第 7 章 使用 MACsec 加密同一物理网络中的第 2 层流量

使用 Media Access Control Security (MACsec)来加密和验证第 2 层的 LAN 流量。这个过程有助于消除在第 7 层加密单个服务的需求。

媒体访问控制安全保护设备间的点对点通信。例如，您可以在通过 Metro-Ethernet 连接连接到分支和中心办公室的两个主机上配置 MACsec 来提高安全性。

MACsec 是第 2 层协议，用于加密和验证所有 LAN 流量。它使用预共享密钥来建立连接。要更改这个密钥，您必须更新所有使用 MACsec 的主机上的 NetworkManager 配置。

MACsec 保护以太网链路上不同的流量类型，包括：

MACsec 连接使用以太网设备，如以太网网卡、虚拟局域网(VLAN)或隧道设备作为父设备。您只能在 MACsec 设备上设置 IP 配置，以便只使用加密连接与其他主机进行通信，或者在父设备上设置 IP 配置。在后者的情况下，您可以使用父设备使用未加密连接和 MACsec 设备加密连接与其他主机通信。

macsec 不需要任何特殊硬件。例如，您可以使用任何交换机，除非您只想在主机和交换机之间加密流量。在这种情况下，交换机还必须支持 MACsec。

也就是说，您可以为两种常见情况配置 MACsec：

使用 MACsec 安全标准保护链路层的通信，也称为 Open Systems Interconnection (OSI)模型的第 2 层，提供以下显著优点：