2
通过千兆运营商以太网加密
我对此的结论是通过EoIP隧道传送VLAN中继并将其封装在硬件辅助的IPSec中。事实证明,两对价格相对便宜的Mikrotik RB1100AHx2路由器能够饱和1 Gbps连接,同时增加不到1毫秒的延迟。 我想加密两个数据中心之间的流量。站点之间的通信作为标准的提供程序桥(s-vlan / 802.1ad)提供,因此我们的本地vlan标签(c-vlan / 802.1q)保留在中继线上。通信遍历提供商网络中的几个第2层跃点。 两侧的边界交换机都是带有MACSec服务模块的Catalyst 3750-X,但是我认为MACSec没问题,因为我看不到任何方法来确保中继交换机之间的L2相等,尽管这可能在提供者桥上。MPLS(使用EoMPLS)肯定会允许该选项,但是在这种情况下不可用。 无论哪种方式,都可以随时更换设备以适应技术和拓扑选择。 我如何才能找到可行的技术选择,以通过以太网运营商网络提供第2层点对点加密? 编辑: 总结一下我的一些发现: 多种硬件L2解决方案可用,起价为60,000美元(低延迟,低开销,高成本)。 在许多情况下,MACSec可以通过Q-in-Q或EoIP进行隧道传输。硬件起价为5,000美元(中低延迟,中低开销,低成本) 多种硬件辅助的L3解决方案可用,起价为5,000美元(高延迟,高开销,低成本)。