ขยายการเข้ารหัส MACSec ผ่านผู้ให้บริการบริดจ์


11

ฉันได้ถามคำถามนี้ไปแล้วเกี่ยวกับ SF แต่คิดว่าอาจเหมาะสมกว่านี้

เป็นไปได้หรือไม่ที่จะขยายการเข้ารหัส MACSec ผ่านบริดจ์ผู้ให้บริการ การใช้งานทั่วไป 802.1ad จะสามารถส่งต่อเฟรมเข้ารหัสหรือจะส่งต่อการทำลายเฟรมสมบูรณ์หรือไม่

ฉันรู้ว่า MACSec นั้นมีจุดประสงค์เพื่อความปลอดภัยแบบ hop-by-hop มีเหตุผลใดที่จะไม่ใช้ MACSec สำหรับการเข้ารหัสแบบจุดต่อจุดเหนือผู้ให้บริการหรือการพิจารณาพิเศษอื่น ๆ ที่ควรนำมาพิจารณา?

เหตุผลที่ฉันถามก็คือฮาร์ดแวร์ของ MACSec เสนอการเข้ารหัส wirepeed ในราคาเพียงเศษเสี้ยวของค่าใช้จ่ายทั่วไปที่เกี่ยวข้องกับการเข้ารหัสเลเยอร์ 2

ฉันไม่มีตัวแทนในการเพิ่มแท็กใหม่ แต่อย่าลังเลที่จะเพิ่มแท็กที่เกี่ยวข้องสำหรับ MACSec, PBN, 802.1ad และ 802.1ae เป็นต้น

คำตอบ:


4

MacSec (เช่น 802.1ae-2006) เป็นเทคโนโลยีการเข้ารหัส hop-by-hop ... ดังนั้น MacSec ที่เชื่อมโยงผู้ให้บริการจึงเป็นไปไม่ได้ในปัจจุบัน อย่างไรก็ตามมีการพูดคุยของการเข้ารหัส MacSec ต่อการผ่อนคลาย


แต่ถ้าเฟรมเข้ารหัสของ MACSec ถูกห่อหุ้มและแท็กด้วย S-VLAN ที่ทางเข้าส่งต่อผ่าน PBN และการห่อหุ้ม S-VLAN จะถูกลบออกที่ด้านนอกอีกด้านหนึ่ง ลูกค้าจะไม่เห็นว่านี่เป็นการเต้นแบบฮอปเดียวเหมือนกับ EoMPLS หรือไม่ อาจได้รับการสนับสนุนโดยการเข้ารหัสออฟเซตดังนั้นแท็ก C-VLAN ยังคงปรากฏอยู่
Roy

ขอบคุณสำหรับลิงค์ btw ฉันมีเอกสารที่อยู่บนโต๊ะทำงานของฉันแม้ว่าบางส่วนของมันเป็นที่เข้าใจได้ยากมากทีเดียวที่จะฉัน :)
รอย

หากคุณอ่านหน้าแรกของกระดาษจะอธิบายอย่างชัดเจนว่าไม่รองรับ PBN ในวันนี้ ... "หมายเหตุนี้อธิบายว่าเพราะเหตุใด IEEE 802.1AE – 2006 จึงไม่ได้รวมความเป็นไปได้หลายทางที่อาจดูน่าสนใจในครั้งแรก"
Mike Pennington

1
ในทางเข้าก็บอกว่า "บันทึกนี้อธิบายว่าทำไมสะพานเหล่านี้จึงสามารถถือว่าเป็น 'การฟ้อนรำเดียว'" ฉันหวังว่าคุณจะเห็นว่าทำไมฉันถึงพบความสับสนเล็กน้อยโดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่าการห่อหุ้ม EoMPLS ดูเหมือนจะใช้ได้ดี
Roy

1

จากสิ่งที่ฉันรวบรวมมาถ้าปลายทางของ MACsec ไปที่ C-tag / จากนั้นเพิ่มส่วนหัววินาทีจากนั้น s-tag และ PBN จะส่งต่อเฟรมตาม s-tag ที่ปลายทาง MACsec สร้างขึ้นควรทำงาน ความคลุมเครือเกิดขึ้นเมื่อ PBN เพิ่ม s-tag ไปยังเฟรมซึ่งเปลี่ยน FCS และอาจแจ้งเตือนจุดปลายอื่น ๆ ที่เฟรมถูกดัดแปลง / แก้ไขดังนั้นความสมบูรณ์ของการตรวจสอบจึงไม่สามารถตรวจสอบได้ ฉันไม่ได้ 100% กับสิ่งนี้ แต่นั่นคือสิ่งที่ฉันคิดว่าจะยุติการหยุดทำงานของ MACsec


สำหรับผู้ที่คุ้นเคยกับคำศัพท์อีเทอร์เน็ตของผู้ให้บริการที่ค่อนข้างคุ้นเคยเท่านั้น: PBN : Provider Bridge Network , C-Tag : แท็ก VLAN ของลูกค้า, S-Tag : บริการแท็ก VLAN, FCS : ลำดับการตรวจสอบเฟรม
Jonathon Reinhart
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.