Verschlüsselung über Gigabit Carrier Ethernet

12

Meine Schlussfolgerung war, VLAN-Trunks durch EoIP-Tunnel zu leiten und diese in hardwaregestütztem IPSec zu kapseln. Zwei Paar recht preiswerte Mikrotik RB1100AHx2-Router haben sich als in der Lage erwiesen, eine 1-Gbit / s-Verbindung mit einer Latenz von weniger als 1 ms zu sättigen.

Ich möchte den Datenverkehr zwischen zwei Rechenzentren verschlüsseln. Die Kommunikation zwischen den Standorten erfolgt als Standard-Provider-Bridge (s-vlan / 802.1ad), sodass unsere lokalen vlan-Tags (c-vlan / 802.1q) auf dem Trunk erhalten bleiben. Die Kommunikation durchläuft mehrere Layer-2-Hops im Providernetz.

Grenzschalter auf beiden Seiten sind Catalyst 3750-X mit dem MACSec-Servicemodul, aber ich gehe davon aus, dass MACSec nicht in Frage kommt, da ich keine Möglichkeit sehe, die L2-Gleichheit zwischen den Schaltern über eine Amtsleitung sicherzustellen, obwohl dies möglicherweise möglich ist über eine Providerbrücke. MPLS (unter Verwendung von EoMPLS) würde diese Option sicherlich zulassen, ist jedoch in diesem Fall nicht verfügbar.

In beiden Fällen können Geräte jederzeit ausgetauscht werden, um die Auswahl an Technologien und Topologien zu ermöglichen.

Wie finde ich tragfähige Technologieoptionen, die eine Punkt-zu-Punkt-Verschlüsselung der Schicht 2 über Ethernet-Carrier-Netzwerke ermöglichen?

bearbeiten:

Um einige meiner Ergebnisse zusammenzufassen:

  • Eine Reihe von L2-Hardwarelösungen sind ab USD 60.000 verfügbar (niedrige Latenz, geringer Overhead, hohe Kosten).

  • MACSec kann in vielen Fällen über Q-in-Q oder EoIP getunnelt werden. Hardware ab 5.000 USD (niedrige mittlere Latenz, geringer mittlerer Overhead, niedrige Kosten)

  • Eine Reihe von hardwaregestützten L3-Lösungen sind ab 5.000 USD erhältlich (hohe Latenz, hoher Overhead, niedrige Kosten).

Roy
quelle
1
Gibt es einen Grund, dies auf Schicht 2 zu tun, anstatt IPSec zwischen Hosts zu verwenden?
MFINNI
Layer-2-Konnektivität ist eine Voraussetzung. Man könnte meinen, dass das Verschlüsseln eines Layer 2-Netzwerks auf Layer 2 schneller, einfacher und sicherer wäre, als das Tunneln und Stapeln. IPSec / L2TP oder ähnliches (mit Verschlüsselung und Kapselung in ASIC) kann sich jedoch weiterhin als die beste verfügbare Option herausstellen. das ist im Wesentlichen, was ich versuche herauszufinden.
Roy
Ich möchte hinzufügen, dass der Preis für zwei ASAs, die in der Lage sind, 1-Gbit / s-Vollduplex-IPSec beizubehalten, eine gewisse Motivation für die Suche nach Alternativen bietet. Im Vergleich dazu erhalten Sie einen Catalyst, der 10 Gbps / Wirespeed MACSec für weniger unterstützt.
Roy
Es gibt eine Menge Geräte, die dafür proprietäre Methoden verwenden. Ich glaube nicht, dass es einen Standard gibt oder so.
Falcon Momot
Hast du das schon probiert? Ich verstehe nicht, wie Ihr Provider das Hinzufügen und Entfernen eines Tags MacSec durcheinander bringen würde. Der Frame, den die Gegenstelle empfängt, sollte mit dem gesendeten Frame identisch sein.
Longneck

Antworten:

5

Ich habe gerade eine kurze Suche nach "CESG Layer 2 Verschlüsselung" (CESG ist eine britische Regierungsbehörde, die sich auf die Sicherung von Computersystemen spezialisiert hat) bei Google durchgeführt und ein paar Optionen auf ihrer Liste gefunden, von denen es mindestens eine gibt, die 1 Gbit unterstützt und ein paar, die bis zu 10 Gbit schaffen.

Es wäre wahrscheinlich (fast definitiv) übertrieben, aber Sie werden feststellen, dass es eine ganze Reihe von Milspec-Produkten gibt, die Layer-2-Verschlüsselung bei relativ hohen Durchsätzen unterstützen.

Der erste, den ich gefunden habe, ist VLAN- und MPLS-Agnostiker, nicht überraschend, aber ich vermute, dass sie verdammt teuer sind.

Tom O'Connor
quelle
1
Ich weiß nicht über Overkill, der CN1000 war bereits mein Backup-Plan, wenn eine kostengünstigere Lösung nicht gefunden werden kann
Roy
Wie ist die Preisgestaltung für diese bösen Jungs?
Tom O'Connor
Ich glaube, dass in diesen Teilen etwa 35.000 US-Dollar (+ Steuern) pro Einheit (1-Gbit / s-Ethernet-Ausgabe) aufgeführt sind
Roy,
Ungefähr so ​​viel, wie ich erwartet hatte, überlegte ich, ob es 100.000+ sein würden
Tom O'Connor
Angesichts der Tatsache, dass Sie von führenden Anbietern MACSec mit 20 Gbit / s für weniger als 3.500 US-Dollar erhalten, denke ich, dass die Layer-2-Geräte, die ich kenne, wahnsinnig überteuert sind. Bei gleicher Bandbreite und vergleichbarer Verschlüsselungslatenz kann man 200-mal mehr bezahlen.
Roy
0

Verschlüsselungslösungen für Metro / Carrier-Ethernet unterscheiden sich erheblich von MacSec, das für LANs und nicht für WANs entwickelt wurde. Es gibt eine Marktübersicht bestehend aus drei Dokumenten (Intro, P2P, Multipoint). Google für "Metro Carrier Ethernet Encryptor" und Sie werden es finden.

Bei der Preisgestaltung muss unbedingt zwischen Listen- und Marktpreisen unterschieden werden. Ein 1-GBit-Verschlüsseler kostet Sie derzeit etwa 20.000 USD. Wenn Sie das mit den Leitungskosten in Beziehung setzen, ist es offensichtlich, dass die Kosten für die Verschlüsselung im Vergleich zu nicht vergleichbaren Lösungen nur hoch sind.

Christoph Jaggi
quelle
Ich denke, ein Teil des Punktes ist, dass WANs und LANs technologisch viel enger zusammenwachsen. Was die Leitungskosten anbelangt, so sind die Kosten für das Upgrade von einer virtuellen Leitung auf eine dedizierte Leitung / Frequenz (bei der MACSec offensichtlich vollständig unterstützt wird) um ein Vielfaches geringer als die Kosten für den Erwerb dediaktierter L2-Verschlüsseler. Wir sprechen von einer Größenordnung.
Roy