Pode um switch que não sabe nada sobre 802.1ae macsec route macsec frames?

Question

Pode um switch que não sabe nada sobre 802.1ae macsec route macsec frames?

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Se um dispositivo (por exemplo, Um roteador sem fio) estiver tentando se comunicar com outro dispositivo (por exemplo, algum gateway para outra rede) por meio de um switch não gerenciado e o roteador estiver codificando quadros, ele será transmitido usando 802.1ae macsec (que o gateway também suporta) , mas o switch que os conecta não sabe nada de 802.1ae não pode decifrar as partes da mensagem que estão cifradas, o switch ainda será capaz de rotear a mensagem entre os dois?

Ou, nominalmente, a maioria dos switches descartaria a mensagem, neste caso?

Para os comutadores gerenciados, que precisam ler o ID da VLAN da parte criptografada da mensagem, presumo que ela seja descartada se não for compatível com 802.1ae.

Mas para switches não gerenciados, parece (nominalmente) que seria capaz de rotear corretamente com base unicamente no endereço mac.

networking vlan macsec

por Bob 19.02.2017 / 11:04

2 respostas

Tags networking vlan macsec

Não é possível acessar a rede de contêineres do LXC Proxmox 4.4 O nó Galera não será iniciado após a recuperação

score 2 · Answer 1

Frames, como 802.1X ou 802.1AE (protocolos que se aplicam a vários tipos de LAN usam letras maiúsculas) usam um OUI multicast especial ( 01-80-C2 ) definido pelo IEEE que impede que bridges (switches) os encaminhem para qualquer outra interface .

Isso significa que o MACsec (802.1AE, um superconjunto de 802.1X) não pode atravessar uma ponte que não sabe como usá-lo. O mesmo se aplica a todos os protocolos 802.1x. Veja o padrão IEEE 802.1D ™ -2004 .

But for unmanaged switches, it would seem (nominally) that it would be able to route it correctly based solely on the mac address. But maybe that's not a correct assumption.

A propósito, os switches não são roteados. O roteamento é uma função da camada 3, mas as pontes (switches) alternam na camada 2.

score 0 · Answer 2

Os comutadores que não são compatíveis com MACsec podem, em geral, encaminhar quadros Ethernet que foram autenticados e / ou criptografados com MACsec. RedHat tem uma postagem no blog aqui com algumas fotos, e descreve este caso como "o principal caso de uso para MACsec". Isso claramente faz sentido, ou as chances de adoção do MACsec seriam próximas de zero.

Como você mais ou menos diz, o switch encaminhará os quadros com base em uma tabela de roteamento interna que é carregada apenas com endereços MAC, que estão desimpedidos no MACsec. O material OUI mencionado em outro lugar é relevante apenas para a configuração do MKA.

Há um problema com as VLANs, como você apontou. A tag 802.1Q está além do SecTAG e será criptografada (se a criptografia estiver ativada). Os fornecedores geralmente têm soluções alternativas para evitar a criptografia de tags, que você pode usar - procure "802.1Q tag in clear", por exemplo.