การเข้ารหัสผ่านอีเทอร์เน็ตกิกะบิต

12

ข้อสรุปของฉันคือการใช้ท่อ VLAN ผ่านอุโมงค์ EoIP และใส่ในแค็ปซูลใน IPSec ที่ช่วยในฮาร์ดแวร์ เราเตอร์ Mikrotik RB1100AHx2 ราคาไม่แพงสองคู่ได้รับการพิสูจน์แล้วว่าสามารถเชื่อมต่อได้ 1 Gbps ในขณะที่เพิ่มเวลาในการตอบสนองน้อยกว่า 1 ms

ฉันต้องการเข้ารหัสปริมาณข้อมูลระหว่างศูนย์ข้อมูลสองแห่ง การสื่อสารระหว่างไซต์นั้นมีให้ในรูปแบบบริดจ์ผู้ให้บริการมาตรฐาน (s-vlan / 802.1ad) ดังนั้นแท็ก vlan ในพื้นที่ของเรา (c-vlan / 802.1q) จะถูกเก็บรักษาไว้ในห้องเก็บสัมภาระ การสื่อสารข้ามหลายเลเยอร์ 2 กระโดดในเครือข่ายผู้ให้บริการ

Border Switch ทั้งสองด้านคือ Catalyst 3750-X พร้อมด้วยโมดูลบริการ MACSec แต่ฉันคิดว่า MACSec นั้นไม่เป็นปัญหาเพราะฉันไม่เห็นวิธีที่จะทำให้ L2 มีความเท่าเทียมกันระหว่างสวิตช์บนลำตัวแม้ว่ามันจะเป็นไปได้ก็ตาม บนสะพานของผู้ให้บริการ MPLS (โดยใช้ EoMPLS) จะอนุญาตตัวเลือกนี้อย่างแน่นอน แต่ไม่สามารถใช้งานได้ในกรณีนี้

ทั้งสองวิธีสามารถเปลี่ยนอุปกรณ์ได้ตลอดเวลาเพื่อรองรับเทคโนโลยีและตัวเลือกโทโพโลยี

ฉันจะค้นหาตัวเลือกเทคโนโลยีที่ทำงานได้ซึ่งสามารถให้การเข้ารหัสแบบจุดต่อจุดแบบเลเยอร์ 2 ผ่านเครือข่ายผู้ให้บริการอีเธอร์เน็ตได้อย่างไร

แก้ไข:

เพื่อสรุปสิ่งที่ฉันค้นพบ:

  • มีโซลูชั่นฮาร์ดแวร์ L2 ให้เลือกเริ่มต้นที่ 60,000 USD (เวลาแฝงต่ำ, ค่าใช้จ่ายต่ำ, ต้นทุนสูง)

  • ในหลายกรณี MACSec อาจถูกส่งสัญญาณผ่าน Q-in-Q หรือ EoIP ฮาร์ดแวร์เริ่มต้นที่ 5,000 เหรียญสหรัฐ (ความหน่วงแฝงต่ำ, ค่าโสหุ้ยต่ำ - ปานกลาง, ต้นทุนต่ำ)

  • มีโซลูชัน L3 ที่ให้ความช่วยเหลือด้านฮาร์ดแวร์จำนวนหนึ่งเริ่มต้นที่ USD 5,000 (เวลาแฝงสูงค่าใช้จ่ายสูงต้นทุนต่ำ)

vlan  encryption  cisco-catalyst  macsec 
รอย
แหล่งที่มา
1
มีเหตุผลที่ต้องทำที่ Layer-2 แทนที่จะใช้ IPSec ระหว่างโฮสต์หรือไม่
mfinni
การเชื่อมต่อเลเยอร์ 2 เป็นข้อกำหนด ใครจะคิดว่าการเข้ารหัสเครือข่ายเลเยอร์ 2 บนเลเยอร์ 2 แทนที่จะทำการขุดอุโมงค์และการยกทางแยกจะเร็วขึ้นง่ายขึ้นและปลอดภัยขึ้น อย่างไรก็ตาม IPSec / L2TP หรือคล้ายกัน (ด้วยการเข้ารหัสและการห่อหุ้มที่ทำใน ASIC) อาจยังคงเป็นตัวเลือกที่ดีที่สุด นั่นคือสิ่งที่ฉันพยายามหา
Roy
ฉันอาจเพิ่มว่าป้ายราคาของ ASAs สองตัวที่สามารถรักษาไอพีเพล็กซ์เต็ม 1 Gbps IPSec เพิ่มแรงจูงใจบางอย่างสำหรับการสำรวจทางเลือก โดยการเปรียบเทียบคุณจะได้รับ Catalyst ที่รองรับ 10 Gbps / สายความเร็ว MACSec น้อยกว่า
Roy
มีอุปกรณ์มากมายที่ใช้วิธีการที่เป็นกรรมสิทธิ์ในการทำเช่นนี้ ฉันไม่คิดว่าจะมีมาตรฐานหรืออะไร
Falcon Momot
คุณเคยลองสิ่งนี้จริงหรือ ฉันไม่เข้าใจว่าผู้ให้บริการของคุณเพิ่มแล้วการลบแท็กจะทำให้เกิดความสับสนกับ macsec เฟรมที่สวิตช์ฟาร์รับได้ควรเหมือนกับเฟรมที่ส่ง
longneck

คำตอบ:

5

ฉันเพิ่งค้นหา "การเข้ารหัส CESG เลเยอร์ 2" อย่างรวดเร็ว (CESG เป็นหน่วยงานรัฐบาลของอังกฤษที่เชี่ยวชาญด้านการประกันสำหรับระบบคอมพิวเตอร์) บน Google และพบตัวเลือกไม่กี่ตัวในรายชื่อพวกเขามีอย่างน้อยหนึ่งตัวที่จะทำ 1Gbit และอีกไม่กี่อย่างที่จะทำได้สูงถึง 10Gbit

อาจเป็นไปได้ (เกือบแน่นอน) แต่คุณจะพบว่ามีผลิตภัณฑ์ milspec จำนวนมากที่มีความสามารถในการเข้ารหัสเลเยอร์ 2 ที่ความเร็วสูง

สิ่งแรกที่ฉันพบคือผู้ไม่เชื่อเรื่องพระเจ้า VLAN และ MPLS ไม่แปลกใจ แต่ฉันคิดว่ามันมีราคาแพง

ทอมโอคอนเนอร์
แหล่งที่มา
1
ฉันไม่รู้เกี่ยวกับ overkill, CN1000 เป็นแผนสำรองข้อมูลของฉันอยู่แล้วหากไม่สามารถหาวิธีแก้ปัญหาที่ราคาไม่แพงได้
Roy
การกำหนดราคาสำหรับเด็กเลวเหล่านั้นเป็นอย่างไร
Tom O'Connor
ในชิ้นส่วนเหล่านี้ผมเชื่อว่าพวกเขามีการระบุไว้รอบ $ 35,000 (ไม่รวมภาษี +) ต่อหน่วย (1 Gbps Ethernet Edition)
รอย
เกี่ยวกับมากที่สุดเท่าที่ฉันคาดหวังฉันกำลังไตร่ตรองว่าพวกเขาจะเป็น 100K +
Tom O'Connor
เมื่อพิจารณาว่าคุณได้รับ MACSec มูลค่า 20 Gbps จากผู้จำหน่ายชั้นนำในราคาต่ำกว่า $ 3,500 ฉันยังคงคิดว่าอุปกรณ์เลเยอร์ 2 ที่ฉันรู้จักมีราคาแพงเกินไป หนึ่งอาจจ่ายมากกว่า 200 เท่าสำหรับแบนด์วิดท์เดียวกันและความหน่วงแฝงของการเข้ารหัส
Roy
0

โซลูชันการเข้ารหัสสำหรับ Metro / Carrier Ethernet นั้นค่อนข้างแตกต่างจาก MacSec ซึ่งได้รับการออกแบบมาสำหรับ LAN และไม่ใช่สำหรับ WANs มีมุมมองตลาดที่ประกอบด้วยเอกสารสามฉบับ (บทนำ, P2P, หลายจุด) Google สำหรับ "Metro Carrier Ethernet Encryptor" และคุณจะพบ

เกี่ยวกับการกำหนดราคามันจำเป็นที่จะต้องแยกความแตกต่างระหว่างราคารายการและราคาตลาด ปัจจุบันผู้เข้ารหัส 1Gb จะเสียค่าใช้จ่ายประมาณ $ 20K หากคุณคิดว่ามันเกี่ยวข้องกับต้นทุนของสายก็จะเห็นได้ว่าต้นทุนของตัวเข้ารหัสนั้นสูงเมื่อเปรียบเทียบกับโซลูชันที่ไม่สามารถเทียบเคียงได้

คริสโตฟ Jaggi
แหล่งที่มา
ฉันคิดว่าส่วนหนึ่งของประเด็นคือว่า WAN และ LAN กำลังเติบโตใกล้ชิดกันมากขึ้นด้วยเทคโนโลยีที่ชาญฉลาด เกี่ยวกับค่าใช้จ่ายเกี่ยวกับสายในส่วนเหล่านี้ค่าใช้จ่ายในการอัพเกรดจากสายเสมือนเป็นสาย / ความถี่เฉพาะ (ซึ่ง MACSec ได้รับการสนับสนุนอย่างเต็มที่อย่างเห็นได้ชัด) มีค่าใช้จ่ายน้อยกว่าการรับตัวเข้ารหัส L2 dediacted เรากำลังพูดถึงลำดับความสำคัญ
Roy
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.