什么是MACsec功能?有什么作用?

最新推荐文章于 2024-03-20 09:50:59 发布
最新推荐文章于 2024-03-20 09:50:59 发布
阅读量3.3k 收藏 7
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45941807/article/details/123652177
版权

什么是MACsec功能?有什么作用?

目录
问题描述
解决方案
问题描述
Q:什么是MACsec功能?有什么作用?
解决方案
A: MACsec(Media Access Control Security)是基于802.1AE和802.1X协议的局域网上的安全通信方法。它通过身份认证、数据加密、完整性校验、重播保护等功能保证以太网数据帧的安全性,防止设备处理有安全威胁的报文。

一般情况下,绝大部分数据在局域网链路中都是明文传输的,这样就会存在许多安全隐患,比如:银行帐户的信息被窃取、篡改,遭受恶意网络攻击等。网络中部署MACsec后,可对传输的以太网数据帧进行保护,降低信息泄漏和遭受恶意网络攻击的风险。

MACsec从以下几个方面保障了用户业务数据在局域网中的安全传输:

1、身份认证:该功能设备暂未实现。

2、数据加密:发送方对数据进行加密,数据以密文的形式在局域网链路上传输,接收方对接收的加密数据解密后再进行其他处理。

3、完整性校验:接收方对接收的数据进行完整性校验,以判定数据是否被篡改。发送方根据整个数据报文和加密算法计算出完整性校验值ICV(Integrity Check Value),附加在报文后,接收方收到报文后根据除去ICV部分的数据报文和相同的加密算法计算出ICV,同报文中的ICV比较。若二者相同,则认为报文完整,校验通过;否则,丢弃报文。

4、重播保护:为防止恶意用户通过重复发送捕获到的数据报文进行网络攻击,缺省情况下,接收方会丢弃旧的或重复的数据报文。数据报文在网络中传输时,可能出现报文顺序的重排。重播保护机制允许数据帧有一定的乱序,这些乱序的报文在用户指定的窗口范围内可以被合法接收,超出窗口的报文会被丢弃。假设配置的重播保护窗口大小为a,如果接收到了一个报文序号为x的报文,则下一个允许被接收的报文的序号必须大于或等于x+1-a。

配置点到点的MACsec示例

组网需求

如图所示,SwitchA和SwitchB相连,两台设备之间传输重要信息,要求对两台设备之间的数据通信进行安全保护。

在这里插入图片描述

配置思路

两端设备配置MACsec功能时,进行MKA会话协商,建立安全连接之前,需要配置相同的安全参数,配置思路如下:

1、配置密钥服务器优先级,此处设置SwitchA作为密钥服务器

2、配置MKA会话协商使用的参数如下:

 CKN为f1c3b2a4d6d9a7c5b4e1ab56dc21ed79ac97be533671dcab2678ac55cf71aced,

 CAK为ab2145369adcadef69512347adceb210

3、配置加密模式为normal,实现数据加密和完整性校验功能。

操作步骤

1、配置SwitchA。

开启MACsec功能。

system-view

[HUAWEI] sysname SwitchA

[SwitchA] interface gigabitethernet 1/1/1

[SwitchA-GigabitEthernet1/1/1] mka enable

配置SwitchA的密钥服务器优先级为1,配置CKN和CAK(此处统一用XXXX代替)

[SwitchA-GigabitEthernet1/1/1] mka keyserver priority 1
[SwitchA-GigabitEthernet1/1/1] mka cak-mode static ckn XXXX cak XXXX

[SwitchA-GigabitEthernet1/1/1] quit

2、配置SwitchB。

开启MACsec功能。

system-view

[HUAWEI] sysname SwitchB

[SwitchB] interface gigabitethernet 1/1/1

[SwitchB-GigabitEthernet1/1/1] mka enable

配置SwitchB的密钥服务器优先级为2,配置CKN和CAK(此处统一用XXXX代替)

[SwitchB-GigabitEthernet1/1/1] mka keyserver priority 2
[SwitchB-GigabitEthernet1/1/1] mka cak-mode static ckn XXXX cak XXXX

[SwitchB-GigabitEthernet1/1/1] quit

3、配置MACsec加密模式为normal模式

配置SwitchA加密模式为normal模式。

[SwitchA] interface gigabitethernet 1/1/1

[SwitchA-GigabitEthernet1/1/1] macsec mode normal

[SwitchA-GigabitEthernet1/1/1] quit

配置SwitchB加密模式为normal模式。

[SwitchB] interface gigabitethernet 1/1/1

[SwitchB-GigabitEthernet1/1/1] macsec mode normal

[SwitchB-GigabitEthernet1/1/1] quit

misspuffff
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MACsec详细实现流程
achirandliu的专栏
05-07 1215
MACsec详细实现流程
可信计算环境下的MACSec安全关联方案
04-30
为满足跨交换机间的媒体访问控制(MAC)层安全通信需求,提出一种改进的MACSec安全关联方案。该方案建立了新加入交换机与不相邻交换机之间的安全关联密钥(SAK),用于保护它们之间的MAC层数据通信。为了使得该方案进一步适合于可信计算环境,在该方案基础上提出了一种可信计算环境下的MACSec安全关联方案。该方案增加了对终端设备的平台认证,从而实现了终端设备的可信网络接入,有效增强了局域网络的安全性。最后,利用串空间模型(SSM)证明了这两个MACSec安全关联方案是安全的。
MACSec是什么
weixin_45941807的博客
03-22 7802
1.1 MACsec简介 MACsec(Media Access Control Security,MAC安全)定义了基于IEEE 802局域网络的数据安全通信的方法。MACsec可为用户提供安全MAC层数据发送和接收服务,包括用户数据加密、数据帧完整性检查及数据源真实性校验。 MACsec通常与802.1X认证框架配合使用,工作在802.1X认证过程成功之后,通过识别出已认证设备发送的报文,并使用MKA(MACsec Key Agreement,MACsec密钥协商)协议协商生成的密钥对已认证的用户数据
MACSec
weixin_45941807的博客
03-21 7478
MACSec 1.了解媒体访问控制安全MACsec) 媒体访问控制安全MACsec) 是一种行业标准安全技术,为以太网链路上几乎所有类型流量提供安全通信。MACsec 在直接连接节点之间的以太网链路上提供点到点安全,能够识别并阻止大多数安全威胁,包括 拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。MACsec 在 802.1AE IEEE标准化。 您可以配置 MACsec 以保护连接交换机的点到点以太网链路,或者将交换机连接到主机设备(例如 PC、电话或服务器)的以太网链路。必须使用 MACsec
车载以太网MACsec
weixin_43586667的博客
06-22 1544
车载以太网MACsec
Linux Macsec
u014044624的博客
05-15 537
macsec on linux macsec-implementation-on-linux
MacSec是什么
热门推荐
luokingfly的博客
03-31 1万+
Macsec
网络安全-MACsec车载应用技术解读:什么是MACsec | MACsec工作流程 | MACsec报文格式 | CANoe MACsec示例
Polelink北汇信息的博客
06-29 740
我们在以往的分享中介绍了网络安全的相关技术在车载通信中的一些内容,包括E2E和SecOC等,但这些技术通常更多地是做数据校验,数据本身还是以明文进行传输。而随着网络安全级别的提高以及以太网在车载中更大规模的使用,我们迫切地需要数据加密的手段来防止数据被监听。同时由于车载通信对延迟性能的要求和部署的特点,MACsec可能是一个更容易被选择的方案。
Understanding Media Access Control Security (MACsec)
mabin2005的专栏
08-19 351
Media Access Control Security (MACsec) is an industry-standard security technology that provides secure communication for all traffic on Ethernet links. MACsec provides point-to-point security on Ethernet links between directly connected nodes and is cap..
MACsec:守护以太网通信安全的坚固屏障
LuLaaa_的博客
02-06 382
与传统的网络安全协议不同,MACsec工作在OSI模型的第二层,即数据链路层,这一层负责在网段上的节点之间传输数据。在未来,随着网络安全需求的不断增长和网络技术的不断发展,MACsec将继续发挥其重要作用,为网络安全保驾护航。从移动设备到云服务,每一个数据包的传输都潜藏着安全风险。而在这个复杂多变的网络环境中,MACsec(媒体访问控制安全)作为一种强大的网络安全标准,正发挥着不可替代的作用。随着网络环境的日益复杂和数据安全需求的不断增长,交换机作为构建局域网最基本的设备,其安全性也受到了越来越多的关注。
什么是交换机的POE 功能
04-17
POE也被称为基于局域网的供电系统(POL, Power over LAN )或有源以太网( Active Ethernet),有时也被简称为以太网供电,这是利用现存标准以太网传输电缆的同时传送数据和电功率的最新标准规范,并保持了与现存以太网系统和用户的兼容性。
2021-01-19 SONiC系统管理14 MACsec管理
weixin_44316184的博客
01-19 726
SONiC系统管理14 MACsec管理 SONiC系统2020年加入了对MACsec支持。 MACsec是以太网MAC层加密机制,通过互联的两个MAC实体互相交换密钥信息以及基于硬件的加密算法实现了对传送的MAC帧的加解密,其基于硬件的加密算法比IPsec更便于硬件实现。 SONiC支持GCM-AES-128 和 GCM-AES-256加密算法。 SONiC支持交换芯片内置MACsec和单独的支持MACsec的以太网PHY的模式,两种模式由于实现MACsec的芯片不同,对应ASIC DB中不同的表项。 S
MACsec通信缺点?
achirandliu的专栏
05-07 373
MACsec通信缺点
HCIP datacom 821、831题库
君逍遥o
02-03 1万+
HCIP datacom 821、831题库
运营商网络中的"在线"加密(二)
PMC的专栏
10-16 2900
三种最常见的"在线"网络加密的实现方法是: 1.IPsec或 3层 (L3)加密 2.MACsec或 2层(L2)加密 3.OTN或1层(L1)加密
虚拟网络介绍
bob的博客
02-08 3862
Intro Linux针对VM/Container提供了丰富的网络功能,下面介绍一些在云环境下常用的网络接口 Bridge 概况 一个Linux网桥扮演一个类似网络交换机的角色。网桥主要负责在连接到它的接口之间转发流量。路由器上流量转发,网关路由观法,或者虚拟机之间,或者同一个主机的不同的namespace之间。支持STP,VLAN过滤,支持多播监听。 适用场景 当你需要在虚拟机之间/容器之间/主机之间建立一个通信隧道那么就可以使用bridge bond 概况 Linux的bonding 驱动提供一种将多
华为认证网络工程师学习笔记——以太网交换安全
最新发布
yuyeconglong的博客
03-20 1249
以太网交换安全
千兆PHY之SerDes接口调试
JingZhe_HengJing的博客
06-16 5277
近期在捣鼓88e1512 的sgmii接口。 需求是将88e1512的sgmii接口与一颗交换机的sgmii接口连上,实现sgmii转copper,当然也可以用SFP接到sgmii上实现。 要实现sgmii转copper,要做到以下几点。 第一,在sgmii接口处做AC耦合处理,这是很重要的,并且电容靠近发射端,事实上没有严格要求,有文档说靠近接收端,这个后面再议。 第二,要仔细检查88e1512的电源以及时钟,有的需要1.8v,又的需要1.0v,还有需要3.3v,切记不可搞错。我就是因为1.0v误接为1.
mac键盘快捷键详解,苹果电脑键盘快捷键图文教程
weixin_47636522的博客
12-04 2060
作为 Apple 最成熟的系统之一,macOS 已经成为许多人每天都在接触的生产力工具。为了帮助大家更好地了解 macOS 的生态魅力,我们整理了这份融合了文字图片和动图的mac键盘快捷键详解,希望能够帮助你掌握更多系统使用技巧。文章所有操作都基于 MacOS 系统。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0KT82jf0-1607069188672)(https://pic.macw.com/pic/202005/12094825_dc5ded7f3a.jpeg)]
macsec phy
09-02
MACsec PHY是一种物理层收发器,用于提供网络数据的安全传输和保护。它集成了MACsec技术,可以抵御第二层网络安全威胁,如入侵、中间人攻击和重放等。MACsec提供了逐跳数据交换的安全保障。同时,MACsec PHY还支持IEEE 802.3ch标准定义的2.5G/5G/10GBASE-T1以太网物理层部分。它可以直接连接到汽车级图形处理单元、CPU、以太网交换机和电子控制单元,以支持汽车内部的网络操作和传输速率需求。MACsec PHY采用先进的混合信号处理技术,在噪声环境中以极低的功耗超过了汽车电磁干扰(EMI)的要求。它具有强大的性能和节能特性,适用于先进驾驶辅助系统、中央网关和区域间连通性等应用场景。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [高更安全,Marvell推出400GbE MACsec PHY收发器](https://download.csdn.net/download/weixin_38518885/14844503)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【以太网】88Q4364A1-DFX2A000,BCM84884EB0KFSBG 4端口以太网收发器](https://blog.csdn.net/Mandy_mjd/article/details/129815127)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值