通过 WAN 的媒体访问控制安全性 （MACsec）

要建立 MACsec 会话，可以使用 MACsec 密钥协议 （MKA） 在对等节点之间交换所需的密钥。MKA PDU 使用基于 LAN 的可扩展身份验证协议 （EAPoL） 作为传输协议进行传输。EAPoL 是第 2 层协议，通常由交换机或路由器在本地处理，不会进一步传播。

在节点通过服务提供商网络连接的情况下，这将带来挑战。 图 1 显示了通过服务提供商网络传输的 MACsec。MKA 必须在客户设备 A 和 B 之间交换密钥。边缘路由器或中间设备不应处理 EAPoL 数据包。相反，它们应该透明地将它们转发到下一跃点。

EAPoL 数据包的默认目标 MAC 地址是组播地址。在服务提供商网络中，可能存在使用这些数据包的设备，假设这些数据包是针对它们的。EAPoL 由 802.1X 和其他身份验证方法使用，这可能会导致设备丢弃数据包，具体取决于其配置。这将导致 MKA 会话失败。要确保 EAPoL 数据包到达正确的目标，您可以更改目标 MAC 地址，以便服务提供商网络通过隧道传输数据包，而不是使用它。

VLAN 级 MACsec 允许在单个物理端口上进行多个 MKA 会话。这样，就可以对服务提供商 WAN 上的点对多点连接进行 MACsec 加密，从而实现服务多路复用。

为了支持 VLAN 级别的 MACsec，MKA 协议数据包会与逻辑接口上配置的 VLAN 标记一起发送出去。VLAN 标记以明文形式传输，这允许无法识别 MACsec 的中间交换机基于 VLAN 标记切换数据包。

配置 MACsec 时，必须将连接关联绑定到接口。要启用 VLAN 级 MACsec，请使用以下命令将连接关联绑定到逻辑接口：

有关完整的配置详细信息，请参阅 在静态 CAK 模式下配置 MACsec。