评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置生成加密密钥
背景信息
- 开启MACsec功能后,两端设备使用SAK对数据报文进行加密和解密。SAK由密钥服务器负责生成和分发,因此需要在两端设备的接口上配置密钥服务器优先级,以便从二者之中选举出密钥服务器。
- 密钥服务器依据CAK和加密算法生成加密数据报文的SAK,因此需要预先配置静态CAK。
MACsec使用AES-CMAC算法对数据报文进行加密。AES-CMAC算法包括GCM-AES-128和GCM-AES-XPN-128,默认使用GCM-AES-128加密算法,如果希望提高数据加密的安全性或者不需要快速切换SAK,可以配置为GCM-AES-XPN-128加密算法。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
接口可以是二层模式,也可以是三层模式。
- (可选)执行命令mka keyserver priority priority,配置MKA密钥服务器的优先级。
缺省情况下,MKA密钥服务器的优先级为16。
数值越小优先级越高,优先级高的设备接口将被选举为密钥服务器。当双方优先级相同时,则比较接口的SCI(Secure Channel Identifier)值。SCI由接口MAC地址和接口索引(Interface Index)的最后两个字节组成,SCI值较小的接口将被选举为密钥服务器。
- 执行命令mka cak-mode
static ckn ckn cak cak,配置静态CKN和CAK。
缺省情况下,未配置静态CKN和CAK。
CKN为CAK的名称。为了保证设备间的MKA会话可以正常建立,必须保证两端设备的接口上配置相同的CKN和CAK。
- 执行命令macsec cipher-suite { gcm-aes-128 | gcm-aes-xpn-128 },配置数据报文的加密算法。
缺省情况下,数据报文的加密算法是gcm-aes-128。
- 执行命令commit,提交配置。
