问题描述
绝大部分数据在局域网链路中都是以明文形式传输的,在某些安全性要求较高的场景下存在安全隐患;
解决方案
MACsec 定义基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性,对应的标准为 802.1AE;
原理简述
在设备运行点到点 MACsec 时,工作流程如下:
1)网络管理员在两台设备上通过命令行预配置相同的 CAK(密钥),
2)两台设备会通过 MKA 协议选举出一个 Key Server,而 Key Server 决定加密方案,
3)Key Server 会根据 CAK 等参数使用某种加密算法生成 SAK 数据密钥,
4)Key Server 将 SAK 分发给对端设备,这样两台设备拥有相同的 SAK 数据密钥,
5)而后可以进行后续 MACsec 数据报文加解密收发;
/3_Campus_Netwrok_Security/Access_Layer_Security_(LAYER_2)/MACsec_(IEEE_802.1AE)/pasted_image.png)
特性说明
数据帧完整性检查
用户数据加密
数据源真实性校验
重放保护
应用场景
在交换机间,部署 MACsec 保护数据安全,例如在接入交换机与上联的汇聚或核心交换机之间部署 ;
当交换机间存在传输设备时,可部署 MACsec 保护数据安全;
概念术语
CAK, Secure Connectivity Association Key
CAK(Secure Connectivity Association Key,安全连接关联密钥)不直接用于数据报文的加密,由它和其他参数派生出数据报文的加密密钥;
CAK 可以在 802.1X 认证过程中下发,也可以由用户直接静态配置;
SAK, Secure Association Key
SAK(Secure Association Key,安全关联密钥)由 CAK 根据算法推导产生,用于加密安全通道间传输的数据;
MKA, MACsec Key Agreement
MKA(MACsec Key Agreement),用于 MACsec 数据加密密钥的协商协议;
MKA 对每个 SAK 可加密的报文数目有所限制:当使用某 SAK 加密的 PN 耗尽,该 SAK 会被刷新。例如,在 10Gbps 的链路上,SAK 最快 4.8min 刷新一次;
Key Server
两台设备会通过 MKA 协议选举出一个 Key Server
Key Server 决定加密方案和进行密钥分发的 MKA 实体;
配置案例
在华为设备中,并非所有型号都支持 MACsec 特性,配置细节请参考设备文档;