在當今的數字時代，網絡要求變得越來越重要。未經授權訪問網絡和機密信息的可能性增加了對安全網絡訪問的需求。

2006年，IEEE正式確定了MAC安全標準，也稱為MACSec/802.1AE和GCM-AES/GCM-AES-XPN密碼套件，以滿足安全數據遍歷的要求。MACSec 通過使用安全的點對點以太網鏈路來保護數據，從而幫助用戶保持機密性。

為什么選擇MACSec？

MACSec 安全協議為整個以太網數據包提供加密，但其源和目標 MAC 地址（包括上層幀）除外。MACSec提供點對點加密，這意味著它對每個躍點執行，這與IPsec不同，IPsec僅適用于端到端連接。因此，MACSec協議保護數據不被篡改，為用戶提供數據安全性。

主要協議功能：

通過提供強大的加密功能來維護數據機密性，并標志著入侵威脅的終結

完整性檢查以防止數據篡改，這可確保數據在遍歷過程中不會縱 - MACSec幀可以加密和身份驗證，以提供隱私和完整性

協議靈活性確保可以根據需要啟用/禁用 MACSec 安全性

MACSec如何工作？

點對點以太網鏈路構成了 MACSec 協議的主干。匹配密鑰后，這些鏈接將受到保護。安全密鑰是動態可用的，也可以由用戶配置。

只有在驗證接口上點對點連接的每一端并交換密鑰后，才會發生匹配這些密鑰的過程。一旦在鏈路上建立了MACSec，所有流量都將使用加密和數據完整性或ICV檢查進行保護。

圖 1：MACSec 幀格式

MACSec 幀在以太網幀中添加安全標簽 （SecTAG） 和完整性檢查值 （ICV），以使用 128/192/256 位密鑰提供與 GCM-AES 密碼套件的安全連接關聯。

圖2：第2層的MACSec

誰需要 MACSec？

MACSec需求的常見用例可以從我們的日常工作中獲取，我們希望加密兩個設備之間的流量，例如連接到中央站點的遠程站點或通過啟用MACSec的路由器連接到其分支機構的中央站點。

為了防止數據被監視和操縱，數據中心/ IT網絡需要全面的保護計劃。許多高速路由器和數據中心都采用了WAN MACSec功能。MACSec 可以使用 VLAN/SVLAN TAG 在多臺交換機上使用（如 IEEE Std 802.1AEcg-2017? 中所述）。

近年來，汽車行業還需要支持MACSec兼容硬件，如控制器和開關，以提供完整的安全解決方案。MACSec和AVB-TSN功能提供了良好的安全級別，防止網絡癱瘓。

審核編輯：郭婷