6.3.4 第2层安全标准

当帧从一个网络设备传递到另一个设备时，攻击者可以嗅探数据，修改数据包头，重定向流量，假冒流量。所以在OSI模型的第2层帧级别确保网络流量安全是非常必要的。

802.1AE是IEEE MAC 安全标准，它定义了一个安全基础，用户提供数据保密性、数据完整性和数据源认证。VPN连接提供了更高级别的网络层保护，而MACsec提供了第2层的逐跳保护，如下图所示

 MACSec将安全保护融入了有线以太网网络中，用于确保基于局域网的流量安全。网络上只有经过认证和可信的设备才可以彼此之间进行通信。

IEEE 802.1AR 标准指定了每个设备唯一的标识符，这些设备（路由器、交换机和无线接入点）的管理和加密都被绑定到这个标识符上。
802.1AR为设备提供了一个唯一的ID。802.1AE提供数据加密、完整性、原是认证功能。802.1AF用于数据加密的会话密钥实施密钥协商功能。

关键术语