Erweitern Sie die MACSec-Verschlüsselung über die Provider Bridge

11

Ich habe diese Frage bereits bei SF gestellt, aber ich dachte, es könnte hier besser passen.

Ist es überhaupt möglich, die MACSec-Verschlüsselung über eine Provider-Bridge zu erweitern? Wird die typische 802.1ad-Implementierung den verschlüsselten Frame weiterleiten können oder wird die Weiterleitung die Frame-Integrität beeinträchtigen?

Mir ist klar, dass MACSec für die Hop-by-Hop-Sicherheit gedacht ist. Gibt es Gründe, MACSec nicht für die Punkt-zu-Punkt-Verschlüsselung über einen Netzbetreiber zu verwenden, oder andere spezielle Überlegungen, die berücksichtigt werden sollten?

Der Grund, den ich frage, ist, dass MACSec-Hardware Wirespeed-Verschlüsselung zu einem Bruchteil der typischen Kosten bietet, die mit Layer-2-Verschlüsselung verbunden sind.

Ich habe nicht den Repräsentanten, um neue Tags hinzuzufügen, kann aber relevante Tags für MACSec, PBN, 802.1ad und 802.1ae usw. Hinzufügen

ethernet security Roy
quelle

Antworten:

4

MacSec (dh 802.1ae-2006) ist eine Hop-by-Hop-Encyption-Technologie ... Daher ist eine von Anbietern überbrückte MacSec heute nicht möglich. Es ist jedoch die Rede von einer entspannenden Per-Hop-MacSec-Verschlüsselung

Mike Pennington
quelle
Wenn jedoch der MACSec-verschlüsselte Frame beim Eingang eingekapselt und mit S-VLAN gekennzeichnet ist, wird er über das PBN weitergeleitet und die S-VLAN-Kapselung wird beim Ausgang auf der anderen Seite entfernt. Werden die Kundenschalter dies nicht wie bei EoMPLS als einen einzigen Hop sehen? Möglicherweise durch einen Verschlüsselungsoffset unterstützt, sodass das C-VLAN-Tag weiterhin sichtbar ist?
Roy
Danke übrigens für den Link. Ich habe dieses Dokument bereits auf meinem Schreibtisch, obwohl ein Teil davon für mich ziemlich unverständlich ist :)
Roy
Wenn Sie die erste Seite des Dokuments lesen, wird sehr deutlich, dass PBN heute nicht unterstützt wird ... "Dieser Hinweis erklärt, warum IEEE 802.1AE - 2006 keine Multi-Hop-Möglichkeiten enthält, die auf den ersten Blick 'interessant' erscheinen könnten."
Mike Pennington
1
Nun, im Ingress heißt es auch "Diese Notiz erklärt, warum diese Brücken als 'Single Hop' behandelt werden können". Ich hoffe, Sie können sehen, warum ich das nur ein wenig verwirrend finde, besonders wenn man bedenkt, dass die EoMPLS-Kapselung gut zu funktionieren scheint.
Roy
1

Nach dem, was ich bisher gesammelt habe, wenn der MACsec-Endpunkt den C-Tag / dann den sec-Header hinzufügt, dann leiten das S-Tag und das PBN den Frame weiter, basierend auf dem S-Tag, das der MACsec-Endpunkt erstellt hat. Die Unschärfe tritt ein, wenn das PBN dem Frame das S-Tag hinzufügt, wodurch das FCS geändert wird, und möglicherweise den anderen Endpunkt benachrichtigt, dass der Frame manipuliert / geändert wurde und daher die Integrität nicht überprüft werden kann. Ich bin nicht zu 100% damit einverstanden, aber das ist es, was meiner Meinung nach verhindert, dass End-to-End-MACsec funktioniert.

user6121
quelle
Für diejenigen, die mit der Carrier-Ethernet-Terminologie nur wenig vertraut sind: PBN : Provider Bridge Network , C-Tag : Kunden-VLAN-Tag, S-Tag : Service-VLAN-Tag, FCS : Ethernet- Frame-Check-Sequenz
Jonathon Reinhart