Rozszerz szyfrowanie MACSec na mostek dostawcy

11

Zadałem już to pytanie na SF, ale pomyślałem, że może być lepiej tutaj.

Czy w ogóle możliwe jest rozszerzenie szyfrowania MACSec na mostek dostawcy? Czy typowa implementacja 802.1ad będzie w stanie przesłać zaszyfrowaną ramkę, czy też przekreśli integralność ramki?

Zdaję sobie sprawę, że MACSec jest przeznaczony do bezpieczeństwa hop-by-hop. Czy są jakieś powody, aby nie używać MACSec do szyfrowania punkt-punkt przez przewoźnika lub inne specjalne względy, które należy wziąć pod uwagę?

Pytam dlatego, że sprzęt MACSec oferuje szyfrowanie Wirespeed za ułamek typowego kosztu związanego z szyfrowaniem warstwy 2.

Nie mam przedstawiciela, aby dodać nowe tagi, ale mogę dodać odpowiednie tagi dla MACSec, PBN, 802.1ad i 802.1ae itp.

ethernet security Roy
źródło

Odpowiedzi:

4

MacSec (tj. 802.1ae-2006) to technologia szyfrowania hop-by-hop ... Dlatego MacSec z mostem dostawcy nie jest dziś możliwy; jednak mówi się o relaksującym szyfrowaniu MacSec w trybie per-hop

Mike Pennington
źródło
Ale jeśli zaszyfrowana ramka MACSec jest enkapsulowana i znakowana S-VLAN przy wejściu, przesyłana dalej przez PBN i enkapsulacja S-VLAN jest usuwana przy wyjściu po drugiej stronie. Czy przełączniki klientów nie postrzegają tego jako pojedynczego przeskoku, tak jak w przypadku EoMPLS? Być może obsługiwane przez przesunięcie szyfrowania, więc tag C-VLAN jest nadal widoczny?
Roy
Dzięki za link, btw. Mam już ten dokument na swoim biurku, choć niektóre z nich są dla mnie zupełnie niezrozumiałe :)
Roy
Jeśli czytasz pierwszą stronę artykułu, wyjaśnia to bardzo wyraźnie, że PBN nie jest dziś obsługiwany ... „Ta notatka wyjaśnia, dlaczego IEEE 802.1AE – 2006 nie obejmuje możliwości wielu przeskoków, które na pierwszy rzut oka mogą wydawać się„ interesujące ””
Mike Pennington,
1
Cóż, na wejściu jest również napisane: „Ta notatka wyjaśnia, dlaczego te mosty można traktować jako„ pojedynczy skok ”. Mam nadzieję, że zrozumiecie, dlaczego uważam to za nieco mylące, szczególnie biorąc pod uwagę, że enkapsulacja EoMPLS wydaje się działać dobrze.
Roy
1

Z tego, co do tej pory zbieram, jeśli punkt końcowy MACsec, gdzie C-tag / następnie dodać nagłówek sec, to s-tag i PBN przesłały ramkę w oparciu o s-tag, który stworzył punkt końcowy MACsec, powinien działać. Nieostrość pojawia się, gdy PBN dodaje znacznik s do ramki, która zmienia FCS i ewentualnie ostrzega inny punkt końcowy, że ramka została zmieniona / zmodyfikowana, a zatem integralność nie może być sprawdzona. Nie jestem w 100% na tym, ale myślę, że to właśnie powstrzymuje MACsec od działania.

użytkownik6121
źródło
Dla tych, którzy znają nieco terminologię Ethernet operatora: PBN : Sieć mostu dostawcy , Tag C: Tag VLAN klienta, Tag S : Service Tag VLAN, FCS : Sekwencja sprawdzania ramki
Jonathon Reinhart