Шифрування через Ethernet гігабітного носія


12

Мій висновок до цього полягав у тому, щоб прокладати магістралі VLAN через тунелі EoIP та інкапсулювати ті, які підтримуються апаратним забезпеченням IPSec. Дві пари досить недорогих маршрутизаторів Mikrotik RB1100AHx2 виявилися здатними насичувати з'єднання 1 Гбіт / с, додаючи затримку менше 1 мс.

Я хотів би зашифрувати трафік між двома центрами обробки даних. Зв'язок між сайтами забезпечується як стандартний міст провайдера (s-vlan / 802.1ad), щоб наші локальні теги vlan (c-vlan / 802.1q) зберігалися на магістралі. Комунікація проходить декілька переходів 2 рівня в мережі провайдера.

Граничні вимикачі з обох сторін є Catalyst 3750-X з сервісним модулем MACSec, але я припускаю, що MACSec не підлягає сумніву, оскільки я не бачу жодного способу забезпечити рівність L2 між перемикачами на магістралі, хоча це можливо через міст провайдера. MPLS (використовуючи EoMPLS), безумовно, дозволить цю опцію, але в цьому випадку вона недоступна.

У будь-якому випадку, обладнання завжди можна замінити на вибір технологій та топології.

Як я можу знайти життєздатні варіанти технологій, які можуть забезпечити шифрування 2-го рівня в точці через мережу несучих Ethernet?

редагувати:

Підводячи підсумки деяких моїх висновків:

  • Доступно низку апаратних рішень L2, починаючи з 60 000 доларів США (низька затримка, низька накладні витрати, висока вартість)

  • MACSec у багатьох випадках може бути тунельований через Q-in-Q або EoIP. Апаратне забезпечення, що починається від 5000 доларів США (низька середня затримка, низькі середні накладні витрати, низька вартість)

  • Доступно кілька апаратних рішень L3, починаючи з 5000 доларів США (висока затримка, великі накладні витрати, низька вартість)


1
Чи є причина робити це на Layer-2, а не використовувати IPSec між хостами?
mfinni

Підключення рівня 2 - це вимога. Можна подумати, що шифрування мережі 2-го рівня на шарі 2, а не проведення тунелювання та підйому виделкою буде швидше, простіше та безпечніше. Однак IPSec / L2TP або подібне (із шифруванням та інкапсуляцією, зроблене в ASIC) все ще може виявитися найкращим доступним варіантом; це по суті те, що я намагаюся з’ясувати.
Рой

Я можу додати, що цінник двох ASA, здатних підтримувати повний дуплексний IPSec 1 Гбіт / с, додає певної мотивації для вивчення альтернатив. Для порівняння ви можете отримати каталізатор, що підтримує MACSec 10 Gbps / wirespeed MACSec.
Рой

Є тонна пристроїв, які використовують власні способи для цього. Я не думаю, що існує стандарт чи що-небудь.
Falcon Momot

Ви насправді пробували це? Я не розумію, як ваш провайдер додавання та видалення тегу зіпсує macsec. Кадр, який приймає дальний комутатор, повинен бути ідентичним кадру, що надсилається.
longneck

Відповіді:


5

Щойно я швидко здійснив пошук "шифрування 2-го рівня CESG" (CESG - це британське урядове агентство, яке спеціалізується на гарантії комп'ютерних систем), в Google, і знайшов у своєму списку кілька варіантів, є принаймні один із них, який буде робити 1Gbit , а також декілька, що дозволять отримати до 10 Гбіт.

Це, мабуть, (майже напевно) буде надмірним, але ви виявите, що існує досить багато продуктів, що мають змогу здійснити шифрування рівня 2, при досить високій пропускній здатності.

Перше, що я знайшов - це VNA і MPLS агностик, не дивно, але я підозрюю, що вони криваво дорогі.


1
Я не знаю про перевищення, CN1000 вже був моїм резервним планом, якщо не вдасться знайти менш дорогого рішення
Рой

Яка ціна на таких поганих хлопців?
Том О'Коннор

В цих частинах я вважаю, що вони перераховані близько $ 35 000 (+ податок) за одиницю (1 Gbps ethernet edition)
Roy

Приблизно настільки, наскільки я очікував, я розмірковував, чи не буде 100K +
Том О'Коннор

Враховуючи, що ви отримуєте MACSec 20 Гбіт / с від провідних постачальників менше ніж за 3500 доларів, я все ще думаю, що пристрої рівня 2, про які я знаю, шалено завищені. Можна заплатити в 200 разів більше за ту саму пропускну здатність і порівнянну затримку шифрування.
Рой

0

Рішення шифрування для Metro / Carrier Ethernet досить істотно відрізняються від MacSec, який був розроблений для локальних мереж, а не для WAN. Існує ринковий перегляд, що складається з трьох документів (intro, P2P, multipoint). Google для "Шифрування Ethernet носія метрополітену", і ви знайдете його.

Що стосується ціноутворення, то вкрай важливо розмежовувати між списковими та ринковими цінами. Шифр на 1 Гб в даний час коштуватиме вам близько 20 000 доларів. Якщо ви пов'язуєте це з лінійними витратами, очевидно, що витрати на шифрування високі лише у порівнянні з непорівнянними рішеннями.


Я думаю, що важливим моментом є те, що WAN та локальні мережі зростають набагато ближче один до одного. Щодо лінійних витрат, що знаходяться навколо цих частин, вартість модернізації від віртуального дроту до виділеного проводу / частоти (де MACSec, очевидно, повністю підтримується) є МНОГО меншою, ніж придбання виділених шифрів L2. Ми говоримо на порядок.
Рой
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.