- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
27-MACSec配置
本章節下載: 27-MACSec配置 (437.50 KB)
目 錄
MACsec(Media Access Control Security,MAC安全)定義了基於IEEE 802局域網絡的數據安全通信的方法。MACsec可為用戶提供安全的MAC層數據發送和接收服務,包括用戶數據加密、數據幀完整性檢查及數據源真實性校驗。
CA(Connectivity Association,安全連通集)是兩個或兩個以上使用相同密鑰和密鑰算法套件的成員的集合。CA成員稱為CA的參與者。CA參與者使用的密鑰稱為CAK。CAK分為以下兩種類型:
· 成對CAK(Pairwise CAK),即由兩個成員組成CA,它們所擁有的CAK稱為成對CAK。
· 成組CAK(Group CAK),即由三個或三個以上成員組成CA,它們所擁有的CAK稱為成組CAK。
CAK可以是802.1X認證過程中生成的CAK,也可以是用戶配置的預共享密鑰(PSK,Pre-Shared Key)。如兩者同時存在,優先使用用戶配置的預共享密鑰。
目前,MACsec主要應用在點對點組網的環境中,所以主要使用成對CAK。
SA(Security Association,安全聯盟)是CA參與者之間用於建立安全通道的安全參數集合,包括對數據進行加密算法套件、進行完整性檢查的密鑰等。
一個安全通道中可包含多個SA,每一個SA擁有一個不同的密鑰,這個密鑰稱為SAK。SAK由CAK根據算法推導產生,用於加密安全通道間傳輸的數據。
MKA對每一個SAK可加密的報文數有所限製。當使用某SAK加密的報文超過限定的數目後,該SAK會被刷新。例如,在10Gbps的鏈路上,SAK最快300秒刷新一次。
MACsec安全通道建立後,兩端設備會通過交互MKA協議報文確認連接的存在。
當設備收到對端的MKA協議報文後,啟動MKA會話超時定時器。如果設備在該定時器設置的超時時間(缺省為6秒)內未再次收到對端的MKA協議報文,則認為該連接已不安全,清除建立的安全會話。
開啟了MACsec功能且啟動了MACsec保護的端口發送數據幀時,需要對它進行加密;開啟了MACsec功能的端口收到經過MACsec封裝的數據幀時,需要對它進行解密。加解密所使用的密鑰是通過MKA協議協商而來的。
MACsec封裝的數據幀會使用CAK推導出的密鑰進行ICV(完整性校驗值,Integrity Check Value)計算,並附加在MACsec報文的尾部。設備收到MACsec報文時,同樣使用MKA協商出的密鑰進行完整性檢驗值計算,然後將計算結果與報文中攜帶的ICV進行比較。如果比較結果相同,則表示報文合法;如果比較結果不相同,將依據配置的校驗模式,決定是否丟棄報文。
MACsec有如下幾種校驗模式:
· check:檢查模式,表示隻作校驗,但不丟棄非法數據幀。
· strict:嚴格校驗模式,表示校驗接收數據幀,並丟棄非法數據幀。
MACsec封裝的數據幀在網絡中傳輸時,可能出現報文順序的重排。MACsec重播保護機製允許數據幀有一定的亂序,這些亂序的報文序號在用戶指定的窗口範圍內可以被合法接收,超出窗口的報文會被丟棄。
MACsec包括兩種典型組網模式:麵向客戶端模式和麵向設備模式。
如圖1-1所示,麵向客戶端模式用於保護客戶端和設備之間的數據幀。
該模式包括以下三個組成元素:
· 客戶端
客戶端可以是請求接入局域網的用戶終端,由局域網中的接入設備對其進行認證,並執行MACsec密鑰協商和報文加密功能。
· 接入設備
接入設備控製客戶端的接入,通過與認證服務器的交互,對所連接的客戶端進行802.1X認證,並執行MACsec密鑰協商和報文加密功能。
· 認證服務器
認證服務器用於對客戶端進行認證、授權和計費,通常為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。客戶端通過認證後,認證服務器為客戶端和接入設備分發密鑰。
麵向客戶端模式中,接入設備上使能MKA協議的端口必須采用基於端口的802.1X認證方式,且必須配置802.1X認證方法為EAP中繼方式。
如圖1-2所示,麵向設備模式用於保護設備之間的數據幀。
該模式下,互連的兩台設備直接使用通過命令行配置的預共享密鑰進行MACsec密鑰協商和報文加密功能。
如圖1-3所示,在客戶端和接入設備之間建立安全會話前,客戶端首先需要在接入設備的端口上進行802.1X認證。通過認證之後,客戶端將開始與接入設備進行會話協商、會話的建立和維護過程。MACsec協議的交互過程主要分為四個階段:身份認證、會話協商、安全通信和會話終止。
圖1-3 麵向客戶端模式的MACsec協議交互過程
(2) 身份認證
在客戶端和接入設備之間建立安全會話前,客戶端首先需要在接入設備的端口上進行802.1X認證。客戶端通過認證後,RADIUS服務器會把生成的CAK分發給客戶端和接入設備。
(3) 會話協商
客戶端和接入設備有了可用的CAK,使用EAPOL-MKA報文開始協商會話。在協商會話的過程中,客戶端和接入設備使用MKA協議向對方通告自身能力和建立會話所需的各種參數(如優先級、是否期望加密會話等)。會話協商時,接入設備會被自動選舉為密鑰服務器(Key Server)。密鑰服務器使用CAK派生出用於加密數據報文的SAK,並把SAK分發給客戶端。
(4) 安全通信
會話協商完成後,客戶端和接入設備有了可用的SAK,並使用SAK加密數據報文,開始加密通信。
(5) 會話終止
¡ 當接入設備收到802.1X客戶端的下線請求消息後,立即清除該用戶對應的安全會話,避免一個未認證的客戶端使用端口上前一個已認證客戶端建立的安全會話接入網絡。
¡ MKA會話超時定時器(固定時間6秒)超時後,本端仍然沒有收到對端的MKA協議報文,則清除該用戶對應的安全會話。
如圖1-4所示,設備之間使用配置的預共享密鑰開始協商會話,會話協商結束後開始安全通信。MACsec協議的交互過程主要分為三個階段:會話協商、安全通信和會話終止。
圖1-4 麵向設備模式的MACsec協議交互過程
(1) 會話協商
設備之間使用配置的預共享密鑰(PSK,Pre-Shared Key)作為CAK,通過EAPOL-MKA報文開始協商會話。設備間優先級較高的端口將被選舉為密鑰服務器(Key Server),負責生成和分發SAK,設備之間通過MKA協議向對方通告自身能力和建立會話所需的各種參數(如優先級、是否期望加密會話等)。
(2) 安全通信
會話協商完成後,各設備有了可用的SAK,並使用SAK加密數據報文,開始加密通信。
(3) 會話終止
¡ 當設備收到對方的下線請求消息後,立即清除該用戶對應的安全會話。
¡ MKA會話超時定時器(缺省為6秒,可配置)超時後,本端仍然沒有收到對端的MKA協議報文,則清除該用戶對應的安全會話。
與MACsec相關的協議規範有:
· IEEE 802.1X-2010:Port-Based Network Access Control
· IEEE 802.1AE-2006:Media Access Control (MAC) Security
· 僅S6850-2C、S9850-4C交換機安裝如下接口模塊擴展卡時,接口卡上的部分端口支持MACsec功能:
¡ H3C LSWM124XG2Q接口模塊擴展卡上的24個SFP+口支持MACsec功能。
¡ H3C LSWM124XGT2Q接口模塊擴展卡上的24個10GBASE-T口支持MACsec功能。
¡ H3C LSWM18CQMSEC接口模塊擴展卡上的8個QSFP28口支持MACsec功能。
· 開啟MACsec功能的接口不支持作為IRF物理端口。另外,不論H3C LSWM18CQMSEC接口模塊擴展卡是否開啟MACsec功能,其所有端口都不支持作為IRF物理端口。
· 若交換機安裝有接口模塊擴展卡,且該擴展卡上的接口具有MACsec能力,則開啟了MACsec功能的接口模塊擴展卡不支持熱插拔。
· 無MACsec能力的接口上,不支持開啟MKA協議。
· 開啟MACsec功能前,需要先配置MKA會話超時時間至少為60秒;在MACsec功能正常使用中,如果需要調整MKA會話超時時間,建議MKA會話超時時間不小於60秒。
· 在MACsec功能正常使用中,如果在設備上安裝新的接口模塊擴展卡,需要先將所有建立MACsec會話的端口的MKA會話超時時間配置為至少120秒,否則可能會導致流量中斷。當接口模塊擴展卡正常啟動後,請將會話超時時間恢複,保證兩端設備上會話超時時間相同。
· 在同一接口下,不允許同時配置本功能和EEE節能功能。關於EEE節能功能的詳細描述請參見“二層技術-以太網交換配置指導”中的“以太網接口”。
· 對於開啟MACsec功能且工作在1G速率的端口,如果端口狀態出現down,需要關閉MACsec功能後再開啟MACsec功能,否則MACsec無法正確協商。
· 透傳設備端口的PVID和允許通過的VLAN需要保持一致。
MACsec配置任務如下:
(1) 開啟MACsec協議
(2) 配置MACsec保護
(3) 配置MACsec使用的加密套件
僅麵向設備模式下需要配置加密套件。
(5) 配置預共享密鑰
麵向設備模式下必須配置預共享密鑰,麵向客戶端模式下不建議配置預共享密鑰。
(6) (可選)配置MKA密鑰服務器的優先級
(7) (可選)配置MKA會話超時時間
僅麵向設備模式下需要配置MKA會話超時時間。
(8) (可選)配置MACsec屬性參數
請選擇以下一項任務進行配置:
(9) (可選)配置不對STP協議報文進行MACsec加密
(10) (可選)配置MKA會話的日誌信息功能
MKA協議負責接口上MACsec安全通道的建立和管理,以及MACsec所使用密鑰的協商。
如果MACsec協商失敗,可通過以下方式重協商。
· 改變接口up/down狀態
· 再次開啟MKA協議
· 靜默300S自動重協商
先配置speed 1000命令再配置mka enable命令時,如果出現報文不轉發的現象,請執行undo mka enable和undo speed命令恢複正常。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MKA協議。
mka enable
缺省情況下,接口上的MKA協議處於關閉狀態。
設備期望進行MACsec保護表達了本端對發送的數據幀進行MACsec保護的意願,但最終本端發送的數據幀是否啟用MACsec保護,要由密鑰服務器來決策。決策策略是:密鑰服務器和它的對端都支持MACsec特性,且至少有一端期望進行MACsec保護。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MACsec保護。
macsec desire
缺省情況下,接口上不需要對發送的數據幀進行MACsec保護。
MACsec使用的加密套件是一組用來加密、校驗和恢複被保護數據幀的算法,目前支持的加密套件為GCM-AES-128、GCM-AES-256、GCM-AES-XPN-128和GCM-AES-XPN-256。
僅H3C LSWM18CQMSEC接口模塊擴展卡支持修改加密套件,其他接口模塊擴展卡僅支持缺省的GCM-AES-128加密套件。
僅麵向設備模式下需要配置MACsec加密套件,且配置該功能的端口上不能開啟802.1X功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MACsec使用的加密套件。
macsec cipher-suite { gcm-aes-128 | gcm-aes-256 | gcm-aes-xpn-128 | gcm-aes-xpn-256 }
缺省情況下,MACsec使用的加密套件為GCM-AES-128。
SCI(Secure Channel Identifier,安全通道標識)由端口MAC地址和端口ID組成,用來標識報文來源。
由於MACsec功能實現可能存在差異,當互連的兩台不同款型的設備進行MACsec功能配置時,如果一端MACsec數據幀的SecTAG裏攜帶SCI,另一端MACsec數據幀的SecTAG裏不攜帶SCI,那麼將導致兩設備間的數據流量不通。通過配置本功能,確保建立MACsec會話的兩端設備關於是否攜帶SCI的配置保持一致。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MACsec加密數據幀頭包含SCI。
macsec include-sci
缺省情況下,加密數據幀的Sec TAG裏麵攜帶SCI。
在麵向設備模式中,兩端設備協商MKA會話使用的CAK通過預共享密鑰直接配置。為了保證設備間的MKA會話可以正常建立,必須保證兩端設備的接口上配置的預共享密鑰一致。
本端設備和對端設備建立MACsec連接時,請保證隻有建立連接的兩個端口上配置相同的CKN,兩端設備的其它端口上都不能配置與此相同的CKN,以免一個端口學習到多個鄰居而導致MACsec功能不能正常建立。
在麵向客戶端模式中,客戶端和接入設備的端口使用的CAK由802.1X認證過程中生成,且其優先級低於端口配置的預共享密鑰。如果在接入設備的端口配置了預共享密鑰,則802.1X認證過程生成的CAK將會被棄用,導致MKA會話建立失敗,因此不能在該模式下配置預共享密鑰。
MACsec使用不同的加密算法套件時,CKN、CAK的取值長度有所不同,具體要求如下:
· GCM-AES-128或者GCM-AES-XPN-128加密套件要求所使用的CKN、CAK的長度都必須為32個字符。在運行GCM-AES-128或者GCM-AES-XPN-128加密套件時,對於長度不足32個字符的CKN、CAK,係統會自動在其後補零,使其滿足32個字符;對於長度大於32個字符的CKN、CAK,係統隻獲取其前32個字符。
· GCM-AES-256或者GCM-AES-XPN-256加密套件要求使用的CKN、CAK的長度都必須為64個字符。在運行GCM-AES-256或者GCM-AES-XPN-256加密套件時,對於長度不足64個字符的CKN、CAK,係統會自動在其後補零,使其滿足64個字符。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置預共享密鑰。
mka psk ckn name cak { cipher | simple } string
缺省情況下,接口不存在MKA預共享密鑰。
配置MKA密鑰服務器的優先級時,請遵循以下配置限製和指導:
· 在麵向客戶端模式中,接入設備的端口被自動選舉為密鑰服務器,不需要配置MKA密鑰服務器的優先級。
· 在麵向設備模式中,MKA密鑰服務器優先級較高(值較小)的設備端口將被選舉為密鑰服務器。如果設備端口的優先級相同,則比較設備端口的SCI(MAC地址+端口的ID),SCI值較小的端口將被選舉為密鑰服務器。
· 優先級為255的設備端口不能被選舉為密鑰服務器。相互連接的端口不能都配置優先級為255,否則MKA會話選舉不出密鑰服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MKA密鑰服務器的優先級。
mka priority priority-value
缺省情況下,MKA密鑰服務器的優先級為0。
僅麵向設備模式下需要配置本功能,且兩端設備上配置的會話超時時間必須相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MKA會話超時時間。
mka timer mka-life seconds
缺省情況下,MKA會話超時時間為6秒。
MACsec有如下屬性參數:
· MACsec加密偏移量:從用戶數據幀幀頭開始偏移多少字節後開始加密,協議提供0、30、50三個偏移量供用戶使用。
· MACsec重播保護功能:可以防止本端收到亂序或重複的數據幀。
· MACsec校驗:接口收到報文後,計算報文的ICV,與報文尾部的ICV比較,並根據校驗模式,決定報文是否丟棄。
MACsec屬性參數既可以在接口上配置,也可以通過MKA策略配置。當需要在多個接口上配置同樣的屬性參數,則可以采用配置和應用MKA策略實現。
如果既在接口上直接配置MACsec屬性參數,又在接口上應用了MKA策略,則後執行的配置參數生效。
當MACsec使用的加密套件為GCM-AES-XPN-128或GCM-AES-XPN-256時,加密偏移量始終為0。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口上的MACsec加密偏移量。
macsec confidentiality-offset offset-value
缺省情況下,接口上的MACsec加密偏移量為0,表示整個數據幀都要加密。
如果本端不是密鑰服務器,則應用密鑰服務器發布的加密偏移量;如果本端是密鑰服務器,則應用本端配置的加密偏移量,並將該值發布給對端。
(4) 為接口接收到的數據幀配置MACsec重播保護功能。
macsec replay-protection enable
缺省情況下,接口上的MACsec重播保護功能處於開啟狀態。
b. 配置接口上的MACsec重播保護窗口大小。
macsec replay-protection window-size size-value
缺省情況下,接口上的MACsec重播保護窗口大小為0個數據幀,表示不允許接收亂序或重複的數據幀。
配置的重播保護窗口大小僅在重播保護功能開啟的情況下有效。
macsec validation mode { check | strict }
缺省情況下,接口上的MACsec校驗模式是check。
在網絡中部署支持MACsec的設備時,為避免兩端因密鑰協商不一致而造成流量丟失,建議兩端均先配置為check模式,在密鑰協商成功後,再配置為strict模式。
|
參數 |
說明 |
|
check |
檢查模式,表示隻作校驗,但不丟棄非法數據幀 |
|
strict |
嚴格校驗模式,表示校驗接收數據幀,並丟棄非法數據幀 |
一個MKA策略可應用於一個或多個接口。在接口上應用了MKA策略時,需要注意的是:
· 接口上應用的MKA策略中配置的MACsec屬性參數(加密偏移、校驗模式、重播保護功能和重播保護窗口大小)會覆蓋接口上配置的對應的MACsec屬性參數。
· 當修改應用到接口上的MKA策略配置時,接口上的相應的配置也會改變。
· 取消接口上應用的指定MKA策略時,接口上的加密偏移、校驗模式、重播保護功能和重播保護窗口大小都恢複為缺省情況。
· 當接口應用了一個不存在的MKA策略時,該接口會自動應用缺省MKA策略default-policy。之後,如果該策略被創建,則接口會自動使用配置的MKA策略。
· 當MACsec使用的加密套件為GCM-AES-XPN-128或GCM-AES-XPN-256時,加密偏移量始終為0。
(1) 進入係統視圖。
system-view
(2) 創建一個MKA策略,並進入MKA策略視圖。
mka policy policy-name
缺省情況下,存在一個缺省的MKA策略,名稱為default-policy ,參數取值均為接口上對應的缺省值,且該策略不能被刪除和修改。
係統中可配置多個MKA策略。
(3) 配置MACsec加密偏移量。
confidentiality-offset offset-value
缺省情況下,加密偏移為0,表示整個數據幀都要加密。
如果本端不是密鑰服務器,則應用密鑰服務器發布的加密偏移量;如果本端是密鑰服務器,則應用本端配置的加密偏移量,並將該值發布給對端。
a. 開啟MACsec重播保護功能。
replay-protection enable
缺省情況下,接口上的MACsec重播保護功能處於開啟狀態。
b. 配置MACsec重播保護窗口大小。
replay-protection window-size size-value
缺省情況下,接口上的MACsec重播保護窗口大小為0個數據幀,表示不允許接收亂序或重複的數據幀。
(5) 配置MACsec校驗模式。
validation mode { check | strict }
缺省情況下,MACsec校驗模式是check。
|
參數 |
說明 |
|
check |
檢查模式,表示隻作校驗,但不丟棄非法數據幀 |
|
strict |
嚴格校驗模式,表示校驗接收數據幀,並丟棄非法數據幀 |
a. 退回係統視圖。
quit
b. 進入接口視圖
interface interface-type interface-number
c. 在接口上應用MKA策略。
mka apply policy policy-name
缺省情況下,接口上沒有應用MKA策略。
配置MACsec功能後,是否對STP協議報文進行MACsec加密,不同廠商設備的缺省配置情況不同。但進行MACsec通信時,隻有兩端設備對於STP協議報文的MACsec加密配置保持一致,才能保證STP協議功能正常。通過本功能可以根據對端設備的配置情況調整H3C設備配置,從而確保進行MACsec通信的兩端設備對於STP協議報文的配置保持一致。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置不對STP協議報文進行MACsec加密。
macsec unencrypt stp
缺省情況下,對STP協議報文進行MACsec加密。
MKA會話的日誌信息是為了滿足網絡管理員維護的需要,對用戶的接入信息(如對端老化、SAK更新)進行記錄。設備生成的MKA會話的日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的MKA會話的日誌信息,一般情況下建議關閉此功能。
(1) 進入係統視圖。
system-view
(2) 開啟MKA會話的日誌信息功能。
macsec mka-session log enable
缺省情況下,MKA會話的日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MACsec的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以重建會話和清除統計信息。
表1-1 MACsec顯示和維護
|
操作 |
命令 |
|
顯示接口上的MACsec運行信息 |
display macsec [ interface interface-type interface-number ] [ verbose ] |
|
顯示MKA策略相關信息 |
display mka { default-policy | policy [ name policy-name ] } |
|
顯示MKA會話信息 |
display mka session [ interface interface-type interface-number | local-sci sci-id ] [ verbose ] |
|
顯示接口上的MKA統計信息 |
display mka statistics [ interface interface-type interface-number ] |
|
重建接口上的MKA會話 |
reset mka session [ interface interface-type interface-number ] |
|
清除接口上的MKA統計信息 |
reset mka statistics [ interface interface-type interface-number ] |
用戶通過Device的端口Ten-GigabitEthernet1/1/1接入網絡,認證服務器為RADIUS服務器。設備對該端口接入的用戶進行802.1X認證以控製其訪問外網,為保證數據幀傳輸的安全性,有以下具體要求:
· 要求用戶和Device之間的數據通信進行MACsec保護,且加密報文的密鑰通過MKA協議協商獲得。
· MACsec加密偏移量為30字節。
· 開啟MACsec重播保護功能,配置重播保護窗口大小為100。
· 配置嚴格的MACsec校驗。
圖1-5 麵向客戶端模式MACsec配置組網圖
下述配置步驟中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹請參見“安全命令參考”中的“AAA”。
(1) 配置各接口的IP地址。(略)
(2) 完成RADIUS服務器的配置,添加用戶賬戶,保證用戶的認證/授權/計費功能正常運行。(略)
(3) 配置AAA
<Device> system-view
# 配置RADIUS方案radius1。具體參數取值請以服務器上的實際情況為準,此處僅為示例。
[Device] radius scheme radius1
[Device-radius-radius1] primary authentication 10.1.1.1
[Device-radius-radius1] primary accounting 10.1.1.1
[Device-radius-radius1] key authentication simple name
[Device-radius-radius1] key accounting simple name
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
# 配置802.1X用戶使用認證域bbb。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access radius-scheme radius1
[Device-isp-bbb] authorization lan-access radius-scheme radius1
[Device-isp-bbb] accounting lan-access radius-scheme radius1
[Device-isp-bbb] quit
(4) 配置802.1X
# 開啟端口Ten-GigabitEthernet1/1/1的802.1X。
[Device] interface ten-GigabitEthernet 1/1/1
[Device-Ten-GigabitEthernet1/1/1] dot1x
# 配置端口的802.1X接入控製方式為portbased。
[Device-Ten-GigabitEthernet1/1/1] dot1x port-method portbased
# 指定端口上接入的802.1X用戶使用強製認證域bbb。
[Device-Ten-GigabitEthernet1/1/1] dot1x mandatory-domain bbb
[Device-Ten-GigabitEthernet1/1/1] quit
# 開啟全局802.1X,啟用EAP中繼的認證方法。
[Device] dot1x
[Device] dot1x authentication-method eap
(5) 配置MACsec
# 創建一個名稱為pls的MKA策略。
[Device] mka policy pls
# 配置MACsec加密偏移量為30。
[Device-mka-policy-pls] confidentiality-offset 30
# 開啟MACsec重播保護功能。
[Device-mka-policy-pls] replay-protection enable
# 配置MACsec重播保護窗口大小為100。
[Device-mka-policy-pls] replay-protection window-size 100
# 配置嚴格的MACsec校驗模式。
[Device-mka-policy-pls] validation mode strict
[Device-mka-policy-pls] quit
# 在端口Ten-GigabitEthernet1/1/1上應用MKA策略。
[Device] interface ten-GigabitEthernet 1/1/1
[Device-Ten-GigabitEthernet1/1/1] mka apply policy pls
# 在端口Ten-GigabitEthernet1/1/1上配置期望進行MACsec保護及開啟MKA協議。
[Device-Ten-GigabitEthernet1/1/1] macsec desire
[Device-Ten-GigabitEthernet1/1/1] mka enable
[Device-Ten-GigabitEthernet1/1/1] quit
配置完成後,用戶可以使用display命令查看設備上MACsec的運行情況。
# 查看Device上的MACsec運行信息。
[Device] display macsec interface ten-GigabitEthernet 1/1/1 verbose
Interface Ten-GigabitEthernet1/1/1
Protect frames : Yes
Active MKA policy : pls
Replay protection : Enabled
Replay window size : 100 frames
Confidentiality offset : 30 bytes
Validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 00E00100000A0006
Elapsed time: 00h:02m:07s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 00E0020000000106
Elapsed time: 00h:02m:03s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
# 用戶上線之後,查看Device上的MKA會話信息。
[Device] display mka session interface ten-GigabitEthernet 1/1/1 verbose
Interface Ten-GigabitEthernet1/1/1
Tx-SCI : 00E00100000A0006
Priority : 0
Capability: 3
CKN for participant: 1234
Key server : Yes
MI (MN) : A1E0D2897596817209CD2307 (2509)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : A1E0D2897596817209CD230700000002 (2)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Priority Capability Rx-SCI
B2CAF896C9BFE2ABFB135E63 2512 0 3 00E0020000000106
Device A和Device B相連,要求兩台設備之間的數據通信進行MACsec保護,具體要求如下:
· MACsec加密偏移量為30字節。
· 開啟MACsec重播保護功能,重播保護窗口大小為100。
· 開啟嚴格的MACsec校驗。
· 兩台設備使用的CAK均為靜態配置,CKN為E9AC,CAK為09DB3EF1。
· 由Device A作為密鑰服務器。
圖1-6 麵向設備模式MACsec配置組網圖
(1) 配置Device A
<DeviceA> system-view
# 在接口Ten-GigabitEthernet1/1/1上配置期望進行MACsec保護。
[DeviceA] interface ten-GigabitEthernet 1/1/1
[DeviceA-Ten-GigabitEthernet1/1/1] macsec desire
# 配置MKA密鑰服務器的優先級為5。(本例中,Device A作為密鑰服務器,所以配置的Device A的優先級要比Device B的優先級高)
[DeviceA-Ten-GigabitEthernet1/1/1] mka priority 5
# 配置預共享密鑰的名稱為E9AC,預共享密鑰為明文09DB3EF1。
[DeviceA-Ten-GigabitEthernet1/1/1] mka psk ckn E9AC cak simple 09DB3EF1
# 配置MACsec加密偏移量為30。
[DeviceA-Ten-GigabitEthernet1/1/1] macsec confidentiality-offset 30
# 開啟MACsec重播保護功能。
[DeviceA-Ten-GigabitEthernet1/1/1] macsec replay-protection enable
# 配置MACsec重播保護窗口大小為100。
[DeviceA-Ten-GigabitEthernet1/1/1] macsec replay-protection window-size 100
# 配置嚴格的MACsec校驗模式。
[DeviceA-Ten-GigabitEthernet1/1/1] macsec validation mode strict
# 開啟MKA協議。
[DeviceA-Ten-GigabitEthernet1/1/1] mka enable
[DeviceA-Ten-GigabitEthernet1/1/1] quit
(2) 配置Device B
<DeviceB> system-view
# 進入Ten-GigabitEthernet1/1/1接口視圖。
[DeviceB] interface ten-GigabitEthernet 1/1/1
# 配置期望進行MACsec保護。
[DeviceB-Ten-GigabitEthernet1/1/1] macsec desire
# 配置MKA密鑰服務器的優先級為10。
[DeviceB-Ten-GigabitEthernet1/1/1] mka priority 10
# 配置預共享密鑰的名稱為E9AC,預共享密鑰為明文09DB3EF1。
[DeviceB-Ten-GigabitEthernet1/1/1] mka psk ckn E9AC cak simple 09DB3EF1
# 配置MACsec加密偏移量為30。
[DeviceB-Ten-GigabitEthernet1/1/1] macsec confidentiality-offset 30
# 開啟MACsec重播保護功能。
[DeviceB-Ten-GigabitEthernet1/1/1] macsec replay-protection enable
# 配置MACsec重播保護窗口大小為100。
[DeviceB-Ten-GigabitEthernet1/1/1] macsec replay-protection window-size 100
# 配置嚴格的MACsec校驗模式。
[DeviceB-Ten-GigabitEthernet1/1/1] macsec validation mode strict
# 開啟MKA協議。
[DeviceB-Ten-GigabitEthernet1/1/1] mka enable
[DeviceB-Ten-GigabitEthernet1/1/1] quit
配置完成後,用戶可以使用display命令查看設備上MACsec的運行情況。
# 查看DeviceA的MACsec運行信息。
[DeviceA] display macsec interface ten-GigabitEthernet 1/1/1 verbose
Interface Ten-GigabitEthernet1/1/1
Protect frames : Yes
Replay protection : Enabled
Replay window size : 100 frames
Confidentiality offset : 30 bytes
Validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 00E00100000A0006
Elapsed time: 00h:05m:00s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 00E0020000000106
Elapsed time: 00h:03m:18s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
# 查看DeviceA上的MKA會話信息。
[DeviceA] display mka session interface ten-GigabitEthernet 1/1/1 verbose
Interface Ten-GigabitEthernet1/1/1
Tx-SCI : 00E00100000A0006
Priority : 5
Capability: 3
CKN for participant: E9AC
Key server : Yes
MI (MN) : 85E004AF49934720AC5131D3 (182)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 85E004AF49934720AC5131D300000003 (3)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Priority Capability Rx-SCI
12A1677D59DD211AE86A0128 182 10 3 00E0020000000106
# 查看DeviceB上的MACsec運行信息。
[DeviceB]display macsec interface ten-GigabitEthernet 1/1/1 verbose
Interface Ten-GigabitEthernet1/1/1
Protect frames : Yes
Replay protection : Enabled
Replay window size : 100 frames
Confidentiality offset : 30 bytes
Validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 00E0020000000106
Elapsed time: 00h:05m:36s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 00E00100000A0006
Elapsed time: 00h:03m:21s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
# 查看DeviceB上的MKA會話信息。
[DeviceB] display mka session interface ten-GigabitEthernet 1/1/1 verbose
Interface Ten-GigabitEthernet1/1/1
Tx-SCI : 00E0020000000106
Priority : 10
Capability: 3
CKN for participant: E9AC
Key server : No
MI (MN) : 12A1677D59DD211AE86A0128 (1219)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 85E004AF49934720AC5131D300000003 (3)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Priority Capability Rx-SCI
85E004AF49934720AC5131D3 1216 5 3 00E00100000A0006
在鏈路狀態正常且鏈路兩端設備都支持MACsec功能,MACsec安全會話未建立。
可能的原因有:
· 接口未開啟MKA協議。
· 如果接口使用預共享密鑰,接口的預共享密鑰未配置或配置不一致。
· 進入接口視圖下,使用display this命令查看MKA是否開啟,如果未開啟,請使用mka enable命令開啟MKA協議。
· 進入接口視圖下,使用display this命令查看是否配置預共享密鑰,如果未配置,請使用mka psk命令配置;否則,請檢查已有配置的密鑰是否一致,不一致,則重新配置一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
