H3Cs7506E怎么配置加密技术在存储过程中的保密性?
- 0关注
- 0收藏,1316浏览
最佳答案
可以配置硬件级加密技术MACSec规则(Media Access Control Security,MAC安全),密钥长度可达256 bits,从根源上保护二层协议受到的攻击,降低数据泄漏和遭受恶意网络攻击的风险。
1.1 MACsec配置命令
1.1.1 confidentiality-offset
confidentiality-offset命令用来配置MACsec加密偏移量。
undo confidentiality-offset命令用来恢复缺省情况。
【命令】
confidentiality-offset offset-value
undo confidentiality-offset
【缺省情况】
MACsec加密偏移量为0,表示整个数据帧都要加密。
【视图】
MKA策略视图
【缺省用户角色】
network-admin
【参数】
offset-value:MACsec加密偏移量,取值包括0、30和50,单位为字节。
【使用指导】
MACsec加密偏移量,表示从用户数据帧帧头开始偏移多少字节后开始加密。
MACsec加密偏移量最终以密钥服务器发布的加密偏移量为准。如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量。
在MKA策略中配置的MACsec加密偏移量,在该MKA策略成功应用到接口上之后,将会覆盖该接口上配置的MACsec加密偏移量。
【举例】
# 在MKA策略abcd中配置MACsec加密偏移量为30字节。
<Sysname> system-view
[Sysname] mka policy abcd
[Sysname-mka-policy-abcd] confidentiality-offset 30
【相关命令】
· macsec confidentiality-offset
· mka apply policy
1.1.2 display macsec
display macsec命令用来显示接口的MACsec运行信息。
【命令】
display macsec [ interface interface-type interface-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示接口上的MACsec运行的摘要信息。interface-type interface-number表示指定接口类型和接口编号。不指定该参数,则表示显示所有接口上的MACsec运行信息。
verbose:显示接口上的MACsec运行的详细信息。若不指定该参数,则表示显示MACsec运行的摘要信息。
【举例】
# 显示接口GigabitEthernet1/0/1上的MACsec运行的摘要信息。
<Sysname> display macsec interface gigabitethernet 1/0/1
Interface GigabitEthernet1/0/1
Protect frames : Yes
Active MKA policy : PL01
Replay protection : Enabled
Replay window size : 0 frames
Confidentiality offset : 0 bytes
Validation mode : Check
# 显示接口GigabitEthernet1/0/1上的MACsec运行的详细信息。
<Sysname> display macsec interface gigabitethernet 1/0/1 verbose
Interface GigabitEthernet1/0/1
Protect frames : Yes
Active MKA policy : PL01
Replay protection : Enabled
Replay window size : 0 frames
Confidentiality offset : 0 bytes
Validation mode : Check
Included SCI : No
SCI conflict : No
Cipher suite : GCM-AES-128
MKA life time : 6 seconds
Transmit secure channel:
SCI : 000C29F6A4380004
Elapsed time: 00h:02m:19s
Current SA : AN 0 PN 1
Receive secure channels:
SCI : 000C29258D430124
Elapsed time: 00h:02m:17s
Current SA : AN 0 LPN 1
Previous SA : AN N/A LPN N/A
表1-1 display macsec命令显示信息描述表
字段 | 描述 |
Interface | 使能了MKA协议的接口名称 |
Protect frames | 接口上是否开启MACsec数据帧保护功能,包括以下取值: · Yes:需要进行MACsec数据帧保护 · No:不进行MACsec数据帧保护 接口上不存在MKA主要行动者时显示为N/A |
Active MKA policy | 接口应用的且生效的MKA策略。接口上未开启MACsec数据帧保护功能时,显示为N/A;如果接口上开启了MACsec数据帧保护功能但没有应用实际生效的策略,不显示该字段 |
Replay protection | 接口的重播保护功能的开启状态,包括以下取值: · Enabled:处于开启状态 · Disabled:处于关闭状态 接口上的MACsec数据帧保护功能未开启时显示为N/A |
Replay window size | 接口的重播保护窗口大小,单位为数据帧。接口上未开启MACsec数据帧保护功能或接口上未开启重播保护功能时,显示为N/A |
Confidentiality offset | 接口的加密偏移量,单位为字节。接口上未开启MACsec数据帧保护功能时显示为N/A |
Validation mode | 接口上的数据帧校验模式,包括以下取值: · Check:检查模式 · Strict:严格校验模式 · N/A:接口上未开启MACsec数据帧保护功能 |
Included SCI | 数据帧的SecTAG里是否携带SCI,包括以下取值: · Yes:携带SCI · No:未携带SCI 接口上未开启MACsec数据帧保护功能时显示为N/A |
SCI conflict | 收到的MKA协议报文的SCI和本端的SCI是否相同,包括以下取值: · Yes:收到的MKA协议报文的SCI和本端的SCI相同 · No:没有收到MKA协议报文或者收到的MKA协议报文的SCI和本端的SCI不相同 |
Cipher suite | 保护数据帧的加密套件,包括以下取值: · GCM-AES-128:采用GCM-AES-128加密套件 · N/A:接口上未开启MACsec数据帧保护功能 |
MKA life time | MKA会话超时时间,单位为秒 |
Transmit secure channel | 发送数据帧的安全通道信息。接口上未开启MACsec数据帧保护功能时,不显示安全通道信息 |
Receive secure channels | 接收数据帧的安全通道信息。接口上的未开启MACsec数据帧保护功能时,不显示安全通道信息 |
Elapsed time | SC存在的时间 |
SCI | SCI信息,由MAC地址和Port ID组成,为一个十六进制数 |
Current SA | 安全通道当前使用的SA 若无此信息,则对应的AN、PN和LPN显示为N/A |
Previous SA | 安全通道使用的前一个SA 若无此信息,则对应的AN和LPN显示为N/A |
PN | 发送的报文编号 |
AN | SA编号 |
LPN | SAK可接收的最小报文编号 |
- 2023-06-01回答
- 评论(1)
- 举报
-
(0)
s7506好像没有此项命令
s7506好像没有此项命令
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
它这个是我觉的是通用的扫描软件或者审计软件,只要没审计到配置文件中的password字样就是有问题的,你可以和对方确认下