Если одно устройство (например, беспроводной маршрутизатор) пытается связаться с другим устройством (например, некоторым шлюзом в другую сеть) через неуправляемый коммутатор, и маршрутизатор шифрует кадры, которые он передает, используя 802.1ae macsec (который также поддерживает шлюз), но Коммутатор, который их соединяет, ничего не знает о 802.1ae и не может расшифровать зашифрованные части сообщения, сможет ли коммутатор маршрутизировать сообщение между ними?
Или номинально, в этом случае большинство коммутаторов сбросят сообщение?
Для управляемых коммутаторов, которым необходимо считывать идентификатор VLAN из зашифрованной части сообщения, я предполагаю, что он бы отказался от него, если бы не поддерживал 802.1ae.
Но для неуправляемых коммутаторов может показаться (номинально), что он сможет правильно маршрутизировать его, основываясь исключительно на MAC-адресе.
Фреймы, такие как 802.1X или 802.1AE (протоколы, которые применяются к нескольким типам LAN, используют заглавные буквы), используют специальный многоадресный OUI (01-80-C2), определенный IEEE, который не позволяет мостам (коммутаторам) пересылать их на любой другой интерфейс.
Это означает, что MACsec (802.1AE, надмножество 802.1X) не может пересекать мост, который не знает, как его использовать. То же самое относится ко всем протоколам 802.1x. Увидеть IEEE 802.1D ™ -2004 стандарт.
Но для неуправляемых коммутаторов может показаться (номинально), что он сможет правильно маршрутизировать его, основываясь исключительно на MAC-адресе. Но, возможно, это неверное предположение.
Кстати, свитчи не маршрутизируют. Маршрутизация - это функция уровня 3, но мосты (переключатели) переключаются на уровне 2.
Коммутаторы, не поддерживающие MACsec, могут, как правило, пересылать кадры Ethernet, которые были аутентифицированы и / или зашифрованы с помощью MACsec. RedHat имеет сообщение в блоге Вот с некоторыми изображениями, и он описывает этот случай как «основной вариант использования MACsec». Это явно имеет смысл, иначе шансы на принятие MACsec были бы близки к нулю.
Как вы более или менее говорите, коммутатор будет пересылать кадры на основе внутренней таблицы маршрутизации, которая загружена только с MAC-адресами, которые находятся в открытом виде в MACsec. Упомянутый в другом месте материал OUI относится только к настройке MKA.
Как вы отметили, существует проблема с VLAN. Тег 802.1Q находится за пределами SecTAG и будет зашифрован (если шифрование включено). У поставщиков обычно есть обходные пути для предотвращения шифрования тегов, которые вы можете использовать - например, найдите «Тег 802.1Q в открытом виде».