FAQ---S7700 什么是MACsec功能?有什么作用?

发布时间:  2016-09-03 浏览次数:  409 下载次数:  0
问题描述
Q:S7700 什么是MACsec功能?有什么作用?
解决方案

A: MACsec(Media Access Control Security)是基于802.1AE和802.1X协议的局域网上的安全通信方法。它通过身份认证、数据加密、完整性校验、重播保护等功能保证以太网数据帧的安全性,防止设备处理有安全威胁的报文。

 

一般情况下,绝大部分数据在局域网链路中都是明文传输的,这样就会存在许多安全隐患,比如:银行帐户的信息被窃取、篡改,遭受恶意网络攻击等。网络中部署MACsec后,可对传输的以太网数据帧进行保护,降低信息泄漏和遭受恶意网络攻击的风险。

 

MACsec从以下几个方面保障了用户业务数据在局域网中的安全传输:

 

1、身份认证:该功能设备暂未实现。

2、数据加密:发送方对数据进行加密,数据以密文的形式在局域网链路上传输,接收方对接收的加密数据解密后再进行其他处理。

3、完整性校验:接收方对接收的数据进行完整性校验,以判定数据是否被篡改。发送方根据整个数据报文和加密算法计算出完整性校验值ICV(Integrity Check Value),附加在报文后,接收方收到报文后根据除去ICV部分的数据报文和相同的加密算法计算出ICV,同报文中的ICV比较。若二者相同,则认为报文完整,校验通过;否则,丢弃报文。

4、重播保护:为防止恶意用户通过重复发送捕获到的数据报文进行网络攻击,缺省情况下,接收方会丢弃旧的或重复的数据报文。数据报文在网络中传输时,可能出现报文顺序的重排。重播保护机制允许数据帧有一定的乱序,这些乱序的报文在用户指定的窗口范围内可以被合法接收,超出窗口的报文会被丢弃。假设配置的重播保护窗口大小为a,如果接收到了一个报文序号为x的报文,则下一个允许被接收的报文的序号必须大于或等于x+1-a

 
 

配置点到点的MACsec示例
 

组网需求


如图所示,SwitchA和SwitchB相连,两台设备之间传输重要信息,要求对两台设备之间的数据通信进行安全保护。

 

 

配置思路


两端设备配置MACsec功能时,进行MKA会话协商,建立安全连接之前,需要配置相同的安全参数,配置思路如下:

 

1、配置密钥服务器优先级,此处设置SwitchA作为密钥服务器

 

2、配置MKA会话协商使用的参数如下:

     CKN为f1c3b2a4d6d9a7c5b4e1ab56dc21ed79ac97be533671dcab2678ac55cf71aced,

     CAK为ab2145369adcadef69512347adceb210
 
3、配置加密模式为normal,实现数据加密和完整性校验功能。

 


操作步骤


1、配置SwitchA。

# 开启MACsec功能。

<HUAWEI> system-view

[HUAWEI] sysname SwitchA

[SwitchA] interface gigabitethernet 1/1/1

[SwitchA-GigabitEthernet1/1/1] mka enable
# 配置SwitchA的密钥服务器优先级为1,配置CKN和CAK(此处统一用XXXX代替)

[SwitchA-GigabitEthernet1/1/1] mka keyserver priority 1
[SwitchA-GigabitEthernet1/1/1] mka cak-mode static ckn XXXX cak XXXX

[SwitchA-GigabitEthernet1/1/1] quit

 

2、配置SwitchB。

# 开启MACsec功能。

<HUAWEI> system-view

[HUAWEI] sysname SwitchB

[SwitchB] interface gigabitethernet 1/1/1

[SwitchB-GigabitEthernet1/1/1] mka enable
# 配置SwitchB的密钥服务器优先级为2,配置CKN和CAK(此处统一用XXXX代替)

[SwitchB-GigabitEthernet1/1/1] mka keyserver priority 2
[SwitchB-GigabitEthernet1/1/1] mka cak-mode static ckn XXXX cak XXXX
 

[SwitchB-GigabitEthernet1/1/1] quit

 


3、配置MACsec加密模式为normal模式

# 配置SwitchA加密模式为normal模式。

[SwitchA] interface gigabitethernet 1/1/1

[SwitchA-GigabitEthernet1/1/1] macsec mode normal

[SwitchA-GigabitEthernet1/1/1] quit
# 配置SwitchB加密模式为normal模式。

[SwitchB] interface gigabitethernet 1/1/1

[SwitchB-GigabitEthernet1/1/1] macsec mode normal

[SwitchB-GigabitEthernet1/1/1] quit

 

 

END