Я уже задавал этот вопрос на SF, но подумал, что он может быть лучше подходит здесь.
Можно ли вообще расширить шифрование MACSec по мосту провайдера? Сможет ли типичная реализация 802.1ad переслать зашифрованный кадр или переадресация целостности кадра?
Я понимаю, что MACSec предназначен для защиты от скачка к месту. Есть ли какие-либо причины не использовать MACSec для двухточечного шифрования на носителе или другие особые соображения, которые следует учитывать?
Причина, по которой я спрашиваю, состоит в том, что аппаратное обеспечение MACSec предлагает шифрование по проводной скорости за долю от типичной стоимости, связанной с шифрованием уровня 2.
У меня нет представителя для добавления новых тегов, но вы можете добавить соответствующие теги для MACSec, PBN, 802.1ad, 802.1ae и т. Д.
Из того, что я до сих пор собираю, если конечная точка MACsec где C-tag / затем добавляет заголовок sec, тогда s-tag и PBN пересылают кадр на основе s-тега, который созданная конечная точка MACsec должна работать. Нечеткость возникает, когда PBN добавляет s-тег к кадру, который изменяет FCS и, возможно, предупреждает другую конечную точку о том, что кадр был подделан / изменен, и, следовательно, целостность не может быть подтверждена. Я не на 100% в этом, но это то, что я думаю, держит от конца до конца MACsec от работы.
источник