某局点S7502E-XS macsec链路中断恢复后接口协议不up的经验案例

无

现场两台S7500E-XS设备建立MACSEC，中间经过传输设备。使用过程中有以下问题： MACSEC中间链路一端线路断掉再重连会出现以下情况：MACSEC设备接口协商有问题，物理up协议down，在协议down的接口shutdown，undo shutdown后物理协议都能up。

  ===============display device verbose=============== 

       Slot    Type        State     Subslot       Soft Ver              Patch Ver

         1  S7504E-XS  Master      4       S7500EXS-7585P05       None    

1、确认互联接口无错包，模块状态正常，并且检查设备配置没经过更改无异常。中间链路由于第三方原因down掉再恢复，两段macsec接口物理状态up后，协议down需要重新触发接口up/down事件才能恢复正常状态。

2、经研发确认：目前当前设备版本的macsec实现机制遵循IEEE 802.1X-2010 ，IEEE 802.1AE-2006。协议规定hello报文协议规定HELLO 报文2秒一次，如果3次6秒收不到会话中断。MACsec会话恢复可以由物理端口UP、Down事件或MKA enable等配置命令重新激活协商。这也和现场现象一致。目前建议现网当前调大超时时间，建议直接配置为600s来减小问题出现概率。

同时在之后，会出版本或者补丁增加当我们macsec会话中断后（静默300s），然后重新尝试协商的机制。

配置macsec mka会话超时时间：

1.1.1  mka timer mka-life

mka timer mka-life命令用来配置MKA会话超时时间。

undo mka timer mka-life命令用来恢复缺省情况。

【命令】

mka timer mka-life seconds

undo mka timer mka-life

【缺省情况】

MKA会话超时时间为6秒。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

seconds：MKA会话超时时间，取值范围为6～600，单位为秒。

【使用指导】

MACsec安全通道建立后，两端设备会通过交互MKA协议报文确认连接的存在。

当设备收到对端的MKA协议报文后，启动MKA会话超时定时器。如果在该定时器设置的时长内未再次收到对端的MKA协议报文，则认为该连接已不安全，清除建立的安全会话。

仅面向设备模式下需要配置本命令，且两端设备上配置的会话超时时间必须相同。

【举例】

# 在接口Ten-GigabitEthernet1/1/1上配置MKA会话超时时间为10秒。

system-view

[Sysname] interface ten-gigabitethernet 1/1/1

[Sysname-Ten-GigabitEthernet1/1/1] mka timer mka-life 10

建议现网当前调大超时时间，建议直接配置为600s来减小问题出现概率。同时在之后，会出版本或者补丁增加当我们macsec会话中断后（静默300s），然后重新尝试协商的机制。