1676094307,

问题描述：

需要保护10G以太专线链路级加密传输，拟启动MACsec，请问：

1. MACsec是否影响端口转发性能？

2. 除部分交换机外，H3C路由器是否也支持MACsec？

最佳答案

1、不影响转发性能。

2、也不是所有路由器都支持这个功能。

macsec是一种加密保护机制，交换机硬件转发即使加多了这个加解密过程也是很快的，不影响性能。

MACsec协议机制

1. 数据加密

使能了MACsec功能且启动了MACsec保护的端口发送数据帧时，需要对它进行加密；使能了MACsec功能的端口收到经过MACsec封装的数据帧时，需要对它进行解密。加解密所使用的密钥是通过MKA协议协商而来的。

2. 完整性检查

MACsec封装的数据帧会使用CAK推导出的密钥进行ICV（完整性校验值，Integrity Check Value）计算，并附加在MACsec报文的尾部。设备收到MACsec报文时，同样使用MKA协商出的密钥进行完整性检验值计算，然后将计算结果与报文中携带的ICV进行比较。如果比较结果相同，则表示报文合法；如果比较结果不相同，将依据配置的校验模式，决定是否丢弃报文。

3. 重播保护机制

MACsec封装的数据帧在网络中传输时，可能出现报文顺序的重排。MACsec重播保护机制允许数据帧有一定的乱序，这些乱序的报文序号在用户指定的窗口范围内可以被合法接收，超出窗口的报文会被丢弃。

答非所问

chaoyangw 发表时间：

,MACsec影响端口转发性能吗？