使用以太網(wǎng)上的MACSec保護網(wǎng)絡(luò)流量

在當今的數(shù)字時代，網(wǎng)絡(luò)要求變得越來越重要。未經(jīng)授權(quán)訪問網(wǎng)絡(luò)和機密信息的可能性增加了對安全網(wǎng)絡(luò)訪問的需求。

2006年，IEEE正式確定了MAC安全標準，也稱為MACSec/802.1AE和GCM-AES/GCM-AES-XPN密碼套件，以滿足安全數(shù)據(jù)遍歷的要求。MACSec 通過使用安全的點對點以太網(wǎng)鏈路來保護數(shù)據(jù)，從而幫助用戶保持機密性。

為什么選擇MACSec？

MACSec 安全協(xié)議為整個以太網(wǎng)數(shù)據(jù)包提供加密，但其源和目標 MAC 地址（包括上層幀）除外。MACSec提供點對點加密，這意味著它對每個躍點執(zhí)行，這與IPsec不同，IPsec僅適用于端到端連接。因此，MACSec協(xié)議保護數(shù)據(jù)不被篡改，為用戶提供數(shù)據(jù)安全性。

主要協(xié)議功能：

通過提供強大的加密功能來維護數(shù)據(jù)機密性，并標志著入侵威脅的終結(jié)

完整性檢查以防止數(shù)據(jù)篡改，這可確保數(shù)據(jù)在遍歷過程中不會縱 - MACSec幀可以加密和身份驗證，以提供隱私和完整性

協(xié)議靈活性確?？梢愿鶕?jù)需要啟用/禁用 MACSec 安全性

MACSec如何工作？

點對點以太網(wǎng)鏈路構(gòu)成了 MACSec 協(xié)議的主干。匹配密鑰后，這些鏈接將受到保護。安全密鑰是動態(tài)可用的，也可以由用戶配置。

只有在驗證接口上點對點連接的每一端并交換密鑰后，才會發(fā)生匹配這些密鑰的過程。一旦在鏈路上建立了MACSec，所有流量都將使用加密和數(shù)據(jù)完整性或ICV檢查進行保護。

圖 1：MACSec 幀格式

MACSec 幀在以太網(wǎng)幀中添加安全標簽 （SecTAG） 和完整性檢查值 （ICV），以使用 128/192/256 位密鑰提供與 GCM-AES 密碼套件的安全連接關(guān)聯(lián)。

圖2：第2層的MACSec

誰需要 MACSec？

MACSec需求的常見用例可以從我們的日常工作中獲取，我們希望加密兩個設(shè)備之間的流量，例如連接到中央站點的遠程站點或通過啟用MACSec的路由器連接到其分支機構(gòu)的中央站點。

為了防止數(shù)據(jù)被監(jiān)視和操縱，數(shù)據(jù)中心/ IT網(wǎng)絡(luò)需要全面的保護計劃。許多高速路由器和數(shù)據(jù)中心都采用了WAN MACSec功能。MACSec 可以使用 VLAN/SVLAN TAG 在多臺交換機上使用（如 IEEE Std 802.1AEcg-2017? 中所述）。

近年來，汽車行業(yè)還需要支持MACSec兼容硬件，如控制器和開關(guān)，以提供完整的安全解決方案。MACSec和AVB-TSN功能提供了良好的安全級別，防止網(wǎng)絡(luò)癱瘓。

審核編輯：郭婷