Expressroute Direct и Macsec
-
Привет, Кто-нибудь когда-нибудь запускал Macsec на Azure? У нас есть коммутатор IOS-XE, и мы следовали инструкциям по настройке Macsec с PSK, приведенным здесь:
https://www.cisco.com/c/en/us/td/docs/iosxr/ncs5500/security/62x/b-system-security-cg-ncs5500-62x/b-system-security-cg-ncs5500-62x_chapter_0101.html#concept_gjz_ysl_vcb Как только мы включаем «macsec network-link» в направлении Azure, протокол линии отключается, а в сводке mka summary отображается, что соединение находится в режиме Init. После этого ничего не происходит, и с помощью отладочных средств не удается увидеть пакеты с другого конца. Проблема в том, что специалисты Microsoft Azure проверили все и с их стороны все выглядит нормально. Есть идеи? -
Azure использует устройство Juniper — пришлось включить sci на Juniper
Причина: В данной ситуации параметр «include-sci» по умолчанию установлен в «yes» на коммутаторе Cisco, в то время как для Juniper он является опциональным.
Решение: Добавьте «include-sci» в конфигурацию MACSEC маршрутизатора Juniper следующим образом: #set security macsec connectivity-association connectivity-association-name include-sci -
Я немного новичок в области облачных подключений, но кто и как обеспечивает вам подключение к Azure? Вы взаимодействуете с ними напрямую или через третью сторону, такую как Megaport? С уважением, Джейсон.
-
Microsoft предлагает прямое соединение под названием Expressroute Direct, и на этом типе соединения можно получить macsec. Просто не совсем понимаю, как устранить эту проблему, когда у меня нет контроля над другим концом. В журналах не вижу ничего, связанного с неправильным PSK или чем-то подобным. Что еще я могу сделать со своей стороны, чтобы устранить эту проблему?
-
То есть вы получаете прямой канал связи с Azure, как если бы вам физически предоставили кабель/передачу? То есть это L1 на всем протяжении до их сервиса?
-
Да
-
Привет, Кто-нибудь нашел решение этой проблемы?
-
Пока нет, дело все еще находится на рассмотрении в службе поддержки ms. Похоже, они обнаружили некоторые проблемы на своей стороне, но пока не затронули macsec.
![:disappointed_face:]
Я сообщу, как только мы выясним причину.
-
Я пытаюсь запустить MACSEC TO AZURE Express Router. Обзор подключения: AZURE CIRCUIT---> Nexus 9K ---> ASR1000 Router. Маршрутизатор Cisco ASR1000 с MACSEC, однако, похоже, имеет проблему на этапе инициализации.
-
Так это реализация WAN Macsec? Поддерживается ли это в MS с открытым заголовком 802.1Q, или я неправильно понял вашу настройку?
-
Здравствуйте. Мне интересно узнать о состоянии дел по этой теме. Наконец-то все работает?
-
Нет, сессия открыта, но трафик не перенаправляется. Это просто странная проблема, но, надеюсь, на этой неделе у нас будет окно для технического обслуживания, тогда мы обновим информацию.
-
Спасибо за ваше предложение, мы уже отправили его в Microsoft и попробуем реализовать его в следующем окне технического обслуживания (это заняло вечность).
![:face_with_tongue:]
)
-
Привет,
@trondaker
. Мне было интересно, удалось ли вам решить эту проблему. Сотрудники Microsoft смогли настроить это и решить вашу проблему? -
Привет,
@leon.teheux
. Да, инженеры MS включили SCI на своей стороне, и все работает как положено. Cisco подтвердила, что у них нет возможности отключить эту функцию на своей стороне.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти