通过千兆运营商以太网加密

我对此的结论是通过EoIP隧道传送VLAN中继并将其封装在硬件辅助的IPSec中。事实证明，两对价格相对便宜的Mikrotik RB1100AHx2路由器能够饱和1 Gbps连接，同时增加不到1毫秒的延迟。

我想加密两个数据中心之间的流量。站点之间的通信作为标准的提供程序桥（s-vlan / 802.1ad）提供，因此我们的本地vlan标签（c-vlan / 802.1q）保留在中继线上。通信遍历提供商网络中的几个第2层跃点。

两侧的边界交换机都是带有MACSec服务模块的Catalyst 3750-X，但是我认为MACSec没问题，因为我看不到任何方法来确保中继交换机之间的L2相等，尽管这可能在提供者桥上。MPLS（使用EoMPLS）肯定会允许该选项，但是在这种情况下不可用。

无论哪种方式，都可以随时更换设备以适应技术和拓扑选择。

我如何才能找到可行的技术选择，以通过以太网运营商网络提供第2层点对点加密？

编辑：

总结一下我的一些发现：

• 多种硬件L2解决方案可用，起价为60,000美元（低延迟，低开销，高成本）。

• 在许多情况下，MACSec可以通过Q-in-Q或EoIP进行隧道传输。硬件起价为5,000美元（中低延迟，中低开销，低成本）

• 多种硬件辅助的L3解决方案可用，起价为5,000美元（高延迟，高开销，低成本）。

我刚刚在Google上快速搜索了“ CESG 2层加密”（CESG是一家英国政府机构，专门研究计算机系统的保证），并在他们的列表中找到了一些选择，至少有一个可以做到1Gbit ，其中一些可以达到10Gbit。

可能（几乎绝对）是过大的，但是您会发现有很多milspec产品能够以相当高的吞吐量进行第2层加密。

毫不奇怪，我发现的第一个是与VLAN和MPLS无关的，但是我怀疑它们的价格昂贵。

用于城域/运营商以太网的加密解决方案与MacSec有着很大的不同，MacSec是为LAN而设计的，而不是为WAN设计的。市场概述包括三个文档（简介，P2P，多点）。Google搜索“ Metro运营商级以太网加密器”，您将找到它。

关于定价，必须区分标价和市场价格。1Gb加密器目前将花费您约$ 20K。如果将其与线路成本联系起来，很明显，与非可比的解决方案相比，加密器成本只会很高。