跳转至
Megaport 技术文档
MACsec
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

在 Megaport 中使用 MACsec

MACsec媒体访问控制安全(MACsec)是一种安全协议,用于对通过以太网连接的设备之间的数据流量进行加密。MACsec 协议由 IEEE 标准 802.1ae 定义。启用 MACsec 后,在两台已连接的设备之间交换并验证安全密钥后,将建立一个双向安全链路。通过结合数据完整性校验和加密来保护传输的数据。
 在通过第 2 层路径互连的设备之间的以太网层对流量进行加密,并且通常以硬件方式实现。使用专用硬件意味着 MACsec 能在提供强大安全性的同时保持线速性能。因此,它适用于需要高吞吐量的环境,例如数据中心和高性能计算网络。

使用带标签或不带标签的 VXC

MACsec 加密的流量可以透明地承载在不带标签的 VXC 上,或者当 VLAN 未加密时承载在带标签的 VXC 上。
某些设备不支持未加密的 VLAN。在通过带标签的 VXC 承载 MACsec 加密流量之前,请检查您所用设备是否支持未加密的 VLAN(也称为 802.1QIEEE 802.1Q 是一项网络标准,用于在以太网中支持虚拟局域网(VLAN)。该标准定义了以太网帧的 VLAN 标记机制,以及网桥和交换机在处理此类帧时应使用的配套流程。也常被非正式地称为 dot1q
 clear tag 模式)。

注意

大多数云服务提供商(CSP)支持从 10 Gbps 起的 MACsec(10 Gbps 或 100 Gbps)。请咨询您的云服务提供商。Megaport 同时支持 10 Gbps 和 100 Gbps 选项。

创建客户到客户的加密连接

您可以使用 Megaport 服务,在您自己的两台设备之间建立 MACsec 连接。

先决条件

要在您自己的两台设备之间创建 MACsec 加密链路,您需要:

  • 支持 MACsec 的客户设备,例如每端各一台交换机或路由器。
  • 两个 Megaport Port。
    • 其中一个位于可与您的第一台支持 MACsec 的设备建立物理交叉连接的位置。
    • 另一个位于可与您的第二台支持 MACsec 的设备建立物理交叉连接的位置。

创建客户到客户加密连接

  1. 从您的第一台支持 MACsec 的设备,建立到第一个 Port 的物理连接。
  2. 从您的第二台支持 MACsec 的设备,建立到第二个 Port 的物理连接
  3. 创建一个不带标签的 VXC,将第一个 Port 连接到第二个 Port。有关详细信息,请参见 使用带标签或不带标签的 VXC
  4. 在连接到 Megaport 的接口上,为您的设备配置 MACsec。

该连接将在您的设备之间通过 MACsec 加密

MACsec 客户到客户示意图。此图展示了从具备 MACsec 功能的客户交换机,经由物理连接到一个 Megaport Port 的 MACsec 加密连接结构。该 Port 通过一个 Virtual Cross Connect (VXC) 连接到另一个 Megaport Port。第二个 Megaport Port 通过物理连接接入客户的第二台具备 MACsec 功能的交换机。

创建客户到云的加密连接

您可以使用 Megaport 服务,在您的设备与 CSP 之间建立 MACsec 连接。

先决条件

要创建从客户到云的 MACsec 加密链路,您需要:

  • 支持 MACsec 的客户设备,例如交换机或路由器。
  • 两个 Megaport Port。
    • 其中一个位于可与您的支持 MACsec 的路由器建立物理交叉连接的位置。
    • 另一个位于可与云 onramp 建立物理交叉连接的位置。
  • 一项来自您的云提供商的专用连接服务。例如,AWS Dedicated Direct Connect 或 ExpressRoute Direct。

创建客户到云加密连接

  1. 从支持 MACsec 的设备,建立到第一个 Megaport Port 的物理交叉连接。
  2. 将第二个 Port 通过物理连接接入 CSP onramp,本例中为 ExpressRoute。对于此步骤,您需要联系 Megaport 账户团队。
  3. 创建一个不带标签的 VXC,将第一个 Port 连接到第二个 Port。有关详细信息,请参见 使用带标签或不带标签的 VXC
  4. 在 CSP 服务和您的设备上配置 MACsec。

该连接将从支持 MACsec 的路由器一直到 ExpressRoute Direct 电路均采用 MACsec 加密

MACsec 客户到客户示意图。此图展示了从具备 MACsec 功能的客户交换机,经由物理连接到一个 Megaport Port 的 MACsec 加密连接结构。该 Port 通过一个 Virtual Cross Connect (VXC) 连接到另一个 Megaport Port。第二个 Megaport Port 通过物理连接接入一个 ExpressRoute Direct 连接。

创建云到云的加密连接

您可以使用 Megaport 服务,在云提供商之间建立 MACsec 连接。

先决条件

在创建云到云的 MACsec 加密链路之前,您需要:

  • 来自云提供商的专用连接服务。例如,AWS Direct Connect 或 ExpressRoute Direct。
  • 两个 Megaport Port。
    • 其中一个位于可与您的第一个云连接建立物理交叉连接的位置。
    • 另一个位于可与您的第二个云连接建立物理交叉连接的位置。

创建云到云加密连接

本示例描述了从 AWS Direct Connect 到 Azure ExpressRoute 的 MACsec 连接。

  1. 将您的专用 AWS Direct Connect 通过物理连接接入第一个 Megaport Port。对于此步骤,您需要联系 Megaport 账户团队。

  2. 将第二个 Megaport Port 通过物理连接接入您的 Azure ExpressRoute Direct。对于此步骤,您需要联系 Megaport 账户团队。

  3. 创建一个带标签或不带标签的 VXC 来连接您的 Port。
    有关详细信息,请参见 使用带标签或不带标签的 VXC

MACsec 加密连接将持续从专用 Direct Connect 贯通至 ExpressRoute Direct 电路。

MACsec 云到云示意图。此图展示了从专用 AWS Direct Connect 经由物理连接到一个 Megaport Port 的 MACsec 加密连接结构。该 Port 通过一个 Virtual Cross Connect (VXC) 连接到另一个 Megaport Port。第二个 Megaport Port 通过物理连接接入一个 ExpressRoute Direct 连接。

实用参考