PBN上的MACSec加密？

Question

这引出了一个更通用的链接层加密问题：

带有MACSec硬件的商品交换机以通常与第二层加密相关的成本的一小部分提供有线AES-GCM加密。

是否有可能将MACSec (802.1AE)扩展为通过提供者桥(802.1AD)的点对点解决方案，还是会破坏帧的完整性？

如果Q-in-Q不能工作，是否可以使用其他形式的封装或低开销封装来通过载波以太网传输MACSec加密帧？

我确实意识到MACSec是为逐跳安全服务而设计的，但是当网络(以及加密密钥)由通信提供商等第三方管理时，逐跳加密自然就变得不那么有趣了。有必要通过提供商网络来维护点对点数据的完整性和安全性，尽管最好不要以隧道和分叉方式将流量提升到第三层进行IPSec加密。

即使在可能的情况下，是否也有什么好的理由来避免使用点对点加密的MACSec，或者应该考虑的任何其他特殊考虑呢？

Answer 1

米克希曼(IEEE 802.1互通TF椅)已经写了一篇关于这个问题的广泛论文。名为"MACSec跳“的论文似乎得出结论，尽管至少在某些情况下，让MACSec帧穿越PBN或PBBN是可能的。

该论文可在这里查阅：http://www.ieee802.org/1/files/public/docs2013/ae-seaman-macsec-hops-0213-v02.pdf