حل حالات فشل التحقق من سلامة MACec MKA PDU على محولات Nexus 9000

خيارات التنزيل

PDF (250.8 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة

تم التحديث:٢٨ أبريل ٢٠٢٦

معرّف المستند:225822

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

مسألة

يظهر "أمان التحكم في الوصول إلى الوسائط" (MACec) الذي تم تكوينه بين محولات Nexus 9000 جلسة عمل "الاتفاقية الأساسية ل MACsec" (MKA) على أنها "آمنة" ولكنها تولد رسائل خطأ متكررة كل ثانيتين تقريبا. يفيض النمط التالي سجلات النظام:

device# %CTS-5-CTS_MKPDU_ICV_SUCCESS: MACSec: MKPDU verified. Primary keys match for Interface
device# %CTS-4-CTS_MKPDU_ICV_FAILURE: MACSec: MKA PDU integrity check failed for Interface

تعمل رسائل النجاح والفشل البديلة هذه على إنشاء إدخالات سجل مفرطة يلزم معالجتها مع الحفاظ على وظائف MACec.

البيئة

المنتج: محولات Cisco Nexus
التكنولوجيا: MACSec (تشفير الارتباط)

قرار

لحل هذه المشكلة، قم بتعديل تكوين سلسلة المفاتيح الاحتياطية لاستخدام معرفات مفاتيح مختلفة عن تلك التي تم تكوينها في سلسلة المفاتيح الأساسية:

1. راجع تكوينات سلسلة مفاتيح MACec الحالية لتحديد معرفات المفاتيح المطابقة بين سلاسل المفاتيح الأساسية والخلفية باستخدام هذا الأمر.

device# show running-configuration
...
key chain primary macsec
 key 01
 key-octet-string 7 <key> cryptographic-algorithm AES_256_CMAC
key chain fallback macsec
 key 01
 key-octet-string 7 <key> cryptographic-algorithm AES_256_CMAC
...

2. قم بتغيير سلسلة المفاتيح الاحتياطية لاستخدام معرف مفتاح مختلف مع هذه الأوامر. على سبيل المثال، إذا كانت سلسلة المفاتيح الأساسية تستخدم معرف المفتاح 01، قم بتكوين سلسلة المفاتيح الاحتياطية لاستخدام معرف المفتاح 10 بدلا من ذلك.

device# configure terminal
device(config)# key chain fallback macsec
device(config)# no key 01
device(config)# key 10
device(config)# key-octet-string 7 <key> cryptographic-algorithm AES_256_CMAC

3. قم بمراقبة سجلات النظام للتأكد من أن رسائل CTS_MKPDU_ICV_SUCCESS و CTS_MKPDU_ICV_FAILURE البديلة لم تعد تظهر.

السبب

يتمثل السبب الجذري في حدوث تعارض في التكوين حيث تستخدم سلسلة المفاتيح الاحتياطية معرف المفتاح نفسه الخاص بسلسلة المفاتيح الأساسية. وهذا يؤدي إلى حدوث حالة من الغموض في بروتوكول MKA، مما يؤدي إلى نجاح التحقق من السلامة وفشله بالتناوب حيث يتحول النظام بين تقييم المفاتيح الأساسية والمفاتيح الاحتياطية. يذكر دليل تكوين MACec من Nexus، "يجب ألا يتطابق معرف المفتاح الاحتياطي مع أي معرف مفتاح من سلسلة مفاتيح أساسية" لمنع هذا التعارض.

المحتوى ذي الصلة

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	28-Apr-2026	الإصدار الأولي

تمت المساهمة بواسطة مهندسو Cisco