智简园区交换机MACsec技术白皮书

合集下载

智简园区交换机1588技术白皮书

华为智简园区交换机 1588v2技术白皮书摘要1588v2 时钟是一种采用IEEE 1588V2 协议的高精度时钟，可以实现纳秒级精度的时间同步，精度与当前的GPS 实现方案类似，但是在成本、维护、安全等方面有一定的优势，成为业界最热门的时间传递协议。

目录摘要 (i)1概述 (3)1.1技术背景 (3)1.2技术优势 (5)2技术原理 (6)2.1同步概念 (6)2.1.1频率同步 (6)2.1.2相位同步 (7)2.1.3时间同步 (7)2.2 1588v2 的设备模型 (8)2.3 1588v2 报文 (10)2.3.1 1588v2 报文类型 (10)2.3.2 1588v2 报文封装 (11)2.4 1588v2 同步原理 (11)2.4.1 1588v2 频率同步 (11)2.4.2 1588v2 时间同步 (12)2.5 1588v2 时戳产生 (15)2.6建立主从关系 (16)2.6.1BMC 算法原理 (16)2.6.2主从建立过程 (17)2.7园区交换机能力 (17)3典型组网应用 (19)3.11588v2 频率+时间同步（BC 模式） (20)3.21588v2 频率+时间同步（TC 模式） (21)3.3SyncE 频率同步+1588v2 时间同步（BC 模式） (22)A 缩略语 (23)1 概述1.1技术背景为了满足无线接入网络用户正常接入的需要，不同基站之间的频率必须同步在一定精度之内，否则手机在进行基站切换时容易掉线，严重时会导致手机无法使用。

而某些无线制式，除了频率同步，还需要求时间同步。

表1-1 为一些常见的不同制式的无线系统对频率同步和时间同步的要求：表1-1 不同制式基站对频率/时间同步的要求总的来看，以WCDMA/LTE FDD 为代表的标准采用的是FDD 制式，只需要频率同步，精度要求0.05ppm。

而以TD-SCDMA/LTE TDD 代表的TDD 制式，同时需要频率同步和时间同步。

智简园区WLAN二层GRE技术白皮书

华为智简园区 WLAN 二层 GRE技术白皮书目录摘要 (ii)1概述 (1)1.1产生背景 (1)1.2技术实现 (1)1.3客户价值 (3)2实现原理 (4)2.1二层GRE 的相关原理 (4)2.2二层GRE 下的报文转发 (9)2.3二层GRE 下的用户认证 (10)2.4二层GRE 下的用户漫游 (10)2.4.1SoftGRE 方式下的漫游 (11)2.4.2EoGRE+隧道转发方式下的漫游 (11)3典型组网应用 (13)3.1宽带+WIFI 业务 (13)3.2Wholesale 业务 (14)3.3访客接入 (14)1 概述1.1产生背景未来是一个智能终端无线连接、移动化的时代，无论是在家庭还是在户外，固定还是移动使用场景，终端基本都会通过无线方式接入网络。

而目前固网运营商有线接入网络不直接和用户的连接发生关系，这些将会让固网运营商沦为管道，被边缘化。

同时，对正在到来的M2M 物联网失去参与的机会。

在这样的大背景下，越来越多的没有移动运营牌照的固网运营商将目光投向了WIFI。

通过在现网上新增Wi-Fi 承载，整合现网FBB 资源，充分利用丰富的接入和城域资源。

同时利用WIFI 无线接入占领用户行为、网络流量管理的制高点，灵活开展更多商业模式，在全联接时代获取更多商业利益。

华为面向没有移动运营牌照，想通过基于现有FBB（客户群、业务、网络）拓展Wi-Fi新市场的固网运营商推出了运营级WIFI 解决方案。

为了集中简化管理，用户的流量策略统一在现有的BRAS 设备上进行，而AC 只负责AP 和无线用户的接入控制。

这种方案可以最大限度地减少对现网的改动，同时可以减少新增设备和运维成本。

华为提供了两种利用二层GRE 实现该功能的方法，下文将详细介绍。

1.2技术实现WLAN 有两种通过二层GRE 实现将无线和有线流量统一汇聚到同一个网关的方式。

隧道转发+EoGRE 方式：AP 采用隧道转发的方式，这种方式下用户的流量会汇聚到AC 设备，AC 设备再通过二层GRE 隧道将流量转发到网关。

智慧建筑(园区)物联网解决方案白皮书

XXXXX智慧建筑（园区）物联网解决方案白皮书一、物联网、智能建筑国内发展现状与瓶颈物联网(Internet of Things）指的是将无处不在(Ubiquitous）的末端设备（Devices)和设施（Facilities）通过各种无线和/或有线的长距离和/或短距离通讯网络实现互联互通（M2M)、应用大集成（Grand Integration)、以及基于云计算的SaaS营运等模式，在内网（Intranet）、专网(Extranet）、和/或互联网（Internet）环境下，采用适当的信息安全保障机制,提供安全可控乃至个性化的实时在线监测、定位追溯、报警联动、调度指挥、预案管理、远程控制、安全防范、远程维保、在线升级、统计报表、决策支持、领导桌面（集中展示的Cockpit Dashboard)等管理和服务功能，实现对“万物”的“高效、节能、安全、环保”的“管、控、营”一体化。

物联网的目的就是把网络技术运用于万物，组成“物联网”,实现人类社会与物理系统的整合,对人员、机器设备、基础设施实施实时管理控制，以精细和动态方式管理生产生活，提高资源利用率和生产力水平，从而改善人与自然关系。

在物联网概念被大众理解和接受以后，大家发现，物联网并不是什么全新的东西,上万亿的末端“智能物件”和各种应用子系统早已经存在于工业和日常生活中。

我们建设物联网不可以对过去的建设成就推倒重来，物联网产业发展的关键在于把新建的和已有的智能物件和子系统链接起来,实现应用的大集成(Grand Integration）和“管控营一体化”，为实现“高效、节能、安全、环保”的和谐社会服务，要做到这一点,物联网网关、路由器和平台软件及中间件软件将作为核心和灵魂起至关重要的作用。

这并不是说发展传感器等末端不重要，在大集成工程中，系统变得更加智能化和网络化，反过来会对末端设备和传感器提出更高的要求,如此循环螺旋上升推动整个产业链的发展。

因此，现阶段要占领物联网制高点,物联网网关、路由器和平台软件及中间件软件的作用至关重要。

智简园区自动化技术白皮书

华为智简园区自动化技术白皮书摘要本文主要介绍华为园区解决方案的自动化技术。

目录摘要 (ii)1概述 (1)1.1 产生背景 (1)1.2 传统部署流程 (1)2解决方案 (4)2.1 基于VXLAN 架构的智简园区自动化方案 (4)2.1.1 VXLAN 架构智简园区自动化部署方案 (4)2.1.1.1 Underlay 网络原理 (4)2.1.1.2 Overlay 网络原理--数据平面 (4)2.1.1.2.1 VXLAN 简介 (4)2.1.1.2.2 VXLAN 关键概念 (5)2.1.1.2.3 数据报文入VXLAN (7)2.1.1.2.4 VXLAN 三层网关部署 (7)2.1.1.2.5 无线漫游 (9)2.1.1.2.6 风暴抑制 (10)2.1.1.3 Overlay 网络原理--控制平面 (10)2.1.1.3.1 BGP-EVPN (10)2.1.1.4 Overlay 网络原理--业务平面 (11)2.1.1.4.1 业务随行 (11)2.1.1.4.2 策略联动 (12)2.1.2 VXLAN 架构智简园区自动化原理 (14)2.1.2.1 Underlay 自动化 (14)2.1.2.2 Overlay 自动化 (14)2.1.2.3 策略自动化 (15)2.2 MSP 自建云部署场景 (16)2.2.1 方案简介 (16)2.2.2 方案原理 (18)华为智简园区自动化技术白皮书目录2.2.2.1 组件说明 (18)2.2.2.2 华为公有云部署场景或MSP 自建云部署场景中组件角色介绍 (18)2.2.2.3 企业自建私有云场景中组件角色介绍 (19)2.2.2.4 工作流程 (20)2.2.2.4.1 自动部署方案的工作流程 (20)2.2.2.4.2 无法访问注册查询中心的工作流程 (22)2.2.2.4.3 设备替换的工作流程 (23)2.2.2.4.4 协议报文说明 (24)2.3 WAN 侧自动化： (24)2.3.1 方案简介 (24)2.3.2 WAN 出口设备的开局自动化： (24)2.3.3 WAN 侧overlay 自动化 (25)2.3.3.1 站点互访业务拓扑设计： (25)2.3.3.2 VPN 设计 (30)3方案优势 (32)3.1 华为智简园区自动化解决方案优势 (32)3.1.1 VXLAN 架构智简园区自动化解决方案 (32)3.2 MSP 自建云解决方案优势 (33)3.3 WAN 侧自动化方案优势 (33)1 概述1.1 产生背景随着网络技术的飞速发展，企业网络规模也在不断扩大，大中企业客户需要管理和维护少则几百台多则上千台的设备，消耗在前期规划和部署阶段的工作，如设备初始安装与配置、设备升级的时间占到整个网络管理运维周期的三分之一甚至更长的时间，而且，这些工作中很大部分都是简单且重复的劳动。

智简园区WLAN智慧物联技术白皮书

华为智简园区WLAN智慧物联技术白皮书摘要本文描述WLAN智慧物联应用，涉及资产管理、健康管理、能效管理等。

从技术角度，是WLAN AP在Wi-Fi的基础上，通过内置蓝牙模块、内置IoT插卡或外接IoT扩展模块，实现IoT应用与Wi-Fi融合，实现双网合一，实现Wi-Fi覆盖的同时，满足各行业智慧增值。

目录摘要 (i)1 概述 (3)1.1 产生背景 (3)1.2 技术实现 (3)1.2.1实现架构 (3)1.2.2无线技术 (4)2 技术实现 (9)2.1 智慧园区 (9)2.1.1企业办公资产管理 (9)2.1.2能效管理 (10)2.2 智慧零售 (12)2.2.1电子价签 (12)2.2.2智能导购 (13)2.3 智慧医疗 (16)2.3.1婴儿防盗 (16)2.3.2输液管理 (19)2.4 智慧教育 (20)2.4.1健康管理 (20)3 客户价值 (24)3.1 统一入口 (24)3.2 统一管理 (24)3.3灵活扩展 (24)A缩略语 (25)1概述1.1 产生背景世界信息产业革命第三次浪潮——物联网，预示未来任何物体，在任何时间和任何地点都能连接到网络上，将彻底的改变人们的生活方式。

在这次浪潮下，智慧园区也应势而生。

智慧园区希望依托物联网技术，构建一个统一的数据服务平台，将各系统的运行数据信息汇总，实现高效、便捷的集中式管理，实现数字化园区。

本文描述WLAN智慧物联应用，涉及资产管理、健康管理、能效管理等。

1.2 技术实现1.2.1 实现架构图1-1物联网AP技术架构图图1-1为物联网AP技术架构图。

在华为的物联网AP上保持了原有的Wi-Fi模块，可以为Wi-Fi终端用户提供WI-FI接入服务，同时Wi-Fi模块也可以为Wi-Fi Tag提供定位服务。

智简园区有线无线深度融合技术白皮书

华为智简园区有线无线深度融合技术白皮书摘要有线无线深度融合是华为公司推出的智简园区解决方案的一个子方案，指在敏捷交换机上融合WLAN AC功能后，有线和无线用户可以在敏捷交换机统一进行管理、认证和策略控制，流量集中易于管控，管理极致简化，实现了全新的接入体验。

目录摘要 (i)1 概述 (3)1.1 产生背景 (3)1.2 解决思路 (4)2 方案原理 (7)2.1 实现原理 (7)2.2 有线无线用户在敏捷交换机集中统一认证 (11)2.3 无线用户在敏捷交换机控制下实现漫游切换 (11)3 典型组网应用 (13)3.1 无线AP从ENP板卡接入 (13)3.1.1 中小型二层组网部署 (13)3.1.2 大型二层组网部署 (15)3.1.3 三层组网之核心点融合 (16)3.2 无线AP从ASIC板卡接入 (17)3.2.1 无线业务接入点多而分散 (17)3.2.2 旧有线网络增加无线业务 (19)A 缩略语 (20)1概述1.1 产生背景传统的有线无线园区网络分为有线无线完全分离和有线无线一体化两个阶段：●有线无线分离阶段：即独立AC旁挂式，AP通过接入交换机接入网络，AC多为单独的WLAN设备，一般旁挂在网关交换机上。

有线和无线网络管理、数据转发完全分离。

●有线无线一体化阶段：即插卡式AC，AP通过接入交换机接入网络，AC作为网关交换机的一块插卡，称为插卡式AC。

在这种组网下，虽然AC作为一块板卡融入了网关交换机，但无线AC和有线网关交换机还是独立的管理单元，有线无线数据转发，仍然是完全分开进行处理。

无论是独立AC或插卡式AC，有线和无线流量转发完全分离，分别是在交换机和AC设备完成。

这将导致有线用户和无线用户的流量转发、网络管理和排障、认证以及访问策略的设置和控制实施都是分开在有线网络和无线网络中独立维护的，这种传统的无线网络和有线网络不能统一管理和深度融合带来排障、管控的工作量增加等问题。

智简园区SVF技术白皮书

华为智简园区 SVF 技术白皮书前言摘要SVF 是一种纵向虚拟化技术，在纵向纬度把多台设备虚拟化成一台逻辑设备，屏蔽网络内部连线的复杂度，实现统一管理和控制目的。

关键词SVF、纵向堆叠、有线无线融合、冗余备份目录前言 (i)1概述 (1)1.1产生背景 (1)1.2技术实现 (2)1.3客户价值 (4)2方案原理 (7)2.1基本概念 (7)2.2拓扑及连接规则 (8)2.3统一设备管理 (10)2.4统一配置 (13)2.5统一用户管理 (14)2.6报文转发原理 (15)2.7组合接入场景建议 (17)3典型组网应用 (19)3.1中小型有线园区网 (19)3.2大型有线无线园区网 (20)3.3特大型有线无线园区网 (21)3.4跨区域大型园区网 (22)3.5SVF 网络穿透二层网络 (23)A 缩略语 (24)1 概述1.1产生背景如图1-1 所示，CSS/CSS2 和iStack 作为一种网络设备虚拟化技术，具有很强的横向整合作用，即在不改变网络物理拓扑连接条件下，将网络同一层的多台设备横向整合虚拟化为一台设备，不仅摒弃了复杂的二层双上行链路加环网协议的组网，提高了网络故障的收敛时间（将环网协议收敛时间转换为T r un k收敛时间），从逻辑上简化了网络架构同时也简化了网络的管理成本。

图1-1 网络架构演进在规模较大的企业园区网中，通常交换机位置分布较广，接入层业务简单，配置归一化程度高，整个网络存在大量的接入设备，虽然可以通过iStack 技术进行一部分简化，但是整个网络仍然有大量的接入点，此时这个网络系统的管理点数量仍相当可观，网络部署及管理仍然比较困难，需要进一步的优化。

如图1-2 所示，华为公司推出的SVF 是一种纵向虚拟化技术，将控制设备（SVF-Parent）以下的接入设备（SVF-Client）进行虚拟化，把众多接入交换机AS 视为有线端口的集合，无线AP 视为无线接口的集合，在垂直方向将SVF 管理区域内的汇聚层设备和接入层设备虚拟化成一台逻辑设备，减少网络管理节点，实现网络集中统一控制和管理。

以太网技术白皮书

以太网技术白皮书摘要本文主要介绍以太网技术的基础、原理和应用。

包含以太网基本原理、链路协议、端口应用设计以及以太网交换机等几个方面的内容。

关键字以太网，CSMA/CD，10BASE，100BASE，1000BASE，10GBASE，自动协商，帧格式，二层交换，POE目录摘要 (1)关键字 (1)1以太网概述 (4)1.1IEEE802.3简介 (4)1.1.1物理模型 (4)1.1.2以太网速度 (6)1.2CSMA/CD (7)1.3数据传输 (7)1.3.1并行和串行传输 (7)1.3.2以太网的传输顺序 (9)1.4双工通信 (9)2数据链路层 (10)2.1链路层功能 (10)2.2MAC帧结构 (11)2.3VLAN (13)2.4通信帧截图 (14)2.5MAC控制器 (15)3物理层 (18)3.1物理层功能 (18)3.1.1PCS子层 (19)3.1.2PMA子层 (24)3.1.3PMD子层和介质 (29)3.1.4扰码 (38)3.2物理层芯片 (39)3.2.1PHY的结构和原理 (39)3.2.2PHY的典型端口设计 (42)3.2.3隔离与RJ-45 (43)3.3Link过程 (45)3.3.1Link Monitor (45)3.3.2Link Time (48)4端口技术 (51)4.110/100/1000BASE-T端口 (51)4.1.1自动协商（Auto- Negotiation） (51)4.1.2自动反转（AUTO-MDIX） (56)4.1.3流量控制 (57)4.1.4POE供电 (58)4.1.5EEE功能 (60)4.210GBASE-T/R端口 (62)4.340G/100GBASE-R端口 (63)4.4端口管理 (64)5以太网交换机 (66)5.1以太网交换机结构 (66)5.2二层交换 (68)6参考文献 (69)1以太网概述1.1IEEE802.3简介IEEE802.3是由美国电气与电子工程师协会（Institute of Electrical and Electronics Engineers，IEEE）标准化的一种局域网连接技术（现在很多已经扩展到广域网连接中）。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

华为智简园区交换机 MACsec技术白皮书前言摘要MACsec（802.1AE）提供同一个局域网内，设备端口MAC 层之间的安全通信服务，主要包含以下方面：数据机密性、数据完整性、数据来源真实性以及重放保护。

关键词MACsec 802.1AE目录前言 (ii)1概述 (4)2MACsec 技术原理 (5)2.1 MACsec 典型组网模式 (5)2.1.1面向主机点到点模式 (5)2.1.2面向设备点到点模式 (6)2.2 MACsec 基本概念 (6)2.3 MACsec 运行机制 (8)2.4 MACsec 密钥体系 (10)2.4.1密钥体系结构 (10)2.4.2密钥派生关系 (11)2.5 MKA 密钥协商交互流程 (12)2.6 MACsec 数据加解密转发 (13)3典型组网应用 (15)3.1 局域网MACsec 典型组网 (15)3.2 中间有传输设备MACsec 典型组网 (15)4 附录 (17)1 概述MACsec（Media Access Control Security）定义了基于IEEE 802 局域网络的数据安全通信的方法。

MACsec 可为用户提供安全的MAC 层数据发送和接收服务，包括用户数据加密（C o n fid e n tia l ity）、数据帧完整性检查（D a ta in te g rit y）、数据源真实性校验（D a t a o rigin a u th e n tic it y）及重放保护（Re p l ay p r o te c tio n）。

MACsec 主要涉及IEEE802.1AE 和802.1X 两个协议规范：IEEE802.1AE-2006 定义了数据封装、加密和认证的帧格式；802.1X-2010 中的MKA（MACsec Key Agreement）定义了密钥管理协议，提供了Peer-to-Peer 方式或Group 方式的密钥建立机制，使用MKA 协议协商生成的密钥对已认证的用户数据进行加密和完整性检查，可以避免端口处理未认证设备的报文或者未认证设备篡改的报文。

MACsec 不是对现有端到端IPSec、TLS 等三层安全技术的替代，而是它们的互补技术。

MACsec 使用二层加密技术，提供逐跳设备的数据安全传输，适用于政府、军队、金融等对数据机密性要求较高的场合，如局域网两台交换机设备之间经过光传输设备，通过MACsec 加密技术可保证数据在中间传输设备上安全传输。

2 MACsec 技术原理2.1 MACsec 典型组网模式MACsec 常用的组网模式有：面向主机点到点模式、面向设备点到点模式。

2.1.1面向主机点到点模式如图2-1 所示，面向主机点到点模式用于保护Client 主机和设备之间的数据帧传输。

图2-1 面向主机点到点模式该组网模式包括以下三个组成元素：●客户端（Client）客户端是请求接入局域网的用户终端，由局域网中接入设备对其进行认证，并执行MACsec 密钥协商和报文加密功能。

●接入设备（Device）接入设备控制客户端的接入，通过与认证服务器的交互，对连接的客户端进行802.1X认证，并执行MACsec 密钥协商和报文加密功能。

●认证服务器（Authentication Server）认证服务器通常是AAA 服务器，用于对客户端进行Radius 认证、授权和计费。

客户端通过认证后，认证服务器为客户端和接入设备分发密钥,用于后续的MACsec 密钥协商。

2.1.2面向设备点到点模式如图2-2 所示，面向设备点到点模式用于保护两台设备之间的数据帧传输。

该模式下，无客户端和接入设备角色之分，可以不需要认证服务器，互连的两台设备可直接通过命令行配置CAK 密钥进行MACsec 密钥协商和报文加密功能。

图2-2 面向设备点到点模式☛说明华为交换机MACsec 暂不支持面向主机点到点模式，支持面向设备点到点模式，本文后续主要介绍该模式原理。

2.2 MACsec 基本概念➢MKAMKA（MACsec Key Agreement protocol）用于MACsec 数据加密密钥的协商协议。

➢CACA（Secure Connectivity Association，安全连接关联）指通过一个LAN 互连的支持MACsec 的全连接的端口集合。

CA 由MKA 创建和维护，CA 成员称为CA 的参与者。

➢CAKCAK（Secure Connectivity Association Key，安全连接关联密钥）不直接用于数据报文的加密，由它和其他参数派生出数据报文的加密密钥。

CAK 可以在802.1X 认证过程中下发，也可以由用户直接静态配置。

➢CKNCKN（Secure Connectivity Association Key Name，安全连接关联密钥名称）是对应CAK 的名称。

➢SCSC（Secure Channel，安全通道）是CA 参与者之间用于传输MAC 安全数据的安全通道。

每个SC 提供单向点到点或点到多点的通信。

如对于点对点的两台设备A 和设备B，A到B 单向数据转发链路可认为一个SC(a) ，B 到A 单向数据转发链路可认为另外一个SC(b) 。

➢SCISCI（Secure Channel Identifier，安全通道标识符）是由6 字节的MAC 地址和2 字节的Port Identifier 组成，唯一标识系统内的安全通道。

➢SASA（Secure Association，安全关联）是SC 安全通道的安全参数集合。

包括对数据进行加密算法套件、进行完整性检查的密钥等。

一个安全通道中可包含多个SA，每一个SA 拥有一个不同的密钥，这个密钥称为SAK。

➢SAKSAK（Secure Association Key，安全关联密钥）由CAK 根据算法推导产生，用于加密安全通道间传输的数据。

MKA 对每一个SAK 可加密的报文数目有所限制，当使用某SAK 加密的PN 耗尽，该SAK 会被刷新。

例如，在10Gbps 的链路上，SAK 最快4.8 分钟刷新一次。

➢ICVICV（Integrity Check Value，完整性校验值）是报文完整性检验值，在报文发送端，通过某种算法对报文数据单元计算产生一个检验值，将此检验值放在报文的尾部，报文接收端通过相同算法得到ICV 值与报文携带的ICV 进行比对，如果这两个ICV 相同说明报文没有被修改，否则该报文被丢弃，保证了报文的数据完整性。

➢ICKICK（ICV Key，ICK 密钥）由CAK 根据算法推导产生，只用于计算MKA 协议层面报文的ICV 值，而数据层面没有专门的ICK。

➢KEKKEK（Key Encrypting Key，密钥加密密钥）由CAK 根据算法推导产生，用于加密SAK，通过MKA 密钥协议报文将SAK 密钥发送给同一个CA 内的参与者，防止用于数据加密的SAK 在传输过程中被窃取。

➢PNPN（Packet Number，报文编号）对应SECTAG 中的一个字段，发送方发报文每次按1 递增，用于接收方进行重放保护，当SA 的PN 达到0xFFFFFFFF 时，SAK 必须要进行切换，以10GE 链路为例，最快4.8 分钟PN 就会耗尽，一般PN 即将耗尽时（假设PN达到0xC0000000），也可以对SA K进行切换。

➢Key ServerKey Server 决定加密方案和进行密钥分发的MKA 实体。

➢Supplicant选举出Key Server 之后，Supplicant 是确定为非Key Server 的实体。

➢Confidentiality Offset指加密偏移，取值｛0, 30, o r 50｝，S E CT A G后面的C o n fid e n t ia l i ty O ff se t个字节不加密，目的是为了适应某些需要识别IPv4/v6 头的应用（比如负载均衡）。

➢MACsec Mode指加密模式，包含No n e（即不加密，不校验，不封装）、No r m a l（即既加密又校验），In te g ri ty-o n l y（只做完整性验证、不加密），默认为No n e。

2.3 MACsec 运行机制MACsec 运行机制主要分为三个阶段：CAK 获取、MKA 密钥协商、MACsec 数据加解密。

如图2-3 所示，面向设备点到点MACsec 组网运行机制，网络管理员在两台设备上通过命令行预配置相同的CAK，两台设备会通过MKA 协议选举出一个Key Server，KeyServer 决定加密方案，Key Server 会根据CAK 等参数使用某种加密算法生成SAK 数据密钥，由Key Server 将SAK 分发给对端设备，这样两台设备拥有相同的SAK 数据密钥，可以进行后续MACsec 数据报文加解密收发。

图2-3 面向设备点到点MACsec 运行机制图如图2-4 所示，面向主机点到点MACsec 组网运行机制，用户终端做802.1X 接入认证，接入交换机做认证设备，在用户终端通过认证之后，由认证服务器给接入设备和用户终端下发CAK，后续过程同面向设备点到点MACsec 模式。

图2-4 面向主机点到点MACsec 运行机制图2.4 MACsec 密钥体系2.4.1密钥体系结构图2-5 基于静态CAK 的MACsec 密钥体系结构图:如图2-5 所示，基于静态CAK 的MACsec 密钥体系结构，生成SAK 密钥流程如下：1、在同一个安全链接关联CA 成员CA(a)和CA(b)上，用户静态配置相同的(CKN，CAK)产生的（ICK，KEK）是一样的，用于后续发布SAK 对其本身进行加密，防止SAK 明文传递过程中泄密；2、在Key Server 基于用户配置的（CKN，CAK）会生成SAK，并且在本地安装SAK，用于Key Server 端收发数据报文的加解密；3、Key Server 将SAK 发布给对端Supplicant 时，通过KEK 加密SAK 密钥本身，由ICK 通过某种算法生成ICVs 用于校验报文的完整性，在Key Server 上将ICVs 值放在MKA 协议报文尾部，将经过KEK 加密的SAK 一起通过MKA 协议报文发送给Supplicant；4、Supplicant 接收到MKA 协议报文时，根据其中的CKN 查找CAK 和ICK，如果没有查找到则认为不是来自相同的CA 并丢弃，查找到之后对MKA 报文主体进行ICV 计算得到ICVc，如果与报文中的ICVs 不相同，则认为报文被修改（MKA 报文中的CKN 和I CV s没有经过KE K加密）；5、经过ICV 校验通过之后，使用KEK 解密出SAK，Supplicant 进行SAK 安装，用于Supplicant 端收发数据报文的加解密。