使用安全客户端5配置MKA并对其进行故障排除

简介

本文档介绍使用安全客户端5作为请求方在终端中配置MACsec加密的方法。  

先决条件

思科建议了解以下主题：

• 身份服务引擎

• 802.1x和Radius

• MACsec MKA加密

• 安全客户端版本5（以前称为Anyconnect）

使用的组件

本文档中的信息基于以下软件和硬件版本： 

• 身份服务引擎(ISE)版本3.3

• Catalyst 9300版本17.06.05

• 思科安全客户端5.0.4032

背景信息

MACSec（介质访问控制安全）是一种网络安全标准，它为OSI模型（数据链路）第2层的以太网帧提供加密和保护，IEEE将其定义为以802.1AE为单位的标准。

MACSec在点对点连接中提供这种加密，这种连接可以是交换机到交换机或交换机到主机的连接，因此此标准的覆盖范围仅限于有线连接。

此标准加密整个数据，第2层连接中传输的帧的源和目的MAC地址除外。

MACsec密钥协议(MKA)协议是MACsec对等体用来协商安全链路所需的安全密钥的机制。

配置

网络图

在ISE上设置策略

第一项任务是配置应用于上图中所示的两台PC（以及Cisco IP电话）的相应授权配置文件。

在此假设方案中，PC将使用802.1X协议作为身份验证方法，而Cisco IP电话使用Mac地址旁路(MAB)。

ISE通过RADIUS协议与交换机通信，了解交换机需要从通过RADIUS会话连接终端的接口实施的属性。

对于主机中的MACsec加密，所需的属性为cisco-av-pair = linksec-policy，它有以下3个可能的值：

• Should-not-Secure：交换机不会在发生Radius会话的接口中执行MKA加密。

• Must-Secure：交换机需要在与Radius会话链接的流量中执行加密，如果MKA会话失败或连接超时，则视为授权失败，则会重新建立MKA会话。

• Should-Secure：交换机尝试执行MKA加密，如果链接到Radius会话的MKA会话成功，则加密流量；如果MKA失败或超时，则交换机允许链接到Radius会话的未加密流量。

步骤1: 如前文所述，在两台PC中，您可以实施should-secure MKA策略，以便在没有MKA功能的计算机连接到接口Ten 1/0/1时具有灵活性。

作为一个选项，您可以为PC2配置实施必须安全的策略的策略。

在本示例中，按照Policy > Policy Elements > Results > Authorization Profiles和+Add或Edit中的说明配置PC的策略

第二步： 填写或自定义配置文件所需的字段。

确保在常见任务中已选择MACSec策略和要应用的对应策略。

向下滚动并保存配置。

第三步：将相应的授权配置文件分配给设备命中的授权规则。

此操作需要在Policy > Policy Sets >(Select Policy Set assigned)> Authorization Policy中完成。

将授权规则与具有MACsec设置的授权配置文件相关联。向下滚动保存您的配置。

Catalyst 9300中MKA的设置

步骤1: 按照以下示例建议配置新的MKA策略：

!
  mka policy MKA_PC
  key-server priority 0
  no delay-protection
  macsec-cipher-suite gcm-aes-128
  confidentiality-offset 0
  sak-rekey on-live-peer-loss
  sak-rekey interval 0
  no send-secure-announcements
  no include-icv-indicator
  no use-updated-eth-header
  no ssci-based-on-sci
!

第二步： 在连接PC的接口上启用MACsec加密。

!
interface TenGigabitEthernet1/0/1
 macsec
 mka policy MKA_PC
!

使用网络访问管理器配置文件编辑器设置MKA。

步骤1:从思科的下载网站下载并打开配置文件编辑器，该网站与您正在使用的安全客户端版本匹配。

在计算机上安装此程序后，请继续打开Cisco Secure Client Profile Editor - Network Access Manager。

第二步： 选择选项File > Open。

第三步： 选择此图像中所显示的文件夹系统。在此文件夹中打开名为configuration.xml的文件。

第四步： 文件被配置文件编辑器加载后，选择Authentication Policy选项，并确保启用与MACSec的802.1x相关的选项。

第五步： 继续进入网络部分，在此部分中，您可以为有线连接添加新配置文件或编辑随Secure Client 5.0一起安装的默认有线配置文件。

在此场景中，我们将编辑现有的有线配置文件。

第六步： 配置配置文件。在Security Level部分，调整Key Management以使用MKA，然后是加密AES GCM 128。

调整身份验证dot1x和策略的其他参数。

步骤 7. 配置其余有关连接类型、用户身份验证和凭证的部分。

这些部分因您在Security Level部分选择的身份验证设置而异。

完成配置后，选择选项Done。

对于此方案，我们将受保护的可扩展身份验证协议(PEAP)与用户凭证。

步骤 8 导航到菜单“文件”。 继续使用另存为选项。

将文件命名为configuration.xml，然后将其保存在ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system的另一个文件夹中。

在本示例中，文件保存在Documents文件夹中。保存配置文件。

步骤 8进入配置文件位置，复制文件，并替换文件夹ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system中包含的文件。

选择替换目标中的文件选项。

步骤 9 要加载在安全客户端5.0中修改的配置文件，请用右键单击Windows计算机右下方的任务栏中的安全客户端图标。

执行网络修复。

使用网络访问管理器设置MKA网络（可选）。

步骤1:作为使用配置文件编辑器进行MKA设置的替代方法，您可以添加网络，而无需使用此工具。

在Secure Client套件中选择齿轮图标。

第二步：在显示的新窗口中，选择选项Network。

在Configuration部分中，选择Add选项以入口具有用户网络权限的网络MKA。

第三步：在新配置窗口中，设置连接特征并命名网络。

完成后，选择OK按钮。

验证

在ISE上验证

在ISE中，完成此流的配置后，您会看到设备在Livelogs中进行身份验证和授权。

导航到Details of the authentication和Result部分。

在授权配置文件中设置的属性将发送到网络接入设备(NAD)并消耗一个基本许可证。

在Catalyst交换机上进行验证。

这些命令可用于验证此解决方案的正确功能。

switch1#show mka policy

switch1#show mka session

switch1#show authentication session interface <interface_ID> detail

在安全客户端上验证。

使用您使用MACsec加密创建的配置文件成功进行身份验证。如果单击引擎图标，则会显示更多信息。  

在此安全客户端显示的菜单中，在Network Access Manager > Statistics部分中，您可以看到加密和相应的MACsec配置。

在第2层执行加密时，接收和发送的帧会增加。

故障排除

Cisco Secure Endpoint

• 在安全终端套件中启用DART模块。
• 在此菜单中，启用扩展日志记录以收集有关用户MKA连接的更多数据。您还可以启用DART捆绑包中包含的数据包捕获。

• 收集DART捆绑包，以继续分析configuration.xml和网络访问管理器。请参阅文档运行DART以收集数据以进行故障排除

此示例显示如何将数据包视为主机和交换机之间的信息加密（例如IPv6和IPv6）： 

从DART捆绑包中，我们可以在名为NetworkAccessManager.txt的日志中找到有关身份验证802.1X和MKA会话的有用信息。

此信息显示在使用MKA加密的身份验证成功中。 

%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: PORT (1) net: RECV (status: UP, AUTO) (portMsg.c 709)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: 8021X (2) RECEIVED SUCCESS (dot1x_util.c 326)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) current state = AUTHENTICATING (dot1x_sm.c 323)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) S_enterStateAux called with state = AUTHENTICATING (dot1x_sm.c 142)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) staying in 802.1x state: AUTHENTICATING (dot1x_sm.c 146)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: 8021X (2) smTimer: sec=30 (dot1x_util.c 454)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) eap_type<0>, lengths<4,1496> (dot1x_proto.c 90)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: 8021X (2) smTimer: paused (dot1x_util.c 484)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: EAP (0) Received EAP-Success. (eap_auth_client.c 835)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: EAP (0) tlsAuthOnAuthEnd: clear TLS session (eap_auth_tls_c.c 265)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: EAP (0) tlsAuthOnAuthEnd: successful authentication, save pointer for TLS session used (eap_auth_tls_c.c 273)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: EAP (3) new credential list saved (eapRequest.c 1485)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: EAP (3) EAP status: AC_EAP_STATUS_EAP_SUCCESS (eapMessage.c 79)
%csc_nam-7-DEBUG_MSG: %[tid=9028]: EAP-CB: EAP status notification: session-id=1, handle=04B2DD44, status=AC_EAP_STATUS_EAP_SUCCESS
%csc_nam-7-DEBUG_MSG: %[tid=9028]: EAP-CB: sending EapStatusEvent...
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: PORT (2) EAP response received. <len:400> <res:2> (dot1x_proto.c 136)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: EAP: ...received EapStatusEvent: session-id=1, EAP handle=04B2DD44, status=AC_EAP_STATUS_EAP_SUCCESS
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: 8021X (2) smTimer: activated (dot1x_util.c 503)
%csc_nam-6-INFO_MSG: %[tid=2716]: EAP: Eap status AC_EAP_STATUS_EAP_SUCCESS.
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) current state = AUTHENTICATING (dot1x_sm.c 323)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: EAP: processing EapStatusEvent in the subscriber
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) dot1x->eapSuccess is True (dot1x_sm.c 352)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: Auth[wired:user-auth]: Enabling fast reauthentication
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) SUCCESS (dot1x_sm.c 358)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) S_enterStateAux called with state = AUTHENTICATED (dot1x_sm.c 142)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: STATE (2) S_enterStateAux calling sm8Event8021x due to auth success (dot1x_sm.c 207)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: 8021X (2) smTimer: disabled (dot1x_util.c 460)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (0) NASP: dot1xAuthSuccessEvt naspStopEapolAnnouncement (dot1x_main.c 679)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: NASP (0) >> NASP: naspStopEapolAnnouncement (nasp.c 900)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: NASP (0) << NASP: naspStopEapolAnnouncement.  err = 0 (nasp.c 910)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: 8021X (2) dot1x->config.useMka = 1 (dot1x_main.c 829)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: INF (2) >> MKA: StartSession (mka.c 511)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (2) MKA: bUseMka = 1, bUseMacSec = 1706033334, MacsecSupportedCiphersMask = 0x498073ad, ePortSecurePolicy = 0 mkaKeyServerWaitTime = 0 (mka.c 514)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (2) >> MKA: InitializeContext (mka.c 1247)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: INF (2) MKA: Changing state to Unconnected (mka.c 1867)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: INF (2) MKA: Changing Sak State to Idle (mka.c 1271)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: Auth[wired:user-auth]: Fast reauthentication enabled on authentication success
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (2) << MKA: InitializeContext (mka.c 1293)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (2) MKA: Changing state to Need Server (mka.c 1871)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: Auth[wired:user-auth]: Sending NOTIFICATION__SUCCESS to subscribers
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: INF (2) >> MKA: CreateKeySet (mka.c 924)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: Network auth request NOTIFICATION__SUCCESS
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: NASP (0) >> NASP: naspGetNetCipherSuite (nasp.c 569)
%csc_nam-6-INFO_MSG: %[tid=9028][comp=SAE]: MKA (2) MKA: Key length is 16 bytes (mka.c 954)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: Auth[wired:user-auth]: Finishing authentication
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (2) MKA: MyMac (mka.c 971)
%csc_nam-7-DEBUG_MSG: %[tid=2716]: Auth[wired:user-auth]: Authentication finished
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: API (1) event: STATUS - AC_PORT_STATUS_EAP_SUCCESS (portWorkList.c 70)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: API (1) event: complete (portWorkList.c 130)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: API (1) event: STATUS - AC_PORT_STATUS_MKA_UNCONNECTED (portWorkList.c 70)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: API (1) event: complete (portWorkList.c 130)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: API (1) event: STATUS - AC_PORT_STATUS_MKA_NEED_SERVER (portWorkList.c 70)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: API (1) event: complete (portWorkList.c 130)
%csc_nam-7-DEBUG_MSG: %[tid=8140][comp=SAE]: NET (0) SscfCallback(1): SSCF_NOTIFICATION_CODE_SEND_PACKET_COMPLETE sendId(74476) (cimdIo.cpp 4766)
%csc_nam-7-DEBUG_MSG: %[tid=8140][comp=SAE]: NET (0) CIMD Event: evtSeq#=0 msg=4 ifIndex=1 len=36 (cimdEvt.c 622)
%csc_nam-7-DEBUG_MSG: %[tid=8140][comp=SAE]: NET (1) cdiEvt:(3,0) dataLen=4 (cimdEvt.c 358)
%csc_nam-7-DEBUG_MSG: %[tid=8140][comp=SAE]: NET (1) cdiEvt:(3,1) dataLen=102 (cimdEvt.c 358)
%csc_nam-7-DEBUG_MSG: %[tid=8140][comp=SAE]: NET (1) netEvent(1): Recv queued (netEvents.c 91)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: PORT (1) net: RECV (status: UP, AUTO) (portMsg.c 709)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (2) >> MKA: EapolInput (mka.c 125)
%csc_nam-7-DEBUG_MSG: %[tid=9028][comp=SAE]: MKA (2) MKA: MKPDU In (mka.c 131)

Cisco IOS故障排除

这些命令可在网络访问设备(NAD)中实施，以检查平台和请求方之间的MKA加密。

有关命令的详细信息，请查看用作NAD的平台的相应配置指南。

#show authentication session interface <interface_ID> detail
#show mka summary
#show mka policy
#show mka session interface <interface_ID> detail
#show macsec summary
#show macsec interface <interface_ID>
#debug mka events
#debug mka errors
#debug macsec event
#debug macsec error

这些是到主机的一个成功MKA连接的调试。您可以将此作为引用出现： 

%LINK-3-UPDOWN: Interface TenGigabitEthernet1/0/1, changed state to down
Macsec interface TenGigabitEthernet1/0/1 is UP
MKA-EVENT: Create session event: derived CKN 9F0DC198A9728FB3DA198711B58570E4, len 16
MKA-EVENT EC000025: SESSION START request received...
NGWC-MACSec: pd get port capability is invoked
MKA-EVENT: New MKA Session on Interface TenGigabitEthernet1/0/1 with Physical Port Number 9 is using the "MKA_PC" MKA Policy, and has MACsec Capability "MACsec Integrity, Confidentiality, & Offset" with Local MAC ac7a.5646.4d01, Peer MAC bc4a.5602.ac25.
MKA-EVENT: New VP with SCI AC7A.5646.4D01/0002 on interface TenGigabitEthernet1/0/1
MKA-EVENT: Created New CA 0x80007F30A6B46F20 Participant on interface TenGigabitEthernet1/0/1 with SCI AC7A.5646.4D01/0002 for Peer MAC bc4a.5602.ac25.
%MKA-5-SESSION_START: (Te1/0/1 : 2) MKA Session started for RxSCI bc4a.5602.ac25/0000, AuditSessionID C5AA580A00000046CE64E059, AuthMgr-Handle EC000025
MKA-EVENT: Started a new MKA Session on interface TenGigabitEthernet1/0/1 for Peer MAC bc4a.5602.ac25 with SCI AC7A.5646.4D01/0002 successfully.
MKA-EVENT bc4a.5602.ac25/0000 EC000025: FSM (Init MKA Session) - Successfully derived CAK.
MKA-EVENT bc4a.5602.ac25/0000 EC000025: Successfully initialized a new MKA Session (i.e. CA entry) on interface TenGigabitEthernet1/0/1 with SCI AC7A.5646.4D01/0002 and CKN 9F0DC198...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: FSM (Derive KEK/ICK) - Successfully derived KEK...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: FSM (Derive KEK/ICK) - Successfully derived ICK...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: New Live Peer detected, No potential peer so generate the first SAK.
MKA-EVENT bc4a.5602.ac25/0000 EC000025: >> FSM - Generate SAK for CA with CKN 9F0DC198 (Latest AN=0, Old AN=0)...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: Generation of new Latest SAK succeeded (Latest AN=0, KN=1)...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: >> FSM - Install RxSA for CA with CKN 9F0DC198 on VP with SCI AC7A.5646.4D01/0002 (Latest AN=0)...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: Clean up the Rx for dormant peers
MACSec-IPC: send_xable send msg success for switch=1
MACSec-IPC: blocking enable disable ipc req
MACSec-IPC: watched boolean waken up
MACSec-IPC: geting switch number
MACSec-IPC: switch number is 1
MACSec-IPC: create_tx_sc send msg success
Send create_tx_sc to IOMD successfully
alloc_cache called TxSCI: AC7A56464D010002 RxSCI: BC4A5602AC250000
Enabling replication for slot 1 vlan 330 and the ref count is 1
MACSec-IPC: vlan_replication send msg success
Added replication for data vlan 330
MACSec-IPC: geting switch number
MACSec-IPC: switch number is 1
MACSec-IPC: create_rx_sc send msg success
Sent RXSC request to FED/IOMD
MACSec-IPC: geting switch number
MACSec-IPC: switch number is 1
MACSec-IPC: install_rx_sa send msg success
Sent ins_rx_sa to FED and IOMD
MKA-EVENT bc4a.5602.ac25/0000 EC000025: Requested to install/enable new RxSA successfully (AN=0, KN=1 SCI=BC4A.5602.AC25/0000)
%LINEPROTO-5-UPDOWN: Line protocol on Interface TenGigabitEthernet1/0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan330, changed state to up
MKA-EVENT bc4a.5602.ac25/0000 EC000025: Sending SAK for AN 0 resp peers 0 cap peers 1
MKA-EVENT bc4a.5602.ac25/0000 EC000025: SAK Wait Timer started for 6 seconds.
MKA-EVENT bc4a.5602.ac25/0000 EC000025: (KS) Received new SAK-Use response to Distributed SAK for AN 0, KN 1, Latest Key MI 9B0F8380A5697DD4C3D50E42.CKN 9F0DC198
MKA-EVENT bc4a.5602.ac25/0000 EC000025: (KS) All 1 peers with the required MACsec Capability have indicated they are receiving using the new Latest SAK -  install/enable TxSA for AN 0, KN 1, Latest Key MI 9B0F8380A5697DD4C3D50E42.
MKA-EVENT: Reqd to Install TX SA for CA 0x80007F30A6B46F20 AN 0 CKN 9F0DC198 - on int(TenGigabitEthernet1/0/1)...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: >> FSM - Install TxSA for CA with CKN 9F0DC198 on VP with SCI AC7A.5646.4D01/0002 (Latest AN=0)...
MACSec-IPC: geting switch number
MACSec-IPC: switch number is 1
MACSec-IPC: install_tx_sa send msg success
MKA-EVENT bc4a.5602.ac25/0000 EC000025: Before sending SESSION_SECURED status - SECURED=false, PREVIOUSLY_SECURED=false, SAK_REKEY=false, CAK_REKEY=false, OLD_CA=false, NEW_CA=false, CKN=9F0DC198...
MKA-EVENT bc4a.5602.ac25/0000 EC000025: Successfully sent SECURED status for CA with CKN 9F0DC198.
MKA-EVENT: Successfully updated the CKN handle for interface: TenGigabitEthernet1/0/1 with 9F0DC198 (if_num: 9).
%MKA-5-SESSION_SECURED: (Te1/0/1 : 2) MKA Session was secured for RxSCI bc4a.5602.ac25/0000, AuditSessionID C5AA580A00000046CE64E059, CKN 9F0DC198A9728FB3DA198711B58570E4
MKA-EVENT: MSK found to be same while updating the MSK and EAP Session ID in the subblock
MKA-EVENT bc4a.5602.ac25/0000 EC000025: After sending SESSION_SECURED status - SECURED=true, PREVIOUSLY_SECURED=true, SAK_REKEY=false, CAK_REKEY=false, OLD_CA=false, NEW_CA=false, CKN=9F0DC198...

身份服务引擎(ISE)故障排除

与此功能相关的故障排除仅限于提供cisco-av-pair属性linksec-policy=should-secure。

确保授权结果会将该信息发送到链接到设备所连接的交换机端口的Radius会话。

有关ISE的进一步身份验证分析，请参阅在ISE上排除故障并启用调试  

常见问题

密码不匹配

此日志可在NAD的MKA调试中看到。

MKA-4-MKA_MACSEC_CIPHER_MISMATCH: (Te1/0/1 : 30) Lower strength MKA-cipher than macsec-cipher for RxSCI bc4a.5602.ac25/0000, AuditSessionID C5AA580A00000017C3550E24, CKN CKNID

在此场景中，首先要验证的是交换机的MKA策略和安全客户端配置文件中配置的密码是否匹配。

对于AES-GCM-256加密，需要根据《Cisco Secure Client（包括AnyConnect）管理员指南，版本5》文档满足这些要求

无法保存configuration.xml。

通过使用网络访问管理器配置文件编辑器保存名为MKA设置的configuration.xml（如前所述），解决了与配置文件写入错误相关的问题。

该错误与所使用的文件configuration.xml无法修改有关，因此您需要将该文件保存在另一个位置以继续后续配置文件替换。

相关信息

• 配置MACsec加密
• 使用Cat9k和ISE配置MACsec交换机到主机