评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MACsec配置注意事项
涉及网元
需要对端网元也支持MACsec功能。
License支持
设备的MACsec功能使用License控制,缺省情况下,新购买的交换机的MACsec功能未打开。如果需要使用设备的MACsec功能,请联系设备经销商申请并购买License。
版本支持
表12-2 产品形态和软件版本支持情况
产品 |
支持版本 |
|---|---|
CE12800 |
V200R005C00 |
如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件查询工具。
软件版本演进关系:V100R001C00 -> V100R002C00 -> V100R003C00 -> V100R003C10 -> V100R005C00 -> V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 -> V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10
特性依赖和限制
支持MACsec功能的单板:CE-L16CQ-FD、CE-L08CF-FG1。
- 仅支持点对点的MACsec。
仅100GE物理口支持MACsec功能,可以是二层模式,也可以是三层模式。100GE接口配置接口拆分时或者100GE协商成40GE时也支持MACSEC功能。
- 仅100GE物理口支持MACsec功能,可以是二层模式,也可以是三层模式。100GE接口配置接口拆分时或者100GE协商成40GE时也支持MACSEC功能。
不支持交换机与客户端之间通过MACsec互联。
- MACsec可以对二层报文加密,也可以对三层报文加密。如果有中间设备且不支持MACsec时,则中间设备只能进行二层转发。
- 在同一个接口下,不能同时配置MACsec和802.1x。
- 在同一个接口下,不能同时配置MACsec和PFC。
- 在已经建立MACsec连接的情况下,Server端可以切换加密算法,Client端响应Server端进行算法切换。但是当华为设备作为Server,而不支持加密算法切换功能的其他厂商设备做Client时,会导致MACsec协商中断。
