Gigabit taşıyıcı ethernet üzerinden şifreleme

12

Benim sonucum, VLAN gövdelerini EoIP tünelleri üzerinden borulamak ve donanım destekli IPSec'dekileri kapsüllemekti. İki çift oldukça ucuz Mikrotik RB1100AHx2 yönlendirici, 1 msn'den daha az gecikme eklerken 1 Gbps bağlantıyı doyurabildiğini kanıtladı.

İki veri merkezi arasındaki trafiği şifrelemek istiyorum. Siteler arasındaki iletişim, standart bir sağlayıcı köprüsü (s-vlan / 802.1ad) olarak sağlanır, böylece yerel vlan etiketlerimiz (c-vlan / 802.1q) bagajda korunur. İletişim, sağlayıcı ağında birkaç katman 2 atlamadan geçer.

Her iki taraftaki sınır anahtarları MACSec servis modülü ile Catalyst 3750-X'dir, ancak mümkün olabilmesine rağmen, bir bagaj üzerindeki anahtarlar arasında L2 eşitliğini sağlamak için herhangi bir yol göremediğim için MACSec'in söz konusu olmadığını varsayıyorum. bir sağlayıcı köprüsü üzerinden. MPLS (EoMPLS kullanarak) kesinlikle bu seçeneğe izin verir, ancak bu durumda kullanılamaz.

Her iki şekilde de, teknoloji ve topoloji tercihlerine uyum sağlamak için ekipman her zaman değiştirilebilir.

Ethernet taşıyıcı ağları üzerinden katman 2 noktadan noktaya şifreleme sağlayabilecek uygulanabilir teknoloji seçeneklerini nasıl bulabilirim?

Düzenle:

Bulgularımdan bazılarını özetlemek gerekirse:

  • 60.000 USD'den başlayan bir dizi donanım L2 çözümü mevcuttur (düşük gecikme süresi, düşük ek yük, yüksek maliyet)

  • MACSec birçok durumda Q-in-Q veya EoIP yoluyla tünellenebilir. 5.000 USD'den başlayan donanım (düşük-orta gecikme, düşük-orta yük, düşük maliyet)

  • 5.000 USD'den başlayan bir dizi donanım destekli L3 çözümü mevcuttur (Yüksek gecikme süresi, yüksek ek yük, düşük maliyet)

vlan  encryption  cisco-catalyst  macsec 
Roy
kaynak
1
Bunu ana bilgisayarlar arasında IPSec kullanmak yerine Katman 2'de yapmak için bir neden var mı?
mfinni
Katman 2 bağlantısı bir gerekliliktir. Bir katman 2 ağını tünel açma ve çatal kaldırma yapmak yerine katman 2'de şifrelemenin daha hızlı, daha basit ve daha güvenli olacağı düşünülebilir. Bununla birlikte, IPSec / L2TP veya benzeri (ASIC'de yapılan şifreleme ve kapsülleme ile) yine de mevcut en iyi seçenek olabilir; aslında anlamaya çalıştığım şey bu.
Roy
1 Gbps tam çift yönlü IPSec'i koruyabilen iki ASA'nın fiyat etiketinin alternatifleri keşfetmek için biraz motivasyon eklediğini ekleyebilirim. Karşılaştırma yaparak 10 Gbps / tel hızlı MACSec'i daha az ödeyerek destekleyen bir Katalizör alabilirsiniz.
Roy
Bunu yapmak için özel yollar kullanan bir ton cihaz var. Bir standart ya da başka bir şey olduğunu sanmıyorum.
Falcon Momot
Bunu gerçekten denedin mi? Sağlayıcınızın bir etiket ekleyip kaldırmanın macsec'i nasıl bozacağını anlamıyorum. Uzak anahtarın aldığı çerçeve, gönderilen çerçeveyle aynı olmalıdır.
longneck

Yanıtlar:

5

Google'da "CESG katman 2 şifrelemesi" (CESG, bilgisayar sistemleri için güvence konusunda uzmanlaşmış bir İngiliz hükümet ajansı) için hızlı bir arama yaptım ve listelerinde birkaç seçenek buldum, en az bir tane 1Gbit yapacak ve birkaç tanesi 10Gbit'e kadar çıkar.

Muhtemelen (neredeyse kesinlikle) aşırıya kaçar, ancak oldukça yüksek verimlerde Katman 2 şifrelemesine sahip oldukça fazla milspec ürünü olduğunu göreceksiniz.

İlk bulduğum şaşırtıcı olmayan bir şekilde VLAN ve MPLS agnostik, ama kanlı pahalı olduklarından şüpheleniyorum.

Tom O'Connor
kaynak
1
Overkill hakkında bir şey bilmiyorum, daha ucuz bir çözüm bulunamazsa CN1000 zaten yedek planımdı
Roy
Bu kötü erkeklerin fiyatı nedir?
Tom O'Connor
Bu bölümlerde birim başına yaklaşık 35.000 $ (+ vergi) listelendiğine inanıyorum (1 Gbps ethernet sürümü)
Roy
Beklediğim kadarıyla, 100 bin + olsaydı düşünmeye başladım +
Tom O'Connor
3,500 $ 'dan daha düşük bir fiyata önde gelen satıcılardan 20 Gbps değerinde MACSec aldığınız düşünüldüğünde, hala bildiğim katman 2 cihazlarının delicesine pahalı olduğunu düşünüyorum. Aynı bant genişliği ve karşılaştırılabilir şifreleme gecikmesi için 200 kat daha fazla ödeme yapılabilir.
Roy
0

Metro / Taşıyıcı Ethernet için şifreleme çözümleri, WAN'lar için değil LAN'lar için tasarlanmış MacSec'ten oldukça farklıdır. Üç belgeden (giriş, P2P, çok noktalı) oluşan bir işaretleme görünümü vardır. Google "Metro Taşıyıcı Ethernet Şifreleyici" için ve onu bulacaksınız.

Fiyatlandırma ile ilgili olarak liste fiyatları ile piyasa fiyatları arasında ayrım yapılması zorunludur. Bir 1Gb şifreleyici şu anda size yaklaşık 20.000 dolara mal olacak. Bunu hat maliyetleriyle ilişkilendirirseniz, şifreleyici maliyetlerinin karşılaştırılabilir olmayan çözümlerle karşılaştırıldığında yalnızca yüksek olduğu açıktır.

Christoph Jaggi
kaynak
Bence önemli olan nokta, WAN'ların ve LAN'ların teknolojiyle birlikte çok daha yakınlaşmaları. Hat maliyetleri hakkında, bu parçalar etrafında, sanal kablodan özel kablo / frekansa (MACSec'in tam olarak desteklendiği yerlerde) yükseltme maliyeti, söz konusu L2 şifreleyicileri elde etmekten çok daha azdır. Büyüklükten bahsediyoruz.
Roy
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.