基於 PBN 的 MACSec 加密？

這齣現在一個更通用的鏈路層加密問題中：

帶有 MACSec 硬體的商品交換機提供線速 AES-GCM 加密，其成本僅為通常與第 2 層加密相關的成本的一小部分。

是否有可能將 MACSec (802.1AE) 擴展為提供商網橋 (802.1AD) 上的點對點解決方案，還是會破壞幀完整性？

如果 Q-in-Q 不起作用，是否可以使用其他形式的封裝或低成本封裝通過運營商乙太網傳輸 MACSec 加密幀？

我確實意識到 MACSec 旨在實現逐跳安全，但是當網路（和加密密鑰）由第三方（如通信提供商）管理時，逐跳加密自然會變得不那麼有趣。有必要在整個供應商網路中保持點對點數據的完整性和安全性，儘管最好不要以隧道和分叉將流量提升到第 3 層以進行 IPSec 加密為代價。

即使在可能的情況下，是否有充分的理由避免使用 MACSec 進行點對點加密，或者任何其他應考慮的特殊考慮因素？

Mick Seaman（IEEE 802.1 Interworking TF 主席）就這個問題寫了一篇詳盡的論文。名為“MACSec hops”的論文似乎得出結論，儘管至少在某些情況下不希望 MACSec 幀穿過 PBN 或 PBBN，但它可能是可能的。

該論文可在此處獲得：http ://www.ieee802.org/1/files/public/docs2013/ae-seaman-macsec-hops-0213-v02.pdf

引用自：https://serverfault.com/questions/520848