.5.2/24
Configure el ID de etiqueta VLAN en 50 para la VLAN macsec:
[edit vlans] user@switch-CE-B# set macsec vlan-id 50
Asocie una interfaz de capa 3 con la VLAN macsec:
[edit vlans] user@switch-CE-B# set macsec l3-interface vlan.50
Resultados
Mostrar los resultados de la configuración:
user@switch-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
xe-0/1/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.2/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificación de la conexión MACsec
- Comprobación de que el tráfico protegido por MACsec atraviesa los CCC
- Comprobación de que los protocolos MPLS y CCC están habilitados en el borde del proveedor y en las interfaces del conmutador de proveedor
- Comprobación de las operaciones de etiquetas MPLS
- Verificación del estado de los CCC de MPLS
- Verificación del funcionamiento de OSPF
- Verificación del estado de las sesiones RSVP
Verificación de la conexión MACsec
Propósito
Verifique que MACsec esté operativo en el CCC.
Acción
Ingrese el show security macsec connections comando en uno o ambos conmutadores perimetrales del cliente (CE).
user@switch-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Significado
Los Interface name: resultados y CA name: muestran que la asociación de conectividad ccc-macsec está operativa en la interfaz ge-0/0/0. El resultado no aparece cuando la asociación de conectividad no está operativa en la interfaz.
Para verificar adicionalmente que MACsec está operativo en el CCC, también puede introducir el show security macsec connections comando en el otro conmutador CE.
Comprobación de que el tráfico protegido por MACsec atraviesa los CCC
Propósito
Verifique que el tráfico que atraviesa el CCC esté protegido por MACsec.
Acción
Introduzca el show security macsec statistics comando en uno o ambos conmutadores CE.
user@switch-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Significado
La Encrypted packets línea debajo de la Secure Channel transmitted salida se incrementa cada vez que se envía un paquete desde la interfaz protegida y cifrada por MACsec. El Encrypted packets resultado muestra que se han transmitido 9784 paquetes cifrados y seguros desde la interfaz ge-0/0/0. Por lo tanto, el tráfico protegido por MACsec se envía a la interfaz ge-0/0/0.
La Accepted packets línea situada debajo de la Secure Association received salida se incrementa cada vez que se recibe en la interfaz un paquete que ha superado la comprobación de integridad MACsec. La Decrypted bytes línea debajo de la Secure Association received salida se incrementa cada vez que se recibe y descifra un paquete cifrado. El resultado muestra que se recibieron 9791 paquetes protegidos por MACsec en la interfaz ge-0/0/0 y que 2823555 bytes de esos paquetes se descifraron correctamente. Por lo tanto, el tráfico protegido por MACsec se recibe en la interfaz ge-0/0/0.
Para una verificación adicional, también puede introducir el show security macsec statistics comando en el otro conmutador CE.
Comprobación de que los protocolos MPLS y CCC están habilitados en el borde del proveedor y en las interfaces del conmutador de proveedor
Propósito
Compruebe que MPLS esté habilitado en las interfaces correctas para los conmutadores de PE y proveedor.
Acción
Ingrese el show interfaces terse comando tanto en los conmutadores de PE como en el conmutador de proveedor:
user@switch-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@switch-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@switch-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
Significado
El resultado confirma que el protocolo MPLS está activado para las interfaces de conmutador de proveedor que pasan tráfico MPLS (xe-0/0/0 y ge-0/0/10) y en las interfaces de conmutador PE que pasan tráfico MPLS, que es la interfaz ge-0/0/1 en el conmutador PE1 y la interfaz xe-0/1/0 en el conmutador PE2.
El resultado también confirma que CCC está habilitado en las interfaces del conmutador PE orientadas hacia los conmutadores CE, que son la interfaz ge-0/0/0 en el conmutador PE1 y la interfaz xe-0/1/1 en el conmutador PE2.
Comprobación de las operaciones de etiquetas MPLS
Propósito
Compruebe qué interfaz se está utilizando como principio del CCC y qué interfaz se está utilizando para insertar el paquete MPLS en el siguiente salto.
Acción
Introduzca el show route forwarding-table family mpls en uno o ambos conmutadores de PE.
user@switch-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
Significado
Este resultado confirma que el CCC está configurado en la interfaz ge-0/0/0.0. El conmutador recibe el tráfico de entrada en ge-0/0/1.0 y envía la etiqueta 299952 al paquete, que sale del conmutador a través de la interfaz ge-0/0/1.0. El resultado también muestra que cuando el conmutador recibe un paquete MPLS con 299856 de etiqueta, saca la etiqueta y envía el paquete a través de la interfaz ge-0/0/0.0
Para verificar con más detalle las operaciones de la etiqueta MPLS, introduzca el show route forwarding-table family mpls en el otro conmutador de PE.
Verificación del estado de los CCC de MPLS
Propósito
Compruebe que los CCC de MPLS estén funcionando.
Acción
Ingrese el show connections comando en los conmutadores de PE.
user@switch-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@switch-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
El show connections comando muestra el estado de las conexiones CCC. Esta salida verifica que las interfaces CCC y sus LSP de transmisión y recepción asociados estén Up en ambos conmutadores PE.
Verificación del funcionamiento de OSPF
Propósito
Compruebe que OSPF se está ejecutando.
Acción
Ingrese el show ospf neighbor comando, el proveedor o los conmutadores PE y compruebe el State resultado.
user@switch-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
Significado
El State resultado está Full en todas las interfaces que utilizan OSPF, por lo que OSPF está funcionando.
Para una verificación adicional en OSPF, ingrese el show ospf neighbor comando en los conmutadores de PE además del conmutador de proveedor.
Verificación del estado de las sesiones RSVP
Propósito
Verifique el estado de las sesiones RSVP.
Acción
Escriba el show rsvp session comando y compruebe que el estado está activo para cada sesión RSVP.
user@switch-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
Significado
El State es Up para todas las conexiones, por lo que RSVP funciona normalmente.
Para una verificación adicional, ingrese el show rsvp session en los conmutadores de PE además del conmutador de proveedor.