Может ли коммутатор, который ничего не знает о 802.1ae macsec, маршрутизировать фреймы macsec?

Question

Может ли коммутатор, который ничего не знает о 802.1ae macsec, маршрутизировать фреймы macsec?

Если одно устройство (например, беспроводной маршрутизатор) пытается установить связь с другим устройством (например, с некоторым шлюзом в другой сети) через неуправляемый коммутатор, и маршрутизатор шифрует кадры, которые он передает с использованием 802.1ae macsec (который также поддерживает шлюз), но Коммутатор, который их соединяет, ничего не знает о 802.1ae и не может расшифровать зашифрованные части сообщения. Сможет ли коммутатор по-прежнему маршрутизировать сообщение между ними?

Или номинально, большинство переключателей отбросит сообщение, в этом случае?

Для управляемых коммутаторов, которым необходимо считывать идентификатор VLAN из зашифрованной части сообщения, я предполагаю, что он отбросит его, если он не поддерживает 802.1ae.

Но для неуправляемых коммутаторов может показаться (номинально), что он сможет правильно маршрутизировать его, основываясь исключительно на mac-адресе.

3

networking vlan macsec

Источник

Bob 19 фев '17 в 10:04

2 ответа

Другие вопросы по тегам networking vlan macsec

Ron Maupin 19 фев '17 в 11:57 2017-02-19 11:57 · Answer 1 · 2017-02-19 11:57

Кадры, такие как 802.1X или 802.1AE (протоколы, которые применяются к нескольким типам локальных сетей, используют заглавные буквы), используют специальный многоадресный OUI (01-80-C2) определяется IEEE, что предотвращает пересылку мостами (коммутаторами) их на любой другой интерфейс.

Это означает, что MACsec (802.1AE, расширенный набор 802.1X) не может пересечь мост, который не знает, как его использовать. То же самое относится ко всем протоколам 802.1x. См. Стандарт IEEE 802.1D™-2004.

Но для неуправляемых коммутаторов может показаться (номинально), что он сможет правильно маршрутизировать его, основываясь исключительно на mac-адресе. Но, возможно, это неверное предположение.

Кстати, свичи не маршрутизируются. Маршрутизация является функцией уровня 3, но мосты (коммутаторы) переключаются на уровне 2.

EML 03 дек '18 в 13:48 2018-12-03 13:48 · Answer 2 · 2018-12-03 13:48

Коммутаторы, которые не поддерживают MACsec, могут, как правило, пересылать кадры Ethernet, которые были аутентифицированы и / или зашифрованы с помощью MACsec. У RedHat есть пост в блоге с некоторыми картинками, и он описывает этот случай как "основной вариант использования MACsec". Это явно имеет смысл, иначе шансы на принятие MACsec будут близки к нулю.

Как вы более или менее говорите, коммутатор будет пересылать кадры на основе внутренней таблицы маршрутизации, которая загружается только с MAC-адресами, которые находятся в незашифрованном виде в MACsec. Упомянутый в другом месте материал OUI относится только к настройке MKA.

Как вы указываете, существует проблема с VLAN. Тег 802.1Q находится за пределами SecTAG и будет зашифрован (если шифрование включено). Как правило, у поставщиков есть обходные пути для предотвращения шифрования тегов, которые вы можете использовать - например, посмотрите "Открытый тег 802.1Q".