- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
24-MACsec配置
本章节下载: 24-MACsec配置 (385.95 KB)
目 录
MACsec(Media Access Control Security,MAC安全)定义了基于IEEE 802局域网络的数据安全通信的方法。MACsec可为用户提供安全的MAC层数据发送和接收服务,包括用户数据加密、数据帧完整性检查及数据源真实性校验。
MKA(MACsec Key Agreement Protocal)是用于MACsec数据加密密钥的协商协议。
CA(Connectivity Association,安全连通集)是两个或两个以上使用相同密钥和密钥算法套件的成员的集合。CA成员称为CA的参与者。
CA参与者使用的密钥称为CAK(Connectivity Association Key,安全连通集密钥)。CAK不直接用于数据报文的加密,由它和其它参数派生出数据报文的加密密钥。CAK可以是802.1X认证过程中生成的CAK,也可以是用户配置的预共享密钥(PSK,Pre-Shared Key)。如两者同时存在,优先使用用户配置的预共享密钥。
CAK分为以下两种类型:
· 成对CAK(Pairwise CAK),即由两个成员组成CA,它们所拥有的CAK称为成对CAK。
· 成组CAK(Group CAK),即由三个或三个以上成员组成CA,它们所拥有的CAK称为成组CAK。
目前,MACsec主要应用在点对点组网的环境中,所以主要使用成对CAK。两个相连的设备组成一个CA,它们使用相同的CAK。
CKN(Connectivity Association Key Name,安全连通集密钥名称)是对应的安全连通集密钥CAK的名称。
SC(Security Channel,安全通道)是CA参与者之间用于传输安全数据的安全通道。
SCI(Security Channel Identifier,安全通道标识符)由端口MAC地址和端口ID组成,唯一标识系统内的安全通道。
SA(Security Association,安全联盟)是CA参与者之间用于建立安全通道的安全参数集合,包括对数据进行加密算法套件、进行完整性检查的密钥等。
SAK(Security Association Key,安全联盟密钥)由CAK根据算法推导产生,用于加密安全通道间传输的数据。一个安全通道中可包含多个SA,每一个SA拥有一个不同的SAK。
MKA对每一个SAK可加密的报文数有所限制。当使用某SAK加密的报文超过限定的数目后,该SAK会被刷新。例如,在10Gbps的链路上,SAK最快300秒刷新一次。
ICV(Integrity Check Value,完整性校验值)是报文完整性校验值。在报文发送端,通过某种算法对报文的数据单元计算得出的校验值,附在报文尾部发送,并在接收端被重新计算和比较,用于保证报文的数据完整性。
开启了MACsec功能且启动了MACsec保护的端口发送数据帧时,需要对它进行加密;开启了MACsec功能的端口收到经过MACsec封装的数据帧时,需要对它进行解密。加解密所使用的密钥是通过MKA协议协商而来的。
MACsec封装的数据帧会使用CAK推导出的密钥进行ICV计算,并附加在MACsec报文的尾部。设备收到MACsec报文时,同样使用MKA协商出的密钥进行完整性检验值计算,然后将计算结果与报文中携带的ICV进行比较。如果比较结果相同,则表示报文合法;如果比较结果不相同,将依据配置的校验模式,决定是否丢弃报文。
MACsec有如下几种校验模式:
· check:检查模式,表示只作校验,但不丢弃非法数据帧。
· disabled:不对接收数据帧进行MACsec校验。
· strict:严格校验模式,表示校验接收数据帧,并丢弃非法数据帧。
MACsec封装的数据帧在网络中传输时,可能出现报文顺序的重排。MACsec重播保护机制允许数据帧有一定的乱序,这些乱序的报文序号在用户指定的窗口范围内可以被合法接收,超出窗口的报文会被丢弃。假设配置的重播保护窗口大小为a,如果接收到了一个报文序号为x的报文,则下一个允许被接收的报文的序号必须大于或等于x-a。
CA成员之间完成SAK密钥协商和安装之后,将使用协商的密钥进行数据报文的转发:
· 在数据报文的发送端,采用SAK和加密算法对原始数据报文的MSDU(MAC Service Data Unit)部分进行加密形成密文(Secure Data),采用SAK和校验算法对源/目的MAC、SecTAG和密文部分进行计算输出ICV放置在报文的尾部,然后组装成一个完整的MACsec加密报文发送给对端。
· 在数据报文的接收端,采用SAK和解密算法对密文计算得到明文,同时采用校验算法计算出ICV后与报文携带的ICV进行比较,如果一致表明报文没有被修改。
图1-1 MACsec加密报文示意图
MACsec报文中的关键字段含义如下:
· DA/SA:报文的目的/源MAC地址,各6字节。
· SecTAG:安全标签,长度为8或者16字节,具体解释见下文。
· Secure Data:经过MACsec加密之后的报文载荷。按照协议规定,加密的起点可以从ET字段之后偏移0、30或者50个字节。
· ICV:完整性校验值,8~16字节。若报文被篡改,ICV值会发生变化,以此来保护报文不被恶意修改。
MACsec报文中的SecTAG字段的结构如图1-2所示。
图1-2 SecTAG字段示意图
SecTAG字段中的关键字段含义如下:
· ET(Ethertype):2字节,表示MACsec协议的以太网类型,值为0x88E5。
· TCI(TAG control information):6比特,用于提供MACsec版本号、报文是否经过加密、是否经过完整性计算、以及末尾是否携带ICV字段等状态信息。
· AN(Association Number):2比特,标识发送该报文的安全通道中的SA编号。一个安全通道中可以包含4个SA。
· SL(Short Length):1字节,如果SecureData长度小于48字节,则该值为SecureData长度,否则为零。
· PN(Packet Number):4字节,表示报文编号。发送端每发送一个报文,该字段就加1,用于防重放攻击。
· SCI(Secure Channel Identifier):8字节,安全通道的标识,由6字节的MAC地址与2字节的端口号拼接而成。
MACsec仅有一种典型组网模式:面向设备模式。
如图1-3所示,面向设备模式用于保护设备之间的数据帧。
该模式下,互连的两台设备直接使用通过命令行配置的预共享密钥进行MACsec密钥协商和报文加密功能。
如图1-4所示,设备之间使用配置的预共享密钥开始协商会话,会话协商结束后开始安全通信。MACsec协议的交互过程主要分为三个阶段:会话协商、安全通信和会话终止。
图1-4 面向设备模式的MACsec协议交互过程
(2) 会话协商
a. 设备之间使用配置的预共享密钥(PSK,Pre-Shared Key)作为CAK,通过EAPOL-MKA报文开始协商会话。
b. 设备之间通过MKA协议向对方通告自身能力和建立会话所需的各种参数(如优先级、是否期望加密会话等)。
c. 设备间优先级较高的端口将被选举为密钥服务器(Key Server),负责生成和分发SAK。
(3) 安全通信
两端设备使用SAK加密数据报文,开始加密通信。
(4) 会话终止
发生以下任一情况时,MKA安全会话终止:
¡ 当设备收到对方的下线请求消息后,立即清除该用户对应的安全会话。
¡ MKA会话超时定时器(缺省为6秒,可配置)超时后,本端仍然没有收到对端的MKA协议报文,则清除该用户对应的安全会话。
与MACsec相关的协议规范有:
· IEEE 802.1X-2010:Port-Based Network Access Control
· IEEE 802.1AE-2006:Media Access Control (MAC) Security
· 仅SF系列接口板和SG接口板支持MACsec功能。
· display device verbose命令显示信息中的Switch chip version字段显示为000的SF系列接口板不支持MACsec功能。
MACsec配置任务如下:
(1) 配置MACsec基本功能
面向设备模式下需要配置加密套件。
¡ 配置预共享密钥
面向设备模式下必须配置预共享密钥。
(2) (可选)配置MACsec扩展功能
仅面向设备模式下需要配置MKA会话超时时间。
请选择以下任一方式进行配置:
MKA协议负责接口上MACsec安全通道的建立和管理,以及MACsec所使用密钥的协商。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启MKA协议。
mka enable
缺省情况下,接口上的MKA协议处于关闭状态。
设备期望进行MACsec保护表达了本端对发送的数据帧进行MACsec保护的意愿,但最终本端发送的数据帧是否启用MACsec保护,要由密钥服务器来决策。决策策略是:密钥服务器和它的对端都支持MACsec特性,且至少有一端期望进行MACsec保护。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置MACsec保护。
macsec desire
缺省情况下,接口上不需要对发送的数据帧进行MACsec保护。
MACsec使用的加密套件是一组用来加密、校验和恢复被保护数据帧的算法,目前支持的加密套件为GCM-AES-128、GCM-AES-256、GCM-AES-XPN-128、GCM-AES-XPN-256、GCM-SM4-128和GCM-SM4-XPN-128。
在系统视图下配置MACsec使用的加密套件为国密算法后:
· 对于不支持国密算法的单板,其接口下生效的加密套件仍为接口视图下配置的加密套件。
· 对于支持国密算法的单板,其接口下生效的加密套件为国密算法加密套件。
传统配置实现中,接口下的配置生效优先级由高到低为:接口非缺省配置-->全局非缺省配置-->接口缺省配置。因此为了使全局国密算法配置生效优先级高于接口非缺省算法配置,当接口下存在非缺省算法配置时,下发全局国密算法配置后,接口下的配置将被恢复为缺省配置,以实现全局国密算法配置在接口优先生效。
H3C设备GCM-AES-256和GCM-AES-XPN-256加密套件和标准的开源加密套件实现不一致。当对端设备使用GCM-AES-256和GCM-AES-XPN-256的开源加密套件时,H3C设备上使用同样的加密套件必须指定standard参数,否则无法与对端设备成功建立MKA会话。
国密算法加密套件仅支持在支持国密算法的单板上生效。
仅面向设备模式下需要配置MACsec加密套件,且配置该功能的端口上不能开启802.1X功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置MACsec使用的加密套件。
macsec cipher-suite { gcm-aes-128 | gcm-aes-256 [ standard ] | gcm-aes-xpn-128 | gcm-aes-xpn-256 [ standard ] }
缺省情况下,MACsec使用的加密套件为GCM-AES-128。
(1) 进入系统视图。
system-view
(2) 配置MACsec使用的加密套件。
(独立运行模式)
macsec cipher-suite { gcm-sm4-128 | gcm-sm4-xpn-128 } { slot slot-number }
(IRF模式)
macsec cipher-suite { gcm-sm4-128 | gcm-sm4-xpn-128 } { chassis chassis-number slot slot-number }
缺省情况下,MACsec使用的加密套件为接口视图下配置的加密套件。
在面向设备模式中,两端设备协商MKA会话使用的CAK通过预共享密钥直接配置。为了保证设备间的MKA会话可以正常建立,必须保证两端设备的接口上配置的预共享密钥一致。
本端设备和对端设备建立MACsec连接时,请保证只有建立连接的两个端口上配置相同的CKN,两端设备的其它端口上都不能配置与此相同的CKN,以免一个端口学习到多个邻居而导致MACsec功能不能正常建立。
MACsec使用不同的加密算法套件时,CKN、CAK的取值长度有所不同,具体要求如下:
· GCM-AES-128或者GCM-AES-XPN-128加密套件要求所使用的CKN、CAK的长度都必须为32个字符。在运行GCM-AES-128或者GCM-AES-XPN-128加密套件时,对于长度不足32个字符的CKN、CAK,系统会自动在其后补零,使其满足32个字符;对于长度大于32个字符的CKN、CAK,系统只获取其前32个字符。
· GCM-AES-256或者GCM-AES-XPN-256加密套件要求使用的CKN、CAK的长度都必须为64个字符。在运行GCM-AES-256或者GCM-AES-XPN-256加密套件时,对于长度不足64个字符的CKN、CAK,系统会自动在其后补零,使其满足64个字符。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置预共享密钥。
mka psk ckn name cak { cipher | simple } string
缺省情况下,接口不存在MKA预共享密钥。
配置MKA密钥服务器的优先级时,请遵循以下配置限制和指导:
· 在面向设备模式中,MKA密钥服务器优先级较高(值较小)的设备端口将被选举为密钥服务器。如果设备端口的优先级相同,则比较设备端口的SCI(MAC地址+端口的ID),SCI值较小的端口将被选举为密钥服务器。
· 优先级为255的设备端口不能被选举为密钥服务器。相互连接的端口不能都配置优先级为255,否则MKA会话选举不出密钥服务器。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置MKA密钥服务器的优先级。
mka priority priority-value
缺省情况下,MKA密钥服务器的优先级为0。
仅面向设备模式下需要配置本功能,且两端设备上配置的会话超时时间必须相同。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置MKA会话超时时间。
mka timer mka-life seconds
缺省情况下,MKA会话超时时间为6秒。
MACsec有如下属性参数:
· MACsec加密偏移量:从用户数据帧帧头开始偏移多少字节后开始加密,协议提供0、30、50三个偏移量供用户使用。
· MACsec重播保护功能:可以防止本端收到乱序或重复的数据帧。
· MACsec校验:接口收到报文后,计算报文的ICV,与报文尾部的ICV比较,并根据校验模式,决定报文是否丢弃。
MACsec属性参数既可以在接口上配置,也可以通过MKA策略配置。当需要在多个接口上配置同样的属性参数,则可以采用配置和应用MKA策略实现。
如果既在接口上直接配置MACsec属性参数,又在接口上应用了MKA策略,则后执行的配置参数生效。
在交换机或单板上配置不支持的校验模式时,系统会打印相关不支持日志。
在交换机或单板上已配置了不支持的校验模式后,再执行mka enable命令,则系统会打印相关不支持日志。
当MACsec使用的加密套件为GCM-AES-XPN-128或GCM-AES-XPN-256时,加密偏移量始终为0。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口上的MACsec加密偏移量。
macsec confidentiality-offset offset-value
缺省情况下,接口上的MACsec加密偏移量为0,表示整个数据帧都要加密。
如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量,并将该值发布给对端。
(4) 为接口接收到的数据帧配置MACsec重播保护功能。
macsec replay-protection enable
缺省情况下,接口上的MACsec重播保护功能处于开启状态。
b. 配置接口上的MACsec重播保护窗口大小。
macsec replay-protection window-size size-value
缺省情况下,接口上的MACsec重播保护窗口大小为0个数据帧,表示不允许接收乱序或重复的数据帧。
配置的重播保护窗口大小仅在重播保护功能开启的情况下有效。
macsec validation mode { check | disabled | strict }
缺省情况下,接口上的MACsec校验模式是check。
S12500G-AF系列交换机和S12500CR系列交换机不支持disabled参数。
在网络中部署支持MACsec的设备时,为避免两端因密钥协商不一致而造成流量丢失,建议两端均先配置为check模式,在密钥协商成功后,再配置为strict模式。
|
参数 |
说明 |
|
check |
检查模式,表示只作校验,但不丢弃非法数据帧 |
|
disabled |
不对接收数据帧进行MACsec校验 |
|
strict |
严格校验模式,表示校验接收数据帧,并丢弃非法数据帧 |
一个MKA策略可应用于一个或多个接口。在接口上应用了MKA策略时,需要注意的是:
· 接口上应用的MKA策略中配置的MACsec属性参数(加密偏移、校验模式、重播保护功能和重播保护窗口大小)会覆盖接口上配置的对应的MACsec属性参数。
· 当修改应用到接口上的MKA策略配置时,接口上的相应的配置也会改变。
· 取消接口上应用的指定MKA策略时,接口上的加密偏移、校验模式、重播保护功能和重播保护窗口大小都恢复为缺省情况。
· 当接口应用了一个不存在的MKA策略时,该接口会自动应用缺省MKA策略default-policy。之后,如果该策略被创建,则接口会自动使用配置的MKA策略。
· 当MACsec使用的加密套件为GCM-AES-XPN-128或GCM-AES-XPN-256时,加密偏移量始终为0。
(1) 进入系统视图。
system-view
(2) 创建一个MKA策略,并进入MKA策略视图。
mka policy policy-name
缺省情况下,存在一个缺省的MKA策略,名称为default-policy ,参数取值均为接口上对应的缺省值,且该策略不能被删除和修改。
系统中可配置多个MKA策略。
(3) 配置MACsec加密偏移量。
confidentiality-offset offset-value
缺省情况下,加密偏移为0,表示整个数据帧都要加密。
如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量,并将该值发布给对端。
a. 开启MACsec重播保护功能。
replay-protection enable
缺省情况下,接口上的MACsec重播保护功能处于开启状态。
b. 配置MACsec重播保护窗口大小。
replay-protection window-size size-value
缺省情况下,接口上的MACsec重播保护窗口大小为0个数据帧,表示不允许接收乱序或重复的数据帧。
(5) 配置MACsec校验模式。
validation mode { check | disabled | strict }
缺省情况下,MACsec校验模式是check。
|
参数 |
说明 |
|
check |
检查模式,表示只作校验,但不丢弃非法数据帧 |
|
disabled |
不对接收数据帧进行MACsec校验 |
|
strict |
严格校验模式,表示校验接收数据帧,并丢弃非法数据帧 |
a. 退回系统视图。
quit
b. 进入接口视图
interface interface-type interface-number
c. 在接口上应用MKA策略。
mka apply policy policy-name
缺省情况下,接口上没有应用MKA策略。
SCI(Secure Channel Identifier,安全通道标识)由端口MAC地址和端口ID组成,用来标识报文来源。
由于MACsec功能实现可能存在差异,当互连的两台不同款型的设备进行MACsec功能配置时,如果一端MACsec数据帧的SecTAG里携带SCI,另一端MACsec数据帧的SecTAG里不携带SCI,那么将导致两设备间的数据流量不通。通过配置本功能,确保建立MACsec会话的两端设备关于是否携带SCI的配置保持一致。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置MACsec加密数据帧头包含SCI。
macsec include-sci
当设备接口配置MACsec功能后,与对端未建立MKA会话前,为保证数据的安全性,接口将暂时处于block状态,此时数据流量不通,但仍可以交互MKA协议报文。
在由控制器自动下发配置的组网环境中,当控制器下串联两台设备且两台设备间需要建立MKA会话时,如果两台设备相连的接口上先配置了MACsec功能,则接口将暂时处于block状态,导致控制器无法给远端设备下发配置。此时会选择在配置了MACsec功能的接口上开启本功能,确保无论是否已经建立了MKA会话,接口均处于unblock状态,两端设备间流量通畅,远端设备能正常接收控制器下发的配置。
当接口上收到来自相同SCI(MAC地址+端口ID)的攻击报文时,本功能不会生效,接口仍然保持block状态。
开启本功能后,只有收到对端的MKA协议报文后本端才会下发自身的SCI信息。
在开启或关闭本功能之前,均需要先确保该接口上的MKA协议处于关闭状态。
开启本功能后,接口在极短时间内会发生震荡,接口状态可能会被标识为Down,导致MKA协议报文无法交互。因此开启本功能前,需要通过link-delay down命令推迟将接口Down状态上报CPU。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启MACsec维护模式。
macsec maintenance-mode enable
缺省情况下,MACsec维护模式处于关闭状态。
在未建立MKA会话前开启本功能,将降低数据报文的安全性,请谨慎操作。
MKA会话的日志信息是为了满足网络管理员维护的需要,对用户的接入信息(如对端老化、SAK更新)进行记录。设备生成的MKA会话的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的MKA会话的日志信息,一般情况下建议关闭此功能。
(1) 进入系统视图。
system-view
(2) 开启MKA会话的日志信息功能。
macsec mka-session log enable
缺省情况下,MKA会话的日志信息功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后MACsec的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以重建会话和清除统计信息。
表1-1 MACsec显示和维护
|
操作 |
命令 |
|
显示接口上的MACsec运行信息 |
display macsec [ interface interface-type interface-number ] [ verbose ] |
|
显示MACsec硬件能力集 |
(独立运行模式) display macsec hardware-capability slot slot-number (IRF模式) display macsec hardware-capability chassis chassis-number slot slot-number |
|
显示MKA策略相关信息 |
display mka { default-policy | policy [ name policy-name ] } |
|
显示MKA会话信息 |
display mka session [ interface interface-type interface-number | local-sci sci-id ] [ verbose ] |
|
显示接口上的MKA统计信息 |
display mka statistics [ interface interface-type interface-number ] |
|
重建接口上的MKA会话 |
reset mka session [ interface interface-type interface-number ] |
|
清除接口上的MKA统计信息 |
reset mka statistics [ interface interface-type interface-number ] |
Device A和Device B相连,要求两台设备之间的数据通信进行MACsec保护,具体要求如下:
· MACsec加密偏移量为30字节。
· 开启MACsec重播保护功能,重播保护窗口大小为100。
· 开启严格的MACsec校验。
· 两台设备使用的CAK均为静态配置,CKN为E9AC,CAK为09DB3EF1。
· 由Device A作为密钥服务器。
图1-5 面向设备模式MACsec配置组网图
(1) 配置Device A
<DeviceA> system-view
# 在接口Ten-GigabitEthernet3/0/1上配置期望进行MACsec保护。
[DeviceA] interface ten-gigabitethernet 3/0/1
[DeviceA-Ten-GigabitEthernet3/0/1] macsec desire
# 配置MKA密钥服务器的优先级为5。(本例中,Device A作为密钥服务器,所以配置的Device A的优先级要比Device B的优先级高)
[DeviceA-Ten-GigabitEthernet3/0/1] mka priority 5
# 配置预共享密钥的名称为E9AC,预共享密钥为明文09DB3EF1。
[DeviceA-Ten-GigabitEthernet3/0/1] mka psk ckn E9AC cak simple 09DB3EF1
# 配置MACsec加密偏移量为30。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec confidentiality-offset 30
# 开启MACsec重播保护功能。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec replay-protection enable
# 配置MACsec重播保护窗口大小为100。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec replay-protection window-size 100
# 配置严格的MACsec校验模式。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec validation mode strict
# 开启MKA协议。
[DeviceA-Ten-GigabitEthernet3/0/1] mka enable
[DeviceA-Ten-GigabitEthernet3/0/1] quit
(2) 配置Device B
<DeviceB> system-view
# 进入Ten-GigabitEthernet3/0/1接口视图。
[DeviceB] interface ten-gigabitethernet 3/0/1
# 配置期望进行MACsec保护。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec desire
# 配置MKA密钥服务器的优先级为10。
[DeviceB-Ten-GigabitEthernet3/0/1] mka priority 10
# 配置预共享密钥的名称为E9AC,预共享密钥为明文09DB3EF1。
[DeviceB-Ten-GigabitEthernet3/0/1] mka psk ckn E9AC cak simple 09DB3EF1
# 配置MACsec加密偏移量为30。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec confidentiality-offset 30
# 开启MACsec重播保护功能。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec replay-protection enable
# 配置MACsec重播保护窗口大小为100。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec replay-protection window-size 100
# 配置严格的MACsec校验模式。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec validation mode strict
# 开启MKA协议。
[DeviceB-Ten-GigabitEthernet3/0/1] mka enable
[DeviceB-Ten-GigabitEthernet3/0/1] quit
配置完成后,用户可以使用display命令查看设备上MACsec的运行情况。
# 查看DeviceA的MACsec运行信息。
[DeviceA] display macsec interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Protect frames : Yes
Replay protection : Enabled
Config replay window size : 100 frames
Active replay window size : 100 frames
Config confidentiality offset : 30 bytes
Active confidentiality offset : 30 bytes
Config validation mode : Strict
Active validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 00E00100000A0006
Elapsed time: 00h:05m:00s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 00E0020000000106
Elapsed time: 00h:03m:18s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
# 查看DeviceA上的MKA会话信息。
[DeviceA] display mka session interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Tx-SCI : 00E00100000A0006
Priority : 5
Capability: 3
CKN for participant: E9AC
Key server : Yes
MI (MN) : 85E004AF49934720AC5131D3 (182)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Tx-SSCI : N/A
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 85E004AF49934720AC5131D300000003 (3)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Prio Cap Rx-SCI Rx-SSCI
12A1677D59DD211AE86A0128 182 10 3 00E0020000000106 N/A
# 查看DeviceB上的MACsec运行信息。
[DeviceB]display macsec interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Protect frames : Yes
Replay protection : Enabled
Config replay window size : 100 frames
Active replay window size : 100 frames
Config confidentiality offset : 30 bytes
Active confidentiality offset : 30 bytes
Config validation mode : Strict
Active validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 00E0020000000106
Elapsed time: 00h:05m:36s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 00E00100000A0006
Elapsed time: 00h:03m:21s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
# 查看DeviceB上的MKA会话信息。
[DeviceB] display mka session interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Tx-SCI : 00E0020000000106
Priority : 10
Capability: 3
CKN for participant: E9AC
Key server : No
MI (MN) : 12A1677D59DD211AE86A0128 (1219)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Tx-SSCI : N/A
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 85E004AF49934720AC5131D300000003 (3)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Prio Cap Rx-SCI Rx-SSCI
85E004AF49934720AC5131D3 1216 5 3 00E00100000A0006 N/A
在链路状态正常且链路两端设备都支持MACsec功能,MACsec安全会话未建立。
可能的原因有:
· 接口未开启MKA协议。
· 如果接口使用预共享密钥,接口的预共享密钥未配置或配置不一致。
· 进入接口视图下,使用display this命令查看MKA是否开启,如果未开启,请使用mka enable命令开启MKA协议。
· 进入接口视图下,使用display this命令查看是否配置预共享密钥,如果未配置,请使用mka psk命令配置;否则,请检查已有配置的密钥是否一致,不一致,则重新配置一致。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
