在提供程序桥上扩展MACSec加密

Question

我已经问过这个关于SF的问题了，但我想这可能是一个更适合这里。

是否有可能将MACSec加密扩展到提供程序桥上？典型的802.1ad实现是能够转发加密帧，还是转发中断帧完整性？

我确实意识到MACSec是为逐跳安全服务而设计的。是否有任何理由不使用MACSec的点到点加密承运人，或其他特殊的考虑，应该考虑？

我提出这个问题的原因是，MACSec硬件提供有线加密，其成本仅为与第二层加密相关的典型成本的一小部分。

我没有添加新标签的代表，但可以随意添加MACSec、PBN、802.1ad和802.1ae等相关标签。

Answer 1

MacSec (即802.1ae-2006)是一种逐跳加密技术.因此，提供程序桥接的MacSec在今天是不可能的；然而，存在关于放松每跳MacSec加密的讨论。

Answer 2

从我到目前为止收集到的信息来看，如果MACsec端点到C-tag/然后添加sec标头，那么S-标记和PBN根据MACsec端点创建的应该工作的S标记转发帧。模糊出现在PBN将S标签添加到改变FCS的帧中，并可能警告另一个端点该帧已被篡改/修改，因此完整性无法验证。我不是百分之百地做这件事，但我认为这就是让端到端的MACsec无法工作的原因。