AWS Direct Connect — MACSEC — C9500-24Y4C — Не работает — Статус: INIT

Nilay Patel

HW: C9500-24Y4C Программное обеспечение: Cisco IOS XE Software, версия 17.12.05 (Cisco IOS Software [Dublin], Catalyst L3 Switch Software (CAT9K_IOSXE), версия 17.12.5 MACSEC: поддерживается Использование лицензии: network-advantage (C9500 Network Advantage) TEST-N-C9500-SW1#sh mka sessions Общее количество сеансов MKA....... 1
Защищенные сеансы... 0
Ожидающие сеансы... 1 ====================================================================================================
Интерфейс Local-TxSCI Имя политики Унаследованный ключ-сервер
Port-ID Peer-RxSCI MACsec-Peers
Статус
CKN

Twe1/0/6 8054.8f2e.ac07/000d MACSEC-AWS НЕТ ДА
13 8054.8f2e.ac07/0000 0
Init
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX TEST-N-C9500-SW1#sh mka sessions detail Подробное состояние MKA для сеанса MKA

Состояние: ИНИЦИАЛИЗАЦИЯ — поиск однорангового узла (ожидание получения первого MKPDU однорангового узла) Локальный Tx-SCI............. 8054.8f2e.ac07/000d
MAC-адрес интерфейса.... 8054.8f2e.ac07
Идентификатор порта MKA...... 13 Имя
интерфейса........... TwentyFiveGigE1/0/6 Идентификатор
сеанса аудита.........
CAK Имя (CKN)........... XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Идентификатор участника (MI)... XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Номер
сообщения (MN)...... 873 Роль
EAP................. NA Сервер
ключей............... ДА Набор
шифров MKA......... AES-256-CMAC Последний статус SAK........ Без Rx, без Tx
Последний SAK AN............ 0
Последний SAK KI (KN)....... FIRST-SAK-INITIALIZING (0)
Старый статус SAK........... FIRST-SAK
Старый SAK AN............... 0
Старый SAK KI (KN).......... FIRST-SAK (0) Время ожидания передачи SAK... 0 с (не ожидается ответ от каких-либо одноранговых узлов) Время
вывода SAK из эксплуатации.......... 0 с (нет старого SAK для вывода из эксплуатации) Время
перегенерирования SAK........... 0 с (интервал перегенерирования SAK не применим) Название политики MKA.......... MACSEC-AWS Приоритет
сервера ключей...... 255 Защита
от задержки......... НЕТ Таймер
защиты от задержки.......... 0 с (не включен) Смещение конфиденциальности... 0 Гибкость
алгоритма........ 80C201
Перегенерация SAK при потере активного однорангового узла........ НЕТ
Отправка безопасного объявления... ОТКЛЮЧЕНО Вычисление
SSCI на основе SCI... ДА Набор
шифров SAK... (NULL)
Возможности MACsec... 3 (целостность, конфиденциальность и смещение MACsec)
Желаемое MACsec... ДА Количество активных одноранговых узлов с поддержкой MACsec... 0
Количество активных одноранговых узлов с поддержкой MACsec, ответивших... 0 Список активных одноранговых узлов:
MI MN Rx-SCI (одноранговый узел) KS RxSA Приоритет
SSCI
Установлено--------------------------------------------------------------------------------------- Список потенциальных одноранговых узлов:
MI MN Rx-SCI (одноранговый узел) KS RxSA SSCI
Приоритет
установлен---------------------------------------------------------------------------------------

Nilay Patel

Большое спасибо всем за помощь в проверке/TS Все работает после того, как
ISP включил «MACSEC».
BGP и весь трафик работали и раньше, но теперь еще и безопасность на высоте Подробный статус MKA для сеанса MKA

Статус: SECURED — защищенный сеанс MKA с MACsec

balaji.bandi

Какая версия кода и лицензии у вас установлена на этом устройстве? Можете ли вы опубликовать конфигурацию с обеих сторон или посмотреть ниже, в руководстве по устранению неполадок: https://www.cisco.com/c/en/us/support/docs/switches/catalyst-9300-series-switches/216849-troubleshoot-macsec-on-catalyst-9000.html https://repost.aws/knowledge-center/direct-connect-connection-cisco-catalyst BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

Nilay Patel

Большое спасибо. Вот информация.
Cisco C9500-24Y4C: версия 17.12.5 (лицензия: network-advantage (C9500 Network Advantage) (Я перепробовал много комбинаций на c9500/nexus9k. Другая сторона — AWS direct connect с опцией MACSEC. BGP уже запущен и работает. int tw1/0/x
switchport trunk allowed vlan XX
switchport mode trunk
mtu 9216
speed 10000
macsec access-control should-secure
macsec network-link
eapol destination-address broadcast-address
eapol eth-type 876F
mka policy MACSEC-AWS
mka pre-shared-key key-chain MACSEC-KEYCHAIN-dxcon-xxxx
! mka policy MACSEC-AWS
key-server priority 255
macsec-cipher-suite gcm-aes-256 gcm-aes-xpn-256
sak-rekey interval 30
no include-icv-in ! !
key chain MACSEC-KEYCHAIN-dxcon-xxx macsec
ключ xxxxx
криптографический алгоритм aes-256-cmac
ключевая строка xxxxxxxx !

balaji.bandi

Buzzard на вашем выходном удаленном MAC отображается как локальный на вашем производственном оборудовании. (не уверен, что это ожидаемо до установления соединения) MTU 9216 <--другая сторона MTU поддерживает то же самое? Теперь, не могли бы вы включить отладку и мониторинг, чтобы определить причину проблемы? BB
=====Пренаямо Васудевам=====
***** Оценить все полезные ответы *****
Как обратиться за помощью в сообщество Cisco

Nilay Patel

Другую сторону я не могу увидеть из-за AWS. Но нам нужно 8500. Я вижу некоторые проблемы, которые, как я знаю, связаны с фрагментацией от начала до конца. Но с df-bit... MTU ping не может работать с более чем 1500. Отладка просто выдает сообщение «MKA Detailed Status for MKA Session

Status: INITIALIZING - Searching for Peer (Waiting to receive first Peer MKPDU)». Также я пытаюсь найти MAC другого конца, чтобы добавить его вручную.

Kanan Huseynli

Здравствуйте, как вы настроили порт вашего устройства? Вы использовали эту информацию в качестве справочной: https://docs.aws.amazon.com/directconnect/latest/UserGuide/vif-router-config.html Надеюсь, это помогло.
Пожалуйста, оцените и отметьте как принятое решение, если предоставленная информация оказалась вам полезной.

Nilay Patel

интерфейс TwentyFiveGigE1/0/X
описание AWS Direct Connect Physical Link
switchport trunk allowed vlan XXX
switchport mode trunk
mtu 9216
ip flow monitor LIVEACTION-FLOWMONITOR input
speed 10000
no cdp enable
macsec access-control should-secure
macsec network-link
eapol destination-address XXXXX
eapol eth-type 876F
mka policy MACSEC-AWS
mka pre-shared-key key-chain MACSEC-KEYCHAIN-XXX
no lldp transmit ! mka policy MACSEC-AWS
key-server priority 255
macsec-cipher-suite gcm-aes-256
sak-rekey on-live-peer-loss
no include-icv-indicator
ssci-based-on-sci ! Я попробовал несколько вариантов DOC, но пока безрезультатно... Спасибо за помощь.