我的 AWS Direct Connect 连接使用 MACsec 断开连接。只有在我的 Cisco Catalyst(IOS XE 软件,版本 17.x.x)上重启连接端口后,才能传递流量。
简短描述
完成 Direct Connect 连接后,连接失败并显示以下问题之一:
- 第 1 层运行正常,光纤信号强度良好(ConnectionLightLevelRx 和 ConnectionLightLevelTx)。
- 客户网关设备接收、处理和回复来自 Direct Connect 端点的 ARP 请求。
- 客户网关设备的 ARP 表显示了 Direct Connect 端点的 MAC 地址和 IPv4 地址的条目。
- 对于属于链路聚合组 (LAG) 的连接,802.3ad 链路聚合控制协议 (LACP) 数据包已损坏,协商失败。
- MACSec MKA 会话协商显示成功的“Secured(安全)”会话。
- 边界网关协议 (BGP) 对等体之间没有 IPv4 连接,会话无法建立。
- 关闭 MACSec 后,ARP 解析完成,IPv4 连接恢复,对等体之间的 BGP 会话协商将恢复。
解决方法
查看客户网关设备和 Direct Connect 配置
确保 Direct Connect 连接的加密模式、加密算法套件和关联的 MACSec 配置密钥与本地客户网关配置相匹配。使用 Direct Connect 控制台或 AWS 命令行界面 (AWS CLI) 检查您的 Direct Connect 连接和 LAG 上的加密模式。
Direct Connect 控制台
完成以下步骤:
- 打开 Direct Connect 控制台。
- 在导航窗格中,选择 Connections(连接)或 LAGs(LAG)。
- 选择您的连接 (dxcon-11aa22bb) 或 LAG (dxlag-11aa22bb)。
- 在 General configuration(常规配置)选项卡上,查看 Encryption mode(加密模式)字段。加密模式必须与客户网关设备配置模式相匹配。
AWS CLI
**注意:**如果在运行 AWS CLI 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
运行 describe-connections 命令,查看输出中 encryptionMode 字段的值:
aws directconnect describe-connections
支持的加密模式为:no_encrypt、should_encrypt 或 must_encrypt。客户网关设备配置必须与加密模式相匹配。
更新设备上的加密模式
如果两个端点上的加密模式不匹配,请使用 Direct Connect 控制台或 AWS CLI 更新加密模式。
Direct Connect 控制台
完成以下步骤:
- 打开 Direct Connect 控制台。
- 在导航窗格中,选择 Connections(连接)或 LAGs(LAG)。
- 选择您的连接 (dxcon-11aa22bb) 或 LAG (dxlag-11aa22bb)。
- 在 General configuration(常规配置)选项卡上,选择 Edit(编辑)。
- 在 Connection settings(连接设置)选项卡上的 Encryption mode(加密模式)下,展开下拉列表。选择您的加密模式,然后选择 Edit connection(编辑连接)。
AWS CLI
要更新 encryptionMode 值,请运行 update-connection 命令:
aws directconnect update-connection --connection-id dxcon-11aa22bb --encryption-mode must_encrypt
**注意:**在前面的示例中,将 dxcon-11aa22bb 替换为您的连接或 LAG ID,将 must_encrypt 替换为您的加密模式。
当您打开 MACsec 时,Direct Connect 端点被配置为密钥服务器。要将客户端点配置为客户端,请使用比 Direct Connect 端点更大的值配置密钥服务器优先级。不要将客户网关设备 MACsec 密钥服务器优先级设置为零 (0)。
在 Cisco 客户网关设备上配置 MACsec 加密时,请打开 ssci-based-on-sci 选项。此选项允许 Cisco Catalyst(IOS XE 软件,版本 17.x.x)与非 Cisco 和非 iOS XE 设备一起使用。有关 MACsec 加密的信息,请参阅 Cisco 网站上的 MACsec 加密。
应用配置设置后,在启用 MACsec 的情况下,使用 shutdown 和 no shutdown 命令对 Catalyst 接口执行接口反弹。这些命令会重置链路并恢复连接。
相关信息
为 AWS Direct Connect 连接提升 MACsec 安全性
AWS Direct Connect 中的流量加密选项
Cisco 网站上进行 MACsec 加密的先决条件