MACsec
MACsec(Media Access Control Security)是基於IEEE 802.1AE標準的二層鏈路加密協議,通過硬體在物理專線上實現低延遲的資料加密,保護資料轉送安全。當您的物理連接埠在建立時已開啟MACsec加密能力後,您可以在物理連接埠詳情頁的MACsec頁簽中管理MACsec密鑰。
MACsec說明
MACsec相關的概念如下:
概念 | 說明 |
CKN(Connectivity Association Key Name) | 安全連線關聯密鑰名稱,用於唯一標識CAK。CKN協助MACsec密鑰協議(MKA)參與者選擇正確的CAK進行密鑰協商。 |
CAK(Connectivity Association Key) | 安全連線關聯密鑰,用於MACsec控制平面通訊。CAK不直接用於資料加密,而是作為派生資料加密金鑰(SAK)的基礎。 |
SAK(Secure Association Key) | 安全性關聯密鑰,用於實際的資料加密和解密。SAK由系統通過加密金鑰產生過程從CKN/CAK對自動派生而來,並定期重建。 |
MKA(MACsec Key Agreement) | MACsec密鑰協商協議,負責MACsec安全通道的建立、管理以及密鑰的協商。 |
MACsec支援的密碼編譯演算法包括:
GCM-AES-128
GCM-AES-XPN-128
GCM-AES-256
GCM-AES-XPN-256
建議高頻寬鏈路使用GCM-AES-XPN-256密碼編譯演算法,以避免控制平面過載導致的資料包丟失。
關聯密鑰
請確保目標物理連接埠在建立時開啟了MACsec能力。
單擊目標物理連接埠執行個體ID進入詳情頁,切換到MACsec頁簽。
僅支援MACsec加密的物理連接埠才會顯示此頁簽。如果您看不到這個頁簽,說明建立物理連接埠時未開啟MACsec能力。
單擊关联MACsec Keys,先選擇加密算法,再手動輸入连接关联密钥名称(CKN)和连接关联密钥(CAK)。CKN和CAK均必須為十六進位字元(0-9、A-F)的字串:
GCM-AES-128 和 GCM-AES-XPN-128 演算法,MACsec密鑰需要設定32個十六進位字元(128位)。
GCM-AES-256 和 GCM-AES-XPN-256 演算法,MACsec密鑰需要設定64個十六進位字元(256位)。
單擊確認。添加成功後,系統將自動使用最新添加的密鑰發起MKA協商。密鑰狀態說明如下:
关联中:MACsec密鑰正在與物理專線進行驗證和協商。
已关联:MACsec密鑰已驗證通過並成功關聯到物理專線。
关联失败:MACsec密鑰驗證失敗,未能關聯到物理專線。您可以單擊重新关联重新發起協商。
未关联:MACsec密鑰已解除與物理專線的關聯。
密鑰輪轉
MACsec支援通行金鑰輪轉,最多可儲存三對CKN/CAK密鑰,允許您手動輪換密鑰而不中斷串連。
密鑰按照添加的時間的降序排序,最新添加的MACsec Keys 排在最上面。
關聯新的CKN/CAK對時,系統將自動使用最新添加的密鑰發起協商。請確保客戶側裝置同步配置相同的金鑰組。
如果最新密鑰協商失敗,系統將自動回退到上一條生效的密鑰繼續加密;若只有1條密鑰且協商失敗,則通訊失敗。
對已關聯或關聯失敗的密鑰發起取消关联後,系統將自動使用時間戳更近的下一條密鑰進行協商。
只支援刪除未关联狀態的密鑰。
本地路由器MACsec配置參考
在阿里雲側配置MACsec密鑰後,您還需要在本地路由器上進行相應的MACsec配置。請參閱路由器供應商的文檔,在路由器上參考配置以下參數:
參數 | 說明 |
MACsec密碼編譯演算法 | 密碼編譯演算法需要與雲上一致。 |
CAK密碼編譯演算法 | AES_256_CMAC |
CKN/CAK | 與阿里雲側配置的CKN/CAK金鑰組保持一致。 |
安全通道標識符(SCI) | 必須啟用。 |
為避免流量中斷,建議在本地路由器完成MACsec配置後,再在阿里雲控制台添加MACsec密鑰發起協商。
MACsec限制
當前MACsec只支援強制加密(must_encrypt)模式:若阿里雲側和客戶CPE側密鑰協商失敗,則網路中斷,無法互連。
存量不具備MACsec能力的連接埠無法直接開啟MACsec,只能在建立物理連接埠時開啟。
每個物理連接埠最多綁定3組MACsec密鑰。
密鑰格式必須使用十六進位字元(0-9、A-F),CKN和CAK的長度均為32個(密碼編譯演算法是128位)或64個(密碼編譯演算法是256位)字元。
安全通道標識符(SCI)是必需的,且必須啟用,此設定無法調整。
不支援將IEEE 802.1Q(Dot1q/VLAN)標籤移出加密承載。
MACsec屬性跟隨物理連接埠,VBR上無法單獨查詢或關閉MACsec。