加密MACsec帧中丢失的以太型

Question

MACsec使用88E5的以太类型。这在加密已经或应该具有另一种类型的帧时出现了一个明显的问题。例如，这个RedHat 博客声明"MACsec可以保护局域网内的所有通信量，包括DHCP和ARP，以及来自更高层协议的通信“。当ARP必须有0806的以太类型时，如何保护ARP？

更普遍的情况是，如果您有一个加密的骨干/交换机/WLAN/任何与未加密端点对话的内容，则交换机将在入口对普通以太网帧进行加密，并在出口处解密。在这个过程中，原始的以太类型丢失了，因为没有地方可以将它存储在MACsec帧中，那么开关在传出的以太类型中放了什么呢？

我猜有一种选择是，交换机只加密特定的以太类型--比如IPv4 --并将传入的0800替换为88E5，并在输出时将其反转。不过，这似乎并不特别有用。谢谢。

Answer 1

MACsec实际上增加了以太网帧头和预告片。在“以太类型”字段位置中，您将得到一个不同的值，就像您使用802.1Q时所做的那样，但是原始的“以太类型”字段仍然保留。