MACsec - 在没有性能惩罚的情况下保护动态数据

MACsec概述

市场和技术概览

• 市场趋势：MACsec被广泛应用于数据中心互联、5G/开放RAN、工业和汽车等领域。
• 技术标准：MACsec基于IEEE 802.1AE-2018标准，支持多种加密算法如GCM-AES-128/256和GCM-AES-XPN-128/256。

为什么MACsec至关重要

• 云和数据中心需求：随着带宽需求增加，MACsec在高带宽应用中提供安全保护而不影响性能。
• 应用场景：适用于局域网（LAN）和广域网（WAN），支持高速以太网链路加密。
• 优势：提供强加密保护并降低开销。

不同层的加密

• 应用层加密：端到端加密，操作复杂，延迟高，带宽效率低。
• IP层加密：基于IETF标准，仅支持IP加密，延迟高，带宽效率低。
• MAC层加密：基于IETF标准，高效且延迟低，符合大型云服务商的需求。

技术演进

• 标准进展：IEEE 802.1AE-2018和IEEE 802.1X-2020标准不断完善。
• 协议：MACsec密钥协商协议（MKA）已准备好投入使用。

行业现状

• 硅级集成：MACsec已成为硅片内置功能。
• 设备支持：下一代路由器和交换机均支持MACsec，开源白盒交换机也开始支持。
• Linux支持：自2016年起，Linux系统开始支持MACsec。

关键用例

• 数据中心互联：确保不受物理控制的链接安全，无性能损失。
• 直接客户连接：由主要云服务商提供，扩展企业本地网络至云端，支持从10 Gbps到100 Gbps的不同电路尺寸。

实现挑战

• 高吞吐量：实现线速率吞吐量在高速以太网中。
• 延迟问题：加密带来的延迟影响。
• 服务连续性：关键旋转期间的服务连续性。
• 控制与数据平面交互：优化控制面和数据面的交互。
• 网络条件下的鲁棒性：保证各种网络条件下的一致性。

早期测试发现的问题

• 密钥协商失败：MKA协议中的密钥协商失败，如会话失败、错误SSCI等。
• 数据转发问题：填充导致帧丢失，不同帧大小下的流量压力测试失败。
• 密钥旋转问题：密钥服务器ID错误导致切换延迟和短暂的数据丢失。

测试方法改进

• 现有工具不足：市场上缺乏有效的高速以太网测试工具。
• 改进方向：提高测试质量，确保MACsec部署的可靠性。
• 真实流量组合：综合考虑云和数据中心工作负载、加密吞吐量和服务连续性稳定性。

展示

• 演示内容：展示100/400GE的MACsec准备情况。
• 联系方式：参观Keysight展位C33，访问OCN虚拟展览。

行动呼吁

• 增强测试方法：有效验证MACsec。
• 贡献测试案例：提高测试质量。
• 更多支持：更多白盒交换机和开源NOS支持MACsec，为大规模部署做好准备。
• 扩展功能：扩展SONiC MACsec SAI扩展，提高MACsec功能覆盖率。