Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Media control de acceso Seguridad (MACsec) a través de WAN

La seguridad del control de acceso a medios (MACsec) es una solución de capa de vínculo para el cifrado de punto a punto. MACsec se puede usar para cifrar conexiones de capa 2 a través de una WAN de proveedor de servicios para garantizar la integridad y confidencialidad de la transmisión de datos.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Revise la sección Comportamiento específico de la plataforma para MACsec sobre WAN para ver notas relacionadas con su plataforma.

Descripción general del transporte de MACsec en múltiples saltos

Para establecer una sesión MACsec, se utiliza MACsec Key Agreement (MKA) para intercambiar las claves necesarias entre los nodos pares. Las PDU de MKA se transmiten mediante el Protocolo de autenticación extensible a través de LAN (EAPoL) como protocolo de transporte. EAPoL es un protocolo de capa 2 y normalmente el conmutador o el enrutador lo procesarían localmente y no se propagarían más.

En el caso de que los nodos estén conectados a través de una red de proveedor de servicios, esto presenta un desafío. La Figura 1 muestra MACsec transportado a través de una red de proveedor de servicios. MKA debe intercambiar claves entre los dispositivos del cliente A y B. Los enrutadores de borde, o dispositivos intermedios, no deben procesar los paquetes EAPoL. En su lugar, deben reenviarlos de forma transparente al siguiente salto.

Figura 1: MACsec transportado a través de una red Network topology showing Customer Device A and B connected via a service provider core network. Edge routers are MACSec-unaware. Encrypted secure channel between devices bypasses non-MACSec routers. de proveedor de servicios

La dirección MAC de destino predeterminada para un paquete EAPoL es una dirección de multidifusión de 01:80:C2:00:00:03. En una red de proveedor de servicios, puede haber dispositivos que consuman estos paquetes, suponiendo que los paquetes estén diseñados para ellos. EAPoL se usa en 802.1X y otros métodos de autenticación, lo que puede hacer que los dispositivos descarten los paquetes, dependiendo de su configuración. Esto provocaría un error en la sesión de MKA entre los puntos de conexión previstos. Para asegurarse de que el paquete EAPoL llega al punto de conexión deseado, puede cambiar los atributos del paquete, como la dirección MAC de destino, el ID de VLAN y el EtherType para que la red del proveedor de servicios tunelice el paquete en lugar de consumirlo.

Configurar MACsec de nivel IFL en interfaces lógicas

MACsec a nivel de interfaz lógica (IFL) permite múltiples sesiones de MKA en un solo puerto físico. Esto permite la multiplexación de servicios con cifrado MACsec de conexiones punto a multipunto a través de WAN de proveedores de servicios.

Para admitir MACsec de nivel IFL, los paquetes de protocolo MKA se envían con las etiquetas VLAN configuradas en la interfaz lógica. Las etiquetas VLAN se transmiten en texto sin formato, lo que permite que los conmutadores intermedios que no reconocen MACsec conmuten los paquetes en función de las etiquetas VLAN.

Cuando configure MACsec, debe enlazar la asociación de conectividad a una interfaz. Para habilitar MACsec de nivel IFL, vincule la asociación de conectividad a una interfaz lógica mediante el siguiente comando:

Para obtener detalles completos de configuración, consulte Configurar MACsec en modo CAK estático.

Configure la dirección MAC de destino de EAPoL para MACsec

MACsec transmite PDU MKA mediante paquetes EAPoL para establecer una sesión segura. De forma predeterminada, EAPoL utiliza una dirección MAC de multidifusión de destino de 01:80:C2:00:00:03. Para evitar que estos paquetes se consuman en una red de proveedores de servicios, puede cambiar la dirección MAC de destino.

Para configurar la dirección MAC de destino de EAPoL, ingrese uno de los siguientes comandos.

Nota:

La configuración debe coincidir en ambos puntos de conexión de una asociación de seguridad o conexión segura para establecer la sesión MACsec.
  • Para configurar la dirección de multidifusión de la entidad de acceso al puerto:
  • Para configurar una dirección de multidifusión de puente de proveedor:
  • Para configurar la dirección de multidifusión LLDP:
  • Para configurar una dirección de destino de unidifusión:

Las opciones se asignan a las direcciones MAC de la siguiente manera:

Tabla 1: Mapeo de direcciones MAC y EAPoL

Dirección EAPoL

Dirección MAC

pae

01:80:C2:00:00:03

provider-bridge

01:80:C2:00:00:00

lldp-multicast

01:80:C2:00:00:0E

destination

configurable unicast address

Configure el EtherType de EAPoL para MACsec

MACsec utiliza EAPoL como protocolo de transporte para establecer sesiones. Cuando se configura una dirección de destino MAC personalizada para paquetes EAPoL, en la mayoría de los casos la red tuneliza el paquete en función de la dirección de destino. Sin embargo, algunas redes filtran paquetes basados en el valor de EtherType en su lugar. El EtherType es un campo en un marco Ethernet. El valor del campo EtherType identifica el protocolo del paquete encapsulado en la trama. De forma predeterminada, el EtherType para EAPoL se 0x888e según lo definido por el estándar IEEE 802.1X. Algunas redes interceptan paquetes sin etiquetar con este EtherType automáticamente. Para garantizar que la red tunelice correctamente los paquetes MACsec al punto de conexión, puede establecer un EtherType personalizado para EAPoL.

Cuando MACsec está habilitado en una interfaz, el dispositivo captura los paquetes EAPoL sin etiquetar que pasan a través de esa interfaz y reenvía los paquetes EAPoL etiquetados. De forma predeterminada, el dispositivo captura estos paquetes solo si tienen el 0x888e EtherType predeterminado. Cuando configura un EtherType personalizado, el dispositivo captura paquetes que tienen ese EtherType personalizado en su lugar; no captura paquetes con EtherType 0x888e.

Elija el valor de EtherType de EAPoL

Si configura un valor EtherType personalizado, debe ser:

  • Diferente en cada perfil de EAPoL. No configure el mismo EtherType para varios perfiles. Si solo necesita un EtherType, use solo un perfil.

  • Válido (mayor o igual que 0x600).

  • Disponible (no reservado para otro uso).

El uso de un EtherType reservado puede interferir con el tráfico de datos. Los EtherTypes reservados se dividen en tres categorías:

  1. Valores EtherTypes reservados por el estándar IEEE 802.1X, que se enumeran en la página de estándares IEEE EtherTypes.

  2. Valores de EtherType utilizados en los datos de tráfico.

  3. Valores de EtherType reservados específicamente en dispositivos Junos. Esta categoría incluye valores como 0x9100 y 0x9200, que no aparecen en la página de estándares. Para confirmar que EtherType no está en esta categoría, revise la tabla a continuación o confirme la configuración. Si el valor EtherType está en la tabla siguiente, la comprobación de confirmación detecta el valor reservado y se produce un error en la confirmación.

Nota: La siguiente tabla no es una lista exhaustiva de EtherTypes que no debe usar. La comprobación de confirmación no puede detectar todos los EtherType reservados, por lo que debe confirmar que el EtherType está disponible antes de confirmar la configuración.
Tabla 2: EtherTypes reservados capturados por la comprobación de confirmación en dispositivos Junos
EtherType reservado para EtherType reservado para
0x22F3 TRINO 0x88B6 EXP2
0x0800 IPv4 0x88B7 EXP3
0x0806 ARP 0x88cc LLDP
0x8035 RARP 0x88E5 802.1AE
0x8100 VLAN 0x88E7 PBB
0x86dd IPv6 0x88EE ELMI
0x8809 LENTO 0x88F5 MVRP
0x8847 ETIQUETA 0x88F6 MMRP
0x8848 Multidifusión MPLS 0x88F7 PTP
0x8863 DISCO PPPoE 0x8902 Ethernet OAM CFM
0x8864 PPPoE SESS 0x8906 FCOE
0x888e 802.1X 0x8914 FIP
0x88a8 PVLAN 0x9100 9100
0x88B5 EXP1 0x9200 9200

Configuración

Los dispositivos de puntos de conexión y de origen solo pueden establecer una sesión MACsec si ambos dispositivos están configurados con el mismo EtherType de EAPoL. Repita la configuración en ambos dispositivos.

Para configurar un valor EtherType personalizado para paquetes EAPoL:

  1. Configure su perfil de EtherType de EAPoL personalizado.
    Nota:

    serie PTX enrutadores vienen con dos perfiles EtherType ya configurados entre los que puede elegir: EAPOL_ETHERTYPE1 o EAPOL_ETHERTYPE2. Debe utilizar uno de estos nombres para el perfil de EtherType de EAPoL.
  2. (Opcional) Configure un valor EtherType de EAPoL personalizado.

    Consulte Elegir el valor de EtherType de EAPoL para saber cómo elegir un valor de EtherType.

    Nota: En los enrutadores de la serie PTX, cada perfil predefinido está preconfigurado con un EtherType predeterminado. El EAPOL_ETHERTYPE1 de perfil tiene un valor EtherType predeterminado de 0x876f; el perfil EAPOL_ETHERTYPE2 tiene un valor EtherType predeterminado de 0xb860. Puede configurar un EtherType diferente si lo prefiere.
  3. Aplique su perfil EtherType de EAPoL personalizado a la configuración de asociación de conectividad MACsec.
  4. Confirmar su configuración.
  5. (PTX10008 con una tarjeta de línea PTX10K-LC1301 o una PTX10002-36QDD) Reinicie el dispositivo si cambió el valor EtherType de EAPoL del predeterminado preconfigurado.
  6. Compruebe el valor de EtherType que configuró mediante el show security mka sessions detail comando. Por ejemplo:

    Ha configurado un valor EtherType personalizado para EAPoL para MACsec.

  7. Repita la configuración en el otro dispositivo.

Comportamiento específico de la plataforma para MACsec a través de WAN

Utilice la siguiente tabla para revisar los comportamientos específicos de la plataforma para sus plataformas.

Tabla 3: Comportamiento específico de la plataforma para EAPoL EtherType para MACsec

Plataforma

Diferencia

serie ACX

  • Cuando MACsec está habilitado en una interfaz lógica, el dispositivo captura paquetes que coinciden con el etiquetado de esa interfaz (sin etiquetar o etiquetado). Si no configuró un EtherType personalizado, el dispositivo captura los paquetes EAPoL que coincidan con el etiquetado de esa interfaz solo si tienen el 0x888e EtherType predeterminado. Si configuró un EtherType personalizado, el dispositivo solo captura paquetes que tengan ese EtherType personalizado y no captura paquetes con EtherType 0x888e.

  • Todas las interfaces que pertenecen a un grupo de agregación de vínculos (LAG) deben usar el mismo perfil EtherType de EAPoL. De lo contrario, MACsec no funciona en las interfaces.

serie PTX

  • Solo puede configurar dos perfiles EtherType EAPoL: EAPOL_ETHERTYPE1 y EAPOL_ETHERTYPE2. De forma predeterminada, los EtherTypes asociados con estos perfiles son 0x876f y 0xb860, respectivamente. Si lo prefiere, puede configurar un valor EtherType distinto del predeterminado.

  • (PTX10008 con una tarjeta de línea PTX10K-LC1301 o una PTX10002-36QDD) Es necesario reiniciar después de cambiar el valor EtherType del valor predeterminado preconfigurado.

  • (PTX10004, PTX10008 y PTX10016 con tarjetas de línea PTX10K-LC1201 o PTX10K-LC1202; PTX10001-36MR) La terminación de túnel no se admite para los paquetes MACsec recibidos con un EtherType personalizado en los servicios EVPN-MPLS y EVPN-VPWS.

  • (PTX10001-36MR, PTX10002-36QDD, PTX10004, PTX10008 y PTX10016) Si una interfaz física tiene configurada la encapsulación Ethernet CCC y MACsec está configurado en esa interfaz, el dispositivo atrapa todos los paquetes EAPoL para esa interfaz, independientemente de si están etiquetados o no. Para evitar esto, puede configurar un EtherType personalizado en esa interfaz que sea diferente al que se utiliza para otro tráfico MACsec. Después de esta configuración, el dispositivo atrapa los paquetes con el EtherType personalizado y deja pasar a los demás paquetes sin etiquetar.