Étendez le cryptage MACSec sur le pont du fournisseur

11

J'ai déjà posé cette question sur SF, mais j'ai pensé que cela pourrait être mieux adapté ici.

Est-il possible d'étendre le cryptage MACSec sur un pont fournisseur? L'implémentation 802.1ad typique sera-t-elle en mesure de transmettre la trame cryptée, ou la transmission rompra-t-elle l'intégrité de la trame?

Je réalise que MACSec est destiné à la sécurité hop-by-hop. Y a-t-il des raisons de ne pas utiliser MACSec pour le chiffrement point à point sur un opérateur, ou d'autres considérations spéciales à prendre en compte?

La raison pour laquelle je demande est que le matériel MACSec offre un chiffrement à vitesse filaire à une fraction du coût typique associé au chiffrement de couche 2.

Je n'ai pas le représentant pour ajouter de nouvelles balises, mais n'hésitez pas à ajouter des balises pertinentes pour MACSec, PBN, 802.1ad et 802.1ae, etc.

ethernet security Roy
la source

Réponses:

4

MacSec (c.-à-d. 802.1ae-2006) est une technologie de cryptage bond par bond ... Par conséquent, le MacSec ponté par le fournisseur n'est pas possible aujourd'hui; cependant, on parle de relâcher le cryptage MacSec par saut

Mike Pennington
la source
Mais si la trame cryptée MACSec est encapsulée et étiquetée avec S-VLAN à l'entrée, transmise via le PBN et l'encapsulation S-VLAN est supprimée à la sortie de l'autre côté. Les commutateurs clients ne verront-ils pas cela comme un saut unique, comme avec EoMPLS? Peut-être pris en charge par un décalage de chiffrement, de sorte que la balise C-VLAN est toujours visible?
Roy
Merci pour le lien, btw. J'ai déjà ce document sur mon bureau, bien qu'une partie me soit assez incompréhensible :)
Roy
Si vous lisez la première page du document, cela explique très clairement que PBN n'est pas pris en charge aujourd'hui ... "Cette note explique pourquoi IEEE 802.1AE – 2006 n'inclut pas les possibilités de sauts multiples qui peuvent sembler" intéressantes "à première vue"
Mike Pennington
1
Eh bien, dans l'entrée est également dit "Cette note explique pourquoi ces ponts peuvent être traités comme un" saut unique "". J'espère que vous pouvez voir pourquoi je trouve cela un peu déroutant, d'autant plus que l'encapsulation EoMPLS semble fonctionner très bien.
Roy
1

D'après ce que j'ai rassemblé jusqu'à présent, si le point de terminaison MACsec où ajouter la balise C / puis ajoutez l'en-tête sec, puis la balise s et le PBN ont transmis la trame en fonction de la balise s que le point de terminaison MACsec a créé, cela devrait fonctionner. Le flou vient où le PBN ajoute le s-tag à la trame qui change le FCS et avertit éventuellement l'autre point d'extrémité que la trame a été falsifiée / modifiée et donc l'intégrité ne peut pas être validée. Je ne suis pas à 100% là-dessus, mais c'est ce qui, selon moi, empêche MACsec de fonctionner de bout en bout.

user6121
la source
Pour ceux qui connaissent peu la terminologie Ethernet de l'opérateur: PBN : Provider Bridge Network , C-Tag : Customer VLAN Tag, S-Tag : Service VLAN Tag, FCS : Ethernet Frame Check Sequence
Jonathon Reinhart