使用以太网上的MACSec保护网络流量

在当今的数字时代，网络要求变得越来越重要。未经授权访问网络和机密信息的可能性增加了对安全网络访问的需求。

2006年，IEEE正式确定了MAC安全标准，也称为MACSec/802.1AE和GCM-AES/GCM-AES-XPN密码套件，以满足安全数据遍历的要求。MACSec 通过使用安全的点对点以太网链路来保护数据，从而帮助用户保持机密性。

为什么选择MACSec？

MACSec 安全协议为整个以太网数据包提供加密，但其源和目标 MAC 地址（包括上层帧）除外。MACSec提供点对点加密，这意味着它对每个跃点执行，这与IPsec不同，IPsec仅适用于端到端连接。因此，MACSec协议保护数据不被篡改，为用户提供数据安全性。

主要协议功能：

通过提供强大的加密功能来维护数据机密性，并标志着入侵威胁的终结

完整性检查以防止数据篡改，这可确保数据在遍历过程中不会纵 - MACSec帧可以加密和身份验证，以提供隐私和完整性

协议灵活性确保可以根据需要启用/禁用 MACSec 安全性

MACSec如何工作？

点对点以太网链路构成了 MACSec 协议的主干。匹配密钥后，这些链接将受到保护。安全密钥是动态可用的，也可以由用户配置。

只有在验证接口上点对点连接的每一端并交换密钥后，才会发生匹配这些密钥的过程。一旦在链路上建立了MACSec，所有流量都将使用加密和数据完整性或ICV检查进行保护。

图 1：MACSec 帧格式

MACSec 帧在以太网帧中添加安全标签 （SecTAG） 和完整性检查值 （ICV），以使用 128/192/256 位密钥提供与 GCM-AES 密码套件的安全连接关联。

图2：第2层的MACSec

谁需要 MACSec？

MACSec需求的常见用例可以从我们的日常工作中获取，我们希望加密两个设备之间的流量，例如连接到中央站点的远程站点或通过启用MACSec的路由器连接到其分支机构的中央站点。

为了防止数据被监视和操纵，数据中心/ IT网络需要全面的保护计划。许多高速路由器和数据中心都采用了WAN MACSec功能。MACSec 可以使用 VLAN/SVLAN TAG 在多台交换机上使用（如 IEEE Std 802.1AEcg-2017™ 中所述）。

近年来，汽车行业还需要支持MACSec兼容硬件，如控制器和开关，以提供完整的安全解决方案。MACSec和AVB-TSN功能提供了良好的安全级别，防止网络瘫痪。

审核编辑：郭婷