Розширити шифрування MACSec через міст провайдера

11

Я вже задавав це питання на SF, але подумав, що це може бути тут краще.

Чи взагалі можливо розширити шифрування MACSec через міст провайдера? Чи зможе типова реалізація 802.1ad переправити зашифрований кадр чи переадресація порушить цілісність кадру?

Я розумію, що MACSec призначений для стрибкової безпеки. Чи є причини, щоб не використовувати MACSec для шифрування точки до точки через оператор або інші особливі міркування, які слід враховувати?

Причина, яку я запитую, полягає в тому, що апаратне забезпечення MACSec пропонує дротове шифрування за часткою типової вартості, пов'язаної з шифруванням рівня 2.

У мене немає представника для додавання нових тегів, але сміливо додайте відповідні теги для MACSec, PBN, 802.1ad та 802.1ae тощо

ethernet  security 
Рой
джерело

Відповіді:

4

MacSec (тобто 802.1ae-2006) - це технологія енципції стрибків за допомогою скакання ... Тому MacSec з мостовою провайдером сьогодні неможливий; однак, йдеться про розслаблене шифрування MacSec за один хід

Майк Пеннінгтон
джерело
Але якщо зашифрований кадр MACSec інкапсульований і позначений тегом S-VLAN при вході, передається через PBN і інкапсуляція S-VLAN видаляється при виході з іншого боку. Чи не перемикачі клієнтів бачать це як єдиний скачок, як і у EoMPLS? Можливо, підтримується зміщення шифрування, тому тег C-VLAN все ще видно?
Рой
Дякую за посилання, btw. У мене вже є цей документ, який сидить на моєму столі, хоча деякі з них мені зовсім незрозумілі :)
Рой
Якщо ви читаєте першу сторінку статті, це дуже чітко пояснює, що PBN сьогодні не підтримується ... "У цій примітці пояснюється, чому IEEE 802.1AE-2006 не включає можливості мульти-хопу, які можуть здатися" цікавими "на перший погляд"
Майк Пеннінгтон
1
Що ж, про проникнення також сказано: "Ця примітка пояснює, чому ці мости можна розглядати як" єдиний скачок ". Я сподіваюся, ви можете зрозуміти, чому я вважаю це просто трохи заплутаним, особливо враховуючи, що інкапсуляція EoMPLS, здається, працює чудово.
Рой
1

З того, що я збираю до цих пір, якщо кінцева точка MACsec куди С-тег / потім додати заголовок sec, потім s-тег і PBN пересилають кадр на основі s-тегу, який повинен створити кінцеву точку MACsec. Нечіткість виникає там, коли PBN додає s-тег до кадру, який змінює FCS і, можливо, попереджає іншу кінцеву точку про те, що кадр був підроблений / модифікований і тому цілісність не може бути перевірена. Я не на 100% з цього приводу, але це, на мою думку, утримує кінець MACsec від роботи.

user6121
джерело
Для тих, хто лише знайомий з термінологією Ethernet-оператора: PBN : Bridge Provider Network , C-Tag : Тег VLAN для клієнтів, S-Tag : Тег обслуговування VLAN, FCS : Послідовність перевірки
Джонатан Рейнхарт,
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.