我已经在 SF 上问过这个问题,但我认为它可能更适合这里。
是否有可能通过提供商网桥扩展 MACSec 加密?典型的 802.1ad 实现是否能够转发加密帧,或者转发会破坏帧完整性?
我确实意识到 MACSec 旨在实现逐跳安全。是否有任何理由不使用 MACSec 通过运营商进行点对点加密,或其他应考虑的特殊注意事项?
我问的原因是 MACSec 硬件以与第 2 层加密相关的典型成本的一小部分提供线速加密。
我没有添加新标签的代表,但可以随意为 MACSec、PBN、802.1ad 和 802.1ae 等添加相关标签
MacSec(即 802.1ae-2006)是一种逐跳加密技术……因此,提供商桥接 MacSec 在今天是不可能的;然而,有一个关于放松每跳 MacSec 加密的讨论
从我到目前为止收集的信息来看,如果 MACsec 端点添加到 C-tag/ 然后添加 sec 标头,然后添加 s-tag 和 PBN 根据 MACsec 端点创建的 s-tag 转发帧应该可以工作。模糊性出现在 PBN 将 s 标签添加到更改 FCS 的帧中,并可能警告其他端点该帧已被篡改/修改,因此无法验证完整性。我不是 100% 的,但这就是我认为让端到端 MACsec 无法工作的原因。