Meine Schlussfolgerung war, VLAN-Trunks durch EoIP-Tunnel zu leiten und diese in hardwaregestütztem IPSec zu kapseln. Zwei Paar recht preiswerte Mikrotik RB1100AHx2-Router haben sich als in der Lage erwiesen, eine 1-Gbit / s-Verbindung mit einer Latenz von weniger als 1 ms zu sättigen.
Ich möchte den Datenverkehr zwischen zwei Rechenzentren verschlüsseln. Die Kommunikation zwischen den Standorten erfolgt als Standard-Provider-Bridge (s-vlan / 802.1ad), sodass unsere lokalen vlan-Tags (c-vlan / 802.1q) auf dem Trunk erhalten bleiben. Die Kommunikation durchläuft mehrere Layer-2-Hops im Providernetz.
Grenzschalter auf beiden Seiten sind Catalyst 3750-X mit dem MACSec-Servicemodul, aber ich gehe davon aus, dass MACSec nicht in Frage kommt, da ich keine Möglichkeit sehe, die L2-Gleichheit zwischen den Schaltern über eine Amtsleitung sicherzustellen, obwohl dies möglicherweise möglich ist über eine Providerbrücke. MPLS (unter Verwendung von EoMPLS) würde diese Option sicherlich zulassen, ist jedoch in diesem Fall nicht verfügbar.
In beiden Fällen können Geräte jederzeit ausgetauscht werden, um die Auswahl an Technologien und Topologien zu ermöglichen.
Wie finde ich tragfähige Technologieoptionen, die eine Punkt-zu-Punkt-Verschlüsselung der Schicht 2 über Ethernet-Carrier-Netzwerke ermöglichen?
bearbeiten:
Um einige meiner Ergebnisse zusammenzufassen:
Eine Reihe von L2-Hardwarelösungen sind ab USD 60.000 verfügbar (niedrige Latenz, geringer Overhead, hohe Kosten).
MACSec kann in vielen Fällen über Q-in-Q oder EoIP getunnelt werden. Hardware ab 5.000 USD (niedrige mittlere Latenz, geringer mittlerer Overhead, niedrige Kosten)
Eine Reihe von hardwaregestützten L3-Lösungen sind ab 5.000 USD erhältlich (hohe Latenz, hoher Overhead, niedrige Kosten).
Antworten:
Ich habe gerade eine kurze Suche nach "CESG Layer 2 Verschlüsselung" (CESG ist eine britische Regierungsbehörde, die sich auf die Sicherung von Computersystemen spezialisiert hat) bei Google durchgeführt und ein paar Optionen auf ihrer Liste gefunden, von denen es mindestens eine gibt, die 1 Gbit unterstützt und ein paar, die bis zu 10 Gbit schaffen.
Es wäre wahrscheinlich (fast definitiv) übertrieben, aber Sie werden feststellen, dass es eine ganze Reihe von Milspec-Produkten gibt, die Layer-2-Verschlüsselung bei relativ hohen Durchsätzen unterstützen.
Der erste, den ich gefunden habe, ist VLAN- und MPLS-Agnostiker, nicht überraschend, aber ich vermute, dass sie verdammt teuer sind.
quelle
Verschlüsselungslösungen für Metro / Carrier-Ethernet unterscheiden sich erheblich von MacSec, das für LANs und nicht für WANs entwickelt wurde. Es gibt eine Marktübersicht bestehend aus drei Dokumenten (Intro, P2P, Multipoint). Google für "Metro Carrier Ethernet Encryptor" und Sie werden es finden.
Bei der Preisgestaltung muss unbedingt zwischen Listen- und Marktpreisen unterschieden werden. Ein 1-GBit-Verschlüsseler kostet Sie derzeit etwa 20.000 USD. Wenn Sie das mit den Leitungskosten in Beziehung setzen, ist es offensichtlich, dass die Kosten für die Verschlüsselung im Vergleich zu nicht vergleichbaren Lösungen nur hoch sind.
quelle