검색

7.2. nmstatectl을 사용하여 MACsec 연결 구성

download PDF

선언적 방식으로 nmstatectl 유틸리티를 통해 MACsec을 사용하도록 이더넷 인터페이스를 구성할 수 있습니다. 예를 들어 YAML 파일에서 이더넷을 통해 연결된 두 호스트 간에 MACsec 연결을 가정하는 네트워크의 원하는 상태를 설명합니다. nmstatectl 유틸리티는 YAML 파일을 해석하고 호스트 전체에서 지속적이고 일관된 네트워크 구성을 배포합니다.

OSI(Open Systems Interconnection) 모델의 계층 2라고도 하는 링크 계층에서 통신 보안을 위해 MACsec 보안 표준을 사용하면 다음과 같은 주요 이점이 있습니다.

  • 계층 2에서 암호화하면 계층 7에서 개별 서비스를 암호화할 필요가 없습니다. 이렇게 하면 각 호스트의 각 끝점에 대해 많은 수의 인증서를 관리하는 것과 관련된 오버헤드가 줄어듭니다.
  • 라우터 및 스위치와 같이 직접 연결된 네트워크 장치 간의 지점 간 보안입니다.
  • 애플리케이션 및 상위 계층 프로토콜에 필요한 변경 사항이 없습니다.

사전 요구 사항

  • 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

절차

  1. MACsec을 구성하는 첫 번째 호스트에서 사전 공유 키에 대한 연결 연결 키(CAK) 및 연결 키 이름(CKN)을 생성합니다.

    1. 16바이트 16바이트 16진수 CAK를 생성합니다.

      # dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
      50b71a8ef0bd5751ea76de6d6c98c03a
    2. 32바이트 16진수 CKN을 생성합니다.

      # dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
      f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
  2. MACsec 연결을 통해 연결하려는 두 호스트에서 다음 단계를 완료합니다.

    1. 다음 설정으로 YAML 파일(예: create-macsec-connection.yml )을 생성합니다.

      ---
      routes:
        config:
        - destination: 0.0.0.0/0
          next-hop-interface: macsec0
          next-hop-address: 192.0.2.2
          table-id: 254
        - destination: 192.0.2.2/32
          next-hop-interface: macsec0
          next-hop-address: 0.0.0.0
          table-id: 254
      dns-resolver:
        config:
          search:
          - example.com
          server:
          - 192.0.2.200
          - 2001:db8:1::ffbb
      interfaces:
      - name: macsec0
        type: macsec
        state: up
        ipv4:
          enabled: true
          address:
          - ip: 192.0.2.1
            prefix-length: 32
        ipv6:
          enabled: true
          address:
          - ip: 2001:db8:1::1
            prefix-length: 64
        macsec:
          encrypt: true
          base-iface: enp0s1
          mka-cak: 50b71a8ef0bd5751ea76de6d6c98c03a
          mka-ckn: f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
          port: 0
          validation: strict
          send-sci: true
    2. mka-cakmka-ckn 매개변수의 이전 단계에서 생성된 CAK 및 CKN을 사용합니다. MACsec 보호 네트워크의 모든 호스트에서 값이 동일해야 합니다.
    3. 선택 사항: 동일한 YAML 구성 파일에서 다음 설정을 구성할 수도 있습니다.

      • /32 서브넷 마스크가 있는 정적 IPv4 주소 - 192.0.2.1
      • /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
      • IPv4 기본 게이트웨이 - 192.0.2.2
      • IPv4 DNS 서버 - 192.0.2.200
      • IPv6 DNS 서버 - 2001:db8:1::ffbb
      • DNS 검색 도메인 - example.com
  3. 시스템에 설정을 적용합니다.

    # nmstatectl apply create-macsec-connection.yml

검증

  1. 현재 상태를 YAML 형식으로 표시합니다.

    # nmstatectl show macsec0
  2. 트래픽이 암호화되었는지 확인합니다.

    # tcpdump -nn -i enp0s1
  3. 선택 사항: 암호화되지 않은 트래픽을 표시합니다.

    # tcpdump -nn -i macsec0
  4. MACsec 통계를 표시합니다.

    # ip macsec show
  5. 각 유형의 보호 유형에 대한 개별 카운터 표시: 무결성 전용 (encrypt off) 및 암호화 (encrypt on)

    # ip -s macsec show
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.