action.skip
Megaport Documentation
MACsec
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Verwendung von MACsec mit Megaport

MACsecMedia Access Control Security (MACsec) ist ein Sicherheitsprotokoll, das den Datenverkehr zwischen über Ethernet verbundenen Geräten verschlüsselt. Das MACsec-Protokoll ist durch den IEEE-Standard 802.1ae definiert. Wenn MACsec aktiviert ist, wird nach dem Austausch und der Verifizierung der Sicherheitsschlüssel zwischen den beiden verbundenen Geräten ein sicherer bidirektionaler Link hergestellt. Eine Kombination aus Datenintegritätsprüfungen und Verschlüsselung wird verwendet, um die übertragenen Daten zu schützen.
 verschlüsselt Traffic auf der Ethernet-Schicht zwischen Geräten, die über einen Layer-2-Pfad verbunden sind, und wird häufig in Hardware implementiert. Der Einsatz dedizierter Hardware bedeutet, dass MACsec bei starker Sicherheit die Leistung mit Leitungsgeschwindigkeit aufrechterhalten kann. Dadurch eignet es sich für Umgebungen, die hohen Durchsatz erfordern, wie Rechenzentren und High-Performance-Computing-Netzwerke.

Verwendung von getaggten oder ungetaggten VXCs

MACsec-verschlüsselter Traffic kann transparent über ungetaggte VXCs oder über getaggte VXCs übertragen werden, wenn das VLAN nicht verschlüsselt ist.
Einige Geräte unterstützen keine unverschlüsselten VLANs. Prüfen Sie, ob die von Ihnen verwendeten Geräte unverschlüsselte VLANs unterstützen, auch bekannt als 802.1QIEEE 802.1Q ist der Netzwerkstandard, der virtuelle LANs (VLANs) in einem Ethernet-Netzwerk unterstützt. Der Standard definiert ein System zum VLAN-Tagging für Ethernet-Frames sowie die begleitenden Verfahren, die von Bridges und Switches beim Umgang mit solchen Frames verwendet werden. Auch informell als dot1q bekannt.
 Clear-Tag-Modus, bevor Sie MACsec-verschlüsselten Traffic über getaggte VXCs verwenden.

Hinweis

Die meisten Cloud Service Provider (CSP) unterstützen MACsec ab 10 Gbit/s (10 Gbit/s oder 100 Gbit/s). Prüfen Sie dies bei Ihrem Cloud Service Provider. Megaport unterstützt sowohl 10 Gbit/s als auch 100 Gbit/s.

Erstellen einer Kunde-zu-Kunde-Verbindung mit Megaport und MACsec

Sie können mit Megaport Services eine MACsec-Verbindung zwischen zwei Ihrer eigenen Geräte nutzen.

Voraussetzungen

Zum Erstellen einer MACsec-verschlüsselten Verbindung zwischen zwei Ihrer eigenen Geräte benötigen Sie:

  • MACsec-fähige Kundengeräte, z. B. einen Switch oder Router, an jedem Ende.
  • Zwei Megaport Ports.
    • Einer an einem Standort, an dem Sie einen physischen Cross Connect zu Ihrem ersten MACsec-fähigen Gerät erstellen können.
    • Einer an einem Standort, an dem Sie einen physischen Cross Connect zu Ihrem zweiten MACsec-fähigen Gerät erstellen können.

So erstellen Sie eine verschlüsselte Kunde-zu-Kunde-Verbindung

  1. Stellen Sie von Ihrem ersten MACsec-fähigen Gerät eine physische Verbindung zum ersten Port her.
  2. Stellen Sie von Ihrem zweiten MACsec-fähigen Gerät eine physische Verbindung zum zweiten Port her
  3. Erstellen Sie einen getaggten oder ungetaggten VXC zwischen Ihrem ersten und zweiten Port. Weitere Informationen finden Sie unter Verwendung von getaggten oder ungetaggten VXCs.
  4. Konfigurieren Sie MACsec auf Ihren Geräten, auf den mit Megaport verbundenen Schnittstellen.

Die Verbindung ist zwischen Ihren Geräten per MACsec verschlüsselt.

MACsec Kunde-zu-Kunde-Diagramm. Dieses Bild zeigt den Aufbau einer MACsec-Verschlüsselungsverbindung vom Kunden mit einem MACsec-fähigen Switch über eine physische Verbindung zu einem Megaport Port. Diese ist über einen Virtual Cross Connect (VXC) mit einem weiteren Megaport Port verbunden. Der zweite Megaport Port ist über eine physische Verbindung mit dem zweiten MACsec-fähigen Switch des Kunden verbunden.

Erstellen einer Kunde-zu-Cloud-Verbindung mit Megaport und MACsec

Mit den Megaport Services können Sie eine MACsec-Verbindung zwischen Ihrem Gerät und einem CSP nutzen.

Voraussetzungen

Zum Erstellen einer MACsec-verschlüsselten Verbindung vom Kunden zur Cloud benötigen Sie:

  • MACsec-fähige Kundengeräte, z. B. einen Switch oder Router.
  • Zwei Megaport Ports.
    • Einer an einem Standort, an dem Sie einen physischen Cross Connect zu Ihrem MACsec-fähigen Router erstellen können.
    • Einer an einem Standort, an dem Sie einen physischen Cross Connect zum Cloud-Onramp erstellen können.
  • Einen dedizierten Verbindungsservice Ihres Cloud-Anbieters. Zum Beispiel AWS Dedicated Direct Connect oder ExpressRoute Direct.

So erstellen Sie eine verschlüsselte Kunde-zu-Cloud-Verbindung

  1. Stellen Sie von Ihrem MACsec-fähigen Gerät einen physischen Cross Connect zum ersten Megaport Port her.
  2. Erstellen Sie eine physische Verbindung vom zweiten Port zum CSP-Onramp, in diesem Fall ExpressRoute. Für diesen Schritt müssen Sie Ihr Megaport Account-Team kontaktieren.
  3. Erstellen Sie einen getaggten oder ungetaggten VXC zwischen Ihrem ersten und zweiten Port. Weitere Informationen finden Sie unter Verwendung von getaggten oder ungetaggten VXCs.
  4. Konfigurieren Sie MACsec im CSP-Service und auf Ihrem Gerät.

Die Verbindung ist vom MACsec-fähigen Router bis hin zum ExpressRoute Direct Circuit per MACsec verschlüsselt.

MACsec Kunde-zu-Kunde-Diagramm. Dieses Bild zeigt den Aufbau einer MACsec-Verschlüsselungsverbindung vom Kunden mit einem MACsec-fähigen Switch über eine physische Verbindung zu einem Megaport Port. Diese ist über einen Virtual Cross Connect (VXC) mit einem weiteren Megaport Port verbunden. Der zweite Megaport Port ist über eine physische Verbindung mit einer ExpressRoute Direct Verbindung verbunden.

Erstellen einer Cloud-zu-Cloud-Verbindung mit Megaport und MACsec

Mit den Megaport Services können Sie eine MACsec-Verbindung zwischen Cloud-Providern nutzen.

Voraussetzungen

Bevor Sie eine MACsec-verschlüsselte Verbindung von Cloud zu Cloud erstellen, benötigen Sie:

  • Dedizierte Verbindungsservices Ihrer Cloud-Provider. Zum Beispiel AWS Direct Connect oder ExpressRoute Direct.
  • Zwei Megaport Ports.
    • Einer an einem Standort, an dem Sie einen physischen Cross Connect zu Ihrer ersten Cloud-Verbindung erstellen können.
    • Einer an einem Standort, an dem Sie einen physischen Cross Connect zu Ihrer zweiten Cloud-Verbindung erstellen können.

So erstellen Sie eine verschlüsselte Cloud-zu-Cloud-Verbindung

Dieses Beispiel beschreibt eine MACsec-Verbindung von AWS Direct Connect zu Azure ExpressRoute.

  1. Erstellen Sie eine physische Verbindung von Ihrem dedizierten AWS Direct Connect zu Ihrem ersten Megaport Port. Für diesen Schritt müssen Sie Ihr Megaport Account-Team kontaktieren.

  2. Erstellen Sie eine physische Verbindung von Ihrem zweiten Megaport Port zu Ihrem Azure ExpressRoute Direct. Für diesen Schritt müssen Sie Ihr Megaport Account-Team kontaktieren.

  3. Erstellen Sie einen getaggten oder ungetaggten VXC zur Verbindung Ihrer Ports.
    Weitere Informationen finden Sie unter Verwendung von getaggten oder ungetaggten VXCs.

Die MACsec-verschlüsselte Verbindung bleibt vom dedizierten Direct Connect bis zum ExpressRoute Direct Circuit bestehen.

MACsec Cloud-zu-Cloud-Diagramm. Dieses Bild zeigt den Aufbau einer MACsec-Verschlüsselungsverbindung von einem dedizierten AWS Direct Connect über eine physische Verbindung zu einem Megaport Port. Diese ist über einen Virtual Cross Connect (VXC) mit einem weiteren Megaport Port verbunden. Der zweite Megaport Port ist über eine physische Verbindung mit einer ExpressRoute Direct Verbindung verbunden.

Hilfreiche Referenzen