> A noter aussi que MACSEC n'est possible qu'à travers un L2VPN ou une > connexion en direct attach (ou back to back), les adresses AMC étant > authentifiées compliqué de mettre un équipements tiers au milieu.
Attention si vous décidez d'utiliser macsec à travers un l2vpn fourni par un opérateur tiers, s'il y a un quelconque équilibrage de charge dans son réseau à travers de multiple liens (ecmp, lag, whatever), ce qui est fort probable, il faut IMPÉRATIVEMENT paramétrer un replay-window supérieur à zéro (valeur à déterminer), faute de quoi vous constaterez de la perte de paquets, alors que l'opérateur qui gère le l2vpn ne constatera absolument rien (et il aura raison). J'ai passé pas mal de temps la première fois qu'on m'a remonté ce "problème" pour démontrer à un client que tout allait bien de mon côté avant de me rendre compte que c'était à cause de son anti-rejeu trop strict que certains paquets étaient refusés par son catalyst... Certaines plateformes ne l'activent pas par défaut[0] et ne mentionnent même pas l'inconvénient d'une telle option, d'autres[1] utilisent une valeur par défaut de 0 (!) mais précisent toutefois que les réseaux métro sont sujets à un ré-ordonnancement des paquets, enfin certaines[2] ont un anti-rejeu activé et non-nul (64) avec une note bien explicite concernant les réseaux d'opérateurs qui sont "hautement susceptibles de réordonner les paquets". FWIW, la norme IEEE 802.1AE-2018 (accessible avec un compte gratuit, vous avez du bol) définit le replayWindow entre 0 et 2^32-1 avec une valeur par défaut de 0... Attention donc ! [0] https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/task/macsec-configuring-advanced.html#replay-protection [1] https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-9/configuration_guide/sec/b_169_sec_9300_cg/macsec_encryption.html#concept_qxd_jy1_44b [2] https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/macsec/configuration/xe-3s/macsec-xe-3s-book.html#concept_12C40FCBE097497089C0C7429576A422 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
