Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

WAN을 통한 미디어 액세스 제어 보안(MACsec)

MACsec(Media 액세스 Control 보안)은 포인트 투 포인트 암호화를 위한 링크 레이어 솔루션입니다. MACsec은 서비스 프로바이더 WAN을 통한 레이어 2 연결을 암호화하여 데이터 전송 무결성과 기밀성을 보장하는 데 사용할 수 있습니다.

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

플랫폼과 관련된 참고 사항은 WAN을 통한 MACsec에 대한 플랫폼별 동작 섹션을 검토합니다.

다중 홉을 통한 MACsec 전달 개요

MACsec 세션을 설정하기 위해 MACsec 키 계약(MKA)을 사용하여 피어 노드 간에 필요한 키를 교환합니다. MKA PDU는 전송 프로토콜로 EAPoL(Extensible Authentication Protocol over LAN)을 사용하여 전송됩니다. EAPoL은 레이어 2 프로토콜이며 일반적으로 스위치 또는 라우터에 의해 로컬로 처리되며 더 이상 전파되지 않습니다.

노드가 서비스 프로바이더 네트워크를 통해 연결된 경우, 이는 문제가 됩니다. 그림 1 은 서비스 프로바이더 네트워크를 통해 전송되는 MACsec을 보여줍니다. MKA는 고객 디바이스 A와 B 간에 키를 교환해야 합니다. 에지 라우터 또는 중간 디바이스는 EAPoL 패킷을 처리하지 않아야 합니다. 대신 다음 홉으로 투명하게 전달해야 합니다.

그림 1: 서비스 프로바이더 네트워크를 Network topology showing Customer Device A and B connected via a service provider core network. Edge routers are MACSec-unaware. Encrypted secure channel between devices bypasses non-MACSec routers. 통해 전달되는 MACsec

EAPoL 패킷의 기본 대상 MAC 주소는 01:80:C2:00:00:03의 멀티캐스트 주소입니다. 서비스 프로바이더 네트워크에서는 패킷이 해당 패킷을 위한 것이라고 가정할 때 이러한 패킷을 소비하는 디바이스가 있을 수 있습니다. EAPoL은 802.1X 및 기타 인증 방법에 의해 사용되며, 이는 구성에 따라 디바이스가 패킷을 삭제하도록 할 수 있습니다. 이로 인해 의도한 엔드포인트 간에 MKA 세션이 실패할 수 있습니다. EAPoL 패킷이 의도한 엔드포인트에 도달하도록 하려면 대상 MAC 주소, VLAN ID 및 EtherType과 같은 패킷의 속성을 변경하여 서비스 프로바이더 네트워크가 패킷을 소비하는 대신 터널링하도록 할 수 있습니다.

논리적 인터페이스에서 IFL 수준의 MACsec 구성

논리적 인터페이스(IFL) 수준의 MACsec은 단일 물리적 포트에서 여러 MKA 세션을 허용합니다. 이를 통해 서비스 프로바이더 WAN을 통한 point-to-multipoint 연결의 MACsec 암호화를 통한 서비스 멀티플렉싱이 가능합니다.

IFL 수준의 MACsec을 지원하기 위해 MKA 프로토콜 패킷은 논리적 인터페이스에 구성된 VLAN 태그와 함께 전송됩니다. VLAN 태그는 일반 텍스트로 전송되므로 MACsec을 인식하지 못하는 중간 스위치가 VLAN 태그에 기반하여 패킷을 전환할 수 있습니다.

MACsec을 구성할 때 인터페이스에 연결 연결을 바인딩해야 합니다. IFL 수준의 MACsec을 활성화하려면 다음 명령을 사용하여 연결 연결을 논리 인터페이스에 바인딩합니다.

전체 구성 세부 정보는 정적 CAK 모드에서 MACsec 구성을 참조하십시오.

MACsec에 대한 EAPoL 대상 MAC 주소 구성

MACsec은 EAPoL 패킷을 사용하여 MKA PDU를 전송하여 보안 세션을 설정합니다. 기본적으로 EAPoL은 대상 멀티캐스트 MAC 주소 01:80:C2:00:00:03을 사용합니다. 서비스 프로바이더 네트워크에서 이러한 패킷이 소비되지 않도록 하기 위해 대상 MAC 주소를 변경할 수 있습니다.

EAPoL 대상 MAC 주소 구성을 위해 다음 명령 중 하나를 입력합니다.

참고:

MACsec 세션을 설정하기 위해서는 보안 연결 또는 보안 연결의 두 엔드포인트에서 구성이 일치해야 합니다.
  • 포트 액세스 엔티티 멀티캐스트 주소 구성:
  • 프로바이더 브리지 멀티캐스트 주소 구성:
  • LLDP 멀티캐스트 주소 구성:
  • 유니캐스트 대상 주소를 구성하려면 다음을 수행합니다.

옵션은 다음과 같이 MAC 주소에 매핑됩니다.

표 1: EAPoL 및 MAC 주소 매핑

EAPoL 주소

MAC 주소

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00

lldp-multicast

01:80:C2:00:00:0E

destination

configurable unicast address

MACsec용 EAPoL EtherType 구성

MACsec은 EAPoL을 전송 프로토콜로 사용하여 세션을 설정합니다. EAPoL 패킷에 대한 사용자 지정 MAC 대상 주소를 구성할 때 대부분의 경우 네트워크는 대상 주소를 기반으로 패킷을 터널링합니다. 그러나 일부 네트워크는 대신 EtherType 값을 기반으로 패킷을 필터링합니다. EtherType은 이더넷 프레임의 필드입니다. EtherType 필드의 값은 프레임에 캡슐화된 패킷의 프로토콜을 식별합니다. 기본적으로 EAPoL용 EtherType은 IEEE 802.1X 표준에 정의된 대로 0x888e됩니다. 일부 네트워크는 이 EtherType으로 태그가 지정되지 않은 패킷을 자동으로 가로챕니다. 네트워크가 MACsec 패킷을 엔드포인트에 올바르게 터널링하도록 하려면 EAPoL에 대한 사용자 지정 EtherType을 설정할 수 있습니다.

인터페이스에서 MACsec이 활성화되면 디바이스는 해당 인터페이스를 통과하는 태그 처리되지 않은 EAPoL 패킷을 트랩하고 태그 처리된 EAPoL 패킷을 전달합니다. 기본적으로 디바이스는 기본 EtherType 0x888e가 있는 경우에만 이러한 패킷을 트랩합니다. 사용자 지정 EtherType을 구성할 때 디바이스는 대신 해당 사용자 지정 EtherType을 가진 패킷을 트랩합니다. EtherType 0x888e로 패킷을 트랩하지 않습니다.

EAPoL EtherType 값을 선택합니다

사용자 지정 EtherType 값을 구성하는 경우, 다음과 같아야 합니다.

  • 각 EAPoL 프로필마다 다릅니다. 여러 프로파일에 대해 동일한 EtherType을 구성하지 마십시오. 하나의 EtherType만 필요한 경우 하나의 프로파일만 사용합니다.

  • 유효(0x600보다 크거나 같음).

  • 사용 가능(다른 용도로 예약되지 않음).

예약된 EtherType을 사용하면 데이터 트래픽을 방해할 수 있습니다. 예약 EtherTypes는 다음 세 가지 범주로 나뉩니다.

  1. IEEE EtherTypes 표준 페이지에 나열된 IEEE 802.1X 표준에 의해 예약된 EtherTypes 값입니다.

  2. 트래픽 데이터에 사용되는 EtherType 값입니다.

  3. Junos 디바이스에 특별히 예약된 EtherType 값입니다. 이 범주에는 표준 페이지에 나열되지 않은 0x9100 및 0x9200와 같은 값이 포함됩니다. EtherType이 이 범주에 속하지 않는지 확인하려면 아래 표를 검토하거나 구성을 커밋하십시오. EtherType 값이 다음 표에 있는 경우, 커밋 검사가 예약된 값을 감지하고 커밋이 실패합니다.

참고: 다음 표는 사용하지 말아야 할 EtherTypes의 전체 목록이 아닙니다. 커밋 검사는 예약된 모든 EtherType을 잡을 수 없으므로 구성을 커밋하기 전에 EtherType을 사용할 수 있는지 확인하십시오.
표 2: Junos 디바이스의 커밋 검사에 의해 포착된 예약된 EtherTypes
EtherType 에 대해 예약됨 EtherType대해 예약됨
0x22F3 트릴 0x88B6 경험치2
0x0800 IPv4 0x88B7 경험치3
0x0806 ARP 0x88cc LLDP
0x8035 RARP 0x88E5 802.1AE
0x8100 VLAN 0x88E7 다bb
0x86dd IPv6 0x88EE 엘미
0x8809 느림 0x88F5 MVRP
0x8847 꼬리표 0x88F6 MMRP
0x8848 멀티캐스트 MPLS 0x88F7 PTP
0x8863 PPPoE 디스크 0x8902 이더넷 OAM CFM
0x8864 PPPoE SESS 0x8906 FCOE
0x888e 802.1배 0x8914 FIP
0x88a8 PVLAN 0x9100 9100
0x88B5 경험치1 0x9200 9200

구성

발신 디바이스와 엔드포인트 디바이스는 두 디바이스 모두 동일한 EAPoL EtherType으로 구성된 경우에만 MACsec 세션을 설정할 수 있습니다. 두 디바이스 모두에서 구성을 반복합니다.

EAPoL 패킷에 대한 사용자 정의 EtherType 값을 구성하려면:

  1. 사용자 지정 EAPoL EtherType 프로필을 설정합니다.
    참고:

    PTX 시리즈 라우터에는 EAPOL_ETHERTYPE1 또는 EAPOL_ETHERTYPE2 중에서 선택할 수 있는 두 개의 EtherType 프로파일이 이미 구성되어 있습니다. EAPoL EtherType 프로필에는 다음 이름 중 하나를 사용해야 합니다.
  2. (선택 사항) 사용자 정의 EAPoL EtherType 값을 구성합니다.

    EtherType 값을 선택하는 방법은 EAPoL EtherType 값 선택을 참조하십시오.

    참고: PTX 시리즈 라우터에서 사전 정의된 각 프로필은 기본 EtherType으로 사전 구성됩니다. 프로파일 EAPOL_ETHERTYPE1의 기본 EtherType 값은 0x876f입니다. 프로파일 EAPOL_ETHERTYPE2의 기본 EtherType 값은 0xb860입니다. 원하는 경우 다른 EtherType을 구성할 수 있습니다.
  3. 사용자 지정 EAPoL EtherType 프로필을 MACsec 연결 연결 구성에 적용합니다.
  4. 구성을 커밋합니다.
  5. (PTX10K-LC1301 라인 카드 또는 PTX10002-36QDD가 있는 PTX10008) EAPoL EtherType 값을 사전 구성된 기본값에서 변경한 경우 디바이스를 재부팅합니다.
  6. 명령을 사용하여 show security mka sessions detail 구성한 EtherType 값을 확인합니다. 예를 들어:

    MACsec용 EAPoL에 대한 사용자 정의 EtherType 값을 구성하셨습니다.

  7. 다른 디바이스에서 구성을 반복합니다.

WAN을 통한 MACsec의 플랫폼별 동작

다음 표를 사용하여 플랫폼의 플랫폼별 동작을 검토하십시오.

표 3: MACsec용 EAPoL EtherType의 플랫폼별 동작

플랫폼

차이

ACX 시리즈

  • 논리적 인터페이스에서 MACsec이 활성화되면 디바이스는 해당 인터페이스의 태그(태그되지 않거나 태그가 있음)와 일치하는 패킷을 트랩합니다. 사용자 지정 EtherType을 구성하지 않은 경우, 디바이스는 기본 EtherType 0x888e가 있는 경우에만 해당 인터페이스의 태깅과 일치하는 EAPoL 패킷을 트랩합니다. 사용자 지정 EtherType을 구성한 경우 디바이스는 해당 사용자 지정 EtherType을 가진 패킷만 트랩하고 EtherType 0x888e 있는 패킷은 트랩하지 않습니다.

  • 링크 어그리게이션 그룹(LAG)에 속하는 모든 인터페이스는 동일한 EAPoL EtherType 프로필을 사용해야 합니다. 그렇지 않으면 MACsec이 인터페이스에서 작동하지 않습니다.

PTX 시리즈

  • EAPoL EtherType 프로필은 EAPOL_ETHERTYPE1와 EAPOL_ETHERTYPE2의 두 가지만 구성할 수 있습니다. 기본적으로 이러한 프로필과 연관된 EtherTypes는 각각 0x876f 및 0xb860입니다. 원하는 경우 기본값이 아닌 EtherType 값을 구성할 수 있습니다.

  • (PTX10K-LC1301 라인 카드 또는 PTX10002-36QDD가 있는 PTX10008) EtherType 값을 사전 구성된 기본값에서 변경한 후 재부팅이 필요합니다.

  • (PTX10K-LC1201 또는 PTX10K-LC1202 라인 카드가 있는 PTX10004, PTX10008 및 PTX10016; PTX10001-36MR) EVPN-MPLS 및 EVPN-VPWS 서비스에서 사용자 지정 EtherType으로 수신된 MACsec 패킷에 대해 터널 종료가 지원되지 않습니다.

  • (PTX10001-36MR, PTX10002-36QDD, PTX10004, PTX10008 및 PTX10016) 물리적 인터페이스에 이더넷 CCC 캡슐화가 구성되어 있고 해당 인터페이스에 MACsec이 구성된 경우, 디바이스는 태그가 지정되었는지 지정되지 않았는지에 관계없이 해당 인터페이스에 대한 모든 EAPoL 패킷을 트랩합니다. 이를 방지하기 위해 해당 인터페이스에서 다른 MACsec 트래픽에 사용되는 것과 다른 사용자 지정 EtherType을 구성할 수 있습니다. 이 구성 후에 디바이스는 사용자 지정 EtherType으로 패킷을 트랩하고 태그가 지정되지 않은 다른 패킷이 통과하도록 합니다.