Encryption

基於 PBN 的 MACSec 加密?

  • February 15, 2015

這齣現在一個更通用的鏈路層加密問題中:

帶有 MACSec 硬體的商品交換機提供線速 AES-GCM 加密,其成本僅為通常與第 2 層加密相關的成本的一小部分。

是否有可能將 MACSec (802.1AE) 擴展為提供商網橋 (802.1AD) 上的點對點解決方案,還是會破壞幀完整性?

如果 Q-in-Q 不起作用,是否可以使用其他形式的封裝或低成本封裝通過運營商乙太網傳輸 MACSec 加密幀?

我確實意識到 MACSec 旨在實現逐跳安全,但是當網路(和加密密鑰)由第三方(如通信提供商)管理時,逐跳加密自然會變得不那麼有趣。有必要在整個供應商網路中保持點對點數據的完整性和安全性,儘管最好不要以隧道和分叉將流量提升到第 3 層以進行 IPSec 加密為代價。

即使在可能的情況下,是否有充分的理由避免使用 MACSec 進行點對點加密,或者任何其他應考慮的特殊考慮因素?

Mick Seaman(IEEE 802.1 Interworking TF 主席)就這個問題寫了一篇詳盡的論文。名為“MACSec hops”的論文似乎得出結論,儘管至少在某些情況下不希望 MACSec 幀穿過 PBN 或 PBBN,但它可能是可能的。

該論文可在此處獲得:http ://www.ieee802.org/1/files/public/docs2013/ae-seaman-macsec-hops-0213-v02.pdf

引用自:https://serverfault.com/questions/520848