9850-4C ipsec macsec加密密钥

一、核心概念与密钥架构总览
特性

IPsec​

MACsec​


加密层次​

网络层（第3层）

数据链路层（第2层）


保护范围​

两个IP子网之间的所有数据

单条物理/链路聚合端口上的所有帧


密钥管理协议​

IKE（Internet Key Exchange）

MKA（MACsec Key Agreement）


核心密钥​

预共享密钥、数字证书、协商生成的会话密钥

CAK（连接关联密钥）、派生的SAK（安全关联密钥）
二、IPsec 加密密钥详解
IPsec的加密是一个双层协议过程，密钥体系也对应分为两个阶段。
1. 第一阶段：建立管理信道（IKE SA）的密钥
用于身份认证和对后续密钥的安全协商。这是用户需要手动配置或管理的部分。
主要类型：
预共享密钥：最常用。两端配置相同的密钥字符串。
# 配置示例
ike keychain KEYCHAIN1
pre-shared-key address 10.1.1.1 255.255.255.255 key simple YourPSK123!
数字证书：更安全，适用于大型网络。通过PKI体系进行认证，无需配置对称密钥，但需部署CA服务器和证书。
功能：此密钥不直接加密数据，仅用于验证对端身份并安全地协商出第二阶段的密钥。
2. 第二阶段：建立数据信道（IPsec SA）的密钥
用于对实际的用户数据（如OSPF、BGP、业务流量）进行加密和完整性验证。这些密钥由IKE协议自动生成，用户无需配置。
生成方式：基于第一阶段的IKE SA，通过DH（Diffie-Hellman）交换动态生成。
包含的密钥：
加密密钥：用于对数据进行加密/解密（如AES算法）。
认证密钥：用于计算/验证数据的完整性校验值（如SHA256算法）。
特性：具有生命周期，定期或根据流量自动重新协商（完美前向保密PFS），安全性极高。
3. IPsec 配置中的关键加密算法参数（关联密钥强度）
在配置IPsec策略时，您需要选择算法套件，这决定了自动生成的第二阶段密钥的类型和强度。
# 配置变换集，定义加密和认证算法
ipsec transform-set TRANS1
esp encryption-algorithm aes-cbc-256 # 指定使用256位密钥的AES算法进行加密
esp authentication-algorithm sha256 # 指定使用SHA256进行认证
# 此配置意味着IKE将自动生成用于AES-256的密钥和用于SHA-256的密钥。

# 配置IKE提议，定义第一阶段参数
ike proposal 10
encryption-algorithm aes-cbc-256
dh group14 # DH组决定密钥交换的强度，group14（2048位）是常用安全级别
sa duration 86400
三、MACsec 加密密钥详解
MACsec在二层端口上提供逐跳加密，其密钥管理由MKA协议完成。
1. 核心密钥：CAK
这是MACsec安全连接的根基，必须在通信双方预先共享。
定义：连接关联密钥，是一个128位或256位的静态密钥。
配置方式：在接口视图下手动配置。这是用户必须手动配置的部分。
# 进入需要启用MACsec的接口（如连接对端交换机的端口）
interface Ten-GigabitEthernet1/0/1
macsec
cipher-suite gcm-aes-128 # 指定加密套件，也决定了CAK长度（128位对应16字节密钥）
key-server priority 0 # 指定一端为密钥服务器
pre-shared-key cipher 1234567890abcdef1234567890abcdef # 配置32位十六进制字符串形式的CAK
cipher-suite gcm-aes-256对应一个256位的CAK（64位十六进制字符串）。
2. 会话密钥：SAK
由MKA协议使用CAK作为基础材料动态生成，用于最终的数据帧加密。
生成方式：密钥服务器（Key Server）通过MKA协议协商产生，并分发给密钥客户端（Key Client）。
特性：SAK会定期更新，从而在不改变静态CAK的情况下，提供了动态的会话安全性。
四、密钥对比与配置逻辑视图
IPsec 密钥流程框图
[ 配置阶段 ]
管理员设置：预共享密钥 (PSK) 或 数字证书
↓
[ 协商阶段 - IKEv1/v2 ]
IKE使用PSK/证书认证对方 → 通过DH交换 → 生成 IKE SA 和 主密钥
↓
IKE使用主密钥保护协商 → 生成 两对IPsec SA密钥 (加密+认证)
↓
[ 数据加密阶段 ]
使用动态生成的IPsec SA密钥加密业务数据
MACsec 密钥流程框图
[ 配置阶段 ]
管理员在互联接口设置：静态CAK 和 加密套件
↓
[ 协商阶段 - MKA ]
端口启动MKA，使用CAK相互认证 → 选举密钥服务器 (KS)
↓
密钥服务器使用CAK派生并分发 → 动态会话密钥 (SAK)
↓
[ 数据加密阶段 ]
使用动态SAK加密端口所有二层数据帧
五、重要安全建议与检查命令
密钥强度：
IPsec PSK：使用高复杂度、长字符串（>20字符）。
IKE DH组：使用group14（2048位）或更高。
IPsec算法：优先使用aes-gcm-256（同时提供加密和认证）。
MACsec CAK：使用设备生成的随机密钥，勿使用简单字符串。
配置检查命令：
# 检查IPsec SA状态和使用的算法
display ipsec sa
display ike sa

# 检查MACsec连接状态和密钥信息
display macsec interface ten-gigabitethernet 1/0/1
display macsec statistic interface ten-gigabitethernet 1/0/1
选择建议：
IPsec：用于跨越公共网络（如Internet）的站点到站点或远程接入加密，保护整个IP子网间的路由和业务。
MACsec：用于数据中心内部或园区网中点对点链路（如交换机互连）的加密，防止物理窃听和二层攻击。
总结来说，对于S9850-4C交换机，您需要手动配置的是IPsec的预共享密钥和MACsec的CAK。而实际加密数据流的IPsec会话密钥和MACsec的SAK都是由协议自动、安全地生成和管理的。请务必根据您的网络架构和安全等级要求，选择合适的技术和密钥强度。具体命令细节请以设备对应软件版本的官方配置指南为准。

您好，参考

S9850-4C 作为高端数据中心交换机，同时支持 IPsec 和 MACsec 两种链路加密技术

IPsec 与 MACsec 密钥体系核心差异

S9850-4C 配置注意事项

1. MACsec 密钥需在物理端口或聚合端口下配置，且两端端口的 CAK/SAK 协商参数需一致；
2. IPsec 密钥需在隧道接口下关联 IKE 策略，预共享密钥需保证两端完全相同；
3. 两种加密技术可同时部署，但 MACsec 加密链路对 IPsec 透明，无需重复加密同一报文。

官网数据27-MACSec配置-新华三集团-H3C

1.9  配置预共享密钥

1. 配置限制和指导

在面向设备模式中，两端设备协商MKA会话使用的CAK通过预共享密钥直接配置。为了保证设备间的MKA会话可以正常建立，必须保证两端设备的接口上配置的预共享密钥一致。

本端设备和对端设备建立MACsec连接时，请保证只有建立连接的两个端口上配置相同的CKN，两端设备的其它端口上都不能配置与此相同的CKN，以免一个端口学习到多个邻居而导致MACsec功能不能正常建立。

在面向客户端模式中，客户端和接入设备的端口使用的CAK由802.1X认证过程中生成，且其优先级低于端口配置的预共享密钥。如果在接入设备的端口配置了预共享密钥，则802.1X认证过程生成的CAK将会被弃用，导致MKA会话建立失败，因此不能在该模式下配置预共享密钥。

MACsec使用不同的加密算法套件时，CKN、CAK的取值长度有所不同，具体要求如下：

·     GCM-AES-128或者GCM-AES-XPN-128加密套件要求所使用的CKN、CAK的长度都必须为32个字符。在运行GCM-AES-128或者GCM-AES-XPN-128加密套件时，对于长度不足32个字符的CKN、CAK，系统会自动在其后补零，使其满足32个字符；对于长度大于32个字符的CKN、CAK，系统只获取其前32个字符。

·     GCM-AES-256或者GCM-AES-XPN-256加密套件要求使用的CKN、CAK的长度都必须为64个字符。在运行GCM-AES-256或者GCM-AES-XPN-256加密套件时，对于长度不足64个字符的CKN、CAK，系统会自动在其后补零，使其满足64个字符。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置预共享密钥。

mka psk ckn name cak { cipher | simple } string

缺省情况下，接口不存在MKA预共享密钥。

看这个