MACSec

MACSec

1.了解媒体访问控制安全（MACsec）

媒体访问控制安全 （MACsec） 是一种行业标准安全技术，为以太网链路上几乎所有类型流量提供安全通信。MACsec 在直接连接节点之间的以太网链路上提供点到点安全，能够识别并阻止大多数安全威胁，包括 拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。MACsec 在 802.1AE IEEE标准化。

您可以配置 MACsec 以保护连接交换机的点到点以太网链路，或者将交换机连接到主机设备（例如 PC、电话或服务器）的以太网链路。必须使用 MACsec 保护的每个点到点以太网链路都必须单独配置。您可以使用静态安全关联密钥 （SAK） 安全模式或静态连接关联密钥 （CAK） 安全模式在交换机到交换机链路上启用 MACsec。本文档中提供了这两个流程。

最佳做法： 
我们建议在交换机到交换机链路上使用静态 CAK 安全模式启用 MACsec。静态 CAK 安全模式通过频繁刷新到新的随机安全关联密钥 （SAK） 和仅在 MACsec 安全点到点链路上的两台设备之间共享 SAK 来确保安全性。
此外，一些可选的 MACsec 功能（重放保护、SCI 标记和从 MACsec 中排除流量的功能）仅在静态 CAK 安全模式下可用。
最佳做法： 
启用 MACsec 时，建议您检查接口结构MTU，以便调整其为 32 字节的 MACsec 开销。

使用静态 CAK 安全模式启用 MACsec 时，将在点到点以太网链路各端交换机之间交换一个预共享密钥。预共享密钥包括连接关联名称 （CKN） 和连接关联密钥 （CAK）。CKN 和 CAK 由连接关联中的用户配置，并且必须匹配链路两端才能最初启用 MACsec。
交换并验证预共享密钥后，将启用在链路上启用和维护 MACsec 的 MACsec 密钥协议 （MKA） 协议。MKA 负责选择点到点链路上的两个交换机中的一个作为密钥服务器。然后，密钥服务器会创建一个随机安全密钥，该密钥只会通过 MACsec 安全链路与其他设备共享。随机安全密钥在点到点链路上启用和维护 MACsec。只要启用了 MACsec，密钥服务器就会继续定期通过点到点链路创建并共享一个随机创建的安全密钥。

MACsec允许您为几乎所有流量保护以太网链路，包括来自链路层发现协议（LLDP）、链路聚合控制协议（LACP）、动态主机配置协议（DHCP）、地址解析协议（ARP）的帧，以及由于其他安全解决方案的限制，以太网链路上通常不安全的其他协议。MACsec可以与IP安全（IPsec）和安全套接字层（SSL）等其他安全协议结合使用，以提供端到端网络安全。

MACsec在IEEE 802.1AE中是标准化的。IEEE 802.1AE标准可在IEEE组织网站IEEE 802.1：桥接与管理上查看。

本主题包含以下部分：

MACsec的工作原理

了解连接关联和安全通道

理解MACsec安全模式

了解在交换机到主机链路上启用MACsec的要求2.MACsec的工作原理
MACsec通过使用安全的点到点以太网链路提供行业标准的安全性。在匹配安全密钥后，点到点链接将得到保护——当您使用静态连接关联密钥（CAK）安全模式启用MACsec时，用户配置的预共享密钥；当您使用静态安全关联密钥（SAK）安全模式启用MACsec时，用户配置的静态安全关联密钥，或者，当您使用动态安全模式启用MACsec时，作为与RADIUS服务器AAA握手的一部分包含的动态密钥将在点到点以太网链路两端的接口之间交换和验证。其他用户可配置的参数，如MAC地址或端口，也必须在链路两侧的接口上匹配，以启用MACsec。

在点到点以太网链路上启用MACsec后，通过使用数据完整性检查和加密（如果已配置）来保护通过该链路的所有流量。

数据完整性检查验证数据的完整性。MACsec会在所有通过MACsec安全点对点以太网链路的以太网帧上附加一个8字节的头和一个16字节的尾，接收接口会检查头和尾，以确保数据在通过链路时不会受到损害。如果数据完整性检查检测到任何有关流量的不规则信息，则流量将被丢弃。

MACsec还可用于加密以太网链路上的所有流量。MACsec使用的加密可确保任何监控链路流量的人，都无法查看以太网帧中的数据。MACsec加密是可选的，用户可配置；如果需要，您可以启用MACsec以确保在通过MACsec安全链接“以明文”发送未加密数据的同时执行数据完整性检查。

MACsec配置在支持MACsec的接口之间的点对点以太网链路上。如果要在多个以太网链路上启用MACsec，则必须在每个点对点以太网链路上分别配置MACsec。

了解连接关联和安全通道

MACsec在连接关联中配置。将连接关联分配给接口时，将启用MACsec。

使用静态安全关联密钥（SAK）安全模式配置MACsec时，必须在连接关联中配置安全通道。安全通道负责在启用MACsec的链路上传输和接收数据，还负责在链路上传输SAK，以启用和维护MACsec。单一安全通道是单向的，它只能用于将MACsec应用于入站或出站流量。使用SAK安全模式启用MACsec时，典型的连接关联包含两个安全通道——一个用于入站流量的安全通道，另一个用于出站流量的安全通道。

使用静态CAK或动态安全模式启用MACsec时，必须创建并配置连接关联。自动创建两个安全通道一个用于入站流量的安全通道和另一个用于出站流量的安全通道。
自动创建的安全通道没有任何用户可配置的参数；所有配置都在安全通道之外的连接关联中完成。

理解MACsec安全模式

了解静态连接关联密钥安全模式（交换机到交换机链路的推荐安全模式）

当您使用静态连接关联密钥（CAK）安全模式启用MACsec时，将使用两个安全密钥来保护点对点以太网链路，这两个安全密钥分别是用于保护控制平面流量的连接关联密钥（CAK）和用于保护数据平面流量的随机生成的安全关联密钥（SAK）。两个密钥在点对点以太网链路两端的两个设备之间定期交换，以确保链路安全。

MACsec开启CAK模式时，需要两个key来保证P2P的网络安全:1.CAK–保证控制层traffic安全; 2. SAK–保证数据traffic安全；

当您使用静态CAK安全模式启用MACsec时，首先使用预共享密钥建立MACsec安全链接。预共享密钥包括连接关联名称（CKN）及其自身的连接关联密钥（CAK）。CKN和CAK由用户在连接关联中配置，必须在链路的两端匹配，才能最初启用MACsec。

成功交换匹配的预共享密钥后，将启用MACsec密钥协议（MKA）协议。MKA协议负责维护链路上的MACsec，并决定点到点链路上的哪个交换机成为密钥服务器。然后，密钥服务器创建一个仅与点到点链路另一端的交换机共享的SAK，该SAK用于保护通过链路的所有数据流量。只要启用MACsec，密钥服务器将继续通过点对点链接定期创建和共享随机创建的SAK。

通过在链路两端配置连接关联，可以使用静态CAK安全模式启用MACsec。所有配置都在连接关联内完成，但不在安全通道之外。使用静态CAK安全模式时，会自动创建两个安全通道，一个用于入站流量，另一个用于出站流量。自动创建的安全通道没有任何用户可配置的参数，这些参数无法在连接关联中配置。

我们建议在交换机上启用MACsec，以使用静态CAK安全模式切换链接。静态CAK安全模式通过频繁刷新到新的随机安全密钥，以及通过在MACsec安全点对点链路上的两台设备之间仅共享安全密钥来确保安全性。此外，只有在使用静态CAK安全模式启用MACsec时，才能使用一些可选的MACsec功能，如重播保护、SCI标记和从MACsec排除流量。

有关使用静态CAK安全模式启用MACsec的分步说明，请参阅配置媒体访问控制安全（MACsec）。

了解动态安全关联密钥安全模式（切换到主机链接）

动态安全关联密钥安全模式用于在交换机到主机链接上启用MACsec。

要在将服务器、电话或个人计算机等端点设备连接到交换机的链路上启用MACsec，端点设备必须支持MACsec，并且必须运行允许其启用MACsec安全连接的软件。在交换机到主机链路上配置MACsec时，MACsec密钥协议（MKA）密钥（作为802.1X身份验证的一部分）将作为AAA握手的一部分从RADIUS服务器检索。在独立的身份验证事务中，主密钥从RADIUS服务器传递到交换机，从RADIUS服务器传递到主机。然后在交换机和主机之间传递主密钥，以创建MACsec安全连接。

必须在连接到主机的交换机以太网接口上配置使用动态安全关联安全模式的安全关联，以便交换机在从RADIUS服务器接收MKA密钥后创建MACsec安全连接。

RADIUS服务器必须使用可扩展身份验证协议传输层安全（EAP-TLS）才能支持MACsec。支持其他广泛使用的身份验证框架（如仅密码或md5）的RADIUS服务器不能用于支持MACsec。为了在交换机上启用MACsec以保护与主机的连接，必须在RADIUS服务器上使用802.1X身份验证。MACsec必须配置为动态模式。在交换机到主机链路上启用时，MACsec仍然使用连接关联启用，就像在交换机到交换机链路上一样。

了解静态安全关联密钥安全模式（交换机到交换机链接支持）

当您使用静态安全关联密钥（SAK）安全模式启用MACsec时，最多可以使用两个手动配置的SAK中的一个来保护点到点以太网链路上的数据流量。所有SAK名称和值由用户配置；没有创建SAK的密钥服务器或其他工具。通过在两个安全密钥之间定期旋转，在点对点以太网链路上维护安全性。每个安全密钥名称和值必须在点到点以太网链路另一端的接口上具有相应的匹配值，以便在链路上维护MACsec。

当您使用静态SAK安全模式启用MACsec时，可以在安全通道中配置SAK。您可以在连接关联中配置安全通道。使用静态SAK安全模式的MACsec典型连接关联包含两个安全通道，一个用于入站流量，一个用于出站流量，每个通道都配置了两个手动配置的SAK。必须将连接关联与安全通道配置连接到接口，才能使用静态SAK安全模式启用MACsec。

我们建议使用静态CAK安全模式启用MACsec。只有在有充分理由使用静态SAK安全模式而不是静态CAK安全模式时，才使用静态SAK安全模式。

请参阅配置媒体访问控制安全性（MACsec），了解有关使用SAKs启用MACsec的分步说明。

了解在交换机到主机链路上启用MACsec的要求

在交换机到主机链路上配置MACsec时，MACsec密钥协议（MKA）密钥（作为802.1X身份验证的一部分）将作为AAA握手的一部分从RADIUS服务器检索。在独立的身份验证事务中，主密钥从RADIUS服务器传递到交换机，从RADIUS服务器传递到主机。然后在交换机和主机之间传递主密钥，以创建MACsec安全连接。