Seguridad de control de acceso a medios (MACsec) a través de WAN
Media Access Control Security (MACsec) es una solución de capa de vínculo para el cifrado punto a punto. MACsec se puede utilizar para cifrar conexiones de capa 2 a través de una WAN de proveedor de servicios para garantizar la integridad y confidencialidad de la transmisión de datos.
Transporte de MACsec en varios saltos
Para establecer una sesión MACsec, se utiliza el Acuerdo de claves MACsec (MKA) para intercambiar las claves necesarias entre los nodos pares. Las PDU MKA se transmiten mediante el Protocolo de autenticación extensible a través de LAN (EAPoL) como protocolo de transporte. EAPoL es un protocolo de capa 2 y normalmente sería procesado localmente por el conmutador o enrutador y no se propagaría más.
En el caso de que los nodos estén conectados a través de una red de proveedores de servicios, esto presenta un desafío. La figura 1 muestra MACsec transferido a través de una red de proveedor de servicios. MKA debe intercambiar claves entre los dispositivos del cliente A y B. Los enrutadores perimetrales, o dispositivos intermedios, no deben procesar los paquetes EAPoL. En su lugar, deben reenviarlos de forma transparente al siguiente salto.

La dirección MAC de destino predeterminada para un paquete EAPoL es una dirección de multidifusión. En una red de proveedores de servicios, puede haber dispositivos que consuman estos paquetes, suponiendo que los paquetes estén destinados a ellos. EAPoL es utilizado por 802.1X y otros métodos de autenticación, lo que puede hacer que los dispositivos descarten los paquetes, dependiendo de su configuración. Esto causaría que la sesión MKA fallara. Para asegurarse de que el paquete EAPoL llega al destino correcto, puede cambiar la dirección MAC de destino para que la red del proveedor de servicios tunelice el paquete en lugar de consumirlo.
Configuración de MACsec a nivel VLAN en interfaces lógicas
MACsec a nivel VLAN permite múltiples sesiones MKA en un solo puerto físico. Esto permite la multiplexación de servicios con cifrado MACsec de conexiones punto a multipunto a través de WAN de proveedores de servicios.
Para admitir MACsec a nivel de VLAN, los paquetes de protocolo MKA se envían con las etiquetas VLAN configuradas en la interfaz lógica. Las etiquetas VLAN se transmiten en texto sin cifrar, lo que permite que los conmutadores intermedios que no son conscientes de MACsec cambien los paquetes según las etiquetas VLAN.
Al configurar MACsec, debe enlazar la asociación de conectividad a una interfaz. Para habilitar MACsec a nivel de VLAN, enlace la asociación de conectividad a una interfaz lógica mediante el siguiente comando:
[edit security macsec] user@switch# set interfaces interface-names unit unit-number connectivity-association connectivity-association-name
Para obtener detalles completos de la configuración, consulte Configuración de MACsec en modo CAK estático.
Configuración de la dirección MAC de destino EAPoL para MACsec
MACsec transmite PDU MKA mediante paquetes EAPoL para establecer una sesión segura. De forma predeterminada, EAPoL usa una dirección MAC de multidifusión de destino de 01:80:C2:00:00:03. Para evitar que estos paquetes se consuman en una red de proveedor de servicios, puede cambiar la dirección MAC de destino.
Para configurar la dirección MAC de destino EAPoL, escriba uno de los siguientes comandos.
La configuración debe coincidir en ambos nodos pares para establecer la sesión MACsec.
Las opciones se asignan a direcciones MAC de la siguiente manera:
Dirección EAPoL |
Dirección MAC |
---|---|
|
01:80:C2:00:00:03 |
|
01:80:C2:00:00:00 |
|
01:80:C2:00:00:0E |
|
configurable unicast address |