Мій висновок до цього полягав у тому, щоб прокладати магістралі VLAN через тунелі EoIP та інкапсулювати ті, які підтримуються апаратним забезпеченням IPSec. Дві пари досить недорогих маршрутизаторів Mikrotik RB1100AHx2 виявилися здатними насичувати з'єднання 1 Гбіт / с, додаючи затримку менше 1 мс.
Я хотів би зашифрувати трафік між двома центрами обробки даних. Зв'язок між сайтами забезпечується як стандартний міст провайдера (s-vlan / 802.1ad), щоб наші локальні теги vlan (c-vlan / 802.1q) зберігалися на магістралі. Комунікація проходить декілька переходів 2 рівня в мережі провайдера.
Граничні вимикачі з обох сторін є Catalyst 3750-X з сервісним модулем MACSec, але я припускаю, що MACSec не підлягає сумніву, оскільки я не бачу жодного способу забезпечити рівність L2 між перемикачами на магістралі, хоча це можливо через міст провайдера. MPLS (використовуючи EoMPLS), безумовно, дозволить цю опцію, але в цьому випадку вона недоступна.
У будь-якому випадку, обладнання завжди можна замінити на вибір технологій та топології.
Як я можу знайти життєздатні варіанти технологій, які можуть забезпечити шифрування 2-го рівня в точці через мережу несучих Ethernet?
редагувати:
Підводячи підсумки деяких моїх висновків:
Доступно низку апаратних рішень L2, починаючи з 60 000 доларів США (низька затримка, низька накладні витрати, висока вартість)
MACSec у багатьох випадках може бути тунельований через Q-in-Q або EoIP. Апаратне забезпечення, що починається від 5000 доларів США (низька середня затримка, низькі середні накладні витрати, низька вартість)
Доступно кілька апаратних рішень L3, починаючи з 5000 доларів США (висока затримка, великі накладні витрати, низька вартість)