这是一个更通用的链路层加密问题:
带有 MACSec 硬件的商品交换机提供线速 AES-GCM 加密,而成本仅为第 2 层加密的一小部分。
是否有可能将 MACSec(802.1AE)扩展为通过提供商桥接器(802.1AD)的点对点解决方案,或者这会破坏帧完整性?
如果 Q-in-Q 不起作用,是否可以使用其他形式的封装或低开销封装通过运营商以太网传输 MACSec 加密帧?
我确实意识到 MACSec 旨在实现逐跳安全,但当网络(和加密密钥)由第三方(如通信提供商)管理时,逐跳加密自然就变得不那么有趣了。有必要在整个提供商网络中始终保持点对点数据的完整性和安全性,但最好不要以隧道和分叉传输流量到第 3 层进行 IPSec 加密为代价。
即使可能,是否有任何充分的理由避免使用 MACSec 进行点对点加密,或者应该考虑任何其他特殊因素?
答案1
Mick Seaman(IEEE 802.1 Interworking TF 主席)就这个问题撰写了一篇详尽的论文。这篇名为“MACSec hops”的论文似乎得出结论,尽管在某些情况下,MACSec 帧穿越 PBN 或 PBBN 是不可取的,但这是可能的。
该论文可在此处获取:http://www.ieee802.org/1/files/public/docs2013/ae-seaman-macsec-hops-0213-v02.pdf