WAN을 통한 MACsec(Media Access Control Security)

MACsec 세션을 설정하기 위해 MKA(MACsec Key Agreement)를 사용하여 피어 노드 간에 필요한 키를 교환합니다. MKA PDU는 전송 프로토콜로 EAPoL(Extensible Authentication Protocol over LAN)을 사용하여 전송됩니다. EAPoL은 레이어 2 프로토콜이며 일반적으로 스위치 또는 라우터에 의해 로컬로 처리되며 더 이상 전파되지 않습니다.

노드가 서비스 프로바이더 네트워크를 통해 연결되는 경우에는 문제가 발생합니다. 그림 1 은 서비스 프로바이더 네트워크를 통해 전달되는 MACsec을 보여줍니다. MKA는 고객 디바이스 A와 B 간에 키를 교환해야 합니다. 에지 라우터 또는 중간 디바이스는 EAPoL 패킷을 처리하지 않아야 합니다. 대신 다음 홉으로 투명하게 전달해야 합니다.

EAPoL 패킷의 기본 대상 MAC 주소는 멀티캐스트 주소입니다. 서비스 프로바이더 네트워크에서는 패킷이 해당 패킷을 위한 것이라고 가정하고 이러한 패킷을 소비하는 디바이스가 있을 수 있습니다. EAPoL은 802.1X 및 기타 인증 방법에서 사용되며, 이로 인해 디바이스가 구성에 따라 패킷을 삭제할 수 있습니다. 이로 인해 MKA 세션이 실패합니다. EAPoL 패킷이 올바른 대상에 도달하도록 하려면 서비스 프로바이더 네트워크가 패킷을 소비하지 않고 터널링하도록 대상 MAC 주소를 변경할 수 있습니다.

VLAN 레벨 MACsec은 단일 물리적 포트에서 여러 MKA 세션을 허용합니다. 이를 통해 서비스 프로바이더 WAN을 통한 point-to-multipoint 연결의 MACsec 암호화를 통한 서비스 멀티플렉싱이 가능합니다.

VLAN 수준 MACsec을 지원하기 위해 MKA 프로토콜 패킷은 논리적 인터페이스에 구성된 VLAN 태그와 함께 전송됩니다. VLAN 태그는 일반 텍스트로 전송되므로 MACsec을 인식하지 못하는 중간 스위치가 VLAN 태그를 기반으로 패킷을 스위칭할 수 있습니다.

MACsec을 구성할 때 연결 연결을 인터페이스에 바인딩해야 합니다. VLAN 수준 MACsec을 활성화하려면 다음 명령을 사용하여 연결 연결을 논리적 인터페이스에 바인딩합니다.

전체 구성 세부 정보는 정적 CAK 모드에서 MACsec 구성을 참조하십시오.