Qu'est-ce que MACsec ? Chiffrement Layer 2 expliqué
·1 min read·148 words
MACsec (802.1AE) est le standard IEEE de chiffrement L2 (Ethernet) entre switchs/endpoints. Chiffre les trames to la volée en AES-128 or AES-256-GCM. Protection contre eavesdropping sur cables fibre/cuivre. Obligatoire conformité NIS2 certaines configurations.
Fonctionnement
- Chiffrement hop-by-hop entre 2 équipements
- AES-128 or AES-256-GCM
- Performance : ASIC hardware (pas impact latence)
- Uses 802.1X or MKA (MACsec Key Agreement) for négocier clés
- Transparent applications au-dessus
Use case
- Liaisons DC inter-sites sur fibre louée
- Campus inter-bâtiments
- Data centers : micro-segmentation renforcée
- Conformité : protection données sensibles sur network
Support vendors
- Cisco Catalyst 9300/9500 : MACsec 128/256
- Juniper EX4300/4400/9200 : 128/256
- Aruba CX 6300M/8325 : 256
- Arista 7050X3 : 256
- Requires hardware-compatible ASIC (pas retrofit)
vs IPsec
- MACsec : L2, entre switchs adjacents, faible overhead
- IPsec : L3, end-to-end, flexible multi-hop
- MACsec : performance wire-speed
- IPsec : overhead ~10-15% throughput
Commander chez OPTINOC
Switchs MACsec Cisco/Juniper/Aruba/Arista. Configuration inter-sites + keys. Devis sous 48h.