802.1ae macsecについて何も知らないスイッチはmacsecフレームをルーティングできますか?
あるデバイス(ワイヤレスルーターなど)がアンマネージドスイッチを介して別のデバイス(別のネットワークへのゲートウェイなど)と通信しようとしていて、ルーターが802.1ae macsec(ゲートウェイもサポート)を使用して送信するフレームを暗号化している場合それらを接続するスイッチは802.1aeについて何も知らず、暗号化されたメッセージの部分を解読できませんが、スイッチは引き続き2つの間でメッセージをルーティングできますか?
または、名目上、この場合、ほとんどのスイッチはメッセージをドロップしますか?
メッセージの暗号化された部分からVLAN IDを読み取る必要があるマネージドスイッチの場合、802.1aeをサポートしていなければドロップすると思います。
ただし、管理されていないスイッチの場合、(名目上)Macアドレスのみに基づいて正しくルーティングできるように見えます。
802.1Xや802.1AE(複数のLANタイプに適用されるプロトコルは大文字を使用)などのフレームは、特別なマルチキャストOUI(01-80-C2)ブリッジ(スイッチ)が他のインターフェイスに転送するのを防ぐIEEEによって定義されています。
つまり、MACsec(802.1AE、802.1Xのスーパーセット)は、その使用方法を知らないブリッジを通過できません。同じことがすべての802.1xプロトコルに当てはまります。 IEEE802.1D™-2004標準を参照してください。
ただし、管理されていないスイッチの場合、(名目上)Macアドレスのみに基づいて正しくルーティングできるように見えます。しかし、おそらくそれは正しい仮定ではありません。
ちなみに、スイッチはルーティングしません。ルーティングはレイヤー3の機能ですが、ブリッジ(スイッチ)はレイヤー2で切り替わります。
MACsecに対応していないスイッチは、一般に、MACsecで認証および/または暗号化されたイーサネットフレームを転送できます。 RedHatにはブログ投稿 ここ といくつかの写真があり、このケースを「MACsecの主なユースケース」として説明しています。これは明らかに理にかなっています。さもないと、MACsecが採用される可能性はほぼゼロになります。
多かれ少なかれ言うように、スイッチは、MACsecでクリアされているMACアドレスのみがロードされる内部ルーティングテーブルに基づいてフレームを転送します。他の場所で言及されているOUIのものは、MKAのセットアップにのみ関連しています。
ご指摘のとおり、VLANには問題があります。 802.1QタグはSecTAGを超えており、暗号化されます(暗号化が有効になっている場合)。ベンダーには通常、タグの暗号化を防ぐための回避策があります。これは、使用できる場合があります。たとえば、「802.1Qタグを平文で」検索します。