加密 MACsec 帧中丢失的以太网类型

网络工程 以太网 协议理论 安全
2021-07-10 21:28:43

MACsec 使用 88E5 的以太网类型。这在加密已经或应该具有另一种以太网类型的帧时会出现明显的问题。例如,这个 RedHat博客声明“[MACsec] 可以保护 LAN 内的所有流量,包括 DHCP 和 ARP,以及来自更高层协议的流量”。当 ARP 必须具有 0806 的以太网类型时,如何保护它?

更一般地说,如果你有一个加密的骨干网/交换机/WLAN/任何与未加密端点通信的东西,那么交换机将在入口加密普通以太网帧,并在出口解密。在这个过程中,原来的Ethertype丢失了,因为MACsec帧中没有地方可以存储它,那么交换机在传出的Ethertype中放了什么?

我想一个选择是让交换机只加密一个特定的 Etherype - IPv4,比如说 - 用 88E5 替换传入的 0800,并在输出中反转它。不过,这似乎不是特别有用。谢谢。

1个回答

MACsec 实际上添加到以太网帧头和尾。您最终会在 Ether Type 字段位置获得不同的值,就像您在 802.1Q 中所做的那样,但原始 Ether Type 字段被保留。

其它你可能感兴趣的问题
上一篇粘性 MAC 访问策略会阻止未经授权的集线器连接到网络吗? 下一篇设置“router rip”网络后,如何查看?