+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

802.1AE MACsec Прогресс или примеры?

802.1AE MACsec Прогресс или примеры?, RouterOS

killersoft

Guest

01.08.2020 06:12:00

Привет, интересуюсь, есть ли какая-либо официальная документация по 802.1AE (также известному как MACsec) от Mikrotik в RoS v7. Учитывая, что это было в RoS v7 как минимум с ранней бета-версии, я надеялся увидеть какую-то документацию на данный момент. Пока что у меня не получается добиться работы между устройствами (досмотрелся до стадии "переговоры" и могу видеть конкретный трафик 802.1AE через torch). Есть ли какие-то особые аппаратные требования для его работы, или это будет функциональность ядра независимо от оборудования? /interface macsec add cak=228ef255aa23ff6729ee664acb66e91f ckn=49df411fcb9800773e2b0e39233e069c3955c799d08abe2898c81053e4bc4897 disabled=no interface=ether5 name=macsec1 profile=default [admin@under desk] /interface/macsec> print Флаги: I - неактивно, X - отключено, R - работает 0 name="macsec1" interface=ether5 статус="переговоры" cak=228ef255aa23ff6729ee664acb66e91f ckn=49df411fcb9800773e2b0e39233e069c3955c799d08abe2898c81053e4bc4897 profile=default [admin@under desk] /interface/macsec> Спасибо https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/ https://en.wikipedia.org/wiki/IEEE_802.1AE

killersoft Guest	#2 0 28.02.2021 06:29:00 Бump.. Есть новости по этому поводу, Mikrotik? Я пробовал с 7.1beta4 и всё равно не могу запустить MACSEC???

spippan

Guest

25.10.2021 09:26:00

так же … статус завис в "переговоры" rOSv71.rc4 на обоих устройствах Устройство 1 = CRS109-8G-1S-2HnD Устройство 2 = RB951Ui-2HnD конфигурация на ОБОИХ устройствах идентична /interface macsec profile add name=macsec-01 server-priority=5 /interface macsec add ckn=766469656b336a356b733832336b3575 disabled=no interface=ether3-PtP_2_CRS name=S2S-L2-MACsec01 profile=macsec-01 вот что я вижу на ОБОИХ устройствах (которые напрямую подключены на ether3 каждая с одним Ethernet-кабелем) [spippan@MikroTik951Ui-RRZ-01] /interface/macsec> print int 1 Флаги: I - неактивен, X - отключен, R - работает 0 name="S2S-L2-MACsec01" interface=ether3-PtP_2_CRS статус="переговоры" cak=4ab8ab80a1730f9fcca040eabfbfe6ed ckn=766469656b336a356b733832336b3575 profile=macsec-01 -- [Q выход|D дамп|C-z пауза]

0x6d61726b

Guest

28.10.2021 16:23:00

У меня такие же проблемы с 7.1rc5, когда я пытаюсь установить соединение MACsec между двумя устройствами CRS326-24G-2S+. Процесс зависает на: [admin@MikroTik] /interface/macsec> print
Флаги: I - неактивен, X - отключен, R - работает
0 name="macsec-test" interface=ether9 status="negotiating" cak=09db3ef1000000000000000000000000 ckn=e9ac profile=default Есть ли документация или информация по настройке/тестированию MACsec? Существуют ли какие-либо фильтры логов или выводы, чтобы более детально разобраться с этими проблемами? Этот функционал тестировался на сайте MikroTik, и должен ли он вообще работать?

killersoft

Guest

28.11.2021 09:14:00

Пожалуйста, Mikrotik, не могли бы вы дать комментарий о том, на каком этапе сейчас находится MACSEC? Сейчас тестирую с версией 7.1rc7 на x86... Все, что я вижу, это трафик ether-type 888e на интерфейсе, который я настроил между двумя виртуальными машинами. Я также могу добавить IP к интерфейсу 'macsec1' через командную строку (не через winbox).

sybreeder Guest	#6 0 07.04.2022 11:12:00 bump… Я пытался настроить это на последнем routeros 7.2, но он только ведет переговоры. Есть ли документация по настройке macsec на роутере v7.2?

killersoft Guest	#7 0 10.04.2022 03:06:00 Я не видел, чтобы Mikrotik что-то делал в этой области!!! Опция MACSEC была в консоли с самого первого публичного релиза v7 RC в 2019 году. Сейчас 2022, и НИЧЕГО, хотя > interface/macsec скрыт на виду в терминале консоли...

Network5

Guest

28.06.2022 15:23:00

Я сегодня пытался настроить MACsec между 2004 и 1016, оба с версией 7.3.1, которую мы используем в лаборатории. Нам нужно зашифровать внутреннюю гигабитную связь для клиента. Когда MACsec активируется, 1016 перезагружается, пока интерфейс не будет отключен. С WireGuard пропускная способность составляет немного менее 1 Гбит для UDP и 500 Мбит для TCP в обеих направлениях.

killersoft

Guest

06.07.2022 03:03:00

Отмечено, вскоре посмотрю. Если вам нужен проводной Macsec, рекомендую приобрести пару бывших в употреблении Cisco 3850 с подходящим модулем NIM. (конфигурация, например: https://community.cisco.com/t5/network-security/macsec-on-isr-4k-routers-and-switches-3850-interoperability/td-p/3368918)

buraglio Guest	#10 0 02.08.2022 13:26:00 Это, похоже, просто не делается, или я что-то упускаю (что вполне возможно). Версия 7.4 проявляет то же поведение, застревает в «переговорах».

Njumaen

Guest

#11

25.08.2022 05:30:00

Поскольку я предположительно увижу работающий macsec незадолго до своей смерти, я сейчас использую wireguard (eth — eth) и VXLAN (bridge – wg — wg — bridge), чтобы обеспечить безопасность моего внешнего порта к hAPac в саду. Но я все еще надеюсь на macsec!

spippan

Guest

#12

06.09.2022 21:12:00

это меня очень расстраивает... все еще нужно проработать вопрос с интерконнектом wireguard и vxlan, который будет соединен с PHY портом, чтобы получить нормальную пропускную способность, но MACsec наконец уберет эту нагрузку. пожалуйста, MT, сделайте с этим что-нибудь, это может стать настоящим убийцей для некоторых сильно завышенных цен на оборудование Cisco!

StubArea51 Guest	#13 0 07.09.2022 04:53:00 Согласен, мне бы хотелось увидеть аппаратный MACSEC. Особенно в мире трансляции видео, где это часто требуется.

spippan Guest	#14 0 24.09.2022 18:21:00 пока что у нас это работает в 7.6beta8

StubArea51

Guest

#15

24.09.2022 18:52:00

Я только что это увидел! Знаю, что некоторые чипы Marvell Prestera поддерживают MACSEC на аппаратном уровне — было бы здорово услышать от MikroTik, есть ли планы добавить MACSEC в чип. Мне нужно добавить MACSEC в мою лабораторию на v7 и поиграть с этим немного.

killersoft

Guest

#16

30.09.2022 23:15:00

Рад сообщить, что MACSEC на v7.6 beta 10 на CHR теперь работает и проходит IP... Отличная работа... Просто убедитесь, что вы используете один и тот же CAK / CKN на обоих концах, и впереди нас ждут хорошие времена... Теперь по поводу VLAN через MACSEC... хммм

Njumaen Guest	#17 0 01.10.2022 15:56:00 Здесь с внешним wAPac, подключенным к hAPac MACSEC на v7.6 beta 10, всё работает безукоризненно. Даже с отключённым и снова включённым PoE. Я так рад!

psannz Guest	#18 0 10.10.2022 14:36:00 Не могли бы вы предоставить информацию о производительности и загрузке ЦП?

Network5

Guest

#19

10.10.2022 20:37:00

Сегодня я протестировал MACsec между двумя CCR2004 в LAB. Интерфейс работает без проблем. Вот результаты на 25G канале между двумя интерфейсами SFP28. CCR были сброшены к заводским настройкам, кроме IP-адресов и интерфейса MACsec. ping-min-avg-max: 88us / 101us / 263us jitter-min-avg-max: 0s / 7us / 147us потеря: 0% (0/200) tcp-скачка: 334Mbps загрузка-ЦП-локально: 52% tcp-выгрузка: 336Mbps загрузка-ЦП-локально: 52% загрузка-ЦП-удаленно: 52% udp-скачка: 477Mbps загрузка-ЦП-локально: 50% загрузка-ЦП-удаленно: 65% udp-выгрузка: 483Mbps загрузка-ЦП-локально: 65% загрузка-ЦП-удаленно: 50%

mcbrown90 Guest	#20 0 07.05.2021 09:39:00 еще одно сообщение. Очень интересуюсь вариантами MACSEC. Будет ли это когда-нибудь доступно на SWos?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры