设置: 3 Linux Ubuntu 18.04 在 GNS3 中虚拟化,全部连接到以太网集线器,我们将它们称为 VM1、VM2 和 VM3,每个 VM 都有一个名为 ens3 的物理接口和一个来自主路由器上运行的 DHCP 服务器的 IP 地址。 在 VM1 上,我创建了两个新的虚拟接口,分别称为 macsec1 和 macsec2,在 VM2 上为 macsec1,在 VM3 上为 macsec1。它们是使用以下命令创建的: 对于 VM1: # Creating the virtual macsec1 interface and its Rx cha...
我开始使用 wpa_supplicant 配置与另一台计算机的 MacSec 连接,问题是我在 wpa_supplicant 的模板中找不到几个选项。 https://w1.fi/cgit/hostap/plain/wpa_supplicant/wpa_supplicant.conf 我的问题是,是否可以将密码套件从 GCM-AES-128(默认)更改为协议中可用的 3 个密码套件之一。另外,我想知道为什么参数“macsec_offload”对我的 wpa_supplicant 无效,尽管我拥有的版本与链接中显示的版本相同。 谢谢! ...
我正在配置 macsec,我发现,当使用此协议发送/接收数据时,比特率非常低。 我在 10Gb 网络适配器上使用它,使用 iperf3 几乎达到该值,但是当通过该接口使用 MACsec 时,它达到的最高值是 1,78Gbits/s。 我使用“top”来检查是否有某些东西导致 CPU 在其他进程上花费时间,并且我发现 ksoftirqd 使用了几乎 100% 的 CPU。 我该如何配置 macsec 以达到更高的速度? 我的网卡是 BCM57416 NetXtreme-E Dual-Media with RDMA Ethernet Controller,我的内...
我正在尝试在一些客户端(使用 wpa_supplicant)和身份验证器(使用 hostapd)之间设置 MKA。 此外,我还有一个 RADIUS 服务器(使用 FreeRADIUS),它将负责处理事物的身份验证方面。 因此: RADIUS 服务器已将 FreeRADIUS 配置为 EAP-TLS 身份验证器已将 hostapd 配置为 RADIUS 服务器作为身份验证服务器客户端已将其客户端证书和 wpasupplicant 配置为 EAP-TLS 就这样,一切都运行正常,我从四面八方都收到了 EAP-SUCCESS 消息 - 认证服务器: (393)...
我已经为 macsec 创建了一个 wpa_supplicant.conf 文件。我想使用 Macsec 密钥协议来建立会话密钥并创建安全通道。 我有以下 wpa_supplicant.conf 文件。 [root@localhost ~]# cat wpa_eap-tls_MACsec.conf ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=wheel ap_scan=0 eapol_version=3 network={ eap=TLS eapol_flags=0 ...
我可以在虚拟以太网适配器(容器或虚拟机)中使用 MACSec,而无需在物理 MAC 地址中配置它吗? 互联网上有多个在虚拟机中实现 MACSec 的示例,但都使用物理地址来实现 MACSec。(例如,请参阅此页面:https://costiser.ro/2016/08/01/macsec-implementation-on-linux/) 所以我想知道是否可以在不使用物理接口的情况下实现MACSec? ...
如果一个设备(例如无线路由器)尝试通过非托管交换机与另一个设备(例如另一个网络的某个网关)进行通信,并且路由器使用 802.1ae macsec(网关也支持)加密其传输的帧,但连接它们的交换机对 802.1ae 一无所知并且无法解密加密的消息部分,那么交换机是否仍然能够在两者之间路由消息? 或者名义上,在这种情况下大多数交换机是否会丢弃该消息? 对于需要从消息的加密部分读取 VLAN ID 的托管交换机,如果它不支持 802.1ae,我假设它会丢弃它。 但对于非管理型交换机,似乎(名义上)能够仅根据 MAC 地址进行正确的路由。 ...
%20%E5%88%87%E6%8D%A2%E5%8A%A0%E5%AF%86.png)
我计划通过无线 PTP 网桥将现有的 Cisco 3750 交换机连接到 3560C 交换机。网桥将受到 WPA2 保护,但我正在寻找交换机之间的额外安全措施,以防止其他无线访问通过任一交换机。 它们不支持 IPSec,仅支持 802.1Q 隧道,而且购买额外的硬件可能不是一种选择。 我正在考虑使用TrustSec 手动模式在交换机之间。在仔细研究了 TrustSec 和 MACsec 之后,我基本确定这是比无线网桥更好的选择,请记住它是一种共享介质。 两个问题: 我可以使用 TrustSec 可靠地阻止其他无线流量访问交换机吗? 有人知道 300...
这是一个更通用的链路层加密问题: 带有 MACSec 硬件的商品交换机提供线速 AES-GCM 加密,而成本仅为第 2 层加密的一小部分。 是否有可能将 MACSec(802.1AE)扩展为通过提供商桥接器(802.1AD)的点对点解决方案,或者这会破坏帧完整性? 如果 Q-in-Q 不起作用,是否可以使用其他形式的封装或低开销封装通过运营商以太网传输 MACSec 加密帧? 我确实意识到 MACSec 旨在实现逐跳安全,但当网络(和加密密钥)由第三方(如通信提供商)管理时,逐跳加密自然就变得不那么有趣...
我对此的结论是将 VLAN 中继通过 EoIP 隧道传输,并将其封装在硬件辅助 IPSec 中。两对相当便宜的 Mikrotik RB1100AHx2 路由器被证明能够满足 1 Gbps 连接,同时增加的延迟不到 1 毫秒。 我想加密两个数据中心之间的通信。站点之间的通信以标准提供商桥接 (s-vlan/802.1ad) 的形式提供,这样我们的本地 vlan 标签 (c-vlan/802.1q) 就会保留在中继上。通信在提供商网络中经过多个第 2 层跳转。 两侧的边界交换机都是带有 MACSec 服务模块的 Catalyst 3750-X,但我认...