Mã hóa trên ethernet Carrier gigabit


12

Kết luận của tôi về vấn đề này là chuyển các đường truyền Vlan qua các đường hầm EoIP và gói gọn những người trong IPSec hỗ trợ phần cứng. Hai cặp bộ định tuyến Mikrotik RB1100AHx2 khá rẻ tiền đã chứng tỏ khả năng bão hòa kết nối 1 Gbps trong khi thêm độ trễ dưới 1 ms.

Tôi muốn mã hóa lưu lượng giữa hai trung tâm dữ liệu. Giao tiếp giữa các trang web được cung cấp như một cây cầu nhà cung cấp tiêu chuẩn (s-vlan / 802.1ad), để các thẻ vlan cục bộ của chúng tôi (c-vlan / 802.1q) được giữ nguyên trên thân cây. Truyền thông đi qua một số bước 2 lớp trong mạng của nhà cung cấp.

Công tắc viền ở cả hai bên là Catalyst 3750-X với mô-đun dịch vụ MACSec, nhưng tôi cho rằng MACSec không có vấn đề gì, vì tôi không thấy cách nào để đảm bảo sự bình đẳng L2 giữa các công tắc trên một thân cây, mặc dù có thể có thể qua một cây cầu nhà cung cấp. MPLS (sử dụng EoMPLS) chắc chắn sẽ cho phép tùy chọn này, nhưng không có sẵn trong trường hợp này.

Dù bằng cách nào, thiết bị luôn có thể được thay thế để phù hợp với các lựa chọn công nghệ và cấu trúc liên kết.

Làm cách nào để tìm kiếm các tùy chọn công nghệ khả thi có thể cung cấp mã hóa điểm 2 điểm trên các mạng của nhà mạng ethernet?

biên tập:

Tổng hợp một số phát hiện của tôi:

  • Một số giải pháp L2 phần cứng có sẵn, bắt đầu từ 60.000 USD (độ trễ thấp, chi phí thấp, chi phí cao)

  • MACSec trong nhiều trường hợp có thể được tạo đường hầm thông qua Q-in-Q hoặc EoIP. Phần cứng bắt đầu từ 5.000 USD (độ trễ trung bình thấp, chi phí trung bình thấp, chi phí thấp)

  • Một số giải pháp L3 hỗ trợ phần cứng có sẵn, bắt đầu từ 5.000 USD (Độ trễ cao, chi phí cao, chi phí thấp)


1
Có lý do để làm điều đó ở Lớp 2 thay vì sử dụng IPSec giữa các máy chủ không?
mfinni

Kết nối lớp 2 là một yêu cầu. Người ta sẽ nghĩ rằng mã hóa mạng lớp 2 trên lớp 2 thay vì thực hiện đào hầm và nâng ngã ba sẽ nhanh hơn, đơn giản và an toàn hơn. Tuy nhiên, IPSec / L2TP hoặc tương tự (với mã hóa và đóng gói được thực hiện trong ASIC) vẫn có thể trở thành tùy chọn khả dụng tốt nhất; đó thực chất là những gì tôi đang cố gắng tìm ra.
Roy

Tôi có thể thêm rằng thẻ giá của hai ASA có khả năng duy trì IPSec song công hoàn toàn 1 Gbps thêm một số động lực để khám phá các lựa chọn thay thế. Bằng cách so sánh, bạn có thể nhận được Catalyst hỗ trợ MACSec 10 Gbps / dây tốc độ thấp hơn.
Roy

Có rất nhiều thiết bị sử dụng các cách độc quyền để làm điều này. Tôi không nghĩ có một tiêu chuẩn hay bất cứ điều gì.
Falcon Momot

Bạn đã thực sự thử điều này? Tôi không hiểu cách nhà cung cấp của bạn thêm và sau đó xóa thẻ sẽ làm rối tung macsec. Khung mà công tắc xa nhận được phải giống hệt với khung được gửi.
longneck

Câu trả lời:


5

Tôi vừa thực hiện tìm kiếm nhanh về "mã hóa lớp 2 CESG" (CESG là một cơ quan chính phủ người Anh chuyên bảo đảm cho các hệ thống máy tính), trên Google và tìm thấy một vài tùy chọn trong danh sách của họ, có ít nhất một tùy chọn sẽ thực hiện 1Gbit và một số ít sẽ lên tới 10Gbit.

Có lẽ (gần như chắc chắn) là quá mức cần thiết, nhưng bạn sẽ thấy rằng có khá nhiều sản phẩm milspec có khả năng mã hóa Lớp 2, với thông lượng khá cao.

Cái đầu tiên tôi tìm thấy là không tin tưởng Vlan và MPLS, không ngạc nhiên, nhưng tôi nghi ngờ chúng đắt đỏ.


1
Tôi không biết về mức độ quá mức, CN1000 đã là kế hoạch dự phòng của tôi, nếu không thể tìm thấy giải pháp ít tốn kém hơn
Roy

Giá cả của những chàng trai xấu như thế nào?
Tom O'Connor

Trong những phần này tôi tin rằng chúng được liệt kê khoảng 35.000 đô la (thuế) mỗi đơn vị (phiên bản ethernet 1 Gbps)
Roy

Về nhiều như tôi mong đợi, tôi đã suy nghĩ nếu họ là 100K +
Tom O'Connor

Xem xét bạn nhận được MACSec trị giá 20 Gbps từ các nhà cung cấp hàng đầu với mức giá dưới 3.500 đô la, tôi vẫn nghĩ rằng các thiết bị lớp 2 mà tôi biết là quá đắt. Người ta có thể trả gấp 200 lần cho cùng một băng thông và độ trễ mã hóa tương đương.
Roy

0

Các giải pháp mã hóa cho Metro / Carrier Ethernet khác biệt khá nhiều so với MacSec, được thiết kế cho mạng LAN và không dành cho mạng LAN. Có một thị trường bao gồm ba tài liệu (giới thiệu, P2P, đa điểm). Google cho "Bộ mã hóa Ethernet của Carrier Carrier" và bạn sẽ tìm thấy nó.

Liên quan đến giá cả là bắt buộc để phân biệt giữa giá niêm yết và giá thị trường. Một bộ mã hóa 1Gb hiện tại sẽ tiêu tốn của bạn khoảng $ 20K. Nếu bạn đặt điều đó vào mối quan hệ với chi phí đường truyền, rõ ràng là chi phí mã hóa chỉ cao nếu so với các giải pháp không thể so sánh được.


Tôi nghĩ một phần của vấn đề là mạng LAN và mạng LAN đang phát triển gần nhau hơn rất nhiều với công nghệ. Về chi phí đường dây, xung quanh các bộ phận này, chi phí nâng cấp từ dây ảo lên dây / tần số chuyên dụng (trong đó MACSec rõ ràng được hỗ trợ đầy đủ) ít hơn rất nhiều so với việc mua các bộ mã hóa L2 được khấu trừ. Chúng ta đang nói về một thứ tự cường độ.
Roy
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.