Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren erweiterter MACsec-Funktionen

Media Access Control Security (MACsec) ist eine branchenübliche Sicherheitstechnologie, die eine sichere Kommunikation für nahezu alle Arten von Datenverkehr über Ethernet-Verbindungen ermöglicht. MACsec bietet Punkt-zu-Punkt-Sicherheit auf Ethernet-Verbindungen zwischen direkt verbundenen Knoten und ist in der Lage, die meisten Sicherheitsbedrohungen zu erkennen und zu verhindern, einschließlich Denial-of-Service-, Intrusion-, Man-in-the-Middle-, Masquerading-, passive Abhör- und Playback-Angriffe. MACsec ist in IEEE 802.1AE standardisiert.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Konfigurieren von Verschlüsselungsoptionen

Zuweisen eines Verschlüsselungsalgorithmus

Sie können den gesamten Datenverkehr, der in die Schnittstelle eingeht oder sie verlässt, mit einem der folgenden MACsec-Verschlüsselungsalgorithmen verschlüsseln:

  • gcm-AES-128—GCM-AES-128-Verschlüsselungssammlung ohne XPN-Modus (Extended Packet Numbering)

  • gcm-aes-256 – GCM-AES-256-Verschlüsselungssammlung ohne XPN

  • gcm-aes-xpn-128 – GCM-AES-XPN_128-Verschlüsselungssammlung mit XPN-Modus

  • gcm-aes-xpn-256 – GCM-AES-XPN_256-Verschlüsselungssammlung mit XPN-Modus

Wenn die MACsec-Verschlüsselung aktiviert ist und kein Verschlüsselungsalgorithmus angegeben ist, wird der Standard-Verschlüsselungsalgorithmus (gcm-aes-128) ohne XPN-Modus verwendet.

Anmerkung:

Wir empfehlen dringend die Verwendung von XPN für die Verwendung von MACsec auf 40G- und 100G-Verbindungen.

Anmerkung:

  • Die Verschlüsselungsalgorithmen mit XPN-Modus werden auf MPC7E-10G-Routern der MX-Serie nicht unterstützt.

  • Nur GCM-AES-128 wird auf MIC-3D-20GE-SFP-E und MIC-3D-20GE-SFP-EH unterstützt.

Wenn Sie z. B. mit dem GCM-AES-XPN-128-Algorithmus in der Konnektivitätszuordnung mit dem Namen verschlüsseln möchten ca1:

Verschlüsselung deaktivieren

Das Standardverhalten für MACsec ist die Verschlüsselung des Datenverkehrs, der die Verbindung durchquert. Sie können die Verschlüsselung deaktivieren, wenn Sie MACsec nur zur Authentifizierung eines Endpunkts und zur Gewährleistung der Integrität der Verbindung verwenden möchten. Dies wird als reiner Integritätsmodus bezeichnet. Der Nur-Integritätsmodus ist nützlich, wenn die unverschlüsselte Nutzlast sichtbar sein soll, wenn MACsec über mehrere Hops übertragen wird.

Wenn Sie die Verschlüsselung deaktivieren, wird der Datenverkehr im Klartext über die Ethernet-Verbindung weitergeleitet. Sie können unverschlüsselte Daten im Ethernet-Frame anzeigen, der die Verbindung durchläuft, wenn Sie ihn überwachen. Der MACsec-Header wird jedoch weiterhin auf den Frame angewendet, und alle MACsec-Datenintegritätsprüfungen werden an beiden Enden der Verbindung ausgeführt, um sicherzustellen, dass der über die Verbindung gesendete oder empfangene Datenverkehr nicht manipuliert wurde und keine Sicherheitsbedrohung darstellt.

Verwenden Sie den folgenden Befehl, um die Verschlüsselung zu deaktivieren:

Konfigurieren eines Versatzes

Offset bietet eine Option zwischen vollständiger Verschlüsselung und keiner Verschlüsselung. Konfigurieren Sie einen Offset, um eine bestimmte Anzahl von Bytes der Nutzlast verfügbar zu machen und den Rest zu verschlüsseln. Dies kann für zwischengeschaltetes Load Balancing oder für die Lastverteilung auf dem Host im Falle von Switch-to-Host-Verbindungen verwendet werden.

Der Standardversatz ist 0. Der gesamte Datenverkehr in der Konnektivitätszuordnung wird verschlüsselt, wenn die Verschlüsselung aktiviert und ein offset nicht festgelegt ist.

Wenn der Offset auf 30 festgelegt ist, werden der IPv4-Header und der TCP/UDP-Header unverschlüsselt, während der Rest des Datenverkehrs verschlüsselt wird. Wenn der Offset auf 50 festgelegt ist, werden der IPv6-Header und der TCP/UDP-Header unverschlüsselt, während der Rest des Datenverkehrs verschlüsselt wird.

In der Regel leiten Sie den Datenverkehr mit den ersten 30 oder 50 Oktetten unverschlüsselt weiter, wenn ein Feature die Daten in den Oktetten anzeigen muss, um eine Funktion ausführen zu können, andernfalls ziehen Sie es jedoch vor, die verbleibenden Daten in den Frames, die den Link durchlaufen, zu verschlüsseln. Insbesondere Load-Balancing-Funktionen benötigen in der Regel die IP- und TCP/UDP-Header in den ersten 30 oder 50 Oktetten, um einen ordnungsgemäßen Lastenausgleich für den Datenverkehr zu gewährleisten.

Um einen Offset zu konfigurieren, verwenden Sie den folgenden Befehl:

Wenn Sie z. B. den Offset in der Konnektivitätszuordnung mit dem Namen ca1:

Konfigurieren des vorinstallierten Schlüssels "Hitless Rollover Keychain" (empfohlen für die Aktivierung von MACsec auf Router-zu-Router-Verbindungen)

In der MACsec-Implementierung mit statischem Konnektivitätszuordnungsschlüssel (CAK) vor Version 17.4R1 kann der Benutzer für jede Konnektivitätszuordnung ein statisches CAK konfigurieren. Wenn sich die CAKE-Konfiguration ändert, wird die MACsec-Sitzung unterbrochen, wodurch Peer-Sitzungen zurückgesetzt oder das Routing-Protokoll unterbrochen wird.

Für erhöhte Sicherheit und um Sitzungsabbrüche bei Änderungen der CAK-Konfiguration zu verhindern, wurde die Failless-Rollover-Schlüsselbundfunktion implementiert. In dieser Implementierung wird ein Schlüsselbund verwendet, der über mehrere Sicherheitsschlüssel, Schlüsselnamen und Startzeiten verfügt. Jeder Schlüssel im Schlüsselbund hat eine eindeutige Startzeit. Zur Startzeit des nächsten Schlüssels erfolgt ein Rollover vom aktuellen Schlüssel zum nächsten Schlüssel, und der nächste Schlüssel wird zum aktuellen Schlüssel. Mit der Implementierung der Hitless-Rollover-Schlüsselbundfunktion richtet das MACsec Key Agreement (MKA)-Protokoll MACsec-Sitzungen erfolgreich ein, ohne dass es zu Sitzungsverlusten kommt, wenn sich die CAK-Konfiguration ändert.

Für eine erfolgreiche MACsec-Konfiguration mit Preshared Key (PSK) Hitless-Rollover-Schlüsselbund:

  • Die Schlüsselbundnamen, Schlüssel und Startzeiten der einzelnen Schlüssel müssen in beiden beteiligten Knoten identisch sein.

  • Die Reihenfolge der Schlüsselbundnamen, Schlüssel und Startzeiten muss in beiden beteiligten Knoten identisch sein.

  • Die Uhrzeit muss in den beteiligten Knoten synchronisiert werden.

Die vorhandenen authentication-key-chains und-Befehle macsec connectivity-association werden für die Implementierung eines Hitless-Rollover-Schlüsselbunds mit dem Hinzufügen von zwei neuen Attributen verwendet:

  • key-name– Name des Authentifizierungsschlüssels, der key-name als CKN für MACsec verwendet wird.

  • pre-shared-key-chain– Der Schlüsselbund für die Preshared Connectivity Association.

So sichern Sie eine Router-zu-Router-Ethernet-Verbindung mithilfe von MACsec mit PSK Hitless Rollover Keychain-Konfiguration:

Anmerkung:

Stellen Sie sicher, dass Sie die folgenden Schritte in beiden beteiligten Knoten in derselben Reihenfolge ausführen.
  1. Synchronisieren Sie die Uhrzeit in den beteiligten Knoten mit demselben NTP-Server.

    Geben Sie beispielsweise Folgendes ein, um das Datum und die Uhrzeit gemäß dem NTP-Server 192.168.40.1 festzulegen:

  2. Konfigurieren Sie eine Reihe von PSKs in einem Schlüsselbund. Ein Schlüsselbund besteht aus einem Sicherheitsschlüssel, einem Schlüsselnamen und einer Startzeit.

    So konfigurieren Sie einen Schlüsselbund:

    1. Erstellen Sie das zu verwendende geheime Kennwort. Es handelt sich um eine Zeichenfolge aus hexadezimalen Ziffern mit einer Länge von bis zu 64 Zeichen. Das Kennwort kann Leerzeichen enthalten, wenn die Zeichenfolge in Anführungszeichen gesetzt ist. Die geheimen Daten des Schlüsselbunds werden als CAK verwendet.

      Geben Sie beispielsweise Folgendes ein, um das geheime Kennwort 01112233445566778899aabbccddeeff für den Schlüsselbund macsec_key_chain und Schlüssel 1 zu erstellen:

    2. Konfigurieren Sie den Namen des Authentifizierungsschlüssels. Es handelt sich um eine Zeichenfolge aus hexadezimalen Ziffern, die bis zu 32 Zeichen lang sein kann.

      Geben Sie z. B. Folgendes ein, um den 01112233445566778899aabbccddeefe des Schlüsselnamens zu erstellen:

    3. Konfigurieren Sie den Zeitpunkt, zu dem der vorab freigegebene Rollover-Schlüsselbund beginnt.

      Wenn Sie beispielsweise möchten, dass der Schlüsselname mit 01112233445566778899aabbccddeefe Rollover am 2017-12-18.20:55:00 +0000 beginnt, geben Sie Folgendes ein:

  3. Verknüpfen Sie den neu erstellten Schlüsselbund mit einer MACsec-Konnektivitätszuordnung.
    1. Konfigurieren Sie den MACsec-Sicherheitsmodus für die Konnektivitätszuordnung.

      Geben Sie beispielsweise Folgendes ein, um die Konnektivitätszuordnung ca1 mit dem Sicherheitsmodus static-cak zu konfigurieren:

    2. Ordnen Sie den Namen des vorinstallierten Schlüsselbunds der Konnektivitätszuordnung zu.

      Wenn Sie z. B. den Schlüsselbundnamen macsec_key_chain der Konnektivitätszuordnung ca1 zuordnen möchten, geben Sie Folgendes ein:

  4. Weisen Sie die konfigurierte Konnektivitätszuordnung einer angegebenen MACsec-Schnittstelle zu.

    So weisen Sie z.B. der Schnittstelle ge-0/0/1 die Konnektivitätsassoziation ca1 zu:

Konfigurieren des MACsec Key Agreement Protocol im Fail-Open-Modus

Sie können den Fail-Open-Modus für MACsec konfigurieren, um zu verhindern, dass Datenverkehr unterbrochen wird, wenn die MKA-Sitzung inaktiv ist. Dies wird für Service Provider empfohlen, die der Netzwerkverfügbarkeit Vorrang vor der Informationssicherheit einräumen.

MACsec wahrt die Datenintegrität durch das Anhängen eines MACsec-Headers an Ethernet-Frames, die über eine MACsec-gesicherte Verbindung übertragen werden. Wenn die MKA-Sitzung aktiv ist, wird Datenverkehr auf dem Link nur für Frames mit einem MACsec-Header zugelassen. Wenn die MKA-Sitzung inaktiv ist, erhalten Frames keinen MACsec-Header. Der gesamte ein- und ausgehende Datenverkehr wird verworfen. Die einzige Ausnahme ist der EAPoL-Datenverkehr.

Sie können den Fail-Open-Modus mithilfe der should-secure CLI-Anweisung konfigurieren. Dadurch wird Datenverkehr über die MACsec-gesicherte Verbindung auch dann zugelassen, wenn die MKA-Sitzung inaktiv ist. Der Datenverkehr wird im Klartextformat ohne MACsec-Header übertragen.

So konfigurieren Sie das MKA-Protokoll im Modus "Fail Open":

Konfigurieren des Wiedergabeschutzes

MACsec weist jedem Paket auf einer MACsec-gesicherten Verbindung eine ID-Nummer zu. Wenn der Wiedergabeschutz aktiviert ist, überprüft die empfangende Schnittstelle die ID-Nummer aller Pakete, die die MACsec-gesicherte Verbindung durchlaufen haben. Wenn ein Paket nicht in der richtigen Reihenfolge eintrifft und die Differenz zwischen den Paketnummern die Größe des Wiedergabeschutzfensters überschreitet, verwirft die empfangende Schnittstelle das Paket.

Wenn z. B. die Größe des Wiedergabeschutzfensters auf fünf festgelegt ist und ein Paket mit der ID 1006 unmittelbar nach dem Paket mit der ID 1000 am empfangenden Link eintrifft, wird das Paket mit der ID 1006 verworfen, da es außerhalb des Wiedergabeschutzfensters liegt.

Der Replay-Schutz ist nützlich für die Abwehr von Man-in-the-Middle-Angriffen. Ein Paket, das von einem Man-in-the-Middle-Angreifer über die Ethernet-Verbindung wiedergegeben wird, kommt nicht in der richtigen Reihenfolge auf der empfangenden Verbindung an. Daher trägt der Replay-Schutz dazu bei, dass das wiedergegebene Paket verworfen und nicht über das Netzwerk weitergeleitet wird.

Anmerkung:

Sie können festlegen, dass alle Pakete der Reihe nach eintreffen, indem Sie die Größe des Wiedergabefensters auf 0 festlegen. Der Replay-Schutz sollte nicht aktiviert werden, wenn erwartet wird, dass Pakete nicht in der richtigen Reihenfolge ankommen.

Verwenden Sie den folgenden Befehl, um den Wiedergabeschutz zu aktivieren:

So aktivieren Sie z. B. den Wiedergabeschutz mit einer Fenstergröße von fünf bei der Konnektivitätszuordnung ca1:

Konfigurieren des Schutzes vor begrenzter Verzögerung

Sie können den Schutz für begrenzte Verzögerungen konfigurieren, um sicherzustellen, dass ein MACsec-Frame (Media Access Control Security) nicht nach einer Verzögerung von mindestens zwei Sekunden übermittelt wird. Dadurch wird sichergestellt, dass eine Verzögerung von MACsec-Frames, die durch einen Man-in-the-Middle-Angriff entsteht, nicht unentdeckt bleibt.

Wenn Sie den Schutz für begrenzte Verzögerungen konfigurieren, müssen Sie auch den Wiedergabeschutz konfigurieren. Dies ist das Zeitfenster, in dem doppelte und wiederzugebende Pakete zulässig sind. Die begrenzte Verzögerung hat Vorrang vor dem Wiederholungsschutz. Sie können die Effektivität des Schutzes vor begrenzter Verzögerung erhöhen, indem Sie einen niedrigeren Wert für die Fenstergröße konfigurieren.

Bevor Sie den Schutz für begrenzte Verzögerungen konfigurieren, müssen Sie den Wiedergabeschutz konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Wiedergabeschutzes.

Verwenden Sie den folgenden Befehl, um den Schutz für begrenzte Verzögerungen zu konfigurieren:

Anmerkung:

Eine begrenzte Verzögerung wirkt sich auf die CPU-Auslastung aus, was die Leistung beeinträchtigen kann. Es wird empfohlen, die begrenzte Verzögerung nur auf Schnittstellen zu konfigurieren, auf denen sie unbedingt erforderlich ist.

Konfigurieren von MACsec mit Fallback-PSK

Wenn Sie MACsec im statischen CAK-Sicherheitsmodus aktivieren, wird ein vorinstallierter Schlüssel (PSK) zwischen den Geräten an beiden Enden der Punkt-zu-Punkt-Ethernet-Verbindung ausgetauscht. Der PSK enthält einen Connectivity Association Name (CKN) und einen Connectivity Association Key (CAK). Der PSK muss geräteübergreifend übereinstimmen, damit eine MACsec-Sitzung eingerichtet werden kann. Wenn es eine Diskrepanz gibt, wird die Sitzung nicht hergestellt und alle Pakete werden verworfen.

Sie können einen Fallback-PSK konfigurieren, um Datenverkehrsverluste zu verhindern, falls der primäre PSK keine Verbindung herstellen kann. Der Fallback-PSK wird verwendet, wenn die Primärschlüssel für die anfängliche MACsec-Aushandlung nicht übereinstimmen.

Wenn bereits eine MACsec-Sitzung eingerichtet wurde und der primäre PSK auf einem Gerät geändert wird, auf dem anderen jedoch nicht, wird die daraus resultierende Diskrepanz durch Verwendung des älteren primären PSK behoben. Der ältere primäre PSK ist ein temporärer Schlüssel, der als vorhergehender PSK bezeichnet wird.

Wenn der Fallback-PSK konfiguriert ist, kann eine MACsec-Sitzung mit einem der folgenden Schlüssel gesichert werden:

  • Primärer PSK (konfigurierbar): Der bevorzugte Schlüssel.

  • Fallback-PSK (konfigurierbar): Wird verwendet, wenn der primäre PSK keine MACsec-Sitzung einrichten kann.

  • Vorangehender PSK (nicht konfigurierbar): Wenn ein neuer primärer PSK konfiguriert wird, wird der alte primäre PSK zum vorhergehenden PSK.

Der Status des CAK für jeden Schlüssel kann entweder live, aktiv oder in Bearbeitung sein. In Tabelle 1 finden Sie eine Beschreibung der einzelnen Status.

Beschreibung
Tabelle 1: Beschreibungen des CAF-Status
des CAF-Status

Leben

  • CAK wurde von MKA validiert.

  • Die MACsec-Sitzung ist live.

  • SAK wird mit diesem Schlüssel erfolgreich generiert.

  • CAK wird für die Ver- und Entschlüsselung der MACsec-Sitzung verwendet.

  • MKA hello-Pakete werden für diesen Schlüssel in einem konfigurierten Intervall gesendet und empfangen.

Aktiv

  • CAK wurde von MKA validiert.

  • Die MACsec-Sitzung ist live.

  • SAK wird mit diesem Schlüssel nicht generiert.

  • CAK wird nicht für die Ver- und Entschlüsselung der MACsec-Sitzung verwendet.

  • MKA hello-Pakete werden für diesen Schlüssel in einem konfigurierten Intervall gesendet und empfangen.

In Bearbeitung

  • Es wurde kein gültiger Live- oder potenzieller Peer gefunden.

  • Die MACsec-Sitzung wird ausgeführt, um einen Peer zu finden.

  • MKA-Hello-Pakete werden für diesen Schlüssel in einem konfigurierten Intervall gesendet.

Eine Diskrepanz von Schlüsseln tritt auf, wenn ein neuer PSK auf einer Seite der MACsec-Verbindung konfiguriert ist und die andere Seite entweder falsch konfiguriert oder nicht mit dem neuen Schlüssel konfiguriert ist. Das Fallbackverhalten hängt davon ab, welche Komponenten des PSK geändert werden (CAK, KKN oder beide). Jedes Abweichungsszenario wird im Folgenden beschrieben:

  • Wenn der CAK geändert wird und der CKN gleich bleibt, wird die vorhandene MACsec-Sitzung getrennt. Eine neue Sitzung wird mit dem alten CKN und dem neuen CAK-Wert gestartet.

  • Wenn der CKN geändert wird und der CAK gleich bleibt, wird der alte CKN gekoppelt mit dem vorhandenen CAK zum vorhergehenden PSK, und die Sitzung wird mit dem vorhergehenden PSK live geschaltet. Eine neue Sitzung wird mit dem neu erstellten CKN und dem CAK initiiert, die ausgeführt wird, bis der Peerknoten ebenfalls mit derselben CKN konfiguriert ist.

  • Wenn sowohl der CAK als auch der CKN geändert werden, wird das alte CAK+CKN-Paar zum vorherigen PSK, und die Sitzung wird mit dem vorhergehenden PSK live geschaltet. Es wird eine neue Sitzung mit dem neuen CAK+CKN-Paar initiiert, die so lange ausgeführt wird, bis der Peerknoten ebenfalls mit demselben CAK+CKN konfiguriert ist.

Anmerkung:

Der vorhergehende PSK hat Vorrang vor dem Fallback-PSK, d. h., wenn die Sitzung mit dem vorhergehenden PSK live ist, wird der Fallback-PSK nicht wirksam. Wenn Sie möchten, dass die Sitzung mit dem Fallback-PSK live geschaltet wird, müssen Sie die Anweisung disable-preceding-key konfigurieren.

Der Fallback-PSK wird für vorinstallierte Schlüsselbunde unterstützt. Sie können einen Fallback-PSK zusammen mit einem vorinstallierten Schlüssel oder mit einem vorinstallierten Schlüsselbund konfigurieren. Der vorinstallierte Schlüssel und der vorinstallierte Schlüsselbund schließen sich gegenseitig aus.

Wenn nur ein Fallback-PSK konfiguriert ist und kein primärer PSK vorhanden ist, versuchen beide Geräte, eine Sitzung mit dem Fallback-PSK einzurichten. Wenn die Sitzung gestartet wird, wird die aus dem Fallback-PSK abgeleitete SAK für die Verschlüsselung des Datenverkehrs verwendet. Wenn die etablierte Sitzung unterbrochen wird, versuchen die Geräte weiterhin, die Sitzung wiederherzustellen, und der Datenverkehr wird unterbrochen, bis die Sitzung wiederhergestellt ist.

Der Fallback-PSK wird als Teil der Konnektivitätszuordnung (Connectivity Association, CA) konfiguriert. Die Zertifizierungsstelle kann global für alle Schnittstellen oder für jede Schnittstelle einzeln konfiguriert werden, sodass unterschiedliche Fallback-Schlüssel für verschiedene Schnittstellen verwendet werden können.

Um den Fallback-PSK zu konfigurieren, konfigurieren Sie den CAK und den CKN als Teil der CA:

Die folgenden Einschränkungen gelten für die Fallback-PSK-Konfiguration:

  • Fallback-CAK und CKN sollten nicht mit den vorinstallierten Schlüsseln CKN und CAK oder einem anderen Schlüssel übereinstimmen, der im Schlüsselbund unter derselben Zertifizierungsstelle konfiguriert ist.

  • Die Konfiguration des Sicherheitsmodus muss vorhanden sein, um den Fallbackschlüssel zu konfigurieren.

  • Die Einschränkungen der Schlüssellänge für die konfigurierte Verschlüsselungssammlung gelten für das Fallback-CAK und die CKN.

Konfigurieren von MACsec mit GRES

Die GRES-Funktion (Graceful Switchover) ermöglicht es einem Switch oder Router mit redundanten Routing-Engines, Pakete auch dann weiter weiterzuleiten, wenn eine Routing-Engine (RE) ausfällt. Sie können MACsec so konfigurieren, dass ein unterbrechungsfreier Dienst während des RE-Switchovers bereitgestellt wird.

Das MACsec Key Agreement (MKA)-Protokoll hält die MACsec-Sitzung zwischen zwei Knoten auf einer Punkt-zu-Punkt-MACsec-Verbindung aufrecht. Das MKA-Protokoll arbeitet auf der Ebene der Steuerungsebene zwischen den beiden Knoten. Ein Knoten fungiert als Schlüsselserver und generiert einen sicheren Zuordnungsschlüssel (SAK), um die Verbindung zu sichern.

Wenn der lokale Knoten einen RE-Switchover initiiert, sendet er eine Anforderung an den Remote-Peer-Knoten, die MACsec-Sitzung auf der Steuerungsebene anzuhalten. Auf der Data Plane durchläuft der Datenverkehr während der Unterbrechung weiterhin die Punkt-zu-Punkt-Verbindung. Der SAK, der vor der Aussetzung programmiert wurde, bleibt bis zum Abschluss der Umschaltung im Einsatz. Nach dem Switchover generiert der Schlüsselserver einen neuen SAK, um die Verbindung zu sichern. Der Schlüsselserver erstellt weiterhin regelmäßig einen SAK und gibt ihn über die Verbindung frei, solange MACsec aktiviert ist.

Um GRES für MACsec zu aktivieren, müssen Sie die suspend-for Anweisung auf dem lokalen Knoten so konfigurieren, dass er im Falle eines RE-Switchovers eine Anforderung zum Anhalten sendet. Außerdem müssen Sie den Knoten, der als Schlüsselserver fungiert, so konfigurieren, dass er Suspendierungsanforderungen mithilfe der suspend-on-request Anweisung akzeptiert. Andernfalls lehnt der Schlüsselserver alle Anhalteanforderungen ab, was zur Beendigung der MACsec-Sitzung führt.

Wenn Sie die suspend-for and-Anweisungen suspend-on-request konfigurieren, müssen Sie auch GRES und Nonstop-Routing konfigurieren.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Anmerkung:

Während GRES sind die folgenden MACsec-Features deaktiviert:

  • Primärer, Fallback- oder vorhergehender Schlüsselschalter.

  • Schlüsselbund-Schlüsselschalter.

  • SAK Rekey-Timer.

Um GRES für MACsec zu aktivieren, verwenden Sie die folgende Konfiguration auf dem lokalen Knoten:

  1. Konfigurieren Sie einen ordnungsgemäßen Switchover.
  2. Konfigurieren Sie Nonstop-Routing.
  3. Konfigurieren Sie den Knoten so, dass er beim Initiieren des RE-Switchovers Anhalteanforderungen sendet.
  4. (Nur Schlüsselserver.) Konfigurieren Sie den Knoten so, dass er Anhalteanforderungen akzeptiert.