MACsec(Media Access Control Security)是基于IEEE 802.1AE标准的二层链路加密协议,通过硬件在物理专线上实现低延迟的数据加密,保护数据传输安全。当您的物理端口在创建时已开启MACsec加密能力后,您可以在物理端口详情页的MACsec页签中管理MACsec密钥。
MACsec说明
MACsec相关的概念如下:
概念 | 说明 |
CKN(Connectivity Association Key Name) | 安全连接关联密钥名称,用于唯一标识CAK。CKN帮助MACsec密钥协议(MKA)参与者选择正确的CAK进行密钥协商。 |
CAK(Connectivity Association Key) | 安全连接关联密钥,用于MACsec控制平面通信。CAK不直接用于数据加密,而是作为派生数据加密密钥(SAK)的基础。 |
SAK(Secure Association Key) | 安全关联密钥,用于实际的数据加密和解密。SAK由系统通过加密密钥生成过程从CKN/CAK对自动派生而来,并定期重新生成。 |
MKA(MACsec Key Agreement) | MACsec密钥协商协议,负责MACsec安全通道的建立、管理以及密钥的协商。 |
MACsec支持的加密算法包括:
GCM-AES-128
GCM-AES-XPN-128
GCM-AES-256
GCM-AES-XPN-256
建议高带宽链路使用GCM-AES-XPN-256加密算法,以避免控制平面过载导致的数据包丢失。
关联密钥
请确保目标物理端口在创建时开启了MACsec能力。
单击目标物理端口实例ID进入详情页,切换到MACsec页签。
仅支持MACsec加密的物理端口才会显示此页签。如果您看不到这个页签,说明创建物理端口时未开启MACsec能力。
单击关联MACsec Keys,先选择加密算法,再手动输入连接关联密钥名称(CKN)和连接关联密钥(CAK)。CKN和CAK均必须为十六进制字符(0-9、A-F)的字符串:
GCM-AES-128 和 GCM-AES-XPN-128 算法,MACsec密钥需要设置32个十六进制字符(128位)。
GCM-AES-256 和 GCM-AES-XPN-256 算法,MACsec密钥需要设置64个十六进制字符(256位)。
单击确定。添加成功后,系统将自动使用最新添加的密钥发起MKA协商。密钥状态说明如下:
关联中:MACsec密钥正在与物理专线进行验证和协商。
已关联:MACsec密钥已验证通过并成功关联到物理专线。
关联失败:MACsec密钥验证失败,未能关联到物理专线。您可以单击重新关联重新发起协商。
未关联:MACsec密钥已解除与物理专线的关联。
密钥轮转
MACsec支持密钥轮转,最多可存储三对CKN/CAK密钥,允许您手动轮换密钥而不中断连接。
密钥按照添加的时间的降序排序,最新添加的MACsec Keys 排在最上面。
关联新的CKN/CAK对时,系统将自动使用最新添加的密钥发起协商。请确保客户侧设备同步配置相同的密钥对。
如果最新密钥协商失败,系统将自动回退到上一条生效的密钥继续加密;若只有1条密钥且协商失败,则通信失败。
对已关联或关联失败的密钥发起取消关联后,系统将自动使用时间戳更近的下一条密钥进行协商。
只支持删除未关联状态的密钥。
本地路由器MACsec配置参考
在阿里云侧配置MACsec密钥后,您还需要在本地路由器上进行相应的MACsec配置。请参阅路由器供应商的文档,在路由器上参考配置以下参数:
参数 | 说明 |
MACsec加密算法 | 加密算法需要与云上一致。 |
CAK加密算法 | AES_256_CMAC |
CKN/CAK | 与阿里云侧配置的CKN/CAK密钥对保持一致。 |
安全信道标识符(SCI) | 必须启用。 |
为避免流量中断,建议在本地路由器完成MACsec配置后,再在阿里云控制台添加MACsec密钥发起协商。
MACsec限制
当前MACsec只支持强制加密(must_encrypt)模式:若阿里云侧和客户CPE侧密钥协商失败,则网络中断,无法互通。
存量不具备MACsec能力的端口无法直接开启MACsec,只能在新建物理端口时开启。
每个物理端口最多绑定3组MACsec密钥。
密钥格式必须使用十六进制字符(0-9、A-F),CKN和CAK的长度均为32个(加密算法是128位)或64个(加密算法是256位)字符。
安全通道标识符(SCI)是必需的,且必须启用,此设置无法调整。
不支持将IEEE 802.1Q(Dot1q/VLAN)标签移出加密有效负载。
MACsec属性跟随物理端口,VBR上无法单独查询或关闭MACsec。