如果一个设备(例如无线路由器)尝试通过非托管交换机与另一个设备(例如另一个网络的某个网关)进行通信,并且路由器使用 802.1ae macsec(网关也支持)加密其传输的帧,但连接它们的交换机对 802.1ae 一无所知并且无法解密加密的消息部分,那么交换机是否仍然能够在两者之间路由消息?
或者名义上,在这种情况下大多数交换机是否会丢弃该消息?
对于需要从消息的加密部分读取 VLAN ID 的托管交换机,如果它不支持 802.1ae,我假设它会丢弃它。
但对于非管理型交换机,似乎(名义上)能够仅根据 MAC 地址进行正确的路由。
答案1
帧,例如 802.1X 或 802.1AE(适用于多种 LAN 类型的协议,使用大写字母)使用01-80-C2IEEE 定义的特殊多播 OUI(),可防止网桥(交换机)将它们转发到任何其他接口。
这意味着 MACsec(802.1AE,802.1X 的超集)无法跨越不知道如何使用它的网桥。这同样适用于所有 802.1x 协议。请参阅IEEE 802.1D™-2004标准。
但对于非托管交换机,它似乎(名义上)能够仅根据 mac 地址正确路由。但这可能不是一个正确的假设。
顺便说一句,交换机不进行路由。路由是第 3 层功能,但网桥(交换机)在第 2 层进行交换。
答案2
不支持 MACsec 的交换机通常可以转发已通过 MACsec 进行身份验证和/或加密的以太网帧。RedHat 有一篇博客文章这里并附上一些图片,并将此案例描述为“MACsec 的主要用例”。这显然是有道理的,否则 MACsec 被采用的可能性几乎为零。
正如您或多或少所说的那样,交换机将根据内部路由表转发帧,该路由表仅加载了 MAC 地址,这些地址在 MACsec 中是明文的。其他地方提到的 OUI 内容仅与 MKA 设置相关。
正如您所指出的,VLAN 存在问题。802.1Q 标签超出了 SecTAG 的范围,并且将被加密(如果启用了加密)。供应商通常有变通方法来防止标签加密,您可以使用这些方法 - 例如查找“明文 802.1Q 标签”。