10장. MACsec을 사용하여 동일한 물리적 네트워크에서 계층 2 트래픽 암호화

MACsec(Media Access Control Security)은 다음과 같이 이더넷 링크를 통해 다양한 트래픽 유형을 보호하는 계층 2 프로토콜입니다.

MACsec은 기본적으로 Cryostat-AES-128 알고리즘을 사용하여 LAN의 모든 트래픽을 암호화하고 인증하며 사전 공유 키를 사용하여 참가자 호스트 간 연결을 설정합니다. 사전 공유 키를 변경하려면 MACsec을 사용하는 모든 네트워크 호스트에서 NM 구성을 업데이트해야 합니다.

MACsec 연결은 이더넷 네트워크 카드, VLAN 또는 터널 장치와 같은 이더넷 장치를 상위로 사용합니다. 암호화된 연결을 사용하여 다른 호스트와만 통신하도록 MACsec 장치에서만 IP 구성을 설정하거나 상위 장치에 IP 구성을 설정할 수도 있습니다. 후자의 경우 상위 장치를 사용하여 암호화되지 않은 연결 및 암호화된 연결에 MACsec 장치를 사용하여 다른 호스트와 통신할 수 있습니다.

MACsec은 특별한 하드웨어가 필요하지 않습니다. 예를 들어 호스트와 스위치 간의 트래픽만 암호화하려는 경우를 제외하고 모든 스위치를 사용할 수 있습니다. 이 시나리오에서는 스위치도 MACsec을 지원해야 합니다.

즉, 두 가지 일반적인 시나리오에 대해 MACsec을 구성할 수 있습니다.

OSI(Open Systems Interconnection) 모델의 계층 2라고도 하는 링크 계층에서 통신 보안을 위해 MACsec 보안 표준을 사용하면 다음과 같은 주요 이점이 있습니다.