什么是MACsec？

场景一：点到点传输数据

SwitchA和SwitchB之间传输重要数据，通过部署点到点的MACsec对数据进行安全保护。

配置点到点的MACsec功能实现安全通信

场景二：中间含透传设备的点到点传输数据

SwitchA和SwitchB之间存在透传交换机SwitchC、SwitchD和SwitchE，SwitchA和SwitchB之间部署点到点的MACsec对数据进行安全保护。为保证SwitchA和SwitchB能够进行MACsec会话协商，需要透传交换机支持二层协议透明传输功能。

配置点到点的MACsec功能实现安全通信（中间有透传设备）

运行机制

点到点的MACsec交互过程主要分为三个阶段：会话协商、安全通信和会话保活。

MACsec的交互过程

点到点的MACsec交互过程：

1. 会话协商

   1. 两端设备的接口开启MACsec功能后，根据优先级选举出密钥服务器（Key Server）。用户可以配置接口的优先级数值，数值越小优先级越高，优先级高的设备接口将被选举为密钥服务器。当双方优先级相同时，则比较接口的SCI（Secure Channel Identifier）值，SCI由接口MAC地址和接口索引（Interface Index）的最后两个字节组成，SCI值小的接口将被选举为密钥服务器。

   2. 两端设备静态配置相同的CAK，密钥服务器根据静态配置的CAK生成用于加密数据报文的SAK，分发给对端设备。

2. 安全通信

   发送方使用SAK加密数据报文，接收方使用SAK解密数据报文。两端设备既可以作为发送方，也可以作为接收方，通信过程都受到MACsec保护。

   用户还可以配置SAK的超时时间，当SAK的使用时间达到超时时间或SAK加密报文达到一定数量，则更换SAK，确保密钥的安全性。

3. 会话保活

   MKA协议定义了一个MKA会话保活定时器，用来规定MKA会话的超时时间。MKA会话协商成功后，两端设备会通过交互MKA协议报文确认连接的存在。设备收到对端MKA协议报文后，启动定时器。

   • 如果在该超时时间内收到对端的MKA协议报文，则重启定时器。
   • 如果在该超时时间内未收到对端的MKA协议报文，则认为该连接已不安全，删除对端设备，重新进行MKA协商。