1 MACsec

1.1  MACsec简介

MACsec（Media Access Control Security，MAC安全）定义了基于IEEE 802局域网络的数据安全通信的方法。MACsec可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。

MACsec通常与802.1X认证框架配合使用，工作在802.1X认证过程成功之后，通过识别出已认证设备发送的报文，并使用MKA（MACsec Key Agreement，MACsec密钥协商）协议协商生成的密钥对已认证的用户数据进行加密和完整性检查，避免端口处理未认证设备的报文或者未认证设备篡改的报文。

1.1.1  MACsec典型组网模式

MACsec包括两种典型组网模式：面向主机模式和面向设备模式。

1. 面向主机模式

如图1-1所示，面向主机模式用于保护客户端和设备之间的数据帧。

图1-1 面向主机模式组网图

该模式包括以下三个组成元素：

·     客户端

客户端可以是请求接入局域网的用户终端，也可以是支持802.1X Client功能的设备，由局域网中的接入设备对其进行认证，并执行MACsec密钥协商和报文加密功能。

·     接入设备

接入设备控制客户端的接入，通过与认证服务器的交互，对所连接的客户端进行802.1X认证，并执行MACsec密钥协商和报文加密功能。

·     认证服务器

认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。客户端通过认证后，认证服务器为客户端和接入设备分发密钥。

2. 面向设备模式

如图1-2所示，面向设备模式用于保护设备之间的数据帧。

图1-2 面向设备模式组网图

该模式与主机模式的区别是：无客户端和接入设备之分，也不需要认证服务器，互连的两台设备可以直接使用通过命令行配置的预共享密钥进行MACsec密钥协商和报文加密功能。