Extienda el cifrado MACSec sobre el puente del proveedor

11

Ya hice esta pregunta en SF, pero pensé que podría encajar mejor aquí.

¿Es posible extender el cifrado MACSec sobre un puente de proveedor? ¿La implementación típica de 802.1ad podrá reenviar el marco encriptado, o el reenvío romperá la integridad del marco?

Me doy cuenta de que MACSec está destinado a la seguridad salto por salto. ¿Hay alguna razón para no usar MACSec para el cifrado punto a punto en un operador u otras consideraciones especiales que deben tenerse en cuenta?

La razón por la que pregunto es que el hardware MACSec ofrece cifrado de velocidad de cable a una fracción del costo típico asociado con el cifrado de capa 2.

No tengo el representante para agregar nuevas etiquetas, pero siéntase libre de agregar etiquetas relevantes para MACSec, PBN, 802.1ad y 802.1ae, etc.

ethernet security Roy
fuente

Respuestas:

4

MacSec (es decir, 802.1ae-2006) es una tecnología de encriptación salto por salto ... Por lo tanto, MacSec puenteado por el proveedor no es posible hoy en día; sin embargo, se habla de relajar el cifrado MacSec por salto

Mike Pennington
fuente
Pero si la trama encriptada MACSec se encapsula y se etiqueta con S-VLAN en el ingreso, se reenvía a través de la PBN y la encapsulación S-VLAN se elimina al salir al otro lado. ¿Los conmutadores del cliente no verán esto como un solo salto, como con EoMPLS? Tal vez sea compatible con un desplazamiento de cifrado, por lo que la etiqueta C-VLAN todavía está visible.
Roy
Gracias por el enlace, por cierto. Ya tengo ese documento sentado en mi escritorio, aunque algunos de ellos son bastante incomprensibles para mí :)
Roy
Si lee la primera página del documento, explica muy claramente que PBN no es compatible hoy ... "Esta nota explica por qué IEEE 802.1AE – 2006 no incluye posibilidades de salto múltiple que pueden parecer 'interesantes' a primera vista"
Mike Pennington
1
Bueno, en la entrada también se dice "Esta nota explica por qué estos puentes pueden tratarse como un 'salto único'". Espero que puedan ver por qué me parece un poco confuso, especialmente teniendo en cuenta que la encapsulación EoMPLS parece funcionar bien.
Roy
1

De lo que deduzco hasta ahora si el punto final de MACsec donde etiquetar en C / luego agregar el encabezado sec, luego la etiqueta s y la PBN reenviaron la trama en función de la etiqueta s que el punto final MACsec creó debería funcionar. La confusión aparece cuando la PBN agrega la etiqueta s a la trama que cambia el FCS y posiblemente alerta al otro punto final de que la trama ha sido manipulada / modificada y, por lo tanto, la integridad no puede validarse. No estoy al 100% en esto, pero eso es lo que creo que impide que MACsec funcione de extremo a extremo.

usuario6121
fuente
Para aquellos que solo están familiarizados con la terminología de Ethernet del operador: PBN : Provider Bridge Network , C-Tag : Etiqueta de VLAN del cliente, S-Tag : Etiqueta de VLAN de servicio, FCS : Secuencia de verificación de trama de
Jonathon Reinhart