无
现场两台S7500E-XS设备建立MACSEC,中间经过传输设备。使用过程中有以下问题: MACSEC中间链路一端线路断掉再重连会出现以下情况:MACSEC设备接口协商有问题,物理up协议down,在协议down的接口shutdown,undo shutdown后物理协议都能up。
===============display device verbose===============
Slot Type State Subslot Soft Ver Patch Ver
1 S7504E-XS Master 4 S7500EXS-7585P05 None
1、确认互联接口无错包,模块状态正常,并且检查设备配置没经过更改无异常。中间链路由于第三方原因down掉再恢复,两段macsec接口物理状态up后,协议down需要重新触发接口up/down事件才能恢复正常状态。
2、经研发确认:目前当前设备版本的macsec实现机制遵循IEEE 802.1X-2010 ,IEEE 802.1AE-2006。协议规定hello报文协议规定HELLO 报文2秒一次,如果3次6秒收不到会话中断。MACsec会话恢复可以由物理端口UP、Down事件或MKA enable等配置命令重新激活协商。这也和现场现象一致。目前建议现网当前调大超时时间,建议直接配置为600s来减小问题出现概率。
同时在之后,会出版本或者补丁增加当我们macsec会话中断后(静默300s),然后重新尝试协商的机制。
配置macsec mka会话超时时间:
mka timer mka-life命令用来配置MKA会话超时时间。
undo mka timer mka-life命令用来恢复缺省情况。
【命令】
mka timer mka-life seconds
undo mka timer mka-life
【缺省情况】
MKA会话超时时间为6秒。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
seconds:MKA会话超时时间,取值范围为6~600,单位为秒。
【使用指导】
MACsec安全通道建立后,两端设备会通过交互MKA协议报文确认连接的存在。
当设备收到对端的MKA协议报文后,启动MKA会话超时定时器。如果在该定时器设置的时长内未再次收到对端的MKA协议报文,则认为该连接已不安全,清除建立的安全会话。
仅面向设备模式下需要配置本命令,且两端设备上配置的会话超时时间必须相同。
【举例】
# 在接口Ten-GigabitEthernet1/1/1上配置MKA会话超时时间为10秒。
[Sysname] interface ten-gigabitethernet 1/1/1
[Sysname-Ten-GigabitEthernet1/1/1] mka timer mka-life 10
建议现网当前调大超时时间,建议直接配置为600s来减小问题出现概率。同时在之后,会出版本或者补丁增加当我们macsec会话中断后(静默300s),然后重新尝试协商的机制。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作