- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
26-MACsec命令
本章节下载: 26-MACsec命令 (371.08 KB)
1.1.6 macsec cipher-suite(interface view)
1.1.7 macsec cipher-suite(system view)
1.1.8 macsec confidentiality-offset
1.1.11 macsec maintenance-mode enable
1.1.12 macsec mka-session log enable
1.1.13 macsec replay-protection enable
1.1.14 macsec replay-protection window-size
1.1.22 replay-protection enable
1.1.23 replay-protection window-size
confidentiality-offset命令用来配置MACsec加密偏移量。
undo confidentiality-offset命令用来恢复缺省情况。
【命令】
confidentiality-offset offset-value
undo confidentiality-offset
【缺省情况】
MACsec加密偏移量为0,表示整个数据帧都要加密。
【视图】
MKA策略视图
【缺省用户角色】
network-admin
【参数】
offset-value:MACsec加密偏移量,取值包括0、30和50,单位为字节。
【使用指导】
为了满足一些需要识别IPv4或IPv6报文头的应用的要求,MACsec支持通过配置加密偏移量,使设备从用户数据帧帧头起偏移一定字节后才开始对数据进行加密。
MACsec加密偏移量最终以密钥服务器发布的加密偏移量为准。如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量。
在MKA策略中配置的MACsec加密偏移量,在该MKA策略成功应用到接口上之后,将会覆盖该接口上配置的MACsec加密偏移量。
本命令的配置对GCM-AES-XPN-128和GCM-AES-XPN-256加密套件无效,当MACsec使用的加密套件为GCM-AES-XPN-128或GCM-AES-XPN-256时,加密偏移量始终为0。
【举例】
# 在MKA策略abcd中配置MACsec加密偏移量为30字节。
<Sysname> system-view
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] confidentiality-offset 30
【相关命令】
· macsec confidentiality-offset
· mka apply policy
display macsec命令用来显示接口的MACsec运行信息。
【命令】
display macsec [ interface interface-type interface-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示接口上的MACsec运行的摘要信息。interface-type interface-number表示指定接口类型和接口编号。不指定该参数,则表示显示所有接口上的MACsec运行信息。
verbose:显示接口上的MACsec运行的详细信息。若不指定该参数,则表示显示MACsec运行的摘要信息。
【举例】
# 显示接口GigabitEthernet1/0/1上的MACsec运行的摘要信息。
<Sysname> display macsec interface gigabitethernet 1/0/1
Interface GigabitEthernet1/0/1
Protect frames : Yes
Active MKA policy : PL01
Replay protection : Enabled
Config reply window size : 0 frames
Active replay window size : 0 frames
Config confidentiality offset : 0 bytes
Active confidentinlity offset : 0 bytes
Config validation mode : Check
Active validation mode : Strict
# 显示接口GigabitEthernet1/0/1上的MACsec运行的详细信息。
<Sysname> display macsec interface gigabitethernet 1/0/1 verbose
Interface GigabitEthernet1/0/1
Protect frames : Yes
Active MKA policy : PL01
Replay protection : Enabled
Config replay window size : 0 frames
Active replay window size : 0 frames
Config confidentiality offset : 0 bytes
Active confidentiality offset : 0 bytes
Config validation mode : Check
Active validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 000C29F6A4380004
Elapsed time: 00h:02m:19s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 000C29258D430124
Elapsed time: 00h:02m:17s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
表1-1 display macsec命令显示信息描述表
|
字段 |
描述 |
|
Interface |
使能了MKA协议的接口名称 |
|
Protect frames |
接口上是否开启MACsec数据帧保护功能,包括以下取值: · Yes:需要进行MACsec数据帧保护 · No:不进行MACsec数据帧保护 接口上不存在MKA主要行动者时显示为N/A |
|
Active MKA policy |
接口应用的且生效的MKA策略。接口上未开启MACsec数据帧保护功能时,显示为N/A;如果接口上开启了MACsec数据帧保护功能但没有应用实际生效的策略,不显示该字段 |
|
Replay protection |
接口的重播保护功能的开启状态,包括以下取值: · Enabled:处于开启状态 · Disabled:处于关闭状态 接口上的MACsec数据帧保护功能未开启时显示为N/A |
|
Config replay window size |
配置的接口的重播保护窗口大小,单位为数据帧。接口上未开启MACsec数据帧保护功能或接口上未开启重播保护功能时,显示为N/A |
|
Active replay window size |
生效的接口的重播保护窗口大小,单位为数据帧。接口上未开启MACsec数据帧保护功能或接口上未开启重播保护功能时,显示为N/A |
|
Config confidentiality offset |
配置的接口的加密偏移量,单位为字节。接口上未开启MACsec数据帧保护功能时显示为N/A |
|
Active confidentiality offset |
生效的接口的加密偏移量,单位为字节。接口上未开启MACsec数据帧保护功能时显示为N/A |
|
Config validation mode |
接口上配置的数据帧校验模式,包括以下取值: · Check:检查模式 · Disabled:校验功能关闭 · Strict:严格校验模式 · N/A:接口上未开启MACsec数据帧保护功能 |
|
Active validation mode |
接口上生效的数据帧校验模式,包括以下取值: · Check:检查模式 · Disabled:校验功能关闭 · Strict:严格校验模式 · N/A:接口上未开启MACsec数据帧保护功能 |
|
Included SCI |
数据帧的SecTAG里是否携带SCI,包括以下取值: · Yes:携带SCI · No:未携带SCI 接口上未开启MACsec数据帧保护功能时显示为N/A |
|
SCI conflict |
收到的MKA协议报文的SCI和本端的SCI是否相同,包括以下取值: · Yes:收到的MKA协议报文的SCI和本端的SCI相同 · No:没有收到MKA协议报文或者收到的MKA协议报文的SCI和本端的SCI不相同 |
|
Cipher suite |
保护数据帧的加密套件,包括以下取值: · GCM-AES-128:采用GCM-AES-128加密套件 · GCM-AES-256:采用GCM-AES-256加密套件 · GCM-AES-XPN-128:采用GCM-AES-XPN-128加密套件 · GCM-AES-XPN-256:采用GCM-AES-XPN-256加密套件 · N/A:接口上未开启MACsec数据帧保护功能 |
|
MKA life time |
MKA会话超时时间,单位为秒 |
|
Transmit secure channel |
发送数据帧的安全通道信息。接口上未开启MACsec数据帧保护功能时,不显示安全通道信息 |
|
Receive secure channels |
接收数据帧的安全通道信息。接口上的未开启MACsec数据帧保护功能时,不显示安全通道信息 |
|
Elapsed time |
SC存在的时间 |
|
SCI |
SCI信息,由MAC地址和Port ID组成,为一个十六进制数 |
|
Current SA |
安全通道当前使用的SA 若无此信息,则对应的AN、PN和LPN显示为N/A |
|
Previous SA |
安全通道使用的前一个SA 若无此信息,则对应的AN和LPN显示为N/A |
|
PN |
发送的报文编号 |
|
AN |
SA编号 |
|
LPN |
SAK可接收的最小报文编号 |
【相关命令】
· mka apply policy
display mka policy命令用来显示MKA策略相关信息。
【命令】
display mka { default-policy | policy [ name policy-name ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
default-policy:表示显示默认的MKA策略。
policy:表示显示指定的MKA策略。
name policy-name:指定MKA策略的名称。policy-name为1~16个任意字符的字符串,区分大小写。若不指定该参数,则表示显示所有当前已有的MKA策略。
【举例】
# 显示所有MKA策略相关信息。
<Sysname> display mka policy
PolicyName ReplayProtection WindowSize ConfOffset Validation
default-policy Yes 0 0 Check
policy1 Yes 0 30 Check
policy2 Yes 0 30 Check
policy3 No 0 0 Strict
policy4 Yes 200 50 Check
policy5 Yes 0 0 Check
表1-2 display mka policy命令显示信息描述表
|
字段 |
描述 |
|
PolicyName |
MKA策略的名称 |
|
ReplayProtection |
重播保护功能是否开启 |
|
WindowSize |
重播保护窗口大小,单位为数据帧 |
|
ConfOffset |
加密偏移量,单位为字节 |
|
Validation |
数据帧校验模式,包括以下取值: · Check:检查模式 · Disabled:校验功能关闭 · Strict:严格校验模式 |
· mka apply policy
display mka session命令用来显示MKA会话信息。
【命令】
display mka session [ interface interface-type interface-number | local-sci sci-id ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的MKA的会话信息。interface-type interface-number为接口类型和接口编号。若不指定该参数,则表示显示所有接口上的MKA会话信息。
local-sci sci-id:表示本地发送通道标识。sci-id为16个字符的十六进制数,不区分大小写。
verbose:显示接口上的MKA的会话的详细信息。若不指定该参数,则表示显示MKA的会话的简要信息。
【举例】
# 显示接口GigabitEthernet1/0/1上的MKA会话摘要信息。
<Sysname> display mka session interface gigabitethernet 1/0/1
Interface GigabitEthernet1/0/1
Tx-SCI : 000C29F6A4380004
Priority : 0
Capability: 3
CKN for participant: ABCD
Key server : Yes
MI (MN) : D7B00EDA353242704CC6B0DB (7)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
# 显示接口GigabitEthernet1/0/1上的MKA会话详细信息。
<Sysname> display mka session interface gigabitethernet 1/0/1 verbose
Interface GigabitEthernet1/0/1
Tx-SCI : 000C29F6A4380004
Priority : 0
Capability: 3
CKN for participant: ABCD
Key server : Yes
MI (MN) : D7B00EDA353242704CC6B0DB (7)
Live peers : 1
Potential peers : 1
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Tx-SSCI : 2
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 4273791304C1C26259C94C3400000001 (1)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Prio Cap Rx-SCI Rx-SSCI
EA58DC3F8715953DBC6593F0 840 100 3 00E0020000000106 1
Potential peer list:
MI MN Prio Cap Rx-SCI Rx-SSCI
DA58DC3Q4573543DBC6699F0 3 200 3 00E0021200000107 N/A
表1-3 display mka session 命令显示信息描述表
|
字段 |
描述 |
|
Interface |
接口名称 |
|
Tx-SCI |
发送SCI,采用十六进制格式 |
|
Tx- SSCI |
使用XPN加密套件时,本端发送SSCI。未使用XPN加密套件时,显示为N/A |
|
Priority/Prio |
表示密钥服务器的优先级,取值为0~255 |
|
Capability/Cap |
MACsec能力,取值如下: · 0:表示不支持MACsec功能 · 1:表示只支持完整性服务,不支持机密性服务 · 2:表示支持完整性服务,可选择支持机密性服务(加密偏移量只能为0) · 3:表示支持完整性服务,可选择支持机密性服务(加密偏移量可支持0,30及50) |
|
CKN for participant |
MKA实例的CKN |
|
Key server |
本端是否为密钥服务器 |
|
MI |
成员标识,采用十六进制格式 |
|
MN |
消息序号 |
|
Live peers |
已经学习到的对端的个数 |
|
Potential peers |
正在协商中的对端的个数 |
|
Principal actor |
该MKA实例是否为主要行动者。其中,MKA实例表示MKA协议在该接口上的运行实体,当该MKA实例处于Active状态时,被称为主要行动者 |
|
MKA session status |
MKA会话的状态: · Unknown:表示未知状态 · Pending:表示挂起状态 · Unauthenticated:表示未认证状态 · Authenticated:表示认证状态,接口已通过802.1X认证 · Secured:表示安全状态,会话将被保护 · N/A:表示该MKA实例不是主要行动者 |
|
Confidentiality offset |
密钥服务器发布的加密偏移量,明文通信或该MKA实例不是主要行动者时显示为N/A |
|
Current SAK status |
当前使用的SAK的状态(Tx表示用于发送,Rx表示用于接收),当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
Current SAK AN |
当前使用的SAK的SA编号,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
Current SAK KI |
当前使用的SAK的密钥标识,由12字节的密钥服务器的MI和KN组成,采用十六进制格式,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
KN |
SAK编号,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
Previous SAK status |
前一个SAK的状态(Tx表示用于发送,Rx表示用于接收),当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
Previous SAK AN |
前一个SAK的SA编号,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
Previous SAK KI |
前一个SAK的密钥标识,由12字节的密钥服务器的MI和KN组成,采用十六进制格式,当该MKA实例不是主要行动者或SAK不存在时,显为N/A |
|
Live peer list |
已经学习到的对端列表,当不存在Live peer时,不显示该字段 |
|
Potential peer list |
正在协商过程中的对端列表,当不存在Potential peer时,不显示该字段 |
|
Rx-SCI |
接收SCI,采用十六进制格式 |
|
Rx-SSCI |
使用XPN加密套件时,对端接收SSCI。未使用XPN加密套件时,显示为N/A |
display mka statistics命令用来显示接口上的MKA统计信息。
【命令】
display mka statistics [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:指定接口类型和接口编号。若不指定该参数,则表示显示所有接口上的MKA统计信息。
【举例】
# 显示接口GigabitEthernet1/0/1的MKA统计信息。
<Sysname> display mka statistics interface gigabitethernet 1/0/1
Interface GigabitEthernet1/0/1 statistics
MKPDUs with invalid CKN : 0
MKPDUs with invalid ICV : 0
MKPDUs with Rx error : 0
CKN for participant : ABCD
Tx MKPDUs : 2379
Rx MKPDUs : 2375
MKPDUs with invalid MN: 0
MKPDUs with Tx error : 0
SAKs distributed : 0
SAKs received : 5
表1-4 display mka statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface GigabitEthernet1/0/1 statistics |
接口上的MKA统计信息 |
|
MKPDUs with invalid CKN |
收到的且找不到匹配CKN的MKA协议报文个数 |
|
MKPDUs with invalid ICV |
ICV校验失败的MKA协议报文个数 |
|
MKPDUs with Rx error |
接收到错误的MKA协议报文个数 |
|
CKN for participant |
MKA实例的CKN |
|
Tx MKPDUs |
实例发送的MKA协议报文个数 |
|
Rx MKPDUs |
实例接收的MKA协议报文个数 |
|
MKPDUs with invalid MN |
实例接收到非法MN的MKA协议报文个数 |
|
MKPDUs with Tx error |
实例发送错误的MKA协议报文个数 |
|
SAKs distributed |
实例分发的SAK个数 |
|
SAKs received |
实例接收的SAK个数 |
【相关命令】
macsec cipher-suite命令用来配置MACsec保护数据时使用的加密套件。
undo macsec cipher-suite命令用来恢复缺省情况。
【命令】
macsec cipher-suite { gcm-aes-128 | gcm-aes-256 [ standard ] | gcm-aes-xpn-128 | gcm-aes-xpn-256 [ standard ] }
undo macsec cipher-suite
【缺省情况】
MACsec使用的加密套件为GCM-AES-128。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
gcm-aes-128:采用GCM-AES-128加密套件。
gcm-aes-256:采用GCM-AES-256加密套件。
gcm-aes-xpn-128:采用GCM-AES-XPN-128加密套件。
gcm-aes-xpn-256:采用GCM-AES-XPN-256加密套件。
standard:采用标准的开源加密套件。
【使用指导】
当接口发送的数据报文通过MACsec方式进行加密时,可以配置接口的加密算法。
H3C设备GCM-AES-256和GCM-AES-XPN-256加密套件和标准的开源加密套件实现不一致。当对端设备使用GCM-AES-256和GCM-AES-XPN-256的开源加密套件时,H3C设备上使用同样的加密套件必须指定standard参数,否则无法与对端设备成功建立MKA会话。
仅当端口上的802.1X认证功能处于关闭状态时,才可以执行本命令。
仅面向设备模式下需要配置本命令,且两端设备上配置的加密套件必须相同,否则无法成功建立MKA会话。
【举例】
# 配置GigabitEthernet1/0/1接口下的MACsec使用的加密套件为GCM-AES-256。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] macsec cipher-suite gcm-aes-256
【相关命令】
· dot1x(安全命令参考/802.1X)
· mka psk
macsec cipher-suite命令用来配置MACsec保护数据时使用的加密套件。
undo macsec cipher-suite命令用来恢复缺省情况。
【命令】
macsec cipher-suite { gcm-sm4-128 | gcm-sm4-xpn-128 } { slot slot-number }
undo macsec cipher-suite { gcm-sm4-128 | gcm-sm4-xpn-128 } { slot slot-number }
【缺省情况】
MACsec使用的加密套件为接口视图下配置的加密套件。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
gcm-sm4-128:采用GCM-SM4-128加密套件。
gcm-sm4-xpn-128:采用GCM-SM4-XPN-128加密套件。
slot slot-number:指定成员设备。slot-number表示设备在IRF中的成员编号。
【使用指导】
国密算法是中国自主研发的密码算法标准,旨在构建安全的行业网络环境并增强国家行业信息系统的“安全可控”能力。在金融、电子政务以及安防等存在敏感数据的领域,推荐使用国密算法加密套件,以保障国家信息安全。
国密算法加密套件仅支持在支持国密算法的单板上生效。
在系统视图下配置MACsec使用的加密套件为国密算法后:
· 对于不支持国密算法的单板,其接口下生效的加密套件仍为接口视图下配置的加密套件。
· 对于支持国密算法的单板,其接口下生效的加密套件为国密算法加密套件。
传统配置实现中,接口下的配置生效优先级由高到低为:接口非缺省配置-->全局非缺省配置-->接口缺省配置。因此为了使全局国密算法配置生效优先级高于接口非缺省算法配置,当接口下存在非缺省算法配置时,下发全局国密算法配置后,接口下的配置将被恢复为缺省配置,以实现全局国密算法配置在接口优先生效。
仅当端口上的802.1X认证功能处于关闭状态时,才可以执行本命令。
仅面向设备模式下需要配置本命令,且两端设备上配置的加密套件必须相同,否则无法成功建立MKA会话。
【举例】
# 在系统视图下配置指定单板使用的加密套件为GCM-SM4-128。
<Sysname> system-view
[Sysname] macsec cipher-suite gcm-sm4-128 slot 1
macsec confidentiality-offset命令用来配置接口上的MACsec加密偏移量。
undo macsec confidentiality-offset命令用来恢复缺省情况。
【命令】
macsec confidentiality-offset offset-value
undo macsec confidentiality-offset
【缺省情况】
接口上的MACsec加密偏移量为0,表示整个数据帧都要加密。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
offset-value:数据帧的加密偏移量,取值包括0、30和50,单位为字节。
【使用指导】
为了满足一些需要识别IPv4或IPv6报文头的应用的要求,MACsec支持通过配置加密偏移量,使设备从用户数据帧帧头起偏移一定字节后才开始对数据进行加密。
如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上配置加密偏移量,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上配置的加密偏移量以及该MKA策略中的除加密偏移量之外的其它所有配置。
如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量,并将该值发布给对端。
本命令的配置对GCM-AES-XPN-128和GCM-AES-XPN-256加密套件无效,当MACsec使用的加密套件为GCM-AES-XPN-128或GCM-AES-XPN-256时,加密偏移量始终为0。
【举例】
# 配置接口GigabitEthernet1/0/1上的MACsec加密偏移量为30字节。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] macsec confidentiality-offset 30
【相关命令】
· confidentiality-offset
· display macsec
· display mka session
· mka apply policy
macsec desire命令用来启用MACsec保护,即接口期望对发送的数据帧进行MACsec保护。
undo macsec desire命令用来关闭MACsec保护。
【命令】
macsec desire
undo macsec desire
【缺省情况】
接口上不需要对发送的数据帧进行MACsec保护。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
macsec desire命令仅用来告知对端,本端发送的数据帧需要进行MACsec保护,但最终本端发送的数据帧是否启用MACsec保护,要由密钥服务器来决策。决策策略是:密钥服务器和它的对端支持MACsec功能,且它们至少有一个请求MACsec保护。
【举例】
# 配置接口GigabitEthernet1/0/1期望对发送的数据帧进行MACsec保护。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] macsec desire
macsec include-sci命令用来配置加密数据帧的Sec TAG里面携带SCI。
undo macsec include-sci命令用来配置加密数据帧的Sec TAG里面不携带SCI。
【命令】
macsec include-sci
undo macsec include-sci
【缺省情况】
加密数据帧的Sec TAG里面携带SCI。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
SCI(Secure Channel Identifier,安全通道标识)由端口MAC地址和端口ID组成,用来标识报文来源。
由于MACsec功能实现可能存在差异,当互连的两台不同款型的设备进行MACsec功能配置时,如果一端MACsec数据帧的SecTAG里携带SCI,另一端MACsec数据帧的SecTAG里不携带SCI,那么将导致两设备间的数据流量不通,因此建立MACsec会话的两端设备关于是否携带SCI的配置必须保持一致。
【举例】
# 配置接口GigabitEthernet1/0/1上MACsec帧头不包含SCI。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo macsec include-sci
macsec maintenance-mode enable命令用来开启MACsec维护模式。
undo macsec maintenance-mode enable命令用来关闭MACsec维护模式。
【命令】
macsec maintenance-mode enable
undo macsec maintenance-mode enable
【缺省情况】
MACsec维护模式处于关闭状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
在由控制器自动下发配置的组网环境中,当控制器下串联两台设备且两台设备间需要建立MKA会话时,如果两台设备相连的接口上先配置了MACsec功能,则接口将暂时处于block状态,导致控制器无法给远端设备下发配置。此时会选择在配置了MACsec功能的接口上开启本功能,确保无论是否已经建立了MKA会话,接口均处于unblock状态,两端设备间流量通畅,远端设备能正常接收控制器下发的配置。
当设备接口配置MACsec功能后,与对端未建立MKA会话前,为保证数据的安全性,接口将暂时处于block状态,此时数据流量不通,但仍可以交互MKA协议报文。只有建立MKA会话后,该接口才会解除block状态。在接口上开启本功能后,无论是否已经建立了MKA会话,接口均处于unblock状态。
在开启或关闭本功能之前,均需要先确保该接口上的MKA协议处于关闭状态。
开启本功能后,接口在极短时间内会发生震荡,接口状态可能会被标识为Down,导致MKA协议报文无法交互。因此开启本功能前,需要通过link-delay down命令推迟将接口Down状态上报CPU。
当接口上收到来自相同SCI(MAC地址+端口ID)的攻击报文时,本功能不会生效,接口仍然保持block状态。
开启本功能后,只有收到对端的MKA协议报文后本端才会下发自身的SCI信息。
【举例】
# 在接口GigabitEthernet1/0/1上开启MACsec维护模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] macsec maintenance-mode enable
【相关命令】
· mka enable
macsec mka-session log enable命令用来开启MKA会话的日志信息功能。
undo macsec mka-session log enable命令用来关闭MKA会话的日志信息功能。
【命令】
macsec mka-session log enable
undo macsec mka-session log enable
【缺省情况】
MKA会话的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
MKA会话的日志信息是为了满足网络管理员维护的需要,对用户的接入信息(如对端老化、SAK更新)进行记录。设备生成的MKA会话的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的MKA会话的日志信息,一般情况下建议关闭此功能。
【举例】
# 开启MKA会话的日志信息功能。
<Sysname> system-view
[Sysname] macsec mka-session log enable
【相关命令】
· info-center source(网络管理和监控参考/信息中心)
macsec replay-protection enable命令用来开启接口上的MACsec重播保护功能。
undo macsec replay-protection enable命令用来关闭接口上的MACsec重播保护功能。
【命令】
macsec replay-protection enable
undo macsec replay-protection enable
【缺省情况】
接口上的MACsec重播保护功能处于开启状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
为了防止恶意用户通过重复发送捕获到的数据报文进行网络攻击,缺省情况下,接收方会丢弃重复或乱序的数据报文。但在某些组网下(如数据帧经过运营商网络转发),因为用户数据帧的发送优先级不同,在转发过程中会被重新排序,为了避免乱序的合法报文被接收端丢弃,引入了重播保护机制。
重播保护机制允许数据帧在一定范围内有一定的乱序,但超出窗口范围的报文会被丢弃。这种机制的引入可以提高网络的性能和效率,并确保接收方正常接收乱序的数据报文,减少因乱序报文而导致的可能的数据错误和延迟。
MACsec重播保护功能可以一端设备单独开启,且仅针对接收到的数据帧。
如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上使能MACsec重播保护功能,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上已开启MACsec重播保护功能以及该MKA策略中的除MACsec重播保护功能之外的其它所有配置。
【举例】
# 开启接口GigabitEthernet1/0/1上的MACsec重播保护功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] macsec replay-protection enable
【相关命令】
· display macsec
· macsec replay-protection window-size
· mka apply policy
· replay-protection enable
macsec replay-protection window-size命令用来配置接口上的MACsec重播保护窗口大小。
undo macsec replay-protection window-size命令用来恢复缺省情况。
【命令】
macsec replay-protection window-size size-value
undo macsec replay-protection window-size
【缺省情况】
接口上的MACsec重播保护窗口大小为0个数据帧,表示不允许接收乱序或重复的数据帧。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
size-value:重播保护窗口大小。当MACsec使用的加密套件为GCM-AES-128或GCM-AES-256时,取值范围为0~4294967295,单位为数据帧;当MACsec使用的加密套件为GCM-AES-XPN-128或GCM-AES-XPN-256时,取值范围为0~1073741823,单位为数据帧。
【使用指导】
为了防止恶意用户通过重复发送捕获到的数据报文进行网络攻击,缺省情况下,接收方会丢弃重复或乱序的数据报文。但在某些组网下(如数据帧经过运营商网络转发),因为用户数据帧的发送优先级不同,在转发过程中会被重新排序,为了避免乱序的合法报文被接收端丢弃,引入了重播保护机制。
重播保护机制允许数据帧在一定范围内有一定的乱序,但超出本命令配置的窗口范围的报文会被丢弃。这种机制的引入可以提高网络的性能和效率,并确保接收方正常接收乱序的数据报文,减少因乱序报文而导致的可能的数据错误和延迟。
假设配置的重播保护窗口大小为a,如果接收到了一个报文序号(PN,Packet Number)为x的报文,则下一个允许被接收的报文的PN必须大于或等于x-a。
该功能仅在重播保护功能开启的情况下有效。
请结合数据帧在传输网络中的转发途径,选择适当的重播保护窗口大小。若数据帧有可能被多次转发,那么乱序的可能性和乱序的范围会比较大,则建议适当调大重播保护窗口,反之调小。
如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上配置了MACsec重播保护窗口大小,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上配置的MACsec重播保护窗口大小以及该MKA策略中的除MACsec重播保护窗口大小之外的其它所有配置。
【举例】
# 配置接口GigabitEthernet1/0/1的MACsec重播保护窗口大小为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] macsec replay-protection window-size 100
【相关命令】
· display macsec
· macsec replay-protection enable
· mka apply policy
· replay-protection window-size
macsec validation mode命令用来配置接口上的MACsec校验模式。
undo macsec validation mode命令用来恢复缺省情况。
【命令】
macsec validation mode { check | disabled | strict }
undo macsec validation mode
【缺省情况】
接口上的MACsec校验模式为check模式。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
check:检查模式,表示只作校验,但不丢弃非法数据帧。
disabled:不对接收数据帧进行MACsec校验。
strict:严格校验模式,表示校验数据帧,并丢弃非法数据帧。
【使用指导】
当对接收的MACsec数据报文进行完整性校验时,可根据需要选择配置接口的校验模式。
在网络中部署支持MACsec的设备时,为避免两端因密钥协商不一致而造成流量丢失,建议两端均先配置为check模式,在密钥协商成功后,再配置为strict模式。
如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上配置MACsec校验模式,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上配置的MACsec校验模式及该MKA策略中的除MACsec校验模式之外的其它所有配置。
【举例】
# 配置接口GigabitEthernet1/0/1 上的MACsec的校验模式为严格校验模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] macsec validation mode strict
【相关命令】
· display macsec
· mka apply policy
· validation mode
mka apply policy命令用来在接口上应用MKA策略。
undo mka apply policy命令用来取消接口上应用的MKA策略。
【命令】
mka apply policy policy-name
undo mka apply policy
【缺省情况】
接口上未应用MKA策略。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
policy-name:MKA策略的名称,为1~16个任意字符的字符串,区分大小写。
【使用指导】
当设备上多个接口需要配置相同的MACsec属性参数时,可以通过集中配置并统一应用MKA策略来简化配置过程。管理员只需要在MKA策略视图下配置一次,即可批量应用到多个接口,无需逐个接口进行手动配置。
接口上应用了MKA策略时,策略下配置的MACsec参数,包括加密偏移、校验模式、重播保护功能和重播保护窗口值会覆盖接口下配置的对应的MACsec参数,且当修改策略下的配置时,接口相应的配置也会改变。
通过undo mka apply policy取消接口上应用的指定MKA策略时,接口上的加密偏移、MACsec校验模式、重播保护功能和重播保护窗口大小都恢复为缺省情况。
当一个MKA策略被删除时,应用了该策略的接口上将解除相应的应用。在执行本命令应用新的MKA策略前,接口处于未应用任何MKA策略状态。
当接口应用了一个不存在的MKA策略时,该接口会自动应用缺省MKA策略default-policy。之后,如果该策略被创建后,则接口会自动应用配置的MKA策略。
【举例】
# 在接口GigabitEthernet1/0/1上应用MKA策略abcd。
<Syaname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mka apply policy abcd
【相关命令】
· confidentiality-offset
· display mka policy
· replay-protection enable
· replay-protection window-size
· validation mode
mka enable命令用来使能接口上的MKA协议。
undo mka enable命令用来关闭接口上的MKA协议。
【命令】
mka enable
undo mka enable
【缺省情况】
接口上的MKA协议处于关闭状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
MKA协议负责接口上MACsec安全通道的建立和管理,以及MACsec所使用密钥的协商。接口使能MKA协议后,将触发密钥协商过程,并在密钥协商成功之后建立MKA会话。
【举例】
# 在接口GigabitEthernet1/0/1上使能MKA协议。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mka enable
【相关命令】
· display mka session
mka policy命令用来创建一个MKA策略,并进入MKA策略视图。如果指定的MKA策略已存在,则直接进入MKA策略视图。
undo mka policy命令用来删除指定的MKA策略。
【命令】
mka policy policy-name
undo mka policy policy-name
【缺省情况】
存在一个缺省的MKA策略,名称为default-policy。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:MKA策略的名称,为1~16个任意字符的字符串,区分大小写。
【使用指导】
MKA(MACsec Key Agreement,MACsec密钥协商)策略用于管理在MKA策略视图下的相关配置,包括加密偏移量、接收数据帧校验模式、重播保护使能和重播保护窗口大小。
当设备上多个接口需要配置相同的MACsec属性参数时,可以通过集中配置并统一应用MKA策略来简化配置过程。管理员只需要在MKA策略视图下配置一次,即可批量应用到多个接口,无需逐个接口进行手动配置。
系统中可配置多个MKA策略。
缺省的MKA策略default-policy不能被删除和修改。
【举例】
# 创建一个名称为abcd的MKA策略,并进入该MKA策略视图。
<Syaname> system-view
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd]
【相关命令】
· confidentiality-offset
· display mka policy
· mka apply policy
· replay-protection enable
· replay-protection window-size
· validation mode
mka priority命令用来配置MKA密钥服务器的优先级。
undo mka priority命令用来恢复缺省情况。
【命令】
mka priority priority-value
undo mka priority
【缺省情况】
MKA密钥服务器的优先级为0。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
priority-value:MKA密钥服务器优先级,取值范围为0~255,值越小,优先级越高。
【使用指导】
通过MACsec对数据报文进行加密和解密时,本端设备接口和对端设备接口建立MKA会话需要使用相同的安全密钥,该密钥由密钥服务器负责生成和分发。因此需要在两端设备接口上配置密钥服务器的优先级,数值越小优先级越高,优先级高的接口将被选举为密钥服务器。
如果采用802.1X认证生成的CAK,接入设备的接口自动被选举为密钥服务器。
如果采用用户配置的预共享密钥,优先级较高(值较小)的接口被选举为密钥服务器。如果两端的优先级相同,则比较SCI(MAC地址+端口的ID),SCI值较小的一端将被选举为密钥服务器。
优先级为255的设备端口不能被选举为密钥服务器。相互连接的端口不能都配置优先级为255,否则MKA会话选举不出密钥服务器。
# 在接口GigabitEthernet1/0/1上配置MKA密钥服务优先级为2。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mka priority 2
【相关命令】
· display mka session
mka psk命令用来配置MKA预共享CA密钥。
undo mka psk命令用来恢复缺省情况。
【命令】
mka psk ckn name cak { cipher | simple } string
undo mka psk
【缺省情况】
不存在MKA预共享密钥。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
ckn name:表示CAK的名称(CKN,CAK Name)。name为2~64个字符的字符串,只能包含偶数个16进制数字,不区分大小写。
cak:表示CA密钥。
cipher:表示以密文方式设置预共享密钥。
simple:表示以明文方式设置预共享密钥,该密钥将以密文形式存储。
string:设置的密钥字符串。明文密钥必须为2~64个字符,且只能为偶数个16进制数,不区分大小写;密文密钥为2~117个字符的字符串,区分大小写。
【使用指导】
CA参与者使用的密钥称为CAK(Connectivity Association Key,安全连通集密钥)。CAK不直接用于数据报文的加密,由它和其它参数派生出数据报文的加密密钥SAK。
CAK有两种来源:
· 802.1X认证过程中生成的CAK;
· 通过本命令手工配置。用户手工配置的CAK优先级高。
当接口上没有启用802.1X认证功能时,可以通过mka psk配置两端使用的CKN和CAK,但必须保证两端的CKN和CAK配置一致,否则不能建立正常的MKA会话。
本端设备和对端设备建立MACsec连接时,请保证只有建立连接的两个端口上配置相同的CKN,两端设备的其它端口上都不能配置与此相同的CKN,以免一个端口学习到多个邻居而导致MACsec功能不能正常建立。
两端建立正常的MKA会话后,若要删除配置的CKN,则建议首先在密钥服务器端执行undo mka psk命令,然后在非密钥服务器端执行undo mka psk命令。但要注意的是,删除配置的CKN会导致已建立的相应的MKA会话删除。
MACsec使用不同的加密算法套件时,CKN、CAK的取值长度有所不同,具体要求如下:
· GCM-AES-128加密套件要求所使用的CKN、CAK的长度都必须为32个字符。在运行GCM-AES-128加密套件时,对于长度不足32个字符的CKN、CAK,系统会自动在其后补零,使其满足32个字符;对于长度大于32个字符的CKN、CAK,系统只获取其前32个字符。
· GCM-AES-256加密套件要求使用的CKN、CAK的长度都必须为64个字符。在运行GCM-AES-256 加密套件时,对于长度不足64个字符的CKN、CAK,系统会自动在其后补零,使其满足64个字符。
【举例】
# 在接口GigabitEthernet1/0/1上配置预共享CA密钥的名称为AB,预共享CA密钥为明文1234。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mka psk ckn AB cak simple 1234
【相关命令】
· dot1x(安全命令参考/802.1X)
· macsec cipher-suite
mka timer mka-life命令用来配置MKA会话超时时间。
undo mka timer mka-life命令用来恢复缺省情况。
【命令】
mka timer mka-life seconds
undo mka timer mka-life
【缺省情况】
MKA会话超时时间为6秒。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
seconds:MKA会话超时时间,取值范围为6~60600,单位为秒。
【使用指导】
MACsec安全通道建立后,两端设备会通过交互MKA协议报文确认连接的存在。
当设备收到对端的MKA协议报文后,启动MKA会话超时定时器。如果在该定时器设置的时长内未再次收到对端的MKA协议报文,则认为该连接已不安全,及时清除建立的安全会话。
仅面向设备模式下支持配置本命令,且两端设备上配置的会话超时时间必须相同。
【举例】
# 在接口GigabitEthernet1/0/1上配置MKA会话超时时间为10秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mka timer mka-life 10
【相关命令】
· display macsec
replay-protection enable命令用来开启MACsec重播保护功能。
undo replay-protection enable命令用来关闭MACsec重播保护功能。
【命令】
replay-protection enable
undo replay-protection enable
【缺省情况】
MACsec重播保护功能处于开启状态。
【视图】
MKA策略视图
【缺省用户角色】
network-admin
【使用指导】
为了防止恶意用户通过重复发送捕获到的数据报文进行网络攻击,缺省情况下,接收方会丢弃重复或乱序的数据报文。但在某些组网下(如数据帧经过运营商网络转发),因为用户数据帧的发送优先级不同,在转发过程中会被重新排序,为了避免乱序的合法报文被接收端丢弃,引入了重播保护机制。
重播保护机制允许数据帧在一定范围内有一定的乱序,但超出窗口范围的报文会被丢弃。这种机制的引入可以提高网络的性能和效率,并确保接收方正常接收乱序的数据报文,减少因乱序报文而导致的可能的数据错误和延迟。
MACsec重播保护功能可以一端设备单独开启,且仅针对接收到的数据帧。
在MKA策略中开启的MACsec重播保护功能状态,在该MKA策略成功应用到接口上之后,将会覆盖该接口上已开启的MACsec重播保护功能状态。
【举例】
# 在MKA策略abcd中开启MACsec重播保护功能。
<Sysname> system-view
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] replay-protection enable
【相关命令】
· macsec replay-protection enable
· mka apply policy
· replay-protection window-size
replay-protection window-size命令用来配置MACsec重播保护窗口大小。
undo replay-protection window-size命令用来恢复缺省情况。
【命令】
replay-protection window-size size-value
undo replay-protection window-size
【缺省情况】
MACsec重播保护窗口大小为0个数据帧,表示不允许接收乱序或重复的数据帧。
【视图】
MKA策略视图
【缺省用户角色】
network-admin
【参数】
size-value:重播保护窗口大小。当MACsec使用的加密套件为GCM-AES-128或GCM-AES-256时,取值范围为0~4294967295,单位为数据帧;当MACsec使用的加密套件为GCM-AES-XPN-128或GCM-AES-XPN-256时,取值范围为0~1073741823,单位为数据帧。
【使用指导】
为了防止恶意用户通过重复发送捕获到的数据报文进行网络攻击,缺省情况下,接收方会丢弃重复或乱序的数据报文。但在某些组网下(如数据帧经过运营商网络转发),因为用户数据帧的发送优先级不同,在转发过程中会被重新排序,为了避免乱序的合法报文被接收端丢弃,引入了重播保护机制。
重播保护机制允许数据帧在一定范围内有一定的乱序,但超出本命令配置的窗口范围的报文会被丢弃。这种机制的引入可以提高网络的性能和效率,并确保接收方正常接收乱序的数据报文,减少因乱序报文而导致的可能的数据错误和延迟。
假设配置的重播保护窗口大小为a,如果接收到了一个报文序号(PN,Packet Number)为x的报文,则下一个允许被接收的报文的PN必须大于或等于x-a。
该功能仅在重播保护功能开启的情况下有效。
请结合数据帧在传输网络中的转发途径,选择适当的重播保护窗口大小。若数据帧有可能被多次转发,那么乱序的可能性和乱序的范围会比较大,则建议适当调大重播保护窗口,反之调小。
在MKA策略中配置的MACsec重播保护窗口值,在该MKA策略成功应用到接口上之后,将会覆盖该接口上配置的MACsec重播保护窗口值。
【举例】
# 在MKA策略abcd中配置重播保护窗口大小为100。
<Sysname> system-view
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] replay-protection window-size 100
【相关命令】
· macsec replay-protection window-size
· macsec replay-protection enable
· mka apply policy
reset mka session命令用来重建接口上的MKA会话。
【命令】
reset mka session [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定接口类型和接口编号。若不指定该参数,则表示重建所有接口上的MKA会话信息。
【使用指导】
重建接口上的MKA会话是指,先清除接口上的MKA会话,然后立即触发协商建立新的MKA会话。
【举例】
# 重建接口GigabitEthernet1/0/1上的MKA会话。
<Sysname> reset mka session interface gigabitethernet 1/0/1
【相关命令】
· display mka session
reset mka statistics命令用来清除接口上的MKA统计信息。
【命令】
reset mka statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定接口类型和接口编号。若不指定该参数,则表示清除所有接口上的MKA统计信息。
【举例】
# 清除接口GigabitEthernet1/0/1上的MKA统计信息。
<Sysname> reset mka statistics interface gigabitethernet 1/0/1
【相关命令】
· display mka statistics
validation mode命令用来配置MACsec校验模式。
undo validation mode命令用来恢复缺省情况。
【命令】
validation mode { check | disabled | strict }
undo validation mode
【缺省情况】
check模式,表示只作校验,但不丢弃非法数据帧。
【视图】
MKA策略视图
【缺省用户角色】
network-admin
【参数】
check:检查模式,表示只作校验,但不丢弃非法数据帧。
disabled:不对接收数据帧进行MACsec校验。
strict:严格校验模式,表示校验数据帧,并丢弃非法数据帧。
【使用指导】
当对接收的MACsec数据报文进行完整性校验时,可根据需要选择配置接口的校验模式。
在网络中部署支持MACsec的设备时,为避免两端因密钥协商不一致而造成流量丢失,建议两端均先配置为check模式,在密钥协商成功后,再配置为strict模式。
在MKA策略中配置的MACsec校验模式,在该MKA策略成功应用到接口上之后,将会覆盖该接口上配置的MACsec校验模式。
【举例】
# 在MKA策略abcd中配置MACsec校验模式为严格校验模式。
<Sysname> system-view
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] validation mode strict
【相关命令】
· macsec validation mode
· mka apply policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
