我已经在SF上问过这个问题,但认为它可能更适合。

是否可以通过提供者桥扩展MACSec加密?典型的802.1ad实现是否能够转发加密的帧,或者转发中断帧的完整性?

我确实意识到MACSec是用于逐跳安全性的。是否有任何理由不使用MACSec在运营商上进行点对点加密,或应考虑的其他特殊注意事项?

我没有代表来添加新标签,但是随时为MACSec,PBN,802.1ad和802.1ae等添加相关标签

#1 楼

MacSec(即802.1ae-2006)是一种逐跳加密技术。因此,今天无法使用提供商桥接的MacSec。但是,有一种说法是放宽每跳MacSec加密

评论


但是,如果在入口处将MACSec加密帧封装并用S-VLAN标记,则通过PBN转发,并且在另一侧的出口处将删除S-VLAN封装。客户交换机会不会像EoMPLS那样将其视为单跳?也许受加密偏移量支持,所以C-VLAN标记仍然可见?

–罗伊
13年5月5日在12:11



谢谢你的链接,顺便说一句。我已经把那个文件放在我的桌子上了,尽管其中有些对我来说是令人难以理解的:)

–罗伊
13年7月5日在12:14

如果您阅读本文的第一页,则会非常清楚地说明当今不支持PBN ...“此注释解释了为什么IEEE 802.1AE–2006不包含乍一看可能令人感兴趣的多跳可能性”

–迈克·彭宁顿
13年7月5日在12:17

好吧,在入口处还说:“此说明解释了为什么可以将这些网桥视为'单跳'。”我希望您能明白为什么我觉得这有点令人困惑,尤其是考虑到EoMPLS封装似乎工作得很好。

–罗伊
13年7月5日在12:20



#2 楼

从我到目前为止收集到的信息来看,如果MACsec端点在哪里进行C-tag /添加sec报头,则s-tag和PBN根据该MACsec端点创建的s-tag转发帧。模糊性出现在PBN向帧添加s标签的位置,从而更改了FCS,并可能警告另一端点该帧已被篡改/修改,因此无法验证完整性。我不是100%对此,但这是我认为端对端MACsec无法正常工作的原因。

评论


对于只稍微了解运营商以太网术语的用户:PBN:提供商桥接网络,C-Tag:客户VLAN标签,S-Tag:服务VLAN标签,FCS:以太网帧检查序列

–乔纳森·莱因哈特(Jonathon Reinhart)
19年2月14日在19:30