- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
24-MACsec配置
本章節下載: 24-MACsec配置 (385.95 KB)
目 錄
MACsec(Media Access Control Security,MAC安全)定義了基於IEEE 802局域網絡的數據安全通信的方法。MACsec可為用戶提供安全的MAC層數據發送和接收服務,包括用戶數據加密、數據幀完整性檢查及數據源真實性校驗。
MKA(MACsec Key Agreement Protocal)是用於MACsec數據加密密鑰的協商協議。
CA(Connectivity Association,安全連通集)是兩個或兩個以上使用相同密鑰和密鑰算法套件的成員的集合。CA成員稱為CA的參與者。
CA參與者使用的密鑰稱為CAK(Connectivity Association Key,安全連通集密鑰)。CAK不直接用於數據報文的加密,由它和其它參數派生出數據報文的加密密鑰。CAK可以是802.1X認證過程中生成的CAK,也可以是用戶配置的預共享密鑰(PSK,Pre-Shared Key)。如兩者同時存在,優先使用用戶配置的預共享密鑰。
CAK分為以下兩種類型:
· 成對CAK(Pairwise CAK),即由兩個成員組成CA,它們所擁有的CAK稱為成對CAK。
· 成組CAK(Group CAK),即由三個或三個以上成員組成CA,它們所擁有的CAK稱為成組CAK。
目前,MACsec主要應用在點對點組網的環境中,所以主要使用成對CAK。兩個相連的設備組成一個CA,它們使用相同的CAK。
CKN(Connectivity Association Key Name,安全連通集密鑰名稱)是對應的安全連通集密鑰CAK的名稱。
SC(Security Channel,安全通道)是CA參與者之間用於傳輸安全數據的安全通道。
SCI(Security Channel Identifier,安全通道標識符)由端口MAC地址和端口ID組成,唯一標識係統內的安全通道。
SA(Security Association,安全聯盟)是CA參與者之間用於建立安全通道的安全參數集合,包括對數據進行加密算法套件、進行完整性檢查的密鑰等。
SAK(Security Association Key,安全聯盟密鑰)由CAK根據算法推導產生,用於加密安全通道間傳輸的數據。一個安全通道中可包含多個SA,每一個SA擁有一個不同的SAK。
MKA對每一個SAK可加密的報文數有所限製。當使用某SAK加密的報文超過限定的數目後,該SAK會被刷新。例如,在10Gbps的鏈路上,SAK最快300秒刷新一次。
ICV(Integrity Check Value,完整性校驗值)是報文完整性校驗值。在報文發送端,通過某種算法對報文的數據單元計算得出的校驗值,附在報文尾部發送,並在接收端被重新計算和比較,用於保證報文的數據完整性。
開啟了MACsec功能且啟動了MACsec保護的端口發送數據幀時,需要對它進行加密;開啟了MACsec功能的端口收到經過MACsec封裝的數據幀時,需要對它進行解密。加解密所使用的密鑰是通過MKA協議協商而來的。
MACsec封裝的數據幀會使用CAK推導出的密鑰進行ICV計算,並附加在MACsec報文的尾部。設備收到MACsec報文時,同樣使用MKA協商出的密鑰進行完整性檢驗值計算,然後將計算結果與報文中攜帶的ICV進行比較。如果比較結果相同,則表示報文合法;如果比較結果不相同,將依據配置的校驗模式,決定是否丟棄報文。
MACsec有如下幾種校驗模式:
· check:檢查模式,表示隻作校驗,但不丟棄非法數據幀。
· disabled:不對接收數據幀進行MACsec校驗。
· strict:嚴格校驗模式,表示校驗接收數據幀,並丟棄非法數據幀。
MACsec封裝的數據幀在網絡中傳輸時,可能出現報文順序的重排。MACsec重播保護機製允許數據幀有一定的亂序,這些亂序的報文序號在用戶指定的窗口範圍內可以被合法接收,超出窗口的報文會被丟棄。假設配置的重播保護窗口大小為a,如果接收到了一個報文序號為x的報文,則下一個允許被接收的報文的序號必須大於或等於x-a。
CA成員之間完成SAK密鑰協商和安裝之後,將使用協商的密鑰進行數據報文的轉發:
· 在數據報文的發送端,采用SAK和加密算法對原始數據報文的MSDU(MAC Service Data Unit)部分進行加密形成密文(Secure Data),采用SAK和校驗算法對源/目的MAC、SecTAG和密文部分進行計算輸出ICV放置在報文的尾部,然後組裝成一個完整的MACsec加密報文發送給對端。
· 在數據報文的接收端,采用SAK和解密算法對密文計算得到明文,同時采用校驗算法計算出ICV後與報文攜帶的ICV進行比較,如果一致表明報文沒有被修改。
圖1-1 MACsec加密報文示意圖
MACsec報文中的關鍵字段含義如下:
· DA/SA:報文的目的/源MAC地址,各6字節。
· SecTAG:安全標簽,長度為8或者16字節,具體解釋見下文。
· Secure Data:經過MACsec加密之後的報文載荷。按照協議規定,加密的起點可以從ET字段之後偏移0、30或者50個字節。
· ICV:完整性校驗值,8~16字節。若報文被篡改,ICV值會發生變化,以此來保護報文不被惡意修改。
MACsec報文中的SecTAG字段的結構如圖1-2所示。
圖1-2 SecTAG字段示意圖
SecTAG字段中的關鍵字段含義如下:
· ET(Ethertype):2字節,表示MACsec協議的以太網類型,值為0x88E5。
· TCI(TAG control information):6比特,用於提供MACsec版本號、報文是否經過加密、是否經過完整性計算、以及末尾是否攜帶ICV字段等狀態信息。
· AN(Association Number):2比特,標識發送該報文的安全通道中的SA編號。一個安全通道中可以包含4個SA。
· SL(Short Length):1字節,如果SecureData長度小於48字節,則該值為SecureData長度,否則為零。
· PN(Packet Number):4字節,表示報文編號。發送端每發送一個報文,該字段就加1,用於防重放攻擊。
· SCI(Secure Channel Identifier):8字節,安全通道的標識,由6字節的MAC地址與2字節的端口號拚接而成。
MACsec僅有一種典型組網模式:麵向設備模式。
如圖1-3所示,麵向設備模式用於保護設備之間的數據幀。
該模式下,互連的兩台設備直接使用通過命令行配置的預共享密鑰進行MACsec密鑰協商和報文加密功能。
如圖1-4所示,設備之間使用配置的預共享密鑰開始協商會話,會話協商結束後開始安全通信。MACsec協議的交互過程主要分為三個階段:會話協商、安全通信和會話終止。
圖1-4 麵向設備模式的MACsec協議交互過程
(2) 會話協商
a. 設備之間使用配置的預共享密鑰(PSK,Pre-Shared Key)作為CAK,通過EAPOL-MKA報文開始協商會話。
b. 設備之間通過MKA協議向對方通告自身能力和建立會話所需的各種參數(如優先級、是否期望加密會話等)。
c. 設備間優先級較高的端口將被選舉為密鑰服務器(Key Server),負責生成和分發SAK。
(3) 安全通信
兩端設備使用SAK加密數據報文,開始加密通信。
(4) 會話終止
發生以下任一情況時,MKA安全會話終止:
¡ 當設備收到對方的下線請求消息後,立即清除該用戶對應的安全會話。
¡ MKA會話超時定時器(缺省為6秒,可配置)超時後,本端仍然沒有收到對端的MKA協議報文,則清除該用戶對應的安全會話。
與MACsec相關的協議規範有:
· IEEE 802.1X-2010:Port-Based Network Access Control
· IEEE 802.1AE-2006:Media Access Control (MAC) Security
· 僅SF係列接口板和SG接口板支持MACsec功能。
· display device verbose命令顯示信息中的Switch chip version字段顯示為000的SF係列接口板不支持MACsec功能。
MACsec配置任務如下:
(1) 配置MACsec基本功能
麵向設備模式下需要配置加密套件。
¡ 配置預共享密鑰
麵向設備模式下必須配置預共享密鑰。
(2) (可選)配置MACsec擴展功能
僅麵向設備模式下需要配置MKA會話超時時間。
請選擇以下任一方式進行配置:
MKA協議負責接口上MACsec安全通道的建立和管理,以及MACsec所使用密鑰的協商。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MKA協議。
mka enable
缺省情況下,接口上的MKA協議處於關閉狀態。
設備期望進行MACsec保護表達了本端對發送的數據幀進行MACsec保護的意願,但最終本端發送的數據幀是否啟用MACsec保護,要由密鑰服務器來決策。決策策略是:密鑰服務器和它的對端都支持MACsec特性,且至少有一端期望進行MACsec保護。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MACsec保護。
macsec desire
缺省情況下,接口上不需要對發送的數據幀進行MACsec保護。
MACsec使用的加密套件是一組用來加密、校驗和恢複被保護數據幀的算法,目前支持的加密套件為GCM-AES-128、GCM-AES-256、GCM-AES-XPN-128、GCM-AES-XPN-256、GCM-SM4-128和GCM-SM4-XPN-128。
在係統視圖下配置MACsec使用的加密套件為國密算法後:
· 對於不支持國密算法的單板,其接口下生效的加密套件仍為接口視圖下配置的加密套件。
· 對於支持國密算法的單板,其接口下生效的加密套件為國密算法加密套件。
傳統配置實現中,接口下的配置生效優先級由高到低為:接口非缺省配置-->全局非缺省配置-->接口缺省配置。因此為了使全局國密算法配置生效優先級高於接口非缺省算法配置,當接口下存在非缺省算法配置時,下發全局國密算法配置後,接口下的配置將被恢複為缺省配置,以實現全局國密算法配置在接口優先生效。
H3C設備GCM-AES-256和GCM-AES-XPN-256加密套件和標準的開源加密套件實現不一致。當對端設備使用GCM-AES-256和GCM-AES-XPN-256的開源加密套件時,H3C設備上使用同樣的加密套件必須指定standard參數,否則無法與對端設備成功建立MKA會話。
國密算法加密套件僅支持在支持國密算法的單板上生效。
僅麵向設備模式下需要配置MACsec加密套件,且配置該功能的端口上不能開啟802.1X功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MACsec使用的加密套件。
macsec cipher-suite { gcm-aes-128 | gcm-aes-256 [ standard ] | gcm-aes-xpn-128 | gcm-aes-xpn-256 [ standard ] }
缺省情況下,MACsec使用的加密套件為GCM-AES-128。
(1) 進入係統視圖。
system-view
(2) 配置MACsec使用的加密套件。
(獨立運行模式)
macsec cipher-suite { gcm-sm4-128 | gcm-sm4-xpn-128 } { slot slot-number }
(IRF模式)
macsec cipher-suite { gcm-sm4-128 | gcm-sm4-xpn-128 } { chassis chassis-number slot slot-number }
缺省情況下,MACsec使用的加密套件為接口視圖下配置的加密套件。
在麵向設備模式中,兩端設備協商MKA會話使用的CAK通過預共享密鑰直接配置。為了保證設備間的MKA會話可以正常建立,必須保證兩端設備的接口上配置的預共享密鑰一致。
本端設備和對端設備建立MACsec連接時,請保證隻有建立連接的兩個端口上配置相同的CKN,兩端設備的其它端口上都不能配置與此相同的CKN,以免一個端口學習到多個鄰居而導致MACsec功能不能正常建立。
MACsec使用不同的加密算法套件時,CKN、CAK的取值長度有所不同,具體要求如下:
· GCM-AES-128或者GCM-AES-XPN-128加密套件要求所使用的CKN、CAK的長度都必須為32個字符。在運行GCM-AES-128或者GCM-AES-XPN-128加密套件時,對於長度不足32個字符的CKN、CAK,係統會自動在其後補零,使其滿足32個字符;對於長度大於32個字符的CKN、CAK,係統隻獲取其前32個字符。
· GCM-AES-256或者GCM-AES-XPN-256加密套件要求使用的CKN、CAK的長度都必須為64個字符。在運行GCM-AES-256或者GCM-AES-XPN-256加密套件時,對於長度不足64個字符的CKN、CAK,係統會自動在其後補零,使其滿足64個字符。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置預共享密鑰。
mka psk ckn name cak { cipher | simple } string
缺省情況下,接口不存在MKA預共享密鑰。
配置MKA密鑰服務器的優先級時,請遵循以下配置限製和指導:
· 在麵向設備模式中,MKA密鑰服務器優先級較高(值較小)的設備端口將被選舉為密鑰服務器。如果設備端口的優先級相同,則比較設備端口的SCI(MAC地址+端口的ID),SCI值較小的端口將被選舉為密鑰服務器。
· 優先級為255的設備端口不能被選舉為密鑰服務器。相互連接的端口不能都配置優先級為255,否則MKA會話選舉不出密鑰服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MKA密鑰服務器的優先級。
mka priority priority-value
缺省情況下,MKA密鑰服務器的優先級為0。
僅麵向設備模式下需要配置本功能,且兩端設備上配置的會話超時時間必須相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MKA會話超時時間。
mka timer mka-life seconds
缺省情況下,MKA會話超時時間為6秒。
MACsec有如下屬性參數:
· MACsec加密偏移量:從用戶數據幀幀頭開始偏移多少字節後開始加密,協議提供0、30、50三個偏移量供用戶使用。
· MACsec重播保護功能:可以防止本端收到亂序或重複的數據幀。
· MACsec校驗:接口收到報文後,計算報文的ICV,與報文尾部的ICV比較,並根據校驗模式,決定報文是否丟棄。
MACsec屬性參數既可以在接口上配置,也可以通過MKA策略配置。當需要在多個接口上配置同樣的屬性參數,則可以采用配置和應用MKA策略實現。
如果既在接口上直接配置MACsec屬性參數,又在接口上應用了MKA策略,則後執行的配置參數生效。
在交換機或單板上配置不支持的校驗模式時,係統會打印相關不支持日誌。
在交換機或單板上已配置了不支持的校驗模式後,再執行mka enable命令,則係統會打印相關不支持日誌。
當MACsec使用的加密套件為GCM-AES-XPN-128或GCM-AES-XPN-256時,加密偏移量始終為0。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口上的MACsec加密偏移量。
macsec confidentiality-offset offset-value
缺省情況下,接口上的MACsec加密偏移量為0,表示整個數據幀都要加密。
如果本端不是密鑰服務器,則應用密鑰服務器發布的加密偏移量;如果本端是密鑰服務器,則應用本端配置的加密偏移量,並將該值發布給對端。
(4) 為接口接收到的數據幀配置MACsec重播保護功能。
macsec replay-protection enable
缺省情況下,接口上的MACsec重播保護功能處於開啟狀態。
b. 配置接口上的MACsec重播保護窗口大小。
macsec replay-protection window-size size-value
缺省情況下,接口上的MACsec重播保護窗口大小為0個數據幀,表示不允許接收亂序或重複的數據幀。
配置的重播保護窗口大小僅在重播保護功能開啟的情況下有效。
macsec validation mode { check | disabled | strict }
缺省情況下,接口上的MACsec校驗模式是check。
S12500G-AF係列交換機和S12500CR係列交換機不支持disabled參數。
在網絡中部署支持MACsec的設備時,為避免兩端因密鑰協商不一致而造成流量丟失,建議兩端均先配置為check模式,在密鑰協商成功後,再配置為strict模式。
|
參數 |
說明 |
|
check |
檢查模式,表示隻作校驗,但不丟棄非法數據幀 |
|
disabled |
不對接收數據幀進行MACsec校驗 |
|
strict |
嚴格校驗模式,表示校驗接收數據幀,並丟棄非法數據幀 |
一個MKA策略可應用於一個或多個接口。在接口上應用了MKA策略時,需要注意的是:
· 接口上應用的MKA策略中配置的MACsec屬性參數(加密偏移、校驗模式、重播保護功能和重播保護窗口大小)會覆蓋接口上配置的對應的MACsec屬性參數。
· 當修改應用到接口上的MKA策略配置時,接口上的相應的配置也會改變。
· 取消接口上應用的指定MKA策略時,接口上的加密偏移、校驗模式、重播保護功能和重播保護窗口大小都恢複為缺省情況。
· 當接口應用了一個不存在的MKA策略時,該接口會自動應用缺省MKA策略default-policy。之後,如果該策略被創建,則接口會自動使用配置的MKA策略。
· 當MACsec使用的加密套件為GCM-AES-XPN-128或GCM-AES-XPN-256時,加密偏移量始終為0。
(1) 進入係統視圖。
system-view
(2) 創建一個MKA策略,並進入MKA策略視圖。
mka policy policy-name
缺省情況下,存在一個缺省的MKA策略,名稱為default-policy ,參數取值均為接口上對應的缺省值,且該策略不能被刪除和修改。
係統中可配置多個MKA策略。
(3) 配置MACsec加密偏移量。
confidentiality-offset offset-value
缺省情況下,加密偏移為0,表示整個數據幀都要加密。
如果本端不是密鑰服務器,則應用密鑰服務器發布的加密偏移量;如果本端是密鑰服務器,則應用本端配置的加密偏移量,並將該值發布給對端。
a. 開啟MACsec重播保護功能。
replay-protection enable
缺省情況下,接口上的MACsec重播保護功能處於開啟狀態。
b. 配置MACsec重播保護窗口大小。
replay-protection window-size size-value
缺省情況下,接口上的MACsec重播保護窗口大小為0個數據幀,表示不允許接收亂序或重複的數據幀。
(5) 配置MACsec校驗模式。
validation mode { check | disabled | strict }
缺省情況下,MACsec校驗模式是check。
|
參數 |
說明 |
|
check |
檢查模式,表示隻作校驗,但不丟棄非法數據幀 |
|
disabled |
不對接收數據幀進行MACsec校驗 |
|
strict |
嚴格校驗模式,表示校驗接收數據幀,並丟棄非法數據幀 |
a. 退回係統視圖。
quit
b. 進入接口視圖
interface interface-type interface-number
c. 在接口上應用MKA策略。
mka apply policy policy-name
缺省情況下,接口上沒有應用MKA策略。
SCI(Secure Channel Identifier,安全通道標識)由端口MAC地址和端口ID組成,用來標識報文來源。
由於MACsec功能實現可能存在差異,當互連的兩台不同款型的設備進行MACsec功能配置時,如果一端MACsec數據幀的SecTAG裏攜帶SCI,另一端MACsec數據幀的SecTAG裏不攜帶SCI,那麼將導致兩設備間的數據流量不通。通過配置本功能,確保建立MACsec會話的兩端設備關於是否攜帶SCI的配置保持一致。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MACsec加密數據幀頭包含SCI。
macsec include-sci
當設備接口配置MACsec功能後,與對端未建立MKA會話前,為保證數據的安全性,接口將暫時處於block狀態,此時數據流量不通,但仍可以交互MKA協議報文。
在由控製器自動下發配置的組網環境中,當控製器下串聯兩台設備且兩台設備間需要建立MKA會話時,如果兩台設備相連的接口上先配置了MACsec功能,則接口將暫時處於block狀態,導致控製器無法給遠端設備下發配置。此時會選擇在配置了MACsec功能的接口上開啟本功能,確保無論是否已經建立了MKA會話,接口均處於unblock狀態,兩端設備間流量通暢,遠端設備能正常接收控製器下發的配置。
當接口上收到來自相同SCI(MAC地址+端口ID)的攻擊報文時,本功能不會生效,接口仍然保持block狀態。
開啟本功能後,隻有收到對端的MKA協議報文後本端才會下發自身的SCI信息。
在開啟或關閉本功能之前,均需要先確保該接口上的MKA協議處於關閉狀態。
開啟本功能後,接口在極短時間內會發生震蕩,接口狀態可能會被標識為Down,導致MKA協議報文無法交互。因此開啟本功能前,需要通過link-delay down命令推遲將接口Down狀態上報CPU。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MACsec維護模式。
macsec maintenance-mode enable
缺省情況下,MACsec維護模式處於關閉狀態。
在未建立MKA會話前開啟本功能,將降低數據報文的安全性,請謹慎操作。
MKA會話的日誌信息是為了滿足網絡管理員維護的需要,對用戶的接入信息(如對端老化、SAK更新)進行記錄。設備生成的MKA會話的日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的MKA會話的日誌信息,一般情況下建議關閉此功能。
(1) 進入係統視圖。
system-view
(2) 開啟MKA會話的日誌信息功能。
macsec mka-session log enable
缺省情況下,MKA會話的日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MACsec的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以重建會話和清除統計信息。
表1-1 MACsec顯示和維護
|
操作 |
命令 |
|
顯示接口上的MACsec運行信息 |
display macsec [ interface interface-type interface-number ] [ verbose ] |
|
顯示MACsec硬件能力集 |
(獨立運行模式) display macsec hardware-capability slot slot-number (IRF模式) display macsec hardware-capability chassis chassis-number slot slot-number |
|
顯示MKA策略相關信息 |
display mka { default-policy | policy [ name policy-name ] } |
|
顯示MKA會話信息 |
display mka session [ interface interface-type interface-number | local-sci sci-id ] [ verbose ] |
|
顯示接口上的MKA統計信息 |
display mka statistics [ interface interface-type interface-number ] |
|
重建接口上的MKA會話 |
reset mka session [ interface interface-type interface-number ] |
|
清除接口上的MKA統計信息 |
reset mka statistics [ interface interface-type interface-number ] |
Device A和Device B相連,要求兩台設備之間的數據通信進行MACsec保護,具體要求如下:
· MACsec加密偏移量為30字節。
· 開啟MACsec重播保護功能,重播保護窗口大小為100。
· 開啟嚴格的MACsec校驗。
· 兩台設備使用的CAK均為靜態配置,CKN為E9AC,CAK為09DB3EF1。
· 由Device A作為密鑰服務器。
圖1-5 麵向設備模式MACsec配置組網圖
(1) 配置Device A
<DeviceA> system-view
# 在接口Ten-GigabitEthernet3/0/1上配置期望進行MACsec保護。
[DeviceA] interface ten-gigabitethernet 3/0/1
[DeviceA-Ten-GigabitEthernet3/0/1] macsec desire
# 配置MKA密鑰服務器的優先級為5。(本例中,Device A作為密鑰服務器,所以配置的Device A的優先級要比Device B的優先級高)
[DeviceA-Ten-GigabitEthernet3/0/1] mka priority 5
# 配置預共享密鑰的名稱為E9AC,預共享密鑰為明文09DB3EF1。
[DeviceA-Ten-GigabitEthernet3/0/1] mka psk ckn E9AC cak simple 09DB3EF1
# 配置MACsec加密偏移量為30。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec confidentiality-offset 30
# 開啟MACsec重播保護功能。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec replay-protection enable
# 配置MACsec重播保護窗口大小為100。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec replay-protection window-size 100
# 配置嚴格的MACsec校驗模式。
[DeviceA-Ten-GigabitEthernet3/0/1] macsec validation mode strict
# 開啟MKA協議。
[DeviceA-Ten-GigabitEthernet3/0/1] mka enable
[DeviceA-Ten-GigabitEthernet3/0/1] quit
(2) 配置Device B
<DeviceB> system-view
# 進入Ten-GigabitEthernet3/0/1接口視圖。
[DeviceB] interface ten-gigabitethernet 3/0/1
# 配置期望進行MACsec保護。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec desire
# 配置MKA密鑰服務器的優先級為10。
[DeviceB-Ten-GigabitEthernet3/0/1] mka priority 10
# 配置預共享密鑰的名稱為E9AC,預共享密鑰為明文09DB3EF1。
[DeviceB-Ten-GigabitEthernet3/0/1] mka psk ckn E9AC cak simple 09DB3EF1
# 配置MACsec加密偏移量為30。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec confidentiality-offset 30
# 開啟MACsec重播保護功能。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec replay-protection enable
# 配置MACsec重播保護窗口大小為100。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec replay-protection window-size 100
# 配置嚴格的MACsec校驗模式。
[DeviceB-Ten-GigabitEthernet3/0/1] macsec validation mode strict
# 開啟MKA協議。
[DeviceB-Ten-GigabitEthernet3/0/1] mka enable
[DeviceB-Ten-GigabitEthernet3/0/1] quit
配置完成後,用戶可以使用display命令查看設備上MACsec的運行情況。
# 查看DeviceA的MACsec運行信息。
[DeviceA] display macsec interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Protect frames : Yes
Replay protection : Enabled
Config replay window size : 100 frames
Active replay window size : 100 frames
Config confidentiality offset : 30 bytes
Active confidentiality offset : 30 bytes
Config validation mode : Strict
Active validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 00E00100000A0006
Elapsed time: 00h:05m:00s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 00E0020000000106
Elapsed time: 00h:03m:18s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
# 查看DeviceA上的MKA會話信息。
[DeviceA] display mka session interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Tx-SCI : 00E00100000A0006
Priority : 5
Capability: 3
CKN for participant: E9AC
Key server : Yes
MI (MN) : 85E004AF49934720AC5131D3 (182)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Tx-SSCI : N/A
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 85E004AF49934720AC5131D300000003 (3)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Prio Cap Rx-SCI Rx-SSCI
12A1677D59DD211AE86A0128 182 10 3 00E0020000000106 N/A
# 查看DeviceB上的MACsec運行信息。
[DeviceB]display macsec interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Protect frames : Yes
Replay protection : Enabled
Config replay window size : 100 frames
Active replay window size : 100 frames
Config confidentiality offset : 30 bytes
Active confidentiality offset : 30 bytes
Config validation mode : Strict
Active validation mode : Strict
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 00E0020000000106
Elapsed time: 00h:05m:36s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 00E00100000A0006
Elapsed time: 00h:03m:21s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
# 查看DeviceB上的MKA會話信息。
[DeviceB] display mka session interface ten-gigabitethernet 3/0/1 verbose
Interface Ten-GigabitEthernet3/0/1
Tx-SCI : 00E0020000000106
Priority : 10
Capability: 3
CKN for participant: E9AC
Key server : No
MI (MN) : 12A1677D59DD211AE86A0128 (1219)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Tx-SSCI : N/A
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 85E004AF49934720AC5131D300000003 (3)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Prio Cap Rx-SCI Rx-SSCI
85E004AF49934720AC5131D3 1216 5 3 00E00100000A0006 N/A
在鏈路狀態正常且鏈路兩端設備都支持MACsec功能,MACsec安全會話未建立。
可能的原因有:
· 接口未開啟MKA協議。
· 如果接口使用預共享密鑰,接口的預共享密鑰未配置或配置不一致。
· 進入接口視圖下,使用display this命令查看MKA是否開啟,如果未開啟,請使用mka enable命令開啟MKA協議。
· 進入接口視圖下,使用display this命令查看是否配置預共享密鑰,如果未配置,請使用mka psk命令配置;否則,請檢查已有配置的密鑰是否一致,不一致,則重新配置一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
