IxNetwork IXIA решение для тестирования MACsec
Решение для тестирования MACsec в высокоскоростных Ethernet сетях. Валидация на всех этапах: от проектирования оборудования и разработки ПО до интеграции в систему. Шифрование/дешифрование трафика на скоростях 100G/200G/400G.
Безопасность данных с MACsec
С ростом спроса на конфиденциальность данных и защиту критически важных бизнес-активов безопасность стала неотъемлемой частью каждой сети, включая облачные сервисы, центры обработки данных, 5G и автомобильные системы.
Хотя для защиты данных доступны различные технологии шифрования, MACsec (Media Access Control Security) обеспечивает шифрование на скорости линии для высокоскоростного Ethernet, что критически важно для облачных и дата-центровых операций. Он защищает компоненты сети, гарантируя конфиденциальность и предотвращая потенциальные угрозы.
MACsec стал важной технологией шифрования, поставляемой с чипами, маршрутизаторами и коммутаторами нового поколения. Тщательная проверка функций шифрования MACsec, пропускной способности, обмена и ротации ключей необходима для надежной реализации и бесперебойного развертывания.
Keysight представляет первое в отрасли решение для тестирования MACsec в высокоскоростных сетях Ethernet, помогающее проводить раннюю валидацию при проектировании и внедрении MACsec.
Обзор MACsec
MACsec 802.1AE — это отраслевой стандарт безопасности, защищающий соединение "точка-точка" между напрямую подключенными узлами. Он работает на канальном уровне (L2) и защищает контент уровней L2 и выше. MACsec обеспечивает:
Шифрование на скорости линии независимо от размера пакета.
Линейную масштабируемость (в отличие от IPsec).
Ключевые функции MACsec:
Конфиденциальность данных — шифрование на основе алгоритмов.
Целостность данных — через ICV (Integrity Check Value).
Защита от повторного воспроизведения — с использованием номера пакета и механизма окна.
Благодаря высокой скорости шифрования, надежной защите, низким накладным расходам и прозрачности для приложений верхних уровней, MACsec идеально подходит для дата-центров и облачных сервисов, использующих высокоскоростной Ethernet.
Решение для тестирования MACsec от Keysight
Keysight предлагает первое в отрасли решение для тестирования MACsec в высокоскоростных сетях Ethernet. Оно позволяет проводить валидацию на всех этапах: от проектирования оборудования и реализации ПО до интеграции в систему.
Основные возможности:
Шифрование/дешифрование трафика на скоростях 100G/200G/400G.
Тестирование функциональности и соответствия стандартам для 1GE–800GE.
Динамическое согласование ключей MKA или статическая настройка SAK
Поддержка различных размеров кадров (от 64 байт до 16 КБ).
Проверка непрерывности служб при ротации ключей.
Автоматизация через Python, REST API и другие интерфейсы.
Также доступно ПО-решение MACsec для низкоскоростных сетей (5G, Automotive, Industrial Ethernet).
Ключевые функции
Аппаратное решение MACsec (400/200/100GE)
Шифрование на скорости линии с поддержкой PAM4/NRZ.
Алгоритмы: GCM-AES-128/256 (включая XPN).
Режимы: "Только целостность (ICV)" или "Целостность + шифрование".
Тестирование негативных сценариев (неверный ICV, поддельные пакеты и т.д.).
Программное решение MACsec
Поддержка скоростей 1GE–800GE.
Анализ трафика в Wireshark с проверкой ICV.
Настройка VLAN в зашифрованном или открытом виде.
Программное решение MACsec
Шифрование трафика MACsec на скорости линии для сетей от 1GE до 800GE с поддержкой:
Инкрементных номеров пакетов (PN) и фиксированной полезной нагрузки.
Статического назначения ключей безопасности (SAK) или динамического согласования через протокол MKA.
Шифрование и дешифрование реального трафика (до Гбит/с) с использованием трафика Layer 4–7 AppLibrary и стандартной статистики MACsec.
Гибкость параметров трафика:
Размер кадров: от 64 байт до 14 КБ (настраивается для каждого потока).
Режимы: «Только проверка целостности (ICV)» или «Целостность + шифрование».
Алгоритмы шифрования (128/256 бит) с поддержкой Extended Packet Number (XPN)
GCM-AES-128
GCM-AES-256
GCM-AES-XPN-128
GCM-AES-XPN-256
Управление ключами:
Периодическая ротация ключей (по таймеру или счетчику).
Автоматическая смена Pre-shared Keys (PSK) через Key Chain.
Настройка VLAN:
Передача в открытом или зашифрованном виде.
Поддержка Confidentiality Offset (0/30/50). Примечание: смещение >0 доступно только для бессостоятельного трафика.
Анализ и валидация:
Дешифрование кадров MACsec и проверка ICV в Wireshark.
Негативное тестирование:
Некорректные флаги TCI.
Ошибочный ICV или SL (Secure Channel Identifier).
Пакеты с PN вне допустимого окна.
Автоматизация:
Полная поддержка скриптов на Python, REST, TCL и HLAPI для непрерывного тестирования.
Спецификации:
Аппаратная реализация MACsec
Поддерживаемые стандарты:
IEEE 802.1AE-2018 – Основной стандарт MACsec, определяющий шифрование на канальном уровне (L2).
IEEE 802.1X-2020 – Управление ключами через MKA (MACsec Key Agreement).
Наборы алгоритмов шифрования (Cipher Suites):
GCM-AES-128
GCM-AES-256
GCM-AES-XPN-128
GCM-AES-XPN-256
Бессостоятельный трафик L2/3 (Stateless)
Производительность: Шифрование/дешифрование на скорости линии для интерфейсов 400/200/100GE.
Управление ключами:
Статическое назначение SAK (Secure Association Key)
Динамическое согласование через MKA (на основе PSK)
Гибкость трафика:
Размер кадров: от 64 байт до 16 КБ (включая укороченные кадры)
Шаблоны трафика: фиксированный, инкрементный, случайный, IMIX
Режимы безопасности:
Только проверка целостности (ICV)
Шифрование + проверка целостности
Поддержка XPN (расширенный номер пакета)
Ротация ключей:
По исчерпанию номера пакета (PN)
По таймеру
Конфиденциальность:
Смещение конфиденциальности (0/30/50) с MKA
Смещение (0-64) без MKA
Гибкость VLAN:
До 4 VLAN в открытом тексте
До 6 VLAN в зашифрованном виде
Негативное тестирование:
Неверный ICV
Неиспользуемый SA (Secure Association)
Ошибочные флаги TCI
Шифрование с неверным ключом
Номера пакетов (PN) вне допустимого окна
Масштабируемость:
До 256 Tx/Rx SC (Secure Channel) на порт для попарного CA
До 128 Tx/Rx SC на порт для группового CA
Мониторинг:
Отслеживание входящего/исходящего трафика по MAC/IP, SCI, VLAN
Тестирование производительности:
Бенчмарк RFC2544 для зашифрованного трафика MACsec
Поддержка LAG (агрегирование каналов):
Распределение и сбор трафика с шифрованием на скорости линии
Отказоустойчивость между каналами LAG
Шифрование VLAN поверх LAG
Проверка контрольных сумм для зашифрованного UDP трафика
Состоятельный трафик L4/7 (Stateful)
Производительность: Шифрование/дешифрование до Гбит/с с агрегацией портов.
Особенности трафика:
Инкрементные PN (номера пакетов)
Переменная полезная нагрузка
Размер кадра зависит от потока
Управление ключами (аналогично L2/3):
Статический SAK
Динамический MKA (PSK)
Режимы безопасности (аналогично L2/3):
ICV или шифрование + ICV
XPN
Ротация ключей по PN или таймеру
Смещение конфиденциальности (0/30/50 с MKA, 0-64 без MKA)
VLAN (аналогично L2/3):
До 4 VLAN в открытом тексте
До 6 VLAN в зашифрованном виде
Управляющий трафик (Control Plane)
Шифрование протоколов управления
Выборочное шифрование для:
BGP, OSPF, ISIS, EVPN VXLAN
Шифрование коротких управляющих сообщений (<64 байт), включая:
ARP и аналогичные протоколы
Работа LACP поверх MACsec:
LACPDU могут передаваться как в зашифрованном, так и в открытом виде
Поддержка LAG:
Шифрование/дешифрование BGP/OSPF/ISIS/EVPN VXLAN на агрегированных портах
Протокол MKA (MACsec Key Agreement)
Управление ключами
Иерархия ключей на основе PSK (Pre-shared Key)
Автоматическая ротация PSK по таймеру (Key Chain)
Функция формирования ключей:
Поддержка AES-CMAC-128/256 (KDF)
Роли участников:
Устройство может выступать как Key Server или Non-Key Server
Гибкость сессий:
Поддержка нескольких MKA-сессий:
Парные CA (Connectivity Association)
Групповые CA с множеством участников
Динамическое подключение/отключение участников CA
Работа через VLAN (до 6 тегов)
Настройки безопасности:
Смещение конфиденциальности (0/30/50)
Порог смены ключа (настраиваемый pendingPNExhaustion)
Начальные параметры:
Номер сообщения
Номер ключа
AN (Association Number)
Тестирование функций:
Имитация задержанных пакетов (через изменение LLPN в Hello-пакетах)
Проверка поведения DUT на 'delay protect'
Настройка MAC-адреса получателя и типа Ethernet (EAPOL)
Информация, получаемая через MKA
Ключи:
ICV Key
Key Encrypting Key
Secure Association Key (SAK)
SSCI (Short Secure Channel Identifier)
Данные о пирах:
Live Peer Member Identifier
Live Peer Message Numbe
Potential Peer Member Identifier
Potential Peer Message Number
Статистика MKA
Передача/прием MKPDU:
MKPDU Tx/Rx
Количество пиров:
Live Peer Count
Potential Peer Count
Статус ключей:
Latest Key Tx/Rx Peer Count
Ошибки:
Malform Rx MKPDU
ICV Mismatch
Статистика MACsec
На уровне устройства
Принятые пакеты:
Valid Packet Rx
Bad Packet Rx
Ошибки ICV:
Invalid ICV Discarded
Invalid ICV Accepted
Объем данных:
Rx Bytes Validated
Rx Bytes Decrypted
На уровне порта
Передача:
OutPktsEncrypted
Protected/Encrypted Packet/Byte Tx
Non-MACsec Packet Tx
Прием:
Protected/Encrypted Packet/Byte Rx
Non-MACsec Packet Rx
Обработка неизвестных SCI/SA:
Unknown SCI/SA Accepted/Discarded
Статистика для broadcast/multicast:
Valid/Bad Packet Rx
Invalid ICV Discarded/Accepted
Rx Bytes Validated/Decrypted
Статистика Data Plane
L2/3 трафик:
Пропускная способность, потери, задержка/джиттер
Stateful трафик:
Детальная статистика для трафика с учетом состояния (L4-7)
Негативное тестирование
Пакеты с ошибками:
Неверный ICV
Некорректный secTAG
Неиспользуемый SA
Имитация аномалий:
Пакеты вне окна PN
Искусственная задержка пакетов
Смешанный трафик:
Одновременная передача MACsec и non-MACsec пакетов
Применение и преимущества
Глубокая валидация безопасности MACsec
Гибкость тестирования (режимы, ключи, топологии)
Мониторинг в реальном времени (статистика, ошибки)
Поддержка сложных сценариев (LAG, VLAN, multicast)
Спецификации:
Поддерживаемые стандарты
IEEE 802.1AE-2018 - основной стандарт MACsec
IEEE 802.1X-2020 - только для MKA (управление ключами)
Наборы алгоритмов шифрования
GCM-AES-128 - 128-битное шифрование AES в режиме GCM
GCM-AES-256 - 256-битное шифрование AES в режиме GCM
GCM-AES-XPN-128 - с расширенными номерами пакетов (только в статическом режиме)
GCM-AES-XPN-256 - с расширенными номерами пакетов (только в статическом режиме)
Возможности для бессостоятельного трафика (Stateless)
Производительность: шифрование на скоростях от 1G до 800G
Гибкие параметры трафика:
Диапазон инкрементных номеров пакетов (PN)
Фиксированная полезная нагрузка для каждого потока
Размер кадров от 64 байт до 14K (возможны кадры <64 байт)
Анализ трафика:
Дешифрование и проверка ICV в Wireshark
Управление ключами:
Статическое назначение SAK
Динамическое через MKA (на основе PSK)
Дополнительные функции:
Смещение конфиденциальности (0/30/50)
Поддержка SCI (опционально)
Периодическая смена ключей по таймеру
Работа с VLAN (до 6 тегов, в открытом/зашифрованном виде)
Возможности для состоятельного трафика (Stateful)
Производительность: до нескольких Gbps при агрегации портов
Особенности:
Инкрементные номера пакетов
Переменная полезная нагрузка
Размер кадра зависит от потока
Смещение конфиденциальности только 0
Периодическая смена ключей (только по таймеру)
Анализ в Wireshark
Дешифрование по заданному SAK
Проверка ICV
Отображение используемого SAK
Параллельный показ зашифрованных и расшифрованных данных
Негативное тестирование
Генерация пакетов с:
Некорректным ICV
Номерами вне окна
Ошибочным SecTAG
Неверным SL
Смесью MACsec и обычного трафика
Протокол MKA
Иерархия ключей на основе PSK
Автоматическая ротация ключей (Key Chain)
Поддержка ролей Key Server/Non-Key Server
Множественные сессии (парные и групповые CA)
Динамическое подключение/отключение участников
Работа через VLAN (до 6 тегов)
Гибкие настройки:
Порог смены ключа (pendingPNExhaustion)
Начальные параметры (номер сообщения, ключа, AN)
Настройка MAC-адреса и типа Ethernet
Мониторинг и статистика
MKA Statistics:
Передача/прием MKPDU
Количество активных и потенциальных пиров
Статус последних ключей
Ошибки (некорректные MKPDU, несовпадение ICV)
MACsec Statistics:
Основные метрики передачи/приема
Ошибки (некорректные теги, ICV, SCI, SA)
Объемы защищенных/зашифрованных данных
Статистика по non-MACsec трафику
Data Plane Statistics:
Полная статистика L2/3 (пропускная способность, потери)
Статистика состоятельного трафика (L4-7)
Ключевые преимущества
Широкая поддержка скоростей (1G-800G)
Глубокая интеграция с Wireshark для анализа
Гибкие механизмы управления ключами
Полный набор инструментов для негативного тестирования
Детальная статистика работы MACsec
Инструкции
| Характеристика | Значение |
|---|
Похожие товары
Решение для тестирования маршрутизации и коммутации предлагает эмуляцию протоколов и тесты производительности в различных сценариях: большое количество запросов, аварии в сети, перезагрузки.
Под заказ
Решение для тестирования предоставляет комплексный набор эмуляций: различные абонентские протоколы, unicast и multicast сервисы, системы контроля доступа с аутентификацией. Позволяет нагружать сеть доступа в реалистичных условиях, работать со смешанными типами абонентов и сервисов.
Под заказ
Эмулирует масштабируемые сети MPLS VPN для стресс-тестирования периферийных и основных устройств провайдера в масштабах Интернета и динамических условиях. Тестовое покрытие от 1G до 800G локальной сети.
Под заказ
Решение для тестирования RoCEv2 на сети Ethernet включает в себя платформу для нагрузочного тестирования с высокой плотностью портов и программный комплекс.
Под заказ
От 24,25 ГГц до 43,5 ГГц. Приемопередатчик миллиметрового диапазона для стандарта 5G. Keysight / Agilent.
Под заказ
Платформа для тестирования на соответствие 3GPP TS 36.521-1 LTE, NB-IOT RF, CAT-M1 RF и 3GPP TS 36.521-3 LTE RRM для FDD и TDD, 1CC, 2CC, 3CC и 4CC, а также устройства LTE. планы приемочных испытаний от крупных сетевых операторов. Производитель: Keysight / Agilent Technologies.
Под заказ
Аппаратная платформа для тестирования соответствия требованиям O-RU и валидации дизайна с помощью Open RAN Studio. Keysight / Agilent.
Под заказ
Система совместного моделирования сотовых и WiFi-устройств Keysight / Agilent повышает производительность и ускоряет продвижение разрабатываемых изделий за счёт эффективной проверки прототипов, оценки и диагностики сложных условий совместимости.
Под заказ
Решение для проверки соответствия eCall / ERA-GLONASS Keysight / Agilent выполняет сквозное функциональное тестирование модулей на соответствие стандартам с дополнительным анализом качества звука.
Под заказ
Платформа для тестирования радиочастотной совместимости 5G Keysight / Agilent, одобренная PCS (PTCRB) и предназначенная для сертификации устройств 5G NewRadio (NR).
Госреестр
Под заказ
Установка для тестирования средств беспроводной связи Keysight / Agilent предназначена для воспроизведения и измерений сигналов проводной и беспроводной связи.
Госреестр
Под заказ
Интерфейсный модуль (CIU), обеспечивающий управление, питание и частоту гетеродина для приемопередатчика миллиметрового диапазона M1740A. Keysight / Agilent.
Под заказ
Программный пакет Keysight / Agilent для тестирования беспроводных устройств, включая устройства стандарта 5G.
Под заказ
Измерительный комплект для тестирования радиоустройств в формате PXI. Keysight / Agilent.
Под заказ
Многодиапазонный векторный приёмопередатчик 5G в формате PXIe. Keysight / Agilent.
Под заказ
От 27,5 до 30 ГГц. Фазированная антенная решетка с однополяризацией 5G, которая поддерживает несколько ширин луча. Keysight / Agilent.
Под заказ