开始在专用连接上使用 MACsec - Amazon Direct Connect
MACsec 先决条件 服务相关角色MACsec 预共享 CKN/CAK 密钥注意事项 步骤 1:创建连接(可选)步骤 2:创建链接聚合组(LAG)步骤 3:将 CKN/CAK 与连接或 LAG 关联步骤 4:配置本地路由器步骤 5:(可选)删除 CKN/CAK 与连接或 LAG 之间的关联
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始在专用连接上使用 MACsec

以下任务可帮助您熟悉 Amazon Direct Connect 专用连接上的 MacSec。使用 MacSec 不收取任何额外费用。

在专用连接上配置 MacSec 之前,请注意以下几点:

  • 选定入网点的 10Gbps 和 100Gbps 专用 Direct Connect 连接支持 MACsec。对于这些连接,支持以下 MacSec 密码套件:

    • 对于 10Gbps 连接,请使用 GCM-AES-256 和 GCM-AES-XPN-256。

    • 对于 100 Gbps 的连接,请使用 GCM-AES-XPN-256。

  • 仅支持 256 位 MacSec 密钥。

  • 100Gbps 连接需要使用扩展数据包编号 (XPN)。对于 10Gbps 连接,Direct Connect 同时支持 GCM-AES-256 和 GCM-AES-XPN-256。高速连接(例如 100 Gbps 的专用连接)可能会很快耗尽 MacSec 最初的 32 位数据包编号空间,这将要求您每隔几分钟轮换一次加密密钥才能建立新的连接关联。为了避免这种情况,IEEE Std 802.1AEBW-2013修正案引入了扩展的数据包编号,将编号空间增加到64位,从而放宽了密钥轮换的及时性要求。

  • 安全通道标识符 (SCI) 是必填项,必须将其打开。此设置无法调整。

  • 不支持 IEEE 802.1Q (dot1q/VLAN) 标签偏移/dot1 q-in-clear 将VLAN标签移出加密有效负载。

有关 Direct Connect 和 MacSec 的更多信息,请参阅常见问题解答的 MacSec 部分。Amazon Direct Connect

MACsec 先决条件

在专用连接上配置 MACsec 之前,请完成以下任务。

  • 为 MACsec 密钥创建一个 CKN/CAK 对。

    您可以使用开放标准工具创建该对。该对必须满足 步骤 4:配置本地路由器 中指定的要求。

  • 确保连接端具有支持 MACsec 的设备。

  • 必须打开安全通道标识符 (SCI)。

  • 仅支持 256 位 MacSec 密钥,提供最新的高级数据保护。

服务相关角色

Amazon Direct Connect 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Amazon Direct Connect服务相关角色由服务预定义 Amazon Direct Connect ,包括该服务代表您调用其他 Amazon 服务所需的所有权限。服务相关角色使设置变得 Amazon Direct Connect 更加容易,因为您不必手动添加必要的权限。 Amazon Direct Connect 定义其服务相关角色的权限,除非另有定义,否则 Amazon Direct Connect 只能担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。有关更多信息,请参阅 Direct Connect 的服务相关角色

MACsec 预共享 CKN/CAK 密钥注意事项

Amazon Direct Connect 使用 Amazon 托管 CMK 作为与连接或 LAG 关联的预共享密钥。Secrets Manager 将您预共享的 CKN 和 CAK 对,存储为 Secrets Manager 根密钥加密的密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的 Amazon 托管 CMK

存储的密钥在设计上是只读的,但你可以使用 S Amazon ecrets Manager 控制台或 API 安排七到三十天的删除。当您计划删除时,无法读取 CKN,这可能会影响网络连接。发生这种情况时,我们会采用以下规则:

  • 如果连接处于待处理状态,我们会解除 CKN 与连接的关联。

  • 如果连接处于可用状态,我们会通过电子邮件通知连接所有者。如果您在 30 天内未采取任何行动,我们会解除 CKN 与连接的关联。

当我们解除最后一个 CKN 与连接的关联,并且连接加密模式设置为“必须加密”时,我们会将模式设置为“should_encrypt”,以防止突然丢包。

步骤 1:创建连接

要开始使用 MACsec,必须在创建专用连接时开启该功能。有关更多信息,请参阅 使用连接向导创建连接

(可选)步骤 2:创建链接聚合组(LAG)

如果您使用多个连接实现冗余,则可以创建支持 MACsec 的 LAG。有关更多信息,请参阅 MACsec 注意事项创建 LAG

步骤 3:将 CKN/CAK 与连接或 LAG 关联

创建支持 MACsec 的连接或 LAG 后,需要将 CKN/CAK 与连接关联。有关更多信息,请参阅以下章节之一:

步骤 4:配置本地路由器

使用 MACsec 密钥更新您的本地路由器。本地路由器上和该 Amazon Direct Connect 位置的 MacSec 密钥必须匹配。有关更多信息,请参阅 下载路由器配置文件

步骤 5:(可选)删除 CKN/CAK 与连接或 LAG 之间的关联

如果您需要删除 MACsec 密钥与连接或 LAG 之间的关联,请参阅以下内容之一: