MACSec şifrelemesini sağlayıcı köprüsü üzerinden genişletme


11

SF üzerinde bu soruyu zaten sordum, ancak burada daha iyi olabileceğini düşündüm.

MACSec şifrelemesini bir sağlayıcı köprüsü üzerinden genişletmek mümkün müdür? Tipik 802.1ad uygulaması şifreli çerçeveyi iletebilecek mi, yoksa çerçeve bütünlüğünü iletecek mi?

MACSec'in hop-by-hop güvenliği için tasarlandığını anlıyorum. Bir taşıyıcı üzerinde noktadan noktaya şifreleme veya dikkate alınması gereken diğer hususlar için MACSec'i kullanmamak için herhangi bir neden var mı?

Sormamın nedeni, MACSec donanımının, katman 2 şifrelemesiyle ilişkili tipik maliyetin bir kısmında tel hızı şifrelemesi sunmasıdır.

Yeni etiketler eklemek için temsilcim yok, ancak MACSec, PBN, 802.1ad ve 802.1ae vb.İle ilgili etiketler eklemekten çekinmeyin.

Yanıtlar:


4

MacSec (yani 802.1ae-2006) hop-by-hop atlama encyption teknolojisidir ... Bu nedenle sağlayıcı tarafından köprülenmiş MacSec bugün mümkün değildir; ancak, rahatlatıcı hop-at MacSec şifreleme hakkında bir konuşma var


Ancak MACSec şifreli çerçevesi girişte S-VLAN ile kapsüllenir ve etiketlenirse, PBN'den iletilir ve S-VLAN kapsüllemesi diğer taraftaki çıkışta kaldırılır. Müşteri anahtarları bunu EoMPLS'de olduğu gibi tek bir atlama olarak görmez mi? Belki de bir şifreleme ofseti tarafından destekleniyor, bu yüzden C-VLAN etiketi hala görülebilir mi?
Roy

Bağlantı için teşekkürler, btw. Zaten masamın üzerinde oturan bu belgem var, bazıları benim için oldukça anlaşılmaz olmasına rağmen :)
Roy

Makalenin ilk sayfasını okursanız, PBN'nin bugün desteklenmediğini çok açık bir şekilde açıklıyor ... "Bu not, IEEE 802.1AE – 2006'nın neden ilk bakışta 'ilginç' görünebilecek çok sekmeli olasılıkları içermediğini açıklıyor"
Mike Pennington

1
Peki, girişte "Bu not bu köprülerin neden" tek sekme "olarak ele alınabileceğini açıklıyor" diyor. Umarım bunu neden biraz kafa karıştırıcı bulduğumu görebiliyorsunuz, özellikle EoMPLS kapsüllemesinin iyi çalıştığını düşünüyoruz.
Roy

1

MACsec uç noktası nereye C-etiketi / sonra sn üstbilgisi eklemek sonra şimdiye kadar ne toplama sonra s-etiketi ve PBN MACsec uç noktasının oluşturduğu s-etiketi dayalı çerçeve iletti. Bulanıklık, PBN'nin s-etiketini FCS'yi değiştiren çerçeveye eklediği ve muhtemelen çerçevenin kurcalandığı / değiştirildiği ve dolayısıyla bütünlüğün doğrulanamadığı diğer uç noktasını uyardığı yerdir. Bu konuda% 100 değilim ama bence MACsec'in uçtan uca çalışmasını engelliyor.


Taşıyıcı Ethernet terminolojisine biraz aşina olanlar için: PBN : Sağlayıcı Köprü Ağı , C-Etiketi : Müşteri VLAN Etiketi, S-Etiketi : Servis VLAN Etiketi, FCS : Ethernet Çerçevesi Kontrol Dizisi
Jonathon Reinhart
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.