MACsec (Media Access Control Security) adalah protokol enkripsi tautan Layer 2 berdasarkan standar IEEE 802.1AE. Protokol ini menggunakan perangkat keras untuk menyediakan enkripsi data berlatensi rendah pada koneksi fisik guna mengamankan data dalam transit. Jika Anda mengaktifkan fitur MACsec saat membuat port fisik, Anda dapat mengelola kunci MACsec-nya pada tab MACsec di halaman detail port fisik tersebut.
Ikhtisar
Konsep | Deskripsi |
CKN (Connectivity Association Key Name) | Nama kunci asosiasi konektivitas. CKN secara unik mengidentifikasi CAK. CKN membantu peserta protokol MACsec Key Agreement (MKA) memilih CAK yang tepat untuk negosiasi kunci. |
CAK (Connectivity Association Key) | Kunci asosiasi konektivitas yang digunakan untuk komunikasi lapisan kontrol MACsec. CAK tidak digunakan langsung untuk enkripsi data, melainkan sebagai dasar untuk menurunkan Secure Association Key (SAK). |
SAK (Secure Association Key) | Kunci asosiasi aman yang digunakan untuk enkripsi dan dekripsi data sesungguhnya. Sistem secara otomatis menurunkan SAK dari pasangan CKN/CAK dan secara berkala menghasilkannya ulang. |
MKA (MACsec Key Agreement) | Protokol MACsec Key Agreement. Protokol ini bertanggung jawab untuk membangun dan mengelola saluran aman MACsec serta melakukan negosiasi kunci. |
MACsec mendukung algoritma enkripsi berikut:
GCM-AES-128
GCM-AES-XPN-128
GCM-AES-256
GCM-AES-XPN-256
Untuk tautan bandwidth tinggi, gunakan algoritma enkripsi GCM-AES-XPN-256 untuk mencegah kehilangan paket akibat overload lapisan kontrol.
Mengaitkan kunci
Pastikan Anda telah mengaktifkan fitur MACsec saat membuat port fisik.
Klik ID port fisik target untuk membuka halaman detailnya, lalu klik tab MACsec.
Tab ini hanya ditampilkan untuk port fisik yang mendukung enkripsi MACsec. Jika Anda tidak melihat tab ini, berarti fitur MACsec tidak diaktifkan saat port fisik dibuat.
Klik Associate MACsec Keys, pilih Encryption Algorithm, lalu masukkan Connectivity Association Key Name (CKN) dan Connectivity Association Key (CAK). Baik CKN maupun CAK harus berupa string karakter heksadesimal (0–9, A–F):
Untuk algoritma GCM-AES-128 dan GCM-AES-XPN-128, panjang CKN dan CAK harus 32 karakter heksadesimal (128 bit).
Untuk algoritma GCM-AES-256 dan GCM-AES-XPN-256, panjang CKN dan CAK harus 64 karakter heksadesimal (256 bit).
Klik OK. Setelah kunci berhasil ditambahkan, sistem secara otomatis menggunakan kunci yang paling baru ditambahkan untuk memulai negosiasi MKA.
Associating: Kunci MACsec sedang diverifikasi dan dinegosiasikan dengan koneksi fisik.
Associated: Kunci MACsec telah diverifikasi dan berhasil diasosiasikan dengan koneksi fisik.
Failed: Verifikasi kunci MACsec gagal dan tidak terasosiasi dengan koneksi fisik. Anda dapat mengklik Re-associate untuk mencoba lagi.
Disassociated: Kunci MACsec telah diputus asosiasinya dari koneksi fisik.
Rotasi kunci
MACsec mendukung rotasi kunci, memungkinkan Anda menyimpan hingga tiga pasangan CKN/CAK dan melakukan rotasi kunci secara manual tanpa mengganggu koneksi Anda.
Kunci diurutkan secara menurun berdasarkan waktu penambahan, dengan kunci MACsec terbaru berada di posisi paling atas.
Saat Anda mengasosiasikan pasangan CKN/CAK baru, sistem secara otomatis menggunakan kunci yang paling baru ditambahkan untuk memulai negosiasi. Pastikan Anda mengonfigurasi pasangan kunci yang sama pada CPE pelanggan Anda.
Jika negosiasi dengan kunci terbaru gagal, sistem secara otomatis kembali menggunakan kunci aktif sebelumnya untuk enkripsi. Jika hanya ada satu kunci dan negosiasinya gagal, komunikasi akan terputus.
Setelah Anda Disassociate kunci yang berada dalam status Associated atau Association Failed, sistem secara otomatis mencoba negosiasi dengan kunci berikutnya dalam daftar.
Anda hanya dapat menghapus kunci yang berada dalam status Disassociated.
Konfigurasi router on-premises
Setelah Anda mengonfigurasi kunci MACsec di Alibaba Cloud, Anda juga harus mengonfigurasi pengaturan MACsec yang sesuai pada router on-premises Anda. Rujuk dokumentasi vendor router Anda untuk mengonfigurasi parameter berikut:
Parameter | Deskripsi |
Algoritma enkripsi MACsec | Harus sesuai dengan algoritma yang dikonfigurasi di Alibaba Cloud. |
Algoritma enkripsi CAK | AES_256_CMAC |
CKN/CAK | Harus sesuai dengan pasangan CKN/CAK yang dikonfigurasi di Alibaba Cloud. |
Secure Channel Identifier (SCI) | Harus diaktifkan. |
Untuk menghindari gangguan traffic, lengkapi konfigurasi MACsec pada router on-premises Anda sebelum menambahkan kunci MACsec di Konsol Alibaba Cloud untuk memulai negosiasi.
Batasan
MACsec saat ini hanya mendukung mode must-encrypt. Jika negosiasi kunci antara Alibaba Cloud dan CPE pelanggan Anda gagal, koneksi jaringan akan terputus dan seluruh traffic diblokir.
MACsec tidak dapat diaktifkan pada port fisik yang sudah ada. Anda hanya dapat mengaktifkannya saat membuat port fisik baru.
Setiap port fisik mendukung maksimal tiga pasangan kunci MACsec.
Kunci harus menggunakan karakter heksadesimal (0–9, A–F). Panjang CKN dan CAK harus sama-sama 32 karakter (untuk algoritma enkripsi 128-bit) atau 64 karakter (untuk algoritma enkripsi 256-bit).
Secure Channel Identifier (SCI) wajib digunakan dan tidak dapat dinonaktifkan.
Pemindahan tag IEEE 802.1Q (Dot1q/VLAN) keluar dari muatan terenkripsi tidak didukung.
MACsec merupakan atribut dari port fisik. Anda tidak dapat melakukan kueri atau menonaktifkan MACsec secara terpisah pada Virtual Border Router (VBR).