在这篇文章中，我们将介绍什么是媒体访问控制安全MACsec 的重要性，以及如何应对相关问题和挑战，希望对您有所帮助。

在银行、军事、政府等安全性要求比较高的地方，存在大量机密文件，由于局域网容易受到各种安全风险的影响，数据泄露造成的经济损失可能是巨大的，因此除了有门卫、门锁外，还应采取措施维护网络安全。因此，接入终端、端口隔离、MACsec、IPsec、TLS等技术应运而生，目的就是防止黑客窃取敏感数据。

MACsec可以部署在这些机构的交换机中，为用户提供安全的MAC层数据传输和接收服务。

本文将介绍一下MACsec是什么，它有什么优势，并对其进行一些展望。

什么是MACsec？

MACsec，英文全称Media Access Control security，中文意思即媒体访问控制安全 ，是一种网络安全标准，被定义为IEEE 标准 802.1AE。

MACsec 协议提供以太网连接设备之间的点对点数据安全性，它可以保护两个设备之间的数据通信，而不会干扰设备或网络的数量，当启用 MACsec 时，两个连接的设备交换和验证安全密钥以建立双向安全链接，并使用数据完整性检查和加密的组合来保护传输的数据。

那么，为什么要选择MACsec？

它又是如何应用于局域网的呢？

别急，各位客官，下面会解释。

下面是一个典型的 LAN MACsec 网络图：

LAN MACsec 网络图

MACsec的优势

MACsec，依靠GCM-AES保证所有网络流量的机密性和完整性，工作在七层OSI模型的第二层，该层是跨物理层在网段上的节点之间传输数据的协议层

。与 IPsec 等作为端到端技术在第 3 层上运行的协议不同，MACsec 在每个数据包进入以太网 LAN 时对其进行解密，并在离开以太网 LAN 时对其进行验证，因此可以说第 2 层的安全性服务于作为整个网络系统的坚实基础。

上层安全机制取决于链路层活动的完整性，如果没有 MACsec，则可能无法检测通信是否已被破坏，选择第 2 层连接功能在数据中心周围移动数据包，以提高速度、最小化延迟并减少数据包中的数据开销。

相比之下，如果使用安全的第 3 层技术（如 IPsec），消息必须传递到协议的上层进行处理，这可能会增加延迟，此外，第 2 层解决方案避免了创建第 3 层安全策略的复杂任务。

简而言之，MACsec 具有以下优势：

MACsec 支持线速加密性能（40/100Gbps+）MACsec可以和802.1X一起部署，更适合校园网MACsec 可以在逐跳设备上提供安全的数据传输MACsec 是可扩展的，可以以不同的方式部署MACsec 具有低延迟

OSI模型

MACsec 如何工作？

MACsec 功能可以在两个设备之间或客户端和设备之间实现。

MACsec在设备和客户端之间实施时如何保护安全？

MACsec 是指由网络上的节点组成的一系列可信实体 (SecY)，其中每个节点或 SecY 实体都有一个唯一的密钥，链接到其以太网源地址。

MACsec 通常与IEEE 802.1X-2010结合使用或 Internet Key Exchange (IKE) 来实现网络周围的安全密钥分发，适用于星型或总线 LAN 等以太网拓扑，也支持点对点系统。

在受 MACsec 保护的网络中，每个节点都可以接收加密和明文消息，并且系统策略用于指定如何处理每个消息。

内核包括一个用于无需身份验证的纯文本消息的绕过选项。如下图所示，连接了两个开关。

重要信息在两台设备之间传输，这就需要对两台设备之间的数据通信进行保护。

在两个交换机的端口之间进行协商，然后对数据包交换进行加密和解密，比如MACsec把明文123加密成*%&，

MACsec 是如何工作的

在两台设备之间实现MACsec时，MACsec协议的工作过程可以分为三个主要阶段，即会话协商、安全通信和会话终止。

1. 会话协商

使用配置的预共享密钥 (PSK) 作为 CAK（安全连接关联密钥），通过 EAPOL-MKA（LAN-MACsec 密钥协议上的可扩展身份验证协议）消息在设备之间协商会话。设备间优先级高的端口会被选举为Key Server，负责生成和分发SAKs（Security Association Key），设备之间相互通知自己的能力和建立会话所需的各种参数（如优先级，是否需要加密会话等）通过 MKA 协议。

2. 安全通信

会话协商完成后，每个设备都有一个可用的 SAK，并使用 SAK 加密数据并开始加密通信。

3. 会话终止

当设备收到另一端的下行请求时，会立即清除该用户对应的安全会话。MKA会话超时定时器（默认为6秒，可配置）超时后，如果本端仍未收到另一端的MKA协议报文，则清除该用户对应的安全会话。

如何充分发挥MACsec，利用IPsec

1

MACsec 用于在第 2 层 LAN 网络上对以太网上的流量进行身份验证和加密IPSec 用于第 3 层网络。

2

IPsec 在第 3 层处理 IP 数据包 MACsec 在第 2 层处理以太网帧。

3

MACsec 可以保护 IPsec 不能保护的所有 DHCP 和 ARP 通信，MACsec 在某种程度上仅限于 LAN 上的交换机或终端节点IPsec 可以跨路由器的广域网 (WAN) 工作。

它们中的任何一个都无法帮助安全系统抵御所有攻击，在实际应用中，应根据不同情况选择合适的协议，注意加强协议之间的互操作性和互补性，进一步提高网络的安全性。

MACsec 不应该被认为是 IPSec 的替代品，而是加密工具包中的另一套工具，在某些情况下，在更大规模的部署中与 IPsec 结合部署。

总结

随着移动设备、视频流量、云服务的不断扩展，带宽需求也随之快速增长，网络环境也变得复杂，数据安全和隐私问题变得尤为重要，对数据安全和隐私要求高的机构都需要关注局域网的安全。

而交换机作为构建局域网最基本的设备，为您的企业交换机部署更合适的安全协议，可以更有效的规避数据风险，保护您的局域网安全，MACsec 是致力于下一代高速加密的企业、政府或服务提供商的新选择，如果您有这样的需求，MACsec 可能是一个很酷的选择。

~搭建一个良好的无线网络环境，不仅可以让你更好地工作和学习，还可以让你畅快地享受数字化生活。希望本文所介绍的内容可以对你有所帮助。