通过千兆运营商以太网加密


12

我对此的结论是通过EoIP隧道传送VLAN中继并将其封装在硬件辅助的IPSec中。事实证明,两对价格相对便宜的Mikrotik RB1100AHx2路由器能够饱和1 Gbps连接,同时增加不到1毫秒的延迟。

我想加密两个数据中心之间的流量。站点之间的通信作为标准的提供程序桥(s-vlan / 802.1ad)提供,因此我们的本地vlan标签(c-vlan / 802.1q)保留在中继线上。通信遍历提供商网络中的几个第2层跃点。

两侧的边界交换机都是带有MACSec服务模块的Catalyst 3750-X,但是我认为MACSec没问题,因为我看不到任何方法来确保中继交换机之间的L2相等,尽管这可能在提供者桥上。MPLS(使用EoMPLS)肯定会允许该选项,但是在这种情况下不可用。

无论哪种方式,都可以随时更换设备以适应技术和拓扑选择。

我如何才能找到可行的技术选择,以通过以太网运营商网络提供第2层点对点加密?

编辑:

总结一下我的一些发现:

  • 多种硬件L2解决方案可用,起价为60,000美元(低延迟,低开销,高成本)。

  • 在许多情况下,MACSec可以通过Q-in-Q或EoIP进行隧道传输。硬件起价为5,000美元(中低延迟,中低开销,低成本)

  • 多种硬件辅助的L3解决方案可用,起价为5,000美元(高延迟,高开销,低成本)。


1
是否有理由在第二层而不是在主机之间使用IPSec?
mfinni

第2层连接性是必需的。有人会认为,对第2层的第2层网络进行加密而不是进行隧道和分叉提升将更快,更简单且更安全。但是,IPSec / L2TP或类似协议(在ASIC中进行加密和封装)可能仍然是最佳的选择。这基本上就是我要弄清楚的。
罗伊

我可能会补充说,能够维持1 Gbps全双工IPSec的两个ASA的价格标签增加了探索替代方案的动力。相比之下,您可以获得支持10 Gbps /线速MACSec的Catalyst的价格更低。
罗伊

有许多设备使用专有方法来执行此操作。我认为没有任何标准。
Falcon Momot

您实际尝试过吗?我不明白您的提供商如何添加然后删除标签会弄乱macsec。远端交换机接收的帧应与发送的帧相同。
longneck 2013年

Answers:


5

我刚刚在Google上快速搜索了“ CESG 2层加密”(CESG是一家英国政府机构,专门研究计算机系统的保证),并在他们的列表中找到了一些选择,至少有一个可以做到1Gbit ,其中一些可以达到10Gbit。

可能(几乎绝对)是过大的,但是您会发现有很多milspec产品能够以相当高的吞吐量进行第2层加密。

毫不奇怪,我发现的第一个是与VLAN和MPLS无关的,但是我怀疑它们的价格昂贵。


1
我不知道矫kill过正,如果找不到更便宜的解决方案,CN1000已经是我的备份计划
Roy

那些坏男孩喜欢什么价格?
Tom O'Connor

在这些部分中,我认为它们的价格约为每单元35,000美元(含税)(1 Gbps以太网版本)
Roy

大约和我预期的一样,我正在思考他们是否可以达到100K以上
Tom O'Connor

考虑到您可以以不到3500美元的价格从领先的供应商处获得价值20 Gbps的MACSec,我仍然认为我所知道的第2层设备的价格过高。对于相同的带宽和相当的加密延迟,可能要多付200倍的钱。
罗伊

0

用于城域/运营商以太网的加密解决方案与MacSec有着很大的不同,MacSec是为LAN而设计的,而不是为WAN设计的。市场概述包括三个文档(简介,P2P,多点)。Google搜索“ Metro运营商级以太网加密器”,您将找到它。

关于定价,必须区分标价和市场价格。1Gb加密器目前将花费您约$ 20K。如果将其与线路成本联系起来,很明显,与非可比的解决方案相比,加密器成本只会很高。


我认为部分原因是WAN和LAN在技术上越来越紧密地结合在一起。关于线路成本,围绕这些部分,从虚拟线路升级到专用线路/频率(显然完全支持MACSec)的成本比购买专用的L2加密器要低很多。我们正在谈论一个数量级。
罗伊
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.