Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置 MACsec

我们可以将 MACsec 配置为保护将设备与支持 MACsec 的 MIC 连接在一起的点对点以太网链路。您希望使用 MACsec 保护的每个点到点以太网链路都必须独立配置。我们可以使用静态连接关联密钥 (CAK) 安全模式在设备到设备链路上启用 MACsec。

您可以在端口模式下配置不同的接口速率,例如 40G、100G 和 10G,并在 pic 模式下配置特定的接口速率,例如 100G、40G 和 10G。在 pic 模式下,您只能配置一种类型的接口速度。

定制时间

要自定义时间,请禁用 NTP 并设置日期。

  1. 禁用 NTP。
  2. 设置日期和时间。日期和时间格式为 YYYYMMDDHHMM.ss

在运行 Junos OS 的设备上配置 MACsec

在运行 Junos OS 的设备上配置 MACsec:

  1. 为连接关联配置 MACsec 安全模式。
  2. 通过配置连接关联密钥名称 (CKN) 和连接关联密钥 (CAK),创建预共享密钥。
  3. 设置 MACsec 密钥协议 (MKA) 安全通道详细信息。
  4. 将 MKA 设置为安全模式。
    注意:

    CA1 是配置的连接关联名称的示例。
  5. 分配具有指定 MACsec 接口的连接配置关联。

使用 ICMP 流量配置静态 MACsec

要使用设备 R0 和设备 R1 之间的 ICMP 流量配置静态 MACsec:

在 R0 中:

  1. 通过配置连接关联密钥名称 (CKN) 和连接关联密钥 (CAK) 来创建预共享密钥
  2. 设置追踪选项值。
  3. 将追踪分配给接口。
  4. 将 MACsec 安全模式配置为连接关联的静态 cak。
  5. 设置 MKA 密钥服务器优先级。
  6. 设置 MKA 传输间隔。
  7. 启用 MKA 安全。
  8. 将连接关联分配给接口。

在 R1 中:

  1. 通过配置连接关联密钥名称 (CKN) 和连接关联密钥 (CAK) 来创建预共享密钥

  2. 设置追踪选项值。

  3. 将追踪分配给接口。

  4. 将 MACsec 安全模式配置为连接关联的静态 cak。

  5. 设置 MKA 传输间隔。

  6. 启用 MKA 安全。

  7. 将连接关联分配给接口。

使用 ICMP 流量使用密钥链配置 MACsec

将两个 macsec 端点设备同步到 NTP,因为对于密钥启动时间触发,两个设备的时间都应该相同。要使用设备 R0 和设备 R1 之间的 ICMP 流量使用密钥链配置 MACsec:

在 R0 中:

  1. 为身份验证密钥链分配容差值。
  2. 创建要使用的密钥密码。这是一串由十六进制数字组成的,最长 64 个字符。如果字符串用引号括起来,则密码可以包含空格。密钥链的密钥数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值是 2345678922334455667788992223334123456789223344556677889922233341。

  3. 将预共享密钥链名称与连接关联相关联。
    注意:

    密码值也可设置为 cipher-suite gcm-aes-128
  4. 设置追踪选项值。
  5. 将追踪分配给接口。
  6. 将 MACsec 安全模式配置为连接关联的静态 cak。
  7. 设置 MKA 密钥服务器优先级。
  8. 设置 MKA 传输间隔。
  9. 启用 MKA 安全。
  10. 将连接关联分配给接口。

要为 ICMP 流量配置带有密钥链的 MACsec:

在 R1 中:

  1. 为身份验证密钥链分配容差值。

  2. 创建要使用的密钥密码。这是一串由十六进制数字组成的,最长 64 个字符。如果字符串用引号括起来,则密码可以包含空格。密钥链的密钥数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值是 2345678922334455667788992223334123456789223344556677889922233341。

  3. 将预共享密钥链名称与连接关联相关联。

  4. 注意:
    • 您可以使用非 XPN 密码 AES-GCM-128AES-GCM-256 并且仅用于 10G/xe 接口 macsec 配置。
    • 您可以使用 XPN 密码 AES-GCM-XPN-128 以及 AES-GCM-XPN-256 40G 和 100G 速率 macsec 配置。您还可以使用 XPN 密码 AES-GCM-XPN-128AES-GCM-XPN-256 并用于 10G/xe 接口 macsec 配置(如果支持)。

  5. 设置追踪选项值。

  6. 将追踪分配给接口。

  7. 将 MACsec 安全模式配置为连接关联的静态 cak。

  8. 设置 MKA 密钥服务器优先级。

  9. 设置 MKA 传输间隔。

  10. 启用 MKA 安全。

  11. 将连接关联分配给接口。

为第 2 层流量配置静态 MACsec

要为设备 R0 和设备 R1 之间的第 2 层流量配置静态 MACsec:

在 R0 中:

  1. 设置 MKA 密钥服务器优先级。
  2. 创建要使用的密钥密码。这是一串由十六进制数字组成的,最长 64 个字符。如果字符串用引号括起来,则密码可以包含空格。密钥链的密钥数据用作 CAK。

    例如,密钥值是 2345678922334455667788992223334123456789223344556677889922233341。

  3. 将预共享密钥链名称与连接关联相关联。
  4. 设置追踪选项值。
  5. 将追踪分配给接口。
  6. 将 MACsec 安全模式配置为连接关联的静态 cak。
  7. 设置 MKA 密钥服务器优先级。
  8. 设置 MKA 传输间隔。
  9. 启用 MKA 安全。
  10. 将连接关联分配给接口。
  11. 配置 VLAN 标记。
  12. 配置网桥域。

在 R1 中:

  1. 创建要使用的密钥密码。这是一串由十六进制数字组成的,最长 64 个字符。如果字符串用引号括起来,则密码可以包含空格。密钥链的密钥数据用作 CAK。

    例如,密钥值是 2345678922334455667788992223334123456789223344556677889922233341。

  2. 将预共享密钥链名称与连接关联相关联。

  3. 设置追踪选项值。

  4. 将追踪分配给接口。

  5. 将 MACsec 安全模式配置为连接关联的静态 cak。

  6. 设置 MKA 密钥服务器优先级。

  7. 设置 MKA 传输间隔。

  8. 启用 MKA 安全。

  9. 将连接关联分配给接口。

  10. 配置 VLAN 标记。

  11. 配置网桥域。

使用密钥链为 2 层流量配置 MACsec

将两个 macsec 端点设备同步到 NTP,因为对于密钥启动时间触发,两个设备的时间都应该相同。要为设备 R0 和设备 R1 之间的 ICMP 流量配置 MACsec:

在 R0 中:

  1. 为身份验证密钥链分配容差值。
  2. 创建要使用的密钥密码。这是一串由十六进制数字组成的,最长 64 个字符。如果字符串用引号括起来,则密码可以包含空格。密钥链的密钥数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值是 2345678922334455667788992223334123456789223344556677889922233341。

  3. 将预共享密钥链名称与连接关联相关联。
  4. 设置追踪选项值。
  5. 将追踪分配给接口。
  6. 将 MACsec 安全模式配置为连接关联的静态 cak。
  7. 设置 MKA 密钥服务器优先级。
  8. 设置 MKA 传输间隔。
  9. 启用 MKA 安全。
  10. 将连接关联分配给接口。
  11. 配置 VLAN 标记。
  12. 配置网桥域。

在 R1 中:

  1. 为身份验证密钥链分配容差值。

  2. 创建要使用的密钥密码。这是一串由十六进制数字组成的,最长 64 个字符。如果字符串用引号括起来,则密码可以包含空格。密钥链的密钥数据用作 CAK。

    prompt使用命令输入密钥值。例如,密钥值是 2345678922334455667788992223334123456789223344556677889922233341。

  3. 将预共享密钥链名称与连接关联相关联。

  4. 设置追踪选项值。

  5. 将追踪分配给接口。

  6. 将 MACsec 安全模式配置为连接关联的静态 cak。

  7. 设置 MKA 密钥服务器优先级。

  8. 设置 MKA 传输间隔。

  9. 启用 MKA 安全。

  10. 将连接关联分配给接口。

  11. 配置 VLAN 标记。

  12. 配置网桥域。