Mở rộng mã hóa MACSec qua cầu nhà cung cấp


11

Tôi đã hỏi câu hỏi này trên SF, nhưng hình dung nó có thể phù hợp hơn ở đây.

Có khả năng mở rộng mã hóa MACSec qua cầu nối của nhà cung cấp không? Việc triển khai 802.1ad điển hình sẽ có thể chuyển tiếp khung được mã hóa hay sẽ chuyển tiếp toàn vẹn khung phá vỡ?

Tôi nhận ra MACSec được dành cho bảo mật hop-by-hop. Có bất kỳ lý do nào để không sử dụng MACSec để mã hóa điểm-điểm trên một nhà mạng hoặc các cân nhắc đặc biệt khác cần được tính đến không?

Lý do tôi hỏi là phần cứng MACSec cung cấp mã hóa tốc độ dây với một phần chi phí điển hình liên quan đến mã hóa lớp 2.

Tôi không có đại diện để thêm các thẻ mới, nhưng vui lòng thêm các thẻ có liên quan cho MACSec, PBN, 802.1ad và 802.1ae, v.v.

Câu trả lời:


4

Nhưng nếu khung được mã hóa MACSec được đóng gói và được gắn thẻ S-Vlan khi xâm nhập, chuyển tiếp qua PBN và đóng gói S-Vlan sẽ bị loại bỏ ở phía bên kia. Các công tắc của khách hàng sẽ không xem đây là một bước nhảy, giống như với EoMPLS? Có lẽ được hỗ trợ bởi một phần bù mã hóa, vì vậy thẻ C-Vlan vẫn hiển thị?
Roy

Cảm ơn các liên kết, btw. Tôi đã có tài liệu đó trên bàn, mặc dù một số tài liệu khá khó hiểu với tôi :)
Roy

Nếu bạn đọc trang đầu tiên của bài báo, nó giải thích rất rõ ràng rằng PBN không được hỗ trợ ngày hôm nay ... "Lưu ý này giải thích tại sao IEEE 802.1AElahoma 2006 không bao gồm các khả năng đa hop có thể xuất hiện 'thú vị' ngay từ cái nhìn đầu tiên"
Mike Pennington

1
Chà, trong phần xâm nhập cũng có ghi "Ghi chú này giải thích tại sao những cây cầu này có thể được coi là một 'bước nhảy duy nhất'". Tôi hy vọng bạn có thể thấy lý do tại sao tôi thấy điều này hơi khó hiểu, đặc biệt khi xem xét việc đóng gói EoMPLS dường như chỉ hoạt động tốt.
Roy

1

Từ những gì tôi thu thập được cho đến nay nếu điểm cuối MACsec ở đâu vào thẻ C / sau đó thêm tiêu đề sec thì thẻ s và PBN chuyển tiếp khung dựa trên thẻ s mà điểm cuối MACsec tạo ra sẽ hoạt động. Sự mờ nhạt xuất hiện trong đó PBN thêm thẻ s vào khung làm thay đổi FCS và có thể cảnh báo điểm cuối khác rằng khung đã bị giả mạo / sửa đổi và do đó tính toàn vẹn không thể được xác thực. Tôi không 100% về điều này nhưng đó là những gì tôi nghĩ sẽ ngăn chặn MACsec hoạt động.


Đối với những người chỉ quen thuộc với thuật ngữ Ethernet của nhà mạng: PBN : Mạng cầu của nhà cung cấp , Thẻ C : Thẻ Vlan của khách hàng, Thẻ S : Thẻ Vlan dịch vụ, FCS : Trình tự kiểm tra khung
Jonathon Reinhart
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.