什么是媒体访问控制安全MACsec媒体访问控制的概念

[db:作者]

在安全性要求高的地方，如银行、军队、政府等。，还有大量的机密文件。由于局域网容易受到各种安全风险的影响，数据泄露造成的经济损失可能是巨大的。所以除了要有门卫和门锁，还要有维护网络安全的措施。因此，为了防止黑客窃取敏感数据，接入终端、端口隔离、MACsec、IPsec、TLS等技术应运而生。
MACsec可以部署在这些机构的交换机中，为用户提供安全的MAC层数据收发服务。
本文将介绍什么是MACsec，它有哪些优势，并对其做一些展望。
什么是MACsec？MACsec，英文全称Media Access Control security，中文意思是媒体访问控制安全，是一种网络安全标准，定义为IEEE标准802.1AE
MACsec协议在以太网连接的设备之间提供点对点数据安全。它可以保护两个设备之间的数据通信，而不会干扰设备或网络的数量。当MACsec启用时，两个连接的设备交换并验证安全密钥以建立双向安全链路，并使用数据完整性检查和加密的组合来保护传输的数据。
那么，为什么选择MACsec呢？
如何应用于局域网？
女士们，先生们，不要担心，我们将在下面进行解释。
以下是典型的LAN MACsec网络图:
局域网MACsec网络图
MACsec的优点MACsec依靠GCM-AES来保证所有网络流量的机密性和完整性，工作在七层OSI模型的第二层，这是跨物理层在网段上的节点之间传输数据的协议层。
。与IPsec和其他在第3层上作为端到端技术运行的协议不同，MACsec在每个数据包进入以太网LAN时对其进行解密，并在它离开以太网LAN时对其进行验证。因此，可以说第二层的安全性是整个网络系统的坚实基础。
上层的安全机制取决于链路层活动的完整性。如果没有MACsec，可能无法检测到通信是否已被破坏。选择第2层连接功能来在数据中心周围移动数据包，以提高速度、最小化延迟并减少数据包中的数据开销。
相反，如果使用安全的第3层技术(如IPsec ),则消息必须传递到协议的上层进行处理，这可能会增加延迟。此外，第2层解决方案避免了创建第3层安全策略的复杂任务。
简而言之，MACsec具有以下优势:

MACsec支持线速加密性能(40/100Gbps+)

MACsec可以和802.1X一起部署，更适合校园网。

MACsec可以在逐跳设备上提供安全的数据传输。

MAC是可扩展的，可以用不同的方式部署。

MACsec具有低延迟。OSI模型
MAC是如何工作的？MACsec功能可以在两个设备之间实现，也可以在客户端和设备之间实现。
设备和客户端之间实现MAC时如何保护安全？MACsec指的是由网络上的节点组成的一系列可信实体(SECY ),其中每个节点或secy实体都具有与其以太网源地址相关联的唯一密钥。
MACsec通常与IEEE 802.1X-2010或互联网密钥交换(IKE)结合使用，以实现整个网络的安全密钥分发。它适用于星型或总线型LAN等以太网拓扑，也支持点对点系统。
在MACsec保护的网络中，每个节点可以接收加密和明文消息，系统策略用于指定如何处理每个消息。
对于不需要认证的纯文本消息，内核包含一个绕过选项。如下图所示，连接了两台交换机。
重要的信息在两个设备之间传输，因此需要保护两个设备之间的数据通信。
在两台交换机的端口之间进行协商，然后对交换的数据包进行加密和解密。例如，MACsec将明文123加密成*% ，
MACsec如何工作MACsec在两个设备之间实现时，MACsec协议的工作过程可以分为三个主要阶段，即会话协商、安全通信和会话终止。
1.会话协商使用配置的预共享密钥(PSK)作为CAK(安全连接关联密钥)，并通过ea pol-mka(LAN-MAC sec key protocol上的可扩展认证协议)消息协商设备之间的会话。设备中优先级高的端口将被选为密钥服务器，负责生成和分发SAKs(安全关联密钥)。设备相互通知它们的能力和各种参数(例如优先级、是否加密会话等)。)需要通过MKA协议建立会话。
2.安全通信会话协商完成后，每个设备都有一个可用的SAK，并使用SAK加密数据和开始加密通信。
3.会话终止当设备收到对方的下行请求时，会立即清除用户对应的安全会话。MKA会话超时定时器(默认为6秒，可配置)超时后，如果本地终端仍未收到对方的MKA协议消息，将清除该用户对应的安全会话。
如何充分利用MACsec，利用IPsec1MACsec对二层局域网中以太网上的流量进行认证和加密？

IPSec用于第3层网络。2IPsec在第3层处理IP数据包，MACsec在第2层处理以太网帧。
MACsec可以保护IPsec无法保护的所有DHCP和ARP通信，MAC sec在一定程度上仅限于局域网上的交换机或终端节点。

IPsec可以在路由器的广域网(WAN)上工作。它们都不能帮助安全系统抵御所有的攻击。在实际应用中，应根据不同情况选择合适的协议，注意加强协议间的互操作性和互补性，进一步提高网络的安全性。
MACsec不应被视为IPsec的替代品，而是加密工具包中的另一套工具。在某些情况下，它与IPSec一起部署在更大规模的部署中。
随着移动设备、视频流量和云服务的不断扩展，对带宽的需求也迅速增加，网络环境变得复杂。数据安全和隐私问题变得尤为重要。对数据安全和隐私要求较高的机构，需要注意局域网的安全。
交换机作为构建局域网最基本的设备，通过为您的企业交换机部署更合适的安全协议，可以更有效地规避数据风险，保护您的局域网安全。MACsec是致力于下一代高速加密的企业、政府或服务提供商的新选择。如果你有这样的需求，MACsec或许是一个很酷的选择。