Ma connexion AWS Direct Connect utilise des déconnexions MacSec. Je ne peux transmettre le trafic qu'après avoir redémarré le port de connexion sur mon Cisco Catalyst (logiciel IOS XE, version 17.x.x).
Brève description
Une fois que vous avez terminé la connexion Direct Connect, la connectivité échoue et présente l'un des problèmes suivants :
- La couche 1 est « Haut » avec une intensité de signal de fibre optique satisfaisante (ConnectionLightLevelRx et ConnectionLightLevelTx).
- Le périphérique de passerelle client reçoit, traite et répond à une requête ARP depuis le point de terminaison Direct Connect.
- La table ARP du périphérique de passerelle client affiche une entrée pour l'adresse MAC et l'adresse IPv4 du point de terminaison Direct Connect.
- Pour une connexion membre d'un groupe d'agrégation de liaisons (LAG), les paquets du protocole LACP (Link Aggregation Control Protocol) 802.3ad sont endommagés et les négociations échouent.
- La négociation de session MacSec MKA indique une session « sécurisée » réussie.
- Il n'existe aucune connectivité IPv4 entre les homologues du BGP (Border Gateway Protocol) et la session ne s'établit pas.
- Lorsque MacSec est désactivé, la résolution ARP est terminée, la connectivité IPv4 est rétablie et la négociation de session BGP entre pairs reprend.
Résolution
Vérifier le périphérique de passerelle client et la configuration de Direct Connect
Assurez-vous que le mode de chiffrement, les suites de chiffrement et les clés MACSec associées pour la connexion Direct Connect correspondent à la configuration de la passerelle client sur site. Utilisez la console Direct Connect ou l'interface de ligne de commande AWS (AWS CLI) pour vérifier le mode de chiffrement de vos connexions Direct Connect et de vos LAG.
Console Direct Connect
Procédez comme suit :
- Ouvrez la console Direct Connect.
- Dans le volet de navigation, sélectionnez Connexions ou LAG.
- Sélectionnez votre connexion (dxcon-11aa22bb) ou LAG (dxlag-11aa22bb).
- Dans l'onglet Configuration générale, vérifiez le champ Mode de chiffrement. Le mode de chiffrement doit correspondre au mode de configuration du périphérique de passerelle client.
AWS CLI
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.
Exécutez la commande describe-connections et vérifiez la valeur du champ encryptionMode de la sortie :
aws directconnect describe-connections
Les modes de chiffrement pris en charge sont les suivants : no_encrypt, should_encrypt ou must_encrypt. La configuration du périphérique de passerelle client doit correspondre au mode de chiffrement.
Mettre à jour le mode de chiffrement de votre périphérique
Si le mode de chiffrement ne correspond pas sur les deux points de terminaison, utilisez la console Direct Connect ou l'interface de ligne de commande AWS pour mettre à jour le mode de chiffrement.
Console Direct Connect
Procédez comme suit :
- Ouvrez la console Direct Connect.
- Dans le volet de navigation, sélectionnez Connexions ou LAG.
- Sélectionnez votre connexion (dxcon-11aa22bb) ou LAG (dxlag-11aa22bb).
- Dans l'onglet Configuration générale, sélectionnez Modifier.
- Dans l'onglet Paramètres de connexion, sous Mode de chiffrement, développez la liste déroulante. Choisissez votre mode de chiffrement, puis sélectionnez Modifier la connexion.
AWS CLI
Pour mettre à jour la valeur encryptionMode, exécutez la commande update-connection :
aws directconnect update-connection --connection-id dxcon-11aa22bb --encryption-mode must_encrypt
Remarque : Dans l'exemple précédent, remplacez dxcon-11aa22bb par votre ID de connexion ou de LAG et must_encrypt avec votre mode de chiffrement.
Lorsque vous activez MacSec, le point de terminaison Direct Connect est configuré pour être le serveur clé. Pour configurer le point de terminaison client en tant que client, configurez la priorité du serveur clé avec une valeur supérieure à celle du point de terminaison Direct Connect. Ne définissez pas la priorité du serveur de clés MacSec du périphérique de passerelle client sur zéro (0).
Lorsque vous configurez le chiffrement MacSec sur votre périphérique de passerelle client Cisco, activez l'option ssci-based-on-sci. Cette option permet au catalyseur Cisco (logiciel IOS XE, version 17.x.x) d’utiliser des périphériques autres que Cisco et iOS XE. Pour plus d'informations sur le chiffrement MacSec, consultez la section Chiffrement MACsec sur le site Web de Cisco.
Après avoir appliqué les paramètres de configuration, effectuez un retour de l'interface avec les commandes arrêt et aucun arrêt sur l'interface Catalyst avec MacSec activé. Les commandes réinitialisent la liaison et rétablissent la connectivité.
Informations connexes
Ajout de la sécurité MacSec aux connexions AWS Direct Connect
Options de chiffrement du trafic dans AWS Direct Connect
Prérequis pour le chiffrement MacSec sur le site Web de Cisco