背景

一般情況下，絕大部分資料在區域網路鏈路中都是以明文形式傳輸的，這樣就會存在許多安全隱患，例如：銀行帳戶的資訊被竊取、篡改，遭受惡意網路攻擊等。網路中部署MACsec後，可對傳輸的乙太網路資料幀進行保護，降低資訊外洩和遭受惡意網路攻擊的風險。

MACsec概述

MACsec（Media Access Control Security）是基於802.1AE和802.1X協定的區域網路上的安全通訊方法。透過身分認證、資料加密、完整性校驗、重播保護等功能確保乙太網路資料幀的安全性，防止裝置處理有安全威脅的封包。MACsec從以下幾個方面保障了用戶業務資料在區域網路中的安全傳輸：

• 資料幀完整性檢查
• 用戶資料加密
• 資料來源真實性校驗
• 重播保護

典型應用場景

• 在交換器之間部署MACsec保護資料安全，例如在存取交換器與上聯的匯聚或核心交換器之間部署。
• 當交換器之間存在傳輸設備時可部署MACsec保護資料安全。

1.點到點傳輸數據

SwitchA和SwitchB之間傳輸重要數據，透過部署點到點的MACsec對資料進行安全保護。

2.間含透傳設備的點到點傳輸數據

SwitchA和SwitchB之間存在著透傳交換器SwitchC、SwitchD和SwitchE，SwitchA和SwitchB之間部署點到點的MACsec對資料進行安全保護。為確保SwitchA和SwitchB能夠進行MACsec會話協商，需要透傳交換器支援二層協定透明傳輸功能。

MACsec工作機制

MACsec安全通道的建立與管理以及MACsec所使用金鑰的協商由MKA（MACsec Key Agreement）協定負責。以下介紹MKA協議工作過程中涉及的基本概念：

• CA（Secure Connectivity Association）是由金鑰協商協定負責建立和維護的安全關聯，是區域網路上支援MACsec的兩個或兩個以上使用相同金鑰和金鑰演算法套件的成員的集合。CA成員使用的金鑰稱為CAK（Secure Connectivity Association Key）。MACsec主要應用在點對點組網的環境中，也就是從一台設備的介面到另一台設備的介面的組網，所以主要使用成對CAK。兩個相連的設備組成一個CA，它們使用相同的CAK。
• SA（Secure Association）是確保CA成員之間資料幀安全傳輸的安全關係。每個SA都有一個或一組加密資料幀的金鑰，稱為SAK（Secure Association Key）。SAK由演算法根據CAK生成，用於資料封包的加密和解密。

1.運作機制

點到點的MACsec互動過程主要分為三個階段：會話協商、安全通訊、會話保活。

MACsec互動過程示意圖

點到點的MACsec互動過程：

(1) 會話協商

• 兩端設備的介面開啟MACsec功能後，依優先權選出金鑰伺服器（Key Server）。使用者可以配置介面的優先權數值，數值越小優先權越高，優先權高的設備介面將被選出為金鑰伺服器。當雙方優先權相同時，則比較介面的SCI（Secure Channel Identifier）值，SCI由介面MAC位址和介面索引（Interface Index）的最後兩個位元組組成，SCI值小的介面將被選為金鑰伺服器.
• 兩端設備靜態配置相同的CAK，金鑰伺服器根據靜態配置的CAK產生用於加密資料封包的SAK，分發給對端設備。

(2) 安全通信

發送方使用SAK加密資料報文，接收方使用SAK解密資料封包。兩端設備既可以作為發送方，也可以作為接收方，通訊過程都受到MACsec保護。使用者還可以設定SAK的逾時時間，當SAK的使用時間達到逾時時間或SAK加密封包達到一定數量，則更換SAK，確保金鑰的安全性。

(3) 會話保活

MKA協定定義了一個MKA會話保活定時器，用來規定MKA會話的逾時時間。MKA會話協商成功後，兩端設備會透過交互MKA協定封包確認連線的存在。設備收到對端MKA協定訊息後，啟動定時器。

• 如果在該超時時間內收到對端的MKA協定報文，則重新啟動定時器。
• 如果在該逾時時間內未收到對端的MKA協定訊息，則認為該連線已不安全，刪除對端設備，重新進行MKA協商。
• CAK（Secure Connectivity Association Key，安全連線關聯金鑰）不直接用於資料封包的加密，由它和其他參數衍生出資料封包的加密金鑰。CAK可以在802.1X認證過程中下發，也可以由使用者直接靜態配置。
• MKA（MACsec Key Agreement protocol）用於MACsec 資料加密金鑰的協商協定。
• SAK（Secure Association Key，安全關聯金鑰）由CAK根據演算法推導產生，用於加密安全通道間傳輸的資料。MKA對每一個SAK可加密的報文數目有所限制，當使用某SAK加密的PN耗盡，該SAK會被刷新。例如，在10Gbps 的鏈路上，SAK最快4.8分鐘刷新一次。
• Key Server決定加密方案和進行金鑰分發的MKA實體。

設定命令介紹

1.配置靜態CKN和CAK

進入系統視圖：

system-view
1.

進入介面視圖：

interface interface-type interface-number [ .subinterface-number ]
1.

配置靜態CKN和CAK：

mka cak-mode static ckn ckn cak { simple cak-simple | cipher cak-cipher }
1.

2.設定MACsec加密模式

當介面傳送的資料封包透過MACsec進行加密時，可選擇設定介面的加密模式，

• normal：既進行完整性校驗又進行資料加密。
• integrity-only：只進行完整性校驗不進行資料加密。

進入系統視圖1：

system-view
1.

進入介面視圖：

interface interface-type interface-number [ .subinterface-number ]
1.

配置MACsec的加密模式：

macsec mode { normal | integrity-only }
1.

3.設定MACsec加密演算法

進入系統視圖：

system-view
1.

進入介面視圖：

interface interface-type interface-number [ .subinterface-number ]
1.

配置MACsec的加密演算法：

macsec cipher-suite { gcm-aes-128 | gcm-aes-xpn-128 | gcm-aes-256 | gcm-aes-xpn-256 }
1.

4.查看配置結果

查看經過MACsec保護的資料封包的統計資料。

display macsec statistics interface { interface-name | interface-type interface-number}
1.

查看MKA會話資訊：

display mka interface { interface-name | interface-type interface-number }
1.

MACsec設定舉例

1.設定點到點的MACsec

點到點的MACsec設定網路圖

路由器DeviceA與路由器DeviceB直連，在DeviceA和DeviceB的介面GE1/0/0上對MACsec資料封包進行加解密。

2.配置思路

採用以下思路配置點到點的MACsec：在DeviceA、DeviceB設備GE1/0/0介面上配置相同的靜態CKN和CAK；

3.資料準備

為完成該配置例，需要準備以下資料：

• 介面的CKN和CAK值
• DeviceA介面發送的資料透過gcm-aes-xpn-128進行加密

4.操作步驟

介面GE1/0/0配置密文CKN、CAK。

<DeviceA> system-view
[~DeviceA] interface gigabitethernet1/0/0
[~DeviceA-GigabitEthernet1/0/0] mka cak-mode static ckn a1 cak cipher b1b1b1b1b1b1b1b1b1b1b1b1b1b1b1b1
[*DeviceA-GigabitEthernet1/0/0] commit
1.
2.
3.
4.

介面GE1/0/0配置MACsec的加密模式。（可選配置）：

<DeviceA> system-view
[~DeviceA] interface gigabitethernet1/0/0
[~DeviceA-GigabitEthernet1/0/0] macsec mode integrity-only
[*DeviceA-GigabitEthernet1/0/0] commit
1.
2.
3.
4.

介面GE1/0/0配置MACsec的加密演算法。（可選配置）

<DeviceA> system-view
[~DeviceA] interface gigabitethernet1/0/0
[~DeviceA-GigabitEthernet1/0/0] macsec cipher-suite gcm-aes-xpn-128
[*DeviceA-GigabitEthernet1/0/0] commit
1.
2.
3.
4.

DeviceB執行同樣的配置。