专线接入 MACsec 加密

什么是 MACsec
MACsec（Media Access Control Security，媒体访问控制安全）是一种基于二层以太网链路的数据安全加密技术，属于 IEEE 802.1AE 标准。它通过对以太网帧进行逐跳加密和完整性保护，在物理链路层实现端到端的安全传输，有效防范数据窃听、篡改和伪造攻击。MACsec 为保障专线安全传输的核心技术。
技术原理
1. 加密与认证机制
MACsec 采用 GCM-AES （Galois/Counter Mode - Advanced Encryption Standard）算法实现加密和完整性保护：
AES 加密：支持128位或256位密钥长度，提供高强度的数据加密。
GCM 认证：在加密的同时生成认证标签（MAC），确保数据完整性。
特性
GCM-AES-128
GCM-AES-256
GCM-AES-XPN-256
加密算法
AES-128（128位密钥）
AES-256（256位密钥）
AES-256（256位密钥）
密钥长度
128位（16字节）
256位（32字节）
256位（32字节）
完整性保护
GCM（Galois/Counter Mode）
GCM
GCM
数据包编号（PN） 
32位（易回绕）
32位（易回绕）
64位（支持超高速链路）
安全性
高（128位密钥）
极高（256位密钥）
极高（256位密钥+64位 PN 防回绕）
适用带宽
≤10Gbps
≤100Gbps
≥100Gbps
适用场景
中低安全需求、满足基础需求
高安全需求（金融、政府）
超高速链路、长期加密会话（数据中心）
2. 密钥管理体系
MACsec 的密钥管理依赖以下核心组件：
 CAK（Connectivity Association Key） ：核心密钥，用于派生实际加密密钥（SAK）。需通过安全方式（如线下、KMS）在通信两端预共享。
 CKN（Connectivity Association Key Name） ：CAK 的逻辑名称，用于标识和绑定 CAK，避免直接暴露密钥。
 SAK（Secure Association Key） ：由 CAK 动态派生的实际加密密钥，定期更新以增强安全性。
3. 扩展功能：XPN（Extended Packet Number） 
解决传统32位数据包编号（PN）在高速链路中的回绕问题。支持64位 PN，适用于 100Gbps 及以上带宽的专线场景。
应用优势
1. 专线安全的天然补充
传统专线（如 MPLS、裸光纤）提供物理隔离，但缺乏数据加密。MACsec 在二层实现加密，与专线形成“物理隔离+数据加密”的双重保障。
典型应用场景：
金融行业：银行总行与分行之间的资金数据传输。
政府机构：跨地域政务系统的数据互通。
企业互联：跨国企业的总部与分支机构间的敏感数据传输。
2. 与 IPSec 的对比优势
特性
MACsec
IPSec
加密层级
二层（以太网帧）
三层（IP 报文）
部署位置
交换机、路由器等二层设备
路由器、防火墙等三层设备
性能开销
低（硬件加速支持）
较高（依赖 CPU 处理）
兼容性
需两端设备支持 MACsec
广泛支持，兼容所有 IP 网络
适用场景
点对点专线、数据中心互联
跨网络、跨运营商的复杂路径传输
选择建议：
若需端到端加密且路径复杂（如跨运营商），选择 IPSec。
若为专用物理专线且追求高性能，优先选择 MACsec。
操作步骤
1. 开启 MACsec
支持客户在新建端口阶段选择开启端口的 MACsec 能力。
说明：目前 MACsec 能力可以支持 10G、40G、100G 物理端口，且目前支持中国香港等部分地域，其他端口和地域需求可提交工单。
﻿
2. MACsec 配置：
①客户对端设备配置
客户需先在对端本地路由器设备上完成 MACsec 配置并开启。同时可记录关键信息，如 CKN、CAK，便于检查两端配置。
腾讯云侧指导默认配置数值建议如下（具体以协议层最终协商为准）：
参数
描述
CKN 长度
这是一个 64 十六进制字符（0-9，A-E）字符串。
10G专线支持32位十六进制字符；40G、100G 专线支持64位十六进制字符。
CAK 长度
这是一个 64 十六进制字符（0-9，A-E）字符串。
10G专线支持32位十六进制字符；40G、100G 专线支持64位十六进制字符。
加密套件
10G：GCM-AES-128
40G、100G：GCM-AES-XPN-256、GCM-AES-256
密钥服务器优先级
0
加密偏移
0
完整性检查 ICV 指示符
是
安全关联密钥（CAK）密钥更新间隔
PN Rollover
窗口大小
0
②云侧新建密钥
线路就绪后，您可以进入线路详情页，在 MACsec 子页面，点击新建密钥对密钥名称、连接关联密钥名称（CKN）、连接关联密钥（CAK）参数进行输入。
输入时，请客户关注 CKN、CAK 的输入，需保证本端配置与对端交换机配置相同。点击确定后对新建密钥进行保存，点击取消则退出新建。
﻿
③云侧 MACsec 配置
MACsec 配置默认自动关闭，客户可开启进行 MACsec 配置，客户可以选择已经创建好的密钥进行关联，模式为强制加密，加密套件可以根据端口速率、业务安全性等需求进行选择。点击确定完成配置。
10G 端口加密套件：GCM-AES-128
40G、100G 端口加密套件：GCM-AES-256、GCM-AES-XPN-256
﻿
完成密钥与 MACsec 关联后，客户可以查看 MACsec 配置情况。
﻿
④ 验证配置
验证方式1：客户可以在对端路由器上查看 MACsec 状态和加密情况；
验证方式2：在本端做 ping 探测
注意事项
密钥管理安全：CAK 必须通过安全渠道分发，避免泄露。
兼容性测试：跨厂商设备需验证 MACsec 兼容性（如是否支持 XPN）。
与现有网络协同：确保 MACsec 不影响路由协议（如 OSPF、BGP）的正常运行。

特性	GCM-AES-128	GCM-AES-256	GCM-AES-XPN-256
加密算法	AES-128（128位密钥）	AES-256（256位密钥）	AES-256（256位密钥）
密钥长度	128位（16字节）	256位（32字节）	256位（32字节）
完整性保护	GCM（Galois/Counter Mode）	GCM	GCM
数据包编号（PN）	32位（易回绕）	32位（易回绕）	64位（支持超高速链路）
安全性	高（128位密钥）	极高（256位密钥）	极高（256位密钥+64位 PN 防回绕）
适用带宽	≤10Gbps	≤100Gbps	≥100Gbps
适用场景	中低安全需求、满足基础需求	高安全需求（金融、政府）	超高速链路、长期加密会话（数据中心）

特性	MACsec	IPSec
加密层级	二层（以太网帧）	三层（IP 报文）
部署位置	交换机、路由器等二层设备	路由器、防火墙等三层设备
性能开销	低（硬件加速支持）	较高（依赖 CPU 处理）
兼容性	需两端设备支持 MACsec	广泛支持，兼容所有 IP 网络
适用场景	点对点专线、数据中心互联	跨网络、跨运营商的复杂路径传输

参数	描述
CKN 长度	这是一个 64 十六进制字符（0-9，A-E）字符串。 10G专线支持32位十六进制字符；40G、100G 专线支持64位十六进制字符。
CAK 长度	这是一个 64 十六进制字符（0-9，A-E）字符串。 10G专线支持32位十六进制字符；40G、100G 专线支持64位十六进制字符。
加密套件	10G：GCM-AES-128 40G、100G：GCM-AES-XPN-256、GCM-AES-256
密钥服务器优先级	0
加密偏移	0
完整性检查 ICV 指示符	是
安全关联密钥（CAK）密钥更新间隔	PN Rollover
窗口大小	0

MACsec 加密

本页目录：

什么是 MACsec

技术原理

应用优势

操作步骤

注意事项