Inicio · Documentación · Tecnología · MACsec

MACsec: cifrado de capa 2 para redes de transporte

IEEE 802.1AE MACsec le ofrece cifrado a velocidad de cable para cada trama Ethernet entre dos routers: sin la sobrecarga de un túnel IPsec, sin juegos de MTU y sin cuellos de botella de software. OcNOS implementa MACsec con AES-GCM de 256 bits, gestión de claves EAPoL-MKA y rekey sin interrupciones en plataformas 100G y 400G validadas.

Salto cifrado entre dos routers OcNOS

Un enlace MACsec punto a punto entre dos routers PE. Cada trama se encapsula con un SecTAG, un ICV y un número de paquete; el cifrado AES-GCM 256 se ejecuta en el ASIC a velocidad de línea, con EAPoL-MKA negociando las SAKs en el plano de control.

Enlace punto a punto cifrado con MACsec AES-GCM 256 entre routers OcNOS Dos routers OcNOS conectados por un único enlace punto a punto. El enlace se encapsula en un túnel cifrado MACsec mediante AES-GCM 256, con EAPoL-MKA negociando las Secure Association Keys (SAKs) e iconos de llave que indican los Secure Channels por dirección. AES-GCM 256 · 802.1AE ENCRYPTED FRAMES PE-A · OcNOS EAPoL-MKA CAK · CKN PE-B · OcNOS EAPoL-MKA CAK · CKN SAK SAK Customer-A Customer-B 802.1AE · AES-GCM 256 · MKA · HITLESS REKEY · LINE RATE

Por qué MACsec para redes de transporte

Los operadores que transportan tráfico multiusuario sobre fibra arrendada, onda oscura o infraestructura metropolitana compartida necesitan cada vez más cifrado en cada salto, no solo en la capa IP. MACsec envuelve cada trama Ethernet en un SecTAG y un valor de comprobación de integridad (ICV), con el cifrado ejecutándose en el ASIC a velocidad de línea. No hay penalización de MTU más allá de los ~32 bytes de sobrecarga de MACsec, ningún cuello de botella de software ni estado de túnel por flujo: solo un salto cifrado.

La implementación de MACsec de OcNOS

Suites de cifrado

AES-GCM 128 / 256

Se admiten tanto los conjuntos de cifrado GCM-AES-128 como GCM-AES-256, con numeración de paquetes extendida (XPN) para enlaces de alto ancho de banda, a fin de evitar la rotación prematura de la SA.

Gestión de claves

EAPoL-MKA + PSK

CAK precompartida con negociación de SAKs mediante EAPoL-MKA. Los pares CKN/CAK rotan según un calendario configurable sin requerir intervención del operador.

Recambio de claves sin interrupción

Rotación sin pérdidas

La rotación de SAK ocurre en banda sin pérdida de paquetes mediante asociaciones de recepción solapadas. Vuelva a generar claves por tiempo, por conteo de paquetes o por activación del operador.

Plataformas validadas

Velocidad de línea 100G / 400G

MACsec validado en plataformas UfiSpace, Edgecore y Wedge con cifrado por puerto a la tasa plena del enlace: sin límite agregado, sin restricciones por grupo de puertos.

Modo por puerto

Habilitación selectiva

Habilite MACsec por puerto físico o por canal; combine puertos cifrados y en texto claro en el mismo chasis para adaptarse a despliegues híbridos.

Telemetría

Contadores + estado

Sensores gNMI para contadores SecY, estado de participante MKA, marcas máximas de número de paquete y fallos de ICV: suficiente para alertar antes de que expire una clave.

Garantías operativas con OcNOS MACsec

  • Standards-aligned. IEEE 802.1AE-2018 completo más 802.1X-2020 MKA, interoperable con las implementaciones de los principales proveedores en el enlace.
  • Sin juegos de desbloqueo por licencia. MACsec se incluye en la imagen base de OcNOS-SP en las plataformas compatibles; sin un impuesto de licencia de cifrado por puerto.
  • Actualizaciones de software sin interrupciones. El ISSU en los chasis compatibles preserva las sesiones MACsec a lo largo de las actualizaciones del NOS. El cifrado se mantiene activo.
  • Operaciones maduras. Rutas de configuración por CLI, NETCONF y gNMI; compatibles con ZTP para el aprovisionamiento de Día 0 de pares CKN/CAK.
Underlay SR-MPLS EVPN-VXLAN BGP OcNOS-SP product page

¿Está diseñando una red de transporte cifrada? Hable con un arquitecto de red.

Solicite una demostración técnica →
References

MACsec references & further reading