Home · Documentazione · Tecnologia · MACsec

MACsec: crittografia di livello 2 per le reti di transport

IEEE 802.1AE MACsec offre cifratura a wire-speed per ogni frame Ethernet tra due router: nessun overhead di tunnel IPsec, nessun gioco con l'MTU, nessun collo di bottiglia software. OcNOS implementa MACsec con AES-GCM a 256 bit, gestione delle chiavi EAPoL-MKA e rekey hitless su piattaforme 100G e 400G validate.

Hop cifrato tra due router OcNOS

Un link MACsec point-to-point tra due router PE. Ogni frame è incapsulato con un SecTAG, un ICV e un packet number; il cipher AES-GCM 256 gira nell'ASIC a line-rate, mentre EAPoL-MKA negozia le SAK nel control plane.

Collegamento point-to-point cifrato MACsec AES-GCM 256 tra router OcNOS Due router OcNOS collegati da un singolo link point-to-point. Il link è incapsulato in un tunnel crittografato MACsec che utilizza AES-GCM 256, con EAPoL-MKA che negozia le Secure Association Keys (SAK) e le icone delle chiavi indicano i Secure Channel per direzione. AES-GCM 256 · 802.1AE ENCRYPTED FRAMES PE-A · OcNOS EAPoL-MKA CAK · CKN PE-B · OcNOS EAPoL-MKA CAK · CKN SAK SAK Customer-A Customer-B 802.1AE · AES-GCM 256 · MKA · HITLESS REKEY · LINE RATE

Perché MACsec per le reti di trasporto

Gli operatori che trasportano traffico multi-tenant su fibra in affitto, dark wave o infrastruttura metro condivisa hanno sempre più bisogno di crittografia a ogni hop, non solo a livello IP. MACsec avvolge ogni frame Ethernet in un SecTAG e un integrity check value (ICV), con il cifrario che gira sull'ASIC a line rate. Non c'è alcuna penalità di MTU oltre ai circa 32 byte di overhead MACsec, nessun collo di bottiglia software e nessuno stato di tunnel per flusso: solo un hop cifrato.

L'implementazione MACsec di OcNOS

Cipher Suites

AES-GCM 128 / 256

Sono supportate entrambe le cipher suite GCM-AES-128 e GCM-AES-256, con extended packet numbering (XPN) per i link ad alta banda, così da evitare un rollover prematuro delle SA.

Gestione delle chiavi

EAPoL-MKA + PSK

CAK pre-condivisa con negoziazione delle SAK tramite EAPoL-MKA. Le coppie CKN/CAK ruotano secondo una pianificazione configurabile, senza necessità di intervento da parte dell'operatore.

Rekey senza interruzioni

Rotazione senza perdite

La rotazione delle SAK avviene in-band senza perdita di pacchetti grazie alle receive association sovrapposte. Rekey in base al tempo, al conteggio dei pacchetti o all'attivazione da parte dell'operatore.

Piattaforme qualificate

Line rate 100G / 400G

MACsec validato su piattaforme UfiSpace, Edgecore e Wedge con cifratura per porta a piena velocità di link: nessun limite aggregato, nessun limite di gruppo di porte.

Modalità Per-Port

Abilitazione selettiva

Abiliti MACsec per porta fisica o per canale; combini porte cifrate e in chiaro sullo stesso chassis per adattarsi a deployment ibridi.

Telemetria

Contatori + stato

Sensori gNMI per i contatori SecY, lo stato dei partecipanti MKA, gli high-watermark dei packet number e i fallimenti ICV: sufficienti per allertare prima che una chiave scada.

Garanzie operative con OcNOS MACsec

  • Standards-aligned. IEEE 802.1AE-2018 completo più MKA 802.1X-2020, interoperabile sul cavo con le principali implementazioni dei vendor.
  • Nessun gioco di sblocco delle licenze. MACsec è incluso nell'immagine base OcNOS-SP sulle piattaforme supportate; nessuna tassa di licenza di crittografia per porta.
  • Upgrade software hitless. L'ISSU su chassis supportati preserva le sessioni MACsec attraverso gli upgrade del NOS. La cifratura resta attiva.
  • Operatività matura. Percorsi di configurazione CLI, NETCONF e gNMI; ZTP-friendly per il provisioning Day-0 delle coppie CKN/CAK.

Sta progettando una rete di trasporto cifrata? Parli con un architetto di rete.

Richiedi una Demo Tecnica →
References

MACsec references & further reading