Encryption over gigabit carrier ethernet

12

My conclusion to this was to pipe VLAN trunks through EoIP tunnels and encapsulate those in hardware assisted IPSec. Two pairs of fairly inexpensive Mikrotik RB1100AHx2 routers proved capable of saturating a 1 Gbps connection while adding less than 1 ms latency.

Gostaria de criptografar o tráfego entre dois datacenters. A comunicação entre os sites é fornecida como uma ponte de provedor padrão (s-vlan / 802.1ad), de modo que nossas tags vlan locais (c-vlan / 802.1q) sejam preservadas no tronco. A comunicação atravessa vários saltos de camada 2 na rede do provedor.

Os switches de borda em ambos os lados são o Catalyst 3750-X com o módulo de serviço MACSec, mas eu assumo que o MACSec está fora de questão, pois não vejo nenhuma maneira de garantir a igualdade L2 entre os switches em um tronco, embora pode ser possível em uma ponte de provedor. O MPLS (usando o EoMPLS) certamente permitiria essa opção, mas não está disponível neste caso.

De qualquer forma, o equipamento pode sempre ser substituído para acomodar as opções de tecnologia e topologia.

Como faço para encontrar opções viáveis de tecnologia que possam fornecer criptografia ponto-a-ponto de camada 2 em redes de operadoras Ethernet?

editar:

Para resumir algumas das minhas descobertas:

  • Várias soluções de hardware L2 estão disponíveis, a partir de US $ 60.000 (baixa latência, baixa sobrecarga, alto custo)

  • O MACSec pode, em muitos casos, ser encapsulado através de Q-in-Q ou EoIP. Hardware a partir de US $ 5.000 (baixa-média latência, baixa-média sobrecarga, baixo custo)

  • Várias soluções L3 assistidas por hardware estão disponíveis, a partir de US $ 5.000 (Alta latência, alta sobrecarga, baixo custo)

por Roy 27.06.2013 / 12:58

2 respostas

5

Eu só fiz uma pesquisa rápida por "criptografia CESG camada 2" (a CESG é uma agência governamental britânica que se especializou em garantia de sistemas de computadores), no Google, e encontrei algumas opções em sua lista, há pelo menos uma que ' vou fazer 1Gbit, e alguns que farão até 10Gbit.

Provavelmente (quase definitivamente) será um exagero, mas você descobrirá que há muitos produtos milspec capazes de criptografia da Camada 2, com taxas de transferência bastante altas.

O primeiro que eu encontrei é independente de VLAN e MPLS, sem surpresa, mas eu suspeito que eles são muito caros.

    
por 01.07.2013 / 17:40
0

As soluções de criptografia para Metro / Carrier Ethernet diferem substancialmente do MacSec, que foi projetado para LANs e não para WANs. Há uma visão de mercado composta por três documentos (intro, P2P, multiponto). Google para "Metro Carrier Ethernet Encryptor" e você vai encontrá-lo.

No que diz respeito aos preços, é imperativo diferenciar entre preços de tabela e preços de mercado. Um criptografador de 1 GB custará atualmente cerca de US $ 20 mil. Se você colocar isso em relação aos custos de linha, é óbvio que os custos de criptografia são altos se comparados a soluções não comparáveis.

    
por 30.07.2013 / 14:22