Расширить шифрование MACSec через мост провайдера

11

Я уже задавал этот вопрос на SF, но подумал, что он может быть лучше подходит здесь.

Можно ли вообще расширить шифрование MACSec по мосту провайдера? Сможет ли типичная реализация 802.1ad переслать зашифрованный кадр или переадресация целостности кадра?

Я понимаю, что MACSec предназначен для защиты от скачка к месту. Есть ли какие-либо причины не использовать MACSec для двухточечного шифрования на носителе или другие особые соображения, которые следует учитывать?

Причина, по которой я спрашиваю, состоит в том, что аппаратное обеспечение MACSec предлагает шифрование по проводной скорости за долю от типичной стоимости, связанной с шифрованием уровня 2.

У меня нет представителя для добавления новых тегов, но вы можете добавить соответствующие теги для MACSec, PBN, 802.1ad, 802.1ae и т. Д.

Рой
источник

Ответы:

4

MacSec (т. Е. 802.1ae-2006) - это технология шифрования по принципу скачкообразной перестройки ... Поэтому MacSec с мостом от поставщика сегодня невозможен; Тем не менее, речь идет об ослаблении шифрования MacSec для каждого прыжка.

Майк Пеннингтон
источник
Но если зашифрованный кадр MACSec инкапсулируется и помечается S-VLAN на входе, пересылается через PBN, а инкапсуляция S-VLAN удаляется на выходе с другой стороны. Разве коммутаторы клиентов не воспримут это как один переход, как с EoMPLS? Возможно, поддерживается смещение шифрования, поэтому тег C-VLAN все еще виден?
Рой
Спасибо за ссылку, кстати. У меня уже есть этот документ на моем столе, хотя некоторые из них совершенно непонятны для меня :)
Рой
Если вы прочтете первую страницу статьи, она очень четко объясняет, что PBN сегодня не поддерживается ... «В этой заметке объясняется, почему IEEE 802.1AE – 2006 не включает возможности с несколькими переходами, которые на первый взгляд могут показаться« интересными »»
Майк Пеннингтон
1
Ну, во входе также говорится: «В этой записке объясняется, почему эти мосты можно рассматривать как« одиночный прыжок »». Я надеюсь, вы понимаете, почему я нахожу это немного запутанным, особенно учитывая, что инкапсуляция EoMPLS, кажется, работает просто отлично.
Рой
1

Из того, что я до сих пор собираю, если конечная точка MACsec где C-tag / затем добавляет заголовок sec, тогда s-tag и PBN пересылают кадр на основе s-тега, который созданная конечная точка MACsec должна работать. Нечеткость возникает, когда PBN добавляет s-тег к кадру, который изменяет FCS и, возможно, предупреждает другую конечную точку о том, что кадр был подделан / изменен, и, следовательно, целостность не может быть подтверждена. Я не на 100% в этом, но это то, что я думаю, держит от конца до конца MACsec от работы.

user6121
источник
Для тех, кто немного знаком с терминологией Ethernet оператора: PBN : сеть провайдера , C-Tag : метка VLAN клиента, S-метка : метка VLAN службы, FCS : последовательность проверки кадров
Джонатон Рейнхарт