Enkripsi melalui ethernet carrier gigabit

12

Kesimpulan saya untuk ini adalah untuk pipa batang VLAN melalui terowongan EoIP dan merangkum orang-orang dalam perangkat keras yang dibantu IPSec. Dua pasang router Mikrotik RB1100AHx2 yang cukup murah terbukti mampu menjenuhkan koneksi 1 Gbps sambil menambahkan latensi kurang dari 1 ms.

Saya ingin mengenkripsi lalu lintas antara dua pusat data. Komunikasi antar situs disediakan sebagai jembatan penyedia standar (s-vlan / 802.1ad), sehingga tag vlan lokal kami (c-vlan / 802.1q) dipertahankan di bagasi. Komunikasi melewati beberapa layer 2 hop di jaringan provider.

Border switch di kedua sisi adalah Catalyst 3750-X dengan modul layanan MACSec, tapi saya berasumsi MACSec keluar dari pertanyaan, karena saya tidak melihat cara untuk memastikan kesetaraan L2 antara switch di atas trunk, meskipun mungkin saja dimungkinkan lebih dari jembatan penyedia. MPLS (menggunakan EoMPLS) tentu akan memungkinkan opsi ini, tetapi tidak tersedia dalam kasus ini.

Either way, peralatan selalu dapat diganti untuk mengakomodasi pilihan teknologi dan topologi.

Bagaimana cara mencari opsi teknologi yang layak yang dapat memberikan enkripsi layer 2 point-to-point melalui jaringan operator ethernet?

edit:

Singkatnya, beberapa temuan saya:

  • Sejumlah solusi L2 perangkat keras tersedia, mulai dari USD 60.000 (latensi rendah, overhead rendah, biaya tinggi)

  • MACSec dalam banyak kasus dapat diterobos melalui Q-in-Q atau EoIP. Perangkat keras mulai dari USD 5.000 (latensi rendah-menengah, overhead rendah-menengah, biaya rendah)

  • Sejumlah solusi L3 berbantuan perangkat keras tersedia, mulai dari USD 5.000 (Latensi tinggi, overhead tinggi, biaya rendah)

vlan encryption cisco-catalyst macsec Roy
sumber
1
Apakah ada alasan untuk melakukannya di Layer-2 daripada menggunakan IPSec antar host?
mfinni
Konektivitas lapisan 2 adalah persyaratan. Orang akan berpikir bahwa mengenkripsi jaringan layer 2 pada layer 2 daripada melakukan tunneling dan fork lift akan lebih cepat, lebih sederhana dan lebih aman. Namun, IPSec / L2TP atau yang serupa (dengan enkripsi dan enkapsulasi dilakukan dalam ASIC) mungkin masih menjadi pilihan terbaik yang tersedia; itulah dasarnya yang saya coba cari tahu.
Roy
Saya mungkin menambahkan bahwa label harga dua ASAs yang mampu mempertahankan 1 Gbps full duplex IPSec menambahkan beberapa motivasi untuk mengeksplorasi alternatif. Sebagai perbandingan, Anda bisa mendapatkan Catalyst yang mendukung 10 Gbps / wirespeed MACSec dengan harga lebih murah.
Roy
Ada banyak perangkat yang menggunakan cara berpemilik untuk melakukan ini. Saya tidak berpikir ada standar atau apa pun.
Falcon Momot
Sudahkah Anda mencoba ini? Saya tidak mengerti bagaimana penyedia Anda menambahkan dan kemudian menghapus tag akan mengacaukan macsec. Frame yang diterima oleh saklar jauh harus identik dengan frame yang dikirim.
longneck

Jawaban:

5

Saya baru saja melakukan pencarian cepat untuk "enkripsi lapisan 2 CESG" (CESG adalah lembaga pemerintah Inggris yang berspesialisasi dalam jaminan untuk sistem komputer), di Google, dan menemukan beberapa opsi dalam daftar mereka, setidaknya ada satu yang akan melakukan 1Gbit , dan beberapa yang akan melakukan hingga 10Gbit.

Mungkin (hampir pasti) akan berlebihan, tetapi Anda akan menemukan bahwa ada cukup banyak produk milspec yang mampu enkripsi Layer 2, pada throughput yang cukup tinggi.

Yang pertama saya temukan adalah VLAN dan MPLS agnostik, tidak mengejutkan, tapi saya curiga mereka mahal sekali.

Tom O'Connor
sumber
1
Saya tidak tahu tentang pembunuhan berlebihan, CN1000 sudah menjadi rencana cadangan saya, jika solusi yang lebih murah tidak dapat ditemukan
Roy
Seperti apa harga anak-anak nakal itu?
Tom O'Connor
Di bagian ini saya percaya mereka terdaftar sekitar $ 35.000 (+ pajak) per unit (1 Gbps edisi ethernet)
Roy
Tentang sebanyak yang saya harapkan, saya sedang merenungkan apakah mereka akan 100K +
Tom O'Connor
Mengingat Anda mendapatkan MACSec senilai 20 Gbps dari vendor terkemuka dengan harga kurang dari $ 3.500, saya masih berpikir perangkat layer 2 yang saya tahu terlalu mahal. Seseorang mungkin membayar 200 kali lebih banyak untuk bandwidth yang sama dan latensi enkripsi yang sebanding.
Roy
0

Solusi enkripsi untuk Metro / Carrier Ethernet sangat berbeda dari MacSec, yang dirancang untuk LAN dan bukan untuk WAN. Ada tampilan pasar yang terdiri dari tiga dokumen (intro, P2P, multipoint). Google untuk "Metro Carrier Ethernet Encryptor" dan Anda akan menemukannya.

Mengenai harga, sangat penting untuk membedakan antara harga daftar dan harga pasar. Enkripsi 1Gb saat ini akan dikenakan biaya sekitar $ 20K. Jika Anda menghubungkannya dengan biaya baris, jelas bahwa biaya enkripsi hanya tinggi jika dibandingkan dengan solusi yang tidak sebanding.

Christoph Jaggi
sumber
Saya pikir sebagian dari intinya adalah bahwa WAN dan LAN tumbuh lebih dekat bersama dalam hal teknologi. Tentang biaya baris, di sekitar bagian-bagian ini, biaya peningkatan dari kawat virtual ke kawat / frekuensi khusus (di mana MACSec jelas didukung penuh) adalah BANYAK lebih sedikit daripada memperoleh enkripsi L2 yang didediaktasi. Kita bicara urutan besarnya.
Roy