11 我已经在SF上问过这个问题,但认为这里可能更合适。 是否可以通过提供者网桥扩展MACSec加密?典型的802.1ad实现是否能够转发加密的帧,或者转发中断帧的完整性? 我确实意识到MACSec是用于逐跳安全性的。是否有任何理由不使用MACSec在运营商上进行点对点加密,或者是否应考虑其他特殊因素? 我问的原因是MACSec硬件以与第二层加密相关的典型成本的一小部分提供线速加密。 我没有代表来添加新标签,但可以随时为MACSec,PBN,802.1ad和802.1ae等添加相关标签 ethernet security — 罗伊 source
4 MacSec(即802.1ae-2006)是一种逐跳加密技术。因此,今天无法使用提供商桥接的MacSec。但是,有一种说法是放宽每跳MacSec加密 — 迈克·彭宁顿 source 但是,如果在入口处将MACSec加密的帧封装并用S-VLAN标记,则通过PBN转发,并且在另一侧的出口处将删除S-VLAN封装。客户交换机不会像EoMPLS那样将其视为单跳吗?也许受加密偏移量支持,所以C-VLAN标记仍然可见? — 罗伊 谢谢你的链接,顺便说一句。我已经把那个文件放在桌子上了,虽然其中有些对我来说是很难理解的:) — Roy 如果您阅读本文的第一页,则非常清楚地说明了今天不支持PBN ...“此说明解释了为什么IEEE 802.1AE–2006不包括乍一看可能引起人们兴趣的多跳可能性” — Mike Pennington 1 好吧,在入口处还说:“此说明解释了为什么可以将这些网桥视为'单跳'”。我希望您能明白为什么我觉得这有点令人困惑,尤其是考虑到EoMPLS封装似乎工作得很好。 — 罗伊
1 从我到目前为止收集到的信息来看,如果MACsec端点在哪里进行C-标记/然后添加sec标头,则s-标记和PBN会根据MACsec端点创建它应该工作的s-标记转发帧。模糊性来自PBN将s标签添加到帧中,从而更改FCS并可能警告另一端点该帧已被篡改/修改,因此无法验证完整性。我对此不是100%的,但这就是我认为端对端MACsec无法正常工作的原因。 — 用户名 source 对于那些只稍微熟悉运营商以太网术语的人:PBN:提供商桥接网络,C-Tag:客户VLAN标签,S-Tag:服务VLAN标签,FCS:以太网帧检查序列 — Jonathon Reinhart