- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
14-MACsec命令
本章节下载: 14-MACsec命令 (201.13 KB)
目 录
1.1.6 macsec confidentiality-offset
1.1.8 macsec replay-protection enable
1.1.9 macsec replay-protection window-size
1.1.16 replay-protection enable
1.1.17 replay-protection window-size
仅LST1XP40RFG1、LST1XP40RFG2单板上速率为10Gbit/s的接口支持配置MACsec功能。
confidentiality-offset命令用来配置MACsec加密偏移量。
undo confidentiality-offset 命令用来恢复缺省情况。
confidentiality-offset offset-value
MACsec加密偏移量为0,表示整个数据帧都要加密。
MKA策略视图
offset-value:MACsec加密偏移量,取值包括0、30和50,单位为字节。
· MACsec加密偏移量,表示从用户数据帧帧头开始偏移多少字节后开始加密。
· MACsec加密偏移量最终以密钥服务器发布的加密偏移量为准。如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量。
· 在MKA策略中配置的MACsec加密偏移量,在该MKA策略成功应用到接口上之后,将会覆盖该接口上配置的MACsec加密偏移量。
# 在MKA策略abcd中配置MACsec加密偏移量为30字节。
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] confidentiality-offset 30
· macsec confidentiality-offset
display macsec命令用来显示接口的MACsec运行信息。
display macsec [ interface interface-type interface-number ] [ verbose ]
interface interface-type interface-number:显示接口上的MACsec运行的摘要信息。interface-type interface-number表示指定接口类型和接口编号。不指定该参数,则表示显示所有接口上的MACsec运行信息。
verbose:显示接口上的MACsec运行的详细信息。若不指定该参数,则表示显示MACsec运行的摘要信息。
# 显示接口Ten-GigabitEthernet1/0/1上的MACsec运行的摘要信息。
<Sysname> display macsec interface Ten-GigabitEthernet 1/0/1
Interface Ten-GigabitEthernet1/0/1
Protect frames : Yes
Active MKA policy : PL01
Replay protection : Enabled
Replay window size : 0 frames
Confidentiality offset : 0 bytes
Validation mode : Check
# 显示接口Ten-GigabitEthernet1/0/1上的MACsec运行的详细信息。
<Sysname> display macsec interface Ten-GigabitEthernet 1/0/1 verbose
Interface Ten-GigabitEthernet1/0/1
Protect frames : Yes
Active MKA policy : PL01
Replay protection : Enabled
Replay window size : 0 frames
Confidentiality offset : 0 bytes
Validation mode : Check
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
Transmit secure channel:
SCI : 000C29F6A4380004
Elapsed time: 00h:02m:19s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 000C29258D430124
Elapsed time: 00h:02m:17s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
表1-1 display macsec命令显示信息描述表
|
使能了MKA协议的接口名称 |
|
|
接口上是否开启MACsec数据帧保护功能,包括以下取值: · Yes:需要进行MACsec数据帧保护 · No:不进行MACsec数据帧保护 接口上不存在MKA主要行动者时显示为N/A |
|
|
接口应用的且生效的MKA策略。接口上未开启MACsec数据帧保护功能时,显示为N/A;如果接口上开启了MACsec数据帧保护功能但没有应用实际生效的策略,不显示该字段 |
|
|
· Enabled:处于开启状态 · Disabled:处于关闭状态 接口上的MACsec数据帧保护功能未开启时显示为N/A |
|
|
接口的重播保护窗口大小,单位为数据帧。接口上未开启MACsec数据帧保护功能或接口上未开启重播保护功能时,显示为N/A |
|
|
接口的加密偏移量,单位为字节。接口上未开启MACsec数据帧保护功能时显示为N/A |
|
|
· Check:检查模式 · Disabled:暂不支持 · Strict:严格校验模式 · N/A:接口上未开启MACsec数据帧保护功能 |
|
|
数据帧的SecTAG里是否携带SCI,包括以下取值: · Yes:携带SCI · No:未携带SCI 接口上未开启MACsec数据帧保护功能时显示为N/A |
|
|
收到的MKA协议报文的SCI和本端的SCI是否相同,包括以下取值: · Yes:收到的MKA协议报文的SCI和本端的SCI相同 · No:没有收到MKA协议报文或者收到的MKA协议报文的SCI和本端的SCI不相同 |
|
|
保护数据帧的加密套件。接口上未开启MACsec数据帧保护功能时,显示为N/A |
|
|
发送数据帧的安全通道信息。接口上未开启MACsec数据帧保护功能时,不显示安全通道信息 |
|
|
接收数据帧的安全通道信息。接口上的未开启MACsec数据帧保护功能时,不显示安全通道信息 |
|
|
SC存在的时间 |
|
|
SCI信息,由MAC地址和Port ID组成,为一个十六进制数 |
|
|
若无此信息,则对应的AN、PN和LPN显示为N/A |
|
|
若无此信息,则对应的AN和LPN显示为N/A |
|
|
SA编号 |
|
|
SAK可接收的最小报文编号 |
display mka policy命令用来显示MKA策略相关信息。
display mka { default-policy | policy [ name policy-name ] }
default-policy:表示显示默认的MKA策略。
policy:表示显示指定的MKA策略。
name policy-name:指定MKA策略名。policy-name为1~16个任意字符的字符串,区分大小写。若不指定该参数,则表示显示所有当前已有的MKA策略。
# 显示所有MKA策略相关信息。
PolicyName ReplayProtection WindowSize ConfOffset Validation
default-policy Yes 0 0 Check
policy1 Yes 0 30 Check
policy2 Yes 100 0 Strict
policy3 No 0 0 Strict
policy4 Yes 200 50 Check
policy5 Yes 0 0 Check
表1-2 display mka policy命令显示信息描述表
|
MKA策略名 |
|
|
· Check:检查模式 · Disabled:暂不支持,当前显示无效 · Strict:严格校验模式 |
display mka session命令用来显示MKA会话信息。
display mka session [ interface interface-type interface-number | local-sci sci-id ] [ verbose ]
interface interface-type interface-number:显示指定接口的MKA的会话信息。interface-type interface-number为接口类型和接口编号。若不指定该参数,则表示显示所有接口上的MKA会话信息。
local-sci sci-id:表示本地发送通道标识。sci-id为16个字符的十六进制数,不区分大小写。
verbose:显示接口上的MKA的会话的详细信息。若不指定该参数,则表示显示MKA的会话的简要信息。
# 显示接口Ten-GigabitEthernet1/0/1上的MKA会话摘要信息。
<Sysname> display mka session interface Ten-GigabitEthernet 1/0/1
Interface Ten-GigabitEthernet1/0/1
Tx-SCI : 000C29F6A4380004
Priority : 0
Capability: 3
CKN for participant: ABCD
Key server : Yes
MI (MN) : D7B00EDA353242704CC6B0DB (7)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
# 显示接口Ten-GigabitEthernet1/0/1上的MKA会话详细信息。
<Sysname> display mka session interface Ten-GigabitEthernet 1/0/1 verbose
Interface Ten-GigabitEthernet1/0/1
Tx-SCI : 000C29F6A4380004
Priority : 0
Capability: 3
CKN for participant: ABCD
Key server : Yes
MI (MN) : D7B00EDA353242704CC6B0DB (7)
Live peers : 1
Potential peers : 0
Principal actor : Yes
MKA session status : Secured
Confidentiality offset: 30 bytes
Current SAK status : Rx & Tx
Current SAK AN : 0
Current SAK KI (KN) : 4273791304C1C26259C94C3400000001 (1)
Previous SAK status : N/A
Previous SAK AN : N/A
Previous SAK KI (KN) : N/A
Live peer list:
MI MN Priority Capability Rx-SCI
EA58DC3F8715953DBC6593F0 840 100 3 00E0020000000106
Potential peer list:
MI MN Priority Capability Rx-SCI
DA58DC3Q4573543DBC6699F0 3 200 3 00E0021200000107
表1-3 display mka session 命令显示信息描述表
|
发送SCI,采用十六进制格式 |
|
|
表示密钥服务器的优先级,取值为0~255 |
|
|
MACsec能力,取值如下: · 0:表示不支持MACsec功能 · 1:表示只支持完整性服务,不支持机密性服务 · 2:表示支持完整性服务,可选择支持机密性服务(加密偏移量只能为0) · 3:表示支持完整性服务,可选择支持机密性服务(加密偏移量可支持0,30及50) |
|
|
MKA实例的CKN |
|
|
该MKA实例是否为主要行动者。其中,MKA实例表示MKA协议在该接口上的运行实体,当该MKA实例处于Active状态时,被称为主要行动者 |
|
|
MKA会话的状态: · Unknown:表示未知状态 · Pending:表示挂起状态 · Unauthenticated:表示未认证状态 · Authenticated:暂不支持 · Secured:表示安全状态,会话将被保护 · N/A:表示该MKA实例不是主要行动者 |
|
|
密钥服务器发布的加密偏移量,明文通信或该MKA实例不是主要行动者时显示为N/A |
|
|
当前使用的SAK的状态(Tx表示用于发送,Rx表示用于接收),当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
|
当前使用的SAK的SA编号,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
|
当前使用的SAK的密钥标识,由12字节的密钥服务器的MI和KN组成,采用十六进制格式,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
|
SAK编号,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
|
前一个SAK的状态(Tx表示用于发送,Rx表示用于接收),当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
|
前一个SAK的SA编号,当该MKA实例不是主要行动者或SAK不存在时,显示为N/A |
|
|
前一个SAK的密钥标识,由12字节的密钥服务器的MI和KN组成,采用十六进制格式,当该MKA实例不是主要行动者或SAK不存在时,显为N/A |
|
|
已经学习到的对端列表,当不存在Live peer时,不显示该字段 |
|
|
正在协商过程中的对端列表,当不存在Potential peer时,不显示该字段 |
|
|
接收SCI,采用十六进制格式 |
display mka statistics命令用来显示接口上的MKA统计信息。
display mka statistics [ interface interface-type interface-number ]
interface interface-type interface-number:指定接口类型和接口编号。若不指定该参数,则表示显示所有接口上的MKA统计信息。
# 显示接口Ten-GigabitEthernet1/0/1的MKA统计信息。
<Sysname> display mka statistics interface Ten-GigabitEthernet 1/0/1
Interface Ten-GigabitEthernet1/0/1 statistics
MKPDUs with invalid CKN : 0
MKPDUs with invalid ICV : 0
MKPDUs with Rx error : 0
CKN for participant : ABCD
Tx MKPDUs : 2379
Rx MKPDUs : 2375
MKPDUs with invalid MN: 0
MKPDUs with Tx error : 0
SAKs distributed : 0
SAKs received : 5
表1-4 display mka statistics命令显示信息描述表
|
接口上的MKA统计信息 |
|
|
收到的且找不到匹配CKN的MKA协议报文个数 |
|
|
ICV校验失败的MKA协议报文个数 |
|
|
接收到错误的MKA协议报文个数 |
|
|
MKA实例的CKN |
|
|
实例发送的MKA协议报文个数 |
|
|
实例接收的MKA协议报文个数 |
|
|
实例接收到非法MN的MKA协议报文个数 |
|
|
实例发送错误的MKA协议报文个数 |
|
|
实例分发的SAK个数 |
|
|
实例接收的SAK个数 |
macsec confidentiality-offset命令用来配置接口上的MACsec加密偏移量。
undo macsec confidentiality-offset命令用来恢复缺省情况。
macsec confidentiality-offset offset-value
undo macsec confidentiality-offset
接口上的MACsec加密偏移量为0,表示整个数据帧都要加密。
offset-value:数据帧的加密偏移量,取值包括0、30和50,单位为字节。
MACsec加密偏移量,表示从用户数据帧帧头开始偏移多少字节后开始加密。
· 如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上配置加密偏移量,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上配置的加密偏移量以及该MKA策略中的除加密偏移量之外的其它所有配置。
· 如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量,并将该值发布给对端。
# 配置接口Ten-GigabitEthernet1/0/1上的MACsec加密偏移量为30字节。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] macsec confidentiality-offset 30
macsec desire命令用来启用MACsec保护,即接口期望对发送的数据帧进行MACsec保护。
undo macsec desire命令用来恢复缺省情况。
macsec desire命令仅用来告知对端,本端发送的数据帧需要进行MACsec保护,但最终本端发送的数据帧是否启用MACsec保护,要由密钥服务器来决策。决策策略是:密钥服务器和它的对端支持MACsec功能,且它们至少有一个请求MACsec保护。
# 配置接口Ten-GigabitEthernet1/0/1期望对发送的数据帧进行MACsec保护。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] macsec desire
macsec replay-protection enable命令用来开启接口上的MACsec重播保护功能。
undo macsec replay-protection enable命令用来关闭接口上的MACsec重播保护功能。
macsec replay-protection enable
undo macsec replay-protection enable
接口上的MACsec重播保护功能处于开启状态。
· MACsec重播保护功能可以单独开启,且仅针对接收到的数据帧。
· 如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上使能MACsec重播保护功能,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上已开启MACsec重播保护功能以及该MKA策略中的除MACsec重播保护功能之外的其它所有配置。
# 开启接口Ten-GigabitEthernet1/0/1上的MACsec重播保护功能。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] macsec replay-protection enable
· macsec replay-protection window-size
macsec replay-protection window-size命令用来配置接口上的MACsec重播保护窗口大小。
undo macsec replay-protection window-size命令用来恢复缺省情况。
macsec replay-protection window-size size-value
undo macsec replay-protection window-size
接口上的MACsec重播保护窗口大小为0个数据帧,表示不允许接收乱序或重复的数据帧。
size-value:重播保护窗口大小,取值范围为0~4294967295,单位为数据帧。
在某些组网下(如数据帧经过运营商网络转发),因为用户数据帧的发送优先级不同,在转发过程中会被重新排序,最终到达接收端会出现乱序。如果要正常接收这些乱序的数据帧,需要开启重播保护功能,且配置重播保护窗口。假设配置的重播保护窗口大小为a,如果接收到了一个报文序号(PN,Packet Number)为x的报文,则下一个允许被接收的报文的PN必须大于或等于x-a。
· 请结合数据帧在传输网络中的转发途径,选择适当的重播保护窗口大小。若数据帧有可能被多次转发,那么乱序的可能性和乱序的范围会比较大,则建议适当调大重播保护窗口,反之调小。
· 如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上配置了MACsec重播保护窗口大小,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上配置的MACsec重播保护窗口大小以及该MKA策略中的除MACsec重播保护窗口大小之外的其它所有配置。
# 配置接口Ten-GigabitEthernet1/0/1的MACsec重播保护窗口大小为100。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] macsec replay-protection window-size 100
· macsec replay-protection enable
· replay-protection window-size
macsec validation mode命令用来配置接口上的MACsec校验模式。
undo macsec validation mode命令用来恢复缺省情况。
macsec validation mode { check | disabled | strict }
接口上的MACsec校验模式为check模式。
check:检查模式,表示只作校验,但不丢弃非法数据帧。
disabled:不对接收数据帧进行MACsec校验。本参数配置后不生效。
strict:严格校验模式,表示校验数据帧,并丢弃非法数据帧。
· 在网络中部署支持MACsec的设备时,为避免两端因密钥协商不一致而造成流量丢失,建议两端均先配置为check模式,在密钥协商成功后,再配置为strict模式。
· 如果首先在接口上通过mka apply policy命令应用MKA策略,然后在该接口上配置MACsec校验模式,则接口上应用的MKA策略将被取消,取而代之保存的配置将是,接口上配置的MACsec校验模式及该MKA策略中的除MACsec校验模式之外的其它所有配置。
# 配置接口Ten-GigabitEthernet1/0/1 上的MACsec的校验模式为严格校验模式。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] macsec validation mode strict
mka apply policy命令用来在接口上应用MKA策略。
undo mka apply policy命令用来取消接口上应用的MKA策略。
接口上没有应用MKA策略。
policy-name:MKA策略名称,为1~16个任意字符的字符串,区分大小写。
· 接口上应用了MKA策略时,策略下配置的MACsec参数,包括加密偏移、校验模式、重播保护功能和重播保护窗口值会覆盖接口下配置的对应的MACsec参数,且当修改策略下的配置时,接口相应的配置也会改变。
· 通过undo mka apply policy取消接口上应用的指定MKA策略时,接口上的加密偏移、MACsec校验模式、重播保护功能和重播保护窗口大小都恢复为缺省情况。
· 当一个MKA策略被删除时,应用了该策略的接口上会自动应用缺省MKA策略default-policy。
· 当接口应用了一个不存在的MKA策略时,该接口会自动应用缺省MKA策略default-policy。之后,如果该策略被创建后,则接口会自动应用配置的MKA策略。
# 在接口Ten-GigabitEthernet1/0/1上应用MKA策略abcd。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mka apply policy abcd
· replay-protection window-size
mka enable命令用来使能接口上的MKA协议。
undo mka enable命令用来关闭接口上的MKA协议。
接口上的MKA协议处于关闭状态。
· 接口使能MKA协议后,将触发密钥协商过程,并在密钥协商成功之后建立MKA会话。
· MKA协议负责接口上MACsec安全通道的建立和管理,以及MACsec所使用密钥的协商。
# 在接口Ten-GigabitEthernet1/0/1上使能MKA协议。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mka enable
mka policy命令用来创建一个MKA策略,并进入MKA策略视图。如果该MKA策略已创建,则直接进入MKA策略视图。
undo mka policy命令用来删除指定的MKA策略。
存在一个缺省的MKA策略,名称为default-policy。
policy-name:MKA策略名,为1~16个任意字符的字符串,区分大小写。
MKA(MACsec Key Agreement,MACsec密钥协商)策略用于管理在MKA策略视图下的相关配置,包括加密偏移量、接收数据帧校验模式、重播保护使能和重播保护窗口大小。
· 系统中可配置多个MKA策略。
· 缺省的MKA策略default-policy不能被删除和修改。
# 创建一个名称为abcd的MKA策略,并进入该MKA策略视图。
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd]
· display mka policy
· replay-protection window-size
mka priority命令用来配置MKA密钥服务器的优先级。
undo mka priority命令用来恢复缺省情况。
MKA密钥服务器的优先级为0。
priority-value:MKA密钥服务器优先级,取值范围为0~255,值越小,优先级越高。
MACsec使用的安全密钥通过MKA协议进行协商生成。密钥服务器负责生成和发布MKA会话所使用的安全密钥。
· 如果采用用户配置的预共享密钥,优先级较高(值较小)的接口被选举为密钥服务器。如果两端的优先级相同,则比较SCI(MAC地址+端口的ID),SCI值较小的一端将被选举为密钥服务器。
· 优先级为255的设备端口不能被选举为密钥服务器。相互连接的端口不能都配置优先级为255,否则MKA会话选举不出密钥服务器。
# 在接口Ten-GigabitEthernet1/0/1上配置MKA密钥服务优先级为2。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mka priority 2
mka psk命令用来配置MKA预共享CA密钥。
undo mka psk命令用来删除配置的MKA预共享CA密钥。
mka psk ckn name cak simple value
不存在MKA预共享密钥。
ckn name:表示CA密钥的名称(CKN,CAK Name),name为2~64个字符的字符串,只能包含偶数个16进制数字,不区分大小写。
cak:表示CA密钥。
simple:表示以明文方式设置预共享密钥。
value:设置的明文密钥,为2~64个字符,且只能为偶数个16进制数,不区分大小写。
CA密钥(CAK,Secure Connectivity Association Key)通过命令行手工配置。
通过mka psk配置两端使用的CAK时,必须保证两端的CAK配置一致,否则不能建立正常的MKA会话。
需要注意的是,两端建立正常的MKA会话后,若要删除配置的MKA预共享CA密钥,则建议首先在密钥服务器端执行undo mka psk命令,然后在非密钥服务器端执行本命令。另外,删除配置的MKA预共享CA密钥会导致已建立的相应的MKA会话删除。
# 在接口Ten-GigabitEthernet1/0/1上配置预共享CA密钥的名称为AB,预共享CA密钥为明文1234。
[Sysname] interface Ten-GigabitEthernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mka psk ckn AB cak simple 1234
replay-protection enable命令用来开启MACsec重播保护功能。
undo replay-protection enable命令用来关闭MACsec重播保护功能。
MACsec重播保护功能处于开启状态。
MKA策略视图
· MACsec重播保护功能可以单独开启,且仅针对接收到的数据帧。重播保护为了防止收到乱序或重复的数据帧。
· 在MKA策略中开启的MACsec重播保护功能状态,在该MKA策略成功应用到接口上之后,将会覆盖该接口上已开启的MACsec重播保护功能状态。
# 在MKA策略abcd中开启MACsec重播保护功能。
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] replay-protection enable
· macsec replay-protection enable
· replay-protection window-size
replay-protection window-size命令用来配置MACsec重播保护窗口大小。
undo replay-protection window-size命令用来恢复缺省情况。
replay-protection window-size size-value
undo replay-protection window-size
MACsec重播保护窗口大小为0个数据帧,表示不允许接收乱序或重复的数据帧。
MKA策略视图
size-value:重播保护窗口大小,取值范围为0~4294967295,单位为数据帧。
在某些组网下(如数据帧穿过运营商网络),数据帧因为发送优先级的不同,在转发过程中会被重新排序,最终到达接收端会出现乱序。如果要正常接收这些乱序的数据帧,需配置重播保护窗口。假设配置的重播保护窗口大小为a,如果接收到了一个报文序号(PN,Packet Number)为x的报文,则下一个允许被接收的报文的PN必须大于或等于x-a。
· 请结合数据帧在传输网络中的转发途径,选择适当的重播保护窗口大小。若数据帧有可能被多次转发,那么乱序的可能性和乱序的范围会比较大,则建议适当调大重播保护窗口,反之调小。
· 在MKA策略中配置的MACsec重播保护窗口值,在该MKA策略成功应用到接口上之后,将会覆盖该接口上配置的MACsec重播保护窗口值。
# 在MKA策略abcd中配置重播保护窗口大小为100。
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] replay-protection window-size 100
· macsec replay-protection window-size
· macsec replay-protection enable
· macsec replay-protection enable
reset mka session命令用来重建接口上的MKA会话。
reset mka session [ interface interface-type interface-number ]
interface interface-type interface-number:指定接口类型和接口编号。若不指定该参数,则表示重建所有接口上的MKA会话信息。
重建接口上的MKA会话是指,先清除接口上的MKA会话,然后立即触发协商建立新的MKA会话。
# 重建接口Ten-GigabitEthernet1/0/1上的MKA会话。
<Sysname> reset mka session interface Ten-GigabitEthernet 1/0/1
reset mka statistics 命令用来清除接口上的MKA统计信息。
reset mka statistics [ interface interface-type interface-number ]
interface interface-type interface-number:指定接口类型和接口编号。若不指定该参数,则表示清除所有接口上的MKA统计信息。
# 清除接口Ten-GigabitEthernet1/0/1上的MKA统计信息。
<Sysname> reset mka statistics interface Ten-GigabitEthernet 1/0/1
validation mode命令用来配置MACsec校验模式。
undo validation mode命令用来恢复缺省情况。
validation mode { check | disabled | strict }
check模式,表示只作校验,但不丢弃非法数据帧。
MKA策略视图
check:检查模式,表示只作校验,但不丢弃非法数据帧。
disabled:不对接收数据帧进行MACsec校验。本参数配置后不生效。
strict:严格校验模式,表示校验数据帧,并丢弃非法数据帧。
· 在网络中部署支持MACsec的设备时,为避免两端因密钥协商不一致而造成流量丢失,建议两端均先配置为check模式,在密钥协商成功后,再配置为strict模式。
· 在MKA策略中配置的MACsec校验模式,在该MKA策略成功应用到接口上之后,将会覆盖该接口上配置的MACsec校验模式。
# 在MKA策略abcd中配置MACsec校验模式为严格校验模式。
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] validation mode strict
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
