MACsec: Layer-2-Verschlüsselung für Transportnetze

IEEE 802.1AE MACsec bietet Ihnen Wire-Speed-Verschlüsselung für jeden Ethernet-Frame zwischen zwei Routern: kein IPsec-Tunnel-Overhead, keine MTU-Spielereien, kein Software-Engpass. OcNOS implementiert MACsec mit 256-Bit-AES-GCM, EAPoL-MKA-Schlüsselverwaltung und unterbrechungsfreiem Rekey auf validierten 100G- und 400G-Plattformen.

Verschlüsselter Hop zwischen zwei OcNOS-Routern

Eine Punkt-zu-Punkt-MACsec-Verbindung zwischen zwei PE-Routern. Jeder Frame wird mit einem SecTAG, einem ICV und einer Packet Number gekapselt; die AES-GCM-256-Chiffre läuft im ASIC bei Line-Rate, während EAPoL-MKA die SAKs in der Control-Plane aushandelt.

MACsec-AES-GCM-256-verschlüsselte Punkt-zu-Punkt-Verbindung zwischen OcNOS-Routern Zwei OcNOS-Router, die über eine einzelne Punkt-zu-Punkt-Verbindung verbunden sind. Die Verbindung ist in einen MACsec-verschlüsselten Tunnel mit AES-GCM 256 gekapselt, wobei EAPoL-MKA die Secure Association Keys (SAKs) aushandelt und Schlüsselsymbole die Secure Channels je Richtung anzeigen. AES-GCM 256 · 802.1AE ENCRYPTED FRAMES PE-A · OcNOS EAPoL-MKA CAK · CKN PE-B · OcNOS EAPoL-MKA CAK · CKN SAK SAK Customer-A Customer-B 802.1AE · AES-GCM 256 · MKA · HITLESS REKEY · LINE RATE

Warum MACsec für Transportnetze

Betreiber, die Multi-Tenant-Traffic über angemietete Fasern, Dark Wave oder gemeinsam genutzte Metro-Infrastruktur transportieren, benötigen zunehmend Verschlüsselung an jedem Hop, nicht nur auf der IP-Ebene. MACsec kapselt jeden Ethernet-Frame in einen SecTAG und einen Integrity Check Value (ICV), wobei die Chiffre auf dem ASIC mit Line Rate läuft. Es gibt keinen MTU-Aufschlag über die rund 32 Byte MACsec-Overhead hinaus, keinen Software-Engpass und keinen Per-Flow-Tunnelstatus: lediglich einen verschlüsselten Hop.

Die MACsec-Implementierung von OcNOS

Cipher Suites

AES-GCM 128 / 256

Sowohl die GCM-AES-128- als auch die GCM-AES-256-Cipher-Suites werden unterstützt, mit Extended Packet Numbering (XPN) für Hochbandbreiten-Links, um vorzeitige SA-Rollovers zu vermeiden.

Key-Management

EAPoL-MKA + PSK

Pre-Shared CAK mit EAPoL-MKA-Aushandlung der SAKs. CKN/CAK-Paare rollieren nach einem konfigurierbaren Zeitplan, ohne dass ein Eingriff des Operators erforderlich ist.

Hitless Rekey

Verlustfreie Rotation

Die SAK-Rotation erfolgt In-Band ohne Paketverlust durch überlappende Receive Associations. Rekey nach Zeit, Paketzahl oder Operator-Trigger.

Qualifizierte Plattformen

100G / 400G Line Rate

Validierte MACsec auf UfiSpace-, Edgecore- und Wedge-Plattformen mit Per-Port-Verschlüsselung bei voller Link-Rate: keine aggregierte Obergrenze, keine Port-Group-Limits.

Per-Port-Modus

Selektive Aktivierung

Aktivieren Sie MACsec pro physischem Port oder pro Channel und mischen Sie verschlüsselte und unverschlüsselte Ports im selben Chassis, um hybride Deployments abzubilden.

Telemetrie

Counters + State

gNMI-Sensoren für SecY-Counter, MKA-Participant-State, Packet-Number-High-Watermarks und ICV-Failures: genug, um zu alarmieren, bevor ein Key abläuft.

Betriebsgarantien mit OcNOS MACsec

  • Standards-aligned. Vollständiges IEEE 802.1AE-2018 plus 802.1X-2020 MKA, interoperabel mit den Implementierungen großer Anbieter auf der Leitung.
  • Keine Lizenz-Freischaltspiele. MACsec ist im Basis-Image von OcNOS-SP auf unterstützten Plattformen enthalten; keine Verschlüsselungslizenz-Gebühr pro Port.
  • Unterbrechungsfreie Software-Upgrades. ISSU auf unterstützten Chassis erhält MACsec-Sitzungen über NOS-Upgrades hinweg. Die Verschlüsselung bleibt aktiv.
  • Ausgereifter Betrieb. Konfigurationspfade über CLI, NETCONF und gNMI; ZTP-freundlich für die Day-0-Provisionierung von CKN/CAK-Paaren.

Planen Sie ein verschlüsseltes Transportnetz? Sprechen Sie mit einem Netzwerkarchitekten.

Technische Demo anfragen →
References

MACsec references & further reading