Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Segurança de controle de acesso ao meio (MACsec) sobre WAN

A Segurança de Controle de acesso ao meio (MACsec) é uma solução de camada de enlace para criptografia ponto a ponto. O MACsec pode ser usado para criptografar conexões de Camada 2 em uma WAN de provedor de serviços para garantir a integridade e a confidencialidade da transmissão de dados.

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.

Examine a seção Comportamento específico da plataforma para MACsec sobre WAN para obter notas relacionadas à sua plataforma.

Visão geral do transporte de MACsec em vários saltos

Para estabelecer uma sessão MACsec, o MACsec Key Agreement (MKA) é usado para trocar as chaves necessárias entre os nós de peer. As PDUs MKA são transmitidas usando o protocolo de autenticação extensível sobre LAN (EAPoL) como protocolo de transporte. O EAPoL é um protocolo de Camada 2 e normalmente seria processado localmente pelo switch ou roteador e não propagado mais.

No caso em que os nós são conectados por meio de uma rede de provedor de serviços, isso representa um desafio. A Figura 1 mostra o MACsec transportado por uma rede de provedor de serviços. O MKA deve trocar chaves entre os dispositivos A e B do cliente. Os roteadores de borda, ou dispositivos intermediários, não devem processar os pacotes EAPoL. Em vez disso, eles devem encaminhá-los de forma transparente para o próximo salto.

Figura 1: MACsec transportado por uma rede Network topology showing Customer Device A and B connected via a service provider core network. Edge routers are MACSec-unaware. Encrypted secure channel between devices bypasses non-MACSec routers. de Provedor de serviços

O endereço MAC de destino padrão para um pacote EAPoL é um endereço multicast de 01:80:C2:00:00:03. Em uma rede de provedor de serviços, pode haver dispositivos que consomem esses pacotes, supondo que os pacotes sejam destinados a eles. O EAPoL é usado pelo 802.1X e outros métodos de autenticação, o que pode fazer com que os dispositivos eliminem os pacotes, dependendo de sua configuração. Isso faria com que a sessão do MKA falhasse entre os endpoints pretendidos. Para garantir que o pacote EAPoL chegue ao endpoint pretendido, você pode alterar atributos do pacote, como o endereço MAC de destino, o ID da VLAN e o EtherType, para que a rede do provedor de serviços encapsule o pacote em vez de consumi-lo.

Configurar MACsec de nível IFL em interfaces lógicas

O MACsec no nível de uma interface lógica (IFL) permite várias sessões de MKA em uma única porta física. Isso permite a multiplexação de serviços com criptografia MACsec de conexões ponto a multiponto em WANs de provedores de serviços.

Para oferecer suporte ao MACsec de nível IFL, os pacotes de protocolo MKA são enviados com as tags VLAN configuradas na interface lógica. As tags VLAN são transmitidas em texto não criptografado, o que permite que switches intermediários que não reconhecem o MACsec comutem os pacotes com base nas tags VLAN.

Ao configurar o MACsec, você deve vincular a associação de conectividade a uma interface. Para habilitar o MACsec de nível IFL, vincule a associação de conectividade a uma interface lógica usando o seguinte comando:

Para obter detalhes completos da configuração, consulte Configurando o MACsec no modo CAK estático.

Configurar o endereço MAC de destino do EAPoL para MACsec

O MACsec transmite PDUs MKA usando pacotes EAPoL para estabelecer uma sessão segura. Por padrão, o EAPoL usa um endereço MAC de multicast de destino de 01:80:C2:00:00:03. Para evitar que esses pacotes sejam consumidos em uma rede de provedor de serviços, você pode alterar o endereço MAC de destino.

Para configurar o endereço MAC de destino EAPoL, insira um dos comandos a seguir.

Observação:

A configuração deve corresponder em ambos os endpoints de uma associação de segurança ou conexão segura para estabelecer a sessão MACsec.
  • Para configurar o endereço multicast da entidade de acesso à porta:
  • Para configurar um endereço multicast de bridge de provedor:
  • Para configurar o endereço multicast LLDP:
  • Para configurar um endereço de destino unicast:

As opções são mapeadas para endereços MAC da seguinte forma:

Tabela 1: Mapeamento de endereço EAPoL e MAC

Endereço EAPoL

Endereço MAC

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00

lldp-multicast

01:80:C2:00:00:0E

destination

configurable unicast address

Configurar o EAPoL EtherType para MACsec

O MACsec usa o EAPoL como protocolo de transporte para estabelecer sessões. Quando você configura um endereço de destino MAC personalizado para pacotes EAPoL, na maioria dos casos, a rede encapsula o pacote com base no endereço de destino. No entanto, algumas redes filtram pacotes com base no valor EtherType. O EtherType é um campo em um quadro Ethernet. O valor do campo EtherType identifica o protocolo do pacote encapsulado no quadro. Por padrão, o EtherType para EAPoL é 0x888e conforme definido pelo padrão IEEE 802.1X. Algumas redes interceptam pacotes não marcados com este EtherType automaticamente. Para garantir que a rede encapsule pacotes MACsec corretamente para o endpoint, você pode definir um EtherType personalizado para EAPoL.

Quando o MACsec é habilitado em uma interface, o dispositivo intercepta pacotes EAPoL não marcados que passam por essa interface e encaminha pacotes EAPoL marcados. Por padrão, o dispositivo intercepta esses pacotes somente se eles tiverem o EtherType padrão 0x888e. Quando você configura um EtherType personalizado, o dispositivo intercepta pacotes que têm esse EtherType personalizado; ele não intercepta pacotes com EtherType 0x888e.

Escolha o valor EAPoL EtherType

Se você configurar um valor EtherType personalizado, ele deverá ser:

  • Diferente em cada perfil EAPoL. Não configure o mesmo EtherType para vários perfis. Se você precisar de apenas um EtherType, use apenas um perfil.

  • Válido (maior ou igual a 0x600).

  • Disponível (não reservado para outro uso).

O uso de um EtherType reservado pode interferir no tráfego de dados. Os EtherTypes reservados se enquadram em três categorias:

  1. Valores de EtherTypes reservados pelo padrão IEEE 802.1X, que estão listados na página de padrões IEEE EtherTypes.

  2. Valores EtherType usados em dados de tráfego.

  3. Valores de EtherType reservados especificamente em dispositivos Junos. Essa categoria inclui valores como 0x9100 e 0x9200, que não estão listados na página de padrões. Para confirmar se o EtherType não está nesta categoria, revise a tabela abaixo ou confirme a configuração. Se o valor EtherType estiver na tabela a seguir, a verificação de confirmação detectará o valor reservado e a confirmação falhará.

Observação: A tabela a seguir não é uma lista exaustiva de EtherTypes que você não deve usar. A verificação de confirmação não pode capturar todos os EtherTypes reservados, portanto, confirme se o EtherType está disponível antes de confirmar sua configuração.
Tabela 2: EtherTypes reservados capturados pela verificação de commit em dispositivos Junos
EtherType reservado para EtherType reservado para
0x22F3 TRILL 0x88B6 EXP2
0x0800 IPv4 0x88B7 EXP3
0x0806 ARP 0x88cc LLDP
0x8035 RARP 0x88E5 802.1AE
0x8100 VLAN 0x88E7 PBB
0x86dd IPv6 0x88EE ELMI
0x8809 LENTO 0x88F5 MVRP
0x8847 TAG 0x88F6 MMRP
0x8848 Multicast MPLS 0x88F7 PTP
0x8863 DISCO PPPoE 0x8902 Ethernet OAM CFM
0x8864 PPPoE SESS 0x8906 FCOE
0x888e 802.1X 0x8914 FIP
0x88a8 PVLAN 0x9100 9100
0x88B5 EXP1 0x9200 9200

Configuração

Os dispositivos de endpoint e de origem só poderão estabelecer uma sessão MACsec se ambos os dispositivos estiverem configurados com o mesmo EtherType EAPoL. Repita a configuração em ambos os dispositivos.

Para configurar um valor EtherType personalizado para pacotes EAPoL:

  1. Configure seu perfil EAPoL EtherType personalizado.
    Observação:

    Série PTX roteadores vêm com dois perfis EtherType já configurados que você pode escolher: EAPOL_ETHERTYPE1 ou EAPOL_ETHERTYPE2. Você deve usar um desses nomes para seu perfil EAPoL EtherType.
  2. (Opcional) Configure um valor EAPoL EtherType personalizado.

    Consulte Escolher o valor EAPoL EtherType para saber como escolher um valor EtherType.

    Observação: Nos roteadores da Série PTX, cada perfil predefinido é pré-configurado com um EtherType padrão. O perfil EAPOL_ETHERTYPE1 tem um valor EtherType padrão de 0x876f; o perfil EAPOL_ETHERTYPE2 tem um valor EtherType padrão de 0xb860. Você pode configurar um EtherType diferente, se preferir.
  3. Aplique seu perfil EAPoL EtherType personalizado à configuração de associação de conectividade MACsec.
  4. Confirme sua configuração.
  5. (PTX10008 com uma placa de linha PTX10K-LC1301 ou um PTX10002-36QDD) Reinicialize o dispositivo se você alterou o valor EAPoL EtherType do padrão pré-configurado.
  6. Verifique o valor EtherType que você configurou usando o show security mka sessions detail comando. Por exemplo:

    Você configurou um valor EtherType personalizado para EAPoL para MACsec.

  7. Repita a configuração no outro dispositivo.

Comportamento específico da plataforma para MACsec sobre WAN

Use a tabela a seguir para revisar os comportamentos específicos de suas plataformas.

Tabela 3: Comportamento específico da plataforma para o EAPoL EtherType para MACsec

Plataforma

Diferença

Série ACX

  • Quando o MACsec é habilitado em uma interface lógica, o dispositivo intercepta pacotes que correspondem à marcação dessa interface (não marcados ou marcados). Se você não tiver configurado um EtherType personalizado, o dispositivo interceptará os pacotes EAPoL correspondentes à marcação dessa interface somente se eles tiverem o EtherType padrão 0x888e. Se você tiver configurado um EtherType personalizado, o dispositivo interceptará apenas pacotes que tenham esse EtherType personalizado e não interceptará pacotes com EtherType 0x888e.

  • Todas as interfaces pertencentes a um grupo de agregação de enlaces (LAG) devem usar o mesmo perfil EAPoL EtherType. Caso contrário, o MACsec não funcionará nas interfaces.

Série PTX

  • Você só pode configurar dois perfis EAPoL EtherType: EAPOL_ETHERTYPE1 e EAPOL_ETHERTYPE2. Por padrão, os EtherTypes associados a esses perfis são 0x876f e 0xb860, respectivamente. Você pode configurar um valor EtherType diferente do padrão, se preferir.

  • (PTX10008 com uma placa de linha PTX10K-LC1301 ou um PTX10002-36QDD) A reinicialização é necessária após alterar o valor EtherType do padrão pré-configurado.

  • (PTX10004, PTX10008 e PTX10016 com placas de linha PTX10K-LC1201 ou PTX10K-LC1202; PTX10001-36MR) A terminação de túnel não é suportada para pacotes MACsec recebidos com um EtherType personalizado nos serviços EVPN-MPLS e EVPN-VPWS.

  • (PTX10001-36MR, PTX10002-36QDD, PTX10004, PTX10008 e PTX10016) Se uma interface física tiver o encapsulamento Ethernet CCC configurado e o MACsec estiver configurado nessa interface, o dispositivo interceptará todos os pacotes EAPoL para essa interface, independentemente de estarem marcados ou não. Para evitar isso, você pode configurar um EtherType personalizado nessa interface que seja diferente daquele usado para outro tráfego MACsec. Após essa configuração, o dispositivo intercepta pacotes com o EtherType personalizado e permite que os outros pacotes não marcados passem.