Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Seguridad de control de acceso a medios (MACsec) a través de WAN

Media Access Control Security (MACsec) es una solución de capa de vínculo para el cifrado punto a punto. MACsec se puede utilizar para cifrar conexiones de capa 2 a través de una WAN de proveedor de servicios para garantizar la integridad y confidencialidad de la transmisión de datos.

Transporte de MACsec en varios saltos

Para establecer una sesión MACsec, se utiliza el Acuerdo de claves MACsec (MKA) para intercambiar las claves necesarias entre los nodos pares. Las PDU MKA se transmiten mediante el Protocolo de autenticación extensible a través de LAN (EAPoL) como protocolo de transporte. EAPoL es un protocolo de capa 2 y normalmente sería procesado localmente por el conmutador o enrutador y no se propagaría más.

En el caso de que los nodos estén conectados a través de una red de proveedores de servicios, esto presenta un desafío. La figura 1 muestra MACsec transferido a través de una red de proveedor de servicios. MKA debe intercambiar claves entre los dispositivos del cliente A y B. Los enrutadores perimetrales, o dispositivos intermedios, no deben procesar los paquetes EAPoL. En su lugar, deben reenviarlos de forma transparente al siguiente salto.

Figura 1: MACsec transferido a través de una red MACsec Carried over a Service Provider Network de proveedor de servicios

La dirección MAC de destino predeterminada para un paquete EAPoL es una dirección de multidifusión. En una red de proveedores de servicios, puede haber dispositivos que consuman estos paquetes, suponiendo que los paquetes estén destinados a ellos. EAPoL es utilizado por 802.1X y otros métodos de autenticación, lo que puede hacer que los dispositivos descarten los paquetes, dependiendo de su configuración. Esto causaría que la sesión MKA fallara. Para asegurarse de que el paquete EAPoL llega al destino correcto, puede cambiar la dirección MAC de destino para que la red del proveedor de servicios tunelice el paquete en lugar de consumirlo.

Configuración de MACsec a nivel VLAN en interfaces lógicas

MACsec a nivel VLAN permite múltiples sesiones MKA en un solo puerto físico. Esto permite la multiplexación de servicios con cifrado MACsec de conexiones punto a multipunto a través de WAN de proveedores de servicios.

Para admitir MACsec a nivel de VLAN, los paquetes de protocolo MKA se envían con las etiquetas VLAN configuradas en la interfaz lógica. Las etiquetas VLAN se transmiten en texto sin cifrar, lo que permite que los conmutadores intermedios que no son conscientes de MACsec cambien los paquetes según las etiquetas VLAN.

Al configurar MACsec, debe enlazar la asociación de conectividad a una interfaz. Para habilitar MACsec a nivel de VLAN, enlace la asociación de conectividad a una interfaz lógica mediante el siguiente comando:

Para obtener detalles completos de la configuración, consulte Configuración de MACsec en modo CAK estático.

Configuración de la dirección MAC de destino EAPoL para MACsec

MACsec transmite PDU MKA mediante paquetes EAPoL para establecer una sesión segura. De forma predeterminada, EAPoL usa una dirección MAC de multidifusión de destino de 01:80:C2:00:00:03. Para evitar que estos paquetes se consuman en una red de proveedor de servicios, puede cambiar la dirección MAC de destino.

Para configurar la dirección MAC de destino EAPoL, escriba uno de los siguientes comandos.

Nota:

La configuración debe coincidir en ambos nodos pares para establecer la sesión MACsec.

  • Para configurar la dirección de multidifusión de la entidad de acceso al puerto:
  • Para configurar una dirección de multidifusión de puente de proveedor:
  • Para configurar la dirección de multidifusión LLDP:
  • Para configurar una dirección de destino de unidifusión:

Las opciones se asignan a direcciones MAC de la siguiente manera:

Dirección EAPoL

Dirección MAC

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00

lldp-multicast

01:80:C2:00:00:0E

destination

configurable unicast address