这出现在一个更通用的链路层加密问题中:
带有 MACSec 硬件的商品交换机提供线速 AES-GCM 加密,其成本仅为通常与第 2 层加密相关的成本的一小部分。
是否有可能将 MACSec (802.1AE) 扩展为提供商网桥 (802.1AD) 上的点对点解决方案,还是会破坏帧完整性?
如果 Q-in-Q 不起作用,是否可以使用其他形式的封装或低开销封装通过运营商以太网传输 MACSec 加密帧?
我确实意识到 MACSec 旨在实现逐跳安全,但是当网络(和加密密钥)由第三方(如通信提供商)管理时,逐跳加密自然会变得不那么有趣。有必要在整个供应商网络中保持点对点数据的完整性和安全性,尽管最好不要以隧道和分叉将流量提升到第 3 层以进行 IPSec 加密为代价。
即使在可能的情况下,是否有充分的理由避免使用 MACSec 进行点对点加密,或者任何其他应考虑的特殊考虑因素?
Mick Seaman(IEEE 802.1 Interworking TF 主席)就这个问题写了一篇详尽的论文。名为“MACSec hops”的论文似乎得出结论,尽管至少在某些情况下不希望 MACSec 帧穿过 PBN 或 PBBN,但它可能是可能的。
该论文可在此处获得:http ://www.ieee802.org/1/files/public/docs2013/ae-seaman-macsec-hops-0213-v02.pdf