공급자 브리지를 통해 MACSec 암호화 확장

11

나는 이미 SF에 대해이 질문을했지만 여기에 더 적합 할 것이라고 생각했습니다.

공급자 브리지를 통해 MACSec 암호화를 확장 할 수 있습니까? 일반적인 802.1ad 구현에서 암호화 된 프레임을 전달할 수 있습니까?

MACSec이 홉별 보안을위한 것임을 알고 있습니다. 캐리어를 통한 지점 간 암호화 또는 고려해야 할 기타 특수 고려 사항에 MACSec을 사용하지 않는 이유가 있습니까?

내가 묻는 이유는 MACSec 하드웨어가 계층 2 암호화와 관련된 일반적인 비용의 일부로 유선 속도 암호화를 제공하기 때문입니다.

새 태그를 추가 할 담당자는 없지만 MACSec, PBN, 802.1ad 및 802.1ae 등에 관련 태그를 자유롭게 추가하십시오.

ethernet  security 
로이
소스

답변:

4

MacSec (즉, 802.1ae-2006)은 홉별 홉핑 기술입니다. 따라서 현재 제공 업체가 제공하는 MacSec은 불가능합니다. 그러나 홉 당 MacSec 암호화를 완화한다는 이야기가 있습니다.

마이크 페닝 턴
소스
그러나 MACSec 암호화 된 프레임이 수신시 S-VLAN으로 캡슐화되고 태그가 지정된 경우 PBN을 통해 전달되고 S-VLAN 캡슐화는 다른 쪽에서 송신시 제거됩니다. 고객 스위치는 이것을 EoMPLS와 마찬가지로 단일 홉으로 보지 않습니까? 아마도 암호화 오프셋에서 지원되므로 C-VLAN 태그가 여전히 표시됩니까?
Roy
링크 주셔서 감사합니다, btw. 나는 이미 그 문서를 내 책상 위에두고있다. 비록 그 중 일부는 나에게 이해하기
Roy
이 백서의 첫 페이지를 읽으면 오늘날 PBN이 지원되지 않는다는 점을 매우 명확하게 설명합니다 ... "이 노트는 IEEE 802.1AE–2006에 언뜻보기에 '흥미로운'것처럼 보일 수있는 멀티 홉 가능성을 포함하지 않는 이유를 설명합니다."
Mike Pennington
1
글쎄요, "이 노트는 왜이 다리들이 '싱글 홉'으로 취급 될 수 있는지 설명합니다." EoMPLS 캡슐화가 제대로 작동하는 것 같다는 점을 고려할 때 왜 이것이 약간 혼란 스러운지 알 수 있기를 바랍니다.
Roy
1

MACsec 끝점에 C-tag / 위치를 지정하고 sec 헤더를 추가 한 다음 s-tag 및 PBN이 MACsec 끝점에서 생성 한 s-tag를 기반으로 프레임을 전달한 경우 지금까지 수집 한 내용에서 작동합니다. FBN이 FCS를 변경하는 프레임에 s- 태그를 추가하고 프레임이 변조 / 수정되어 무결성을 검증 할 수 없음을 다른 엔드 포인트에 경고하는 경우 퍼지가 발생합니다. 나는 이것에 100 %가 아니지만 그것이 MACsec의 끝에서 끝까지 계속 작동한다고 생각합니다.

사용자 6121
소스
캐리어 이더넷 용어에 어느 정도 익숙한 사람들을 위해 : PBN : Provider Bridge Network , C-Tag : 고객 VLAN 태그, S-Tag : 서비스 VLAN 태그, FCS : 이더넷 프레임 확인 시퀀스
Jonathon Reinhart
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.