プロバイダーブリッジを介したMACSec暗号化の拡張

11

私はすでにSFについてこの質問をしましたが、こちらの方が適していると考えました。

プロバイダーブリッジを介してMACSec暗号化を拡張することはまったく可能ですか?典型的な802.1adの実装は暗号化されたフレームを転送できますか、それともブレークフレームの整合性を転送しますか?

MACSecはホップバイホップのセキュリティを目的としていることは理解しています。キャリア上のポイントツーポイント暗号化、または考慮すべきその他の特別な考慮事項にMACSecを使用しない理由はありますか?

MACSecハードウェアは、レイヤ2暗号化に関連する通常のコストの数分の1でワイヤスピードの暗号化を提供するためです。

新しいタグを追加する担当者はいませんが、MACSec、PBN、802.1ad、802.1aeなどに関連するタグを追加してください。

ethernet  security 
ロイ
ソース

回答:

4

MacSec(つまり、802.1ae-2006)は、ホップバイホップの暗号化技術です...したがって、現在プロバイダーブリッジドMacSecは不可能です。ただし、ホップごとのMacSec暗号化を緩和するという話があります。

マイク・ペニントン
ソース
ただし、MACSec暗号化フレームがカプセル化され、入口でS-VLANでタグ付けされている場合、PBNを介して転送され、S-VLANカプセル化は反対側の出口で削除されます。EoMPLSと同様に、カスタマースイッチはこれをシングルホップと見なしませんか?おそらく暗号化オフセットによってサポートされているため、C-VLANタグは引き続き表示されますか?
Roy
リンク、ありがとうございます。私はすでにそのドキュメントを机の上に置いていますが、その一部はまったく理解できません:)
Roy
論文の最初のページを読むと、PBNが現在サポートされていないことが非常に明確に説明されています。
マイクペニントン2013
1
さて、イングレスでは「このノートは、これらのブリッジが「シングルホップ」として扱われる理由を説明しています」とも書かれています。特にEoMPLSカプセル化が正常に機能しているように見えることを考えると、これが少しわかりにくい理由を理解していただければ幸いです。
ロイ
1

これまでに収集したものから、MACsecエンドポイントがC-tag /に移動してから、secヘッダーを追加し、次にs-tagとPBNを追加すると、MACsecエンドポイントが作成したs-tagに基づいてフレームが転送され、機能します。あいまいさが発生するのは、PBNがSCSタグをフレームに追加してFCSを変更し、他のエンドポイントにフレームが改ざん/変更されたために整合性を検証できないことを警告することです。私はこれについて100%ではありませんが、それがMACsecの機能をエンドツーエンドで維持していると私が思うものです。

user6121
ソース
キャリアイーサネットの用語に多少慣れている場合:PBNプロバイダーブリッジネットワークC-タグ:カスタマーVLANタグ、S-タグ:サービスVLANタグ、FCS:イーサネットフレームチェックシーケンス
Jonathon Reinhart
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.