c是什么

什么是MACc功能？有什么作⽤？

什么是MACc功能？有什么作⽤？

⽬录

问题描述

解决⽅案

问题描述

Q:什么是MACc功能?有什么作⽤?

解决⽅案

A:MACc(MediaAccessControlSecurity)是基于802.1AE和802.1X协议的局域⽹上的安全通信⽅法。它通过⾝份认证、数据加

密、完整性校验、重播保护等功能保证以太⽹数据帧的安全性,防⽌设备处理有安全威胁的报⽂。

⼀般情况下,绝⼤部分数据在局域⽹链路中都是明⽂传输的,这样就会存在许多安全隐患,⽐如:银⾏帐户的信息被窃取、篡改,遭受恶意⽹络攻击

等。⽹络中部署MACc后,可对传输的以太⽹数据帧进⾏保护,降低信息泄漏和遭受恶意⽹络攻击的风险。

MACc从以下⼏个⽅⾯保障了⽤户业务数据在局域⽹中的安全传输:

1、⾝份认证:该功能设备暂未实现。

2、数据加密:发送⽅对数据进⾏加密,数据以密⽂的形式在局域⽹链路上传输,接收⽅对接收的加密数据解密后再进⾏其他处理。

3、完整性校验:接收⽅对接收的数据进⾏完整性校验,以判定数据是否被篡改。发送⽅根据整个数据报⽂和加密算法计算出完整性校验值

ICV(IntegrityCheckValue),附加在报⽂后,接收⽅收到报⽂后根据除去ICV部分的数据报⽂和相同的加密算法计算出ICV,同报⽂中的ICV⽐

较。若⼆者相同,则认为报⽂完整,校验通过;否则,丢弃报⽂。

4、重播保护:为防⽌恶意⽤户通过重复发送捕获到的数据报⽂进⾏⽹络攻击,缺省情况下,接收⽅会丢弃旧的或重复的数据报⽂。数据报⽂在

⽹络中传输时,可能出现报⽂顺序的重排。重播保护机制允许数据帧有⼀定的乱序,这些乱序的报⽂在⽤户指定的窗⼝范围内可以被合法接收,

超出窗⼝的报⽂会被丢弃。假设配置的重播保护窗⼝⼤⼩为a,如果接收到了⼀个报⽂序号为x的报⽂,则下⼀个允许被接收的报⽂的序号必须

⼤于或等于x+1-a。

配置点到点的MACc⽰例

组⽹需求

如图所⽰,SwitchA和SwitchB相连,两台设备之间传输重要信息,要求对两台设备之间的数据通信进⾏安全保护。

配置思路

两端设备配置MACc功能时,进⾏MKA会话协商,建⽴安全连接之前,需要配置相同的安全参数,配置思路如下:

1、配置密钥服务器优先级,此处设置SwitchA作为密钥服务器

2、配置MKA会话协商使⽤的参数如下：

CKN为f1c3b2a4d6d9a7c5b4e1ab56dc21ed79ac97be533671dcab2678ac55cf71aced,

CAK为ab2145369adcadef69512347adceb210

3、配置加密模式为normal,实现数据加密和完整性校验功能。

操作步骤

1、配置SwitchA。

开启MACc功能。

system-view

[HUAWEI]sysnameSwitchA

[SwitchA]interfacegigabitethernet1/1/1

[SwitchA-GigabitEthernet1/1/1]mkaenable

配置SwitchA的密钥服务器优先级为1，配置CKN和CAK（此处统⼀⽤XXXX代替）

[SwitchA-GigabitEthernet1/1/1]mkakeyrverpriority1

[SwitchA-GigabitEthernet1/1/1]mkacak-modestaticcknXXXXcakXXXX

[SwitchA-GigabitEthernet1/1/1]quit

2、配置SwitchB。

开启MACc功能。

system-view

[HUAWEI]sysnameSwitchB

[SwitchB]interfacegigabitethernet1/1/1

[SwitchB-GigabitEthernet1/1/1]mkaenable

配置SwitchB的密钥服务器优先级为2,配置CKN和CAK（此处统⼀⽤XXXX代替）

[SwitchB-GigabitEthernet1/1/1]mkakeyrverpriority2

[SwitchB-GigabitEthernet1/1/1]mkacak-modestaticcknXXXXcakXXXX

[SwitchB-GigabitEthernet1/1/1]quit

3、配置MACc加密模式为normal模式

配置SwitchA加密模式为normal模式。

[SwitchA]interfacegigabitethernet1/1/1

[SwitchA-GigabitEthernet1/1/1]maccmodenormal

[SwitchA-GigabitEthernet1/1/1]quit

配置SwitchB加密模式为normal模式。

[SwitchB]interfacegigabitethernet1/1/1

[SwitchB-GigabitEthernet1/1/1]maccmodenormal

[SwitchB-GigabitEthernet1/1/1]quit