Szyfrowanie przez sieć Ethernet gigabit

12

Moim wnioskiem było przepuszczenie łączy VLAN przez tunele EoIP i zamknięcie tych w IPSec wspomaganym sprzętowo. Dwie pary dość niedrogich routerów Mikrotik RB1100AHx2 okazały się zdolne do nasycenia połączenia 1 Gb / s, jednocześnie dodając opóźnienie poniżej 1 ms.

Chciałbym szyfrować ruch między dwoma centrami danych. Komunikacja między stronami jest zapewniana jako standardowy most dostawcy (s-vlan / 802.1ad), dzięki czemu nasze lokalne tagi vlan (c-vlan / 802.1q) są zachowywane na linii głównej. Komunikacja przebiega przez kilka przeskoków warstwy 2 w sieci dostawcy.

Przełączniki brzegowe po obu stronach to Catalyst 3750-X z modułem serwisowym MACSec, ale zakładam, że MACSec nie wchodzi w rachubę, ponieważ nie widzę żadnego sposobu na zapewnienie równości L2 między przełącznikami w linii głównej, chociaż może to być możliwe przez most dostawcy. MPLS (przy użyciu EoMPLS) na pewno pozwoli na tę opcję, ale w tym przypadku nie jest dostępna.

Tak czy inaczej, zawsze można wymienić sprzęt, aby dostosować wybór technologii i topologii.

Jak przejść do znalezienia wykonalnych opcji technologii, które mogą zapewniać szyfrowanie punkt-punkt w warstwie 2 w sieciach Ethernet?

edytować:

Podsumowując niektóre z moich odkryć:

  • Dostępnych jest wiele sprzętowych rozwiązań L2, począwszy od 60 000 USD (małe opóźnienie, niskie koszty ogólne, wysokie koszty)

  • MACSec może w wielu przypadkach być tunelowany przez Q-in-Q lub EoIP. Sprzęt od 5000 USD (niskie opóźnienie, niski średni koszt, niski koszt)

  • Dostępnych jest wiele sprzętowych rozwiązań L3, począwszy od 5000 USD (duże opóźnienia, duże koszty ogólne, niski koszt)

vlan encryption cisco-catalyst macsec Roy
źródło
1
Czy istnieje powód, aby robić to w warstwie 2 zamiast używać protokołu IPSec między hostami?
mfinni
Wymagana jest łączność w warstwie 2. Można by pomyśleć, że szyfrowanie sieci warstwy 2 na warstwie 2 zamiast tunelowania i podnoszenia widelca byłoby szybsze, prostsze i bezpieczniejsze. Jednak IPSec / L2TP lub podobny (z szyfrowaniem i enkapsulacją wykonywaną w ASIC) może nadal okazać się najlepszą dostępną opcją; właśnie to próbuję rozgryźć.
Roy
Mógłbym dodać, że cena dwóch ASA zdolnych do utrzymywania IPSec pełnego dupleksu 1 Gb / s dodaje motywacji do poszukiwania alternatyw. Dla porównania możesz uzyskać Catalyst obsługujący MACSec 10 Gb / s / mniej.
Roy
Istnieje mnóstwo urządzeń, które wykorzystują do tego zastrzeżone metody. Nie sądzę, żeby istniał standard lub coś takiego.
Falcon Momot
Czy rzeczywiście tego próbowałeś? Nie rozumiem, jak twój dostawca dodający, a następnie usuwający tag zepsułby macsec. Ramka odbierana przez przełącznik dalekiego zasięgu powinna być identyczna z wysłaną ramką.
longneck

Odpowiedzi:

5

Właśnie przeprowadziłem szybkie wyszukiwanie „szyfrowania warstwy 2 CESG” (CESG to brytyjska agencja rządowa specjalizująca się w zabezpieczeniach systemów komputerowych) w Google i znalazłem kilka opcji na ich liście, jest co najmniej jedna, która zrobi 1Gbit i kilka, które wystarczą na 10 Gb.

Prawdopodobnie byłoby to (prawie na pewno) przesada, ale przekonasz się, że istnieje całkiem sporo produktów milspec, które są w stanie szyfrować w warstwie 2 przy dość dużej przepustowości.

Pierwszy, jaki znalazłem, jest agresywny dla VLAN i MPLS, co nie jest zaskakujące, ale podejrzewam, że są cholernie drogie.

Tom O'Connor
źródło
1
Nie wiem o przesadzeniu, CN1000 był już moim planem tworzenia kopii zapasowych, jeśli nie można znaleźć tańszego rozwiązania
Roy
Jaka jest cena tych złych chłopców?
Tom O'Connor,
W tych częściach uważam, że są one wymienione około 35 000 $ (+ podatek) na jednostkę (wydanie ethernetowe 1 Gbps)
Roy
Mniej więcej tak, jak się spodziewałem, zastanawiałem się, czy będą to 100 000 +
Tom O'Connor
Biorąc pod uwagę, że dostajesz 20 Gb / s MACSec od wiodących dostawców za mniej niż 3500 USD, nadal uważam, że urządzenia warstwy 2, o których wiem, są niesamowicie drogie. Można zapłacić 200 razy więcej za tę samą przepustowość i porównywalne opóźnienie szyfrowania.
Roy
0

Rozwiązania szyfrujące dla Ethernetu Metro / Carrier różnią się dość znacząco od MacSec, który został zaprojektowany dla sieci LAN, a nie dla sieci WAN. Istnieje przegląd rynku składający się z trzech dokumentów (wprowadzenie, P2P, wielopunkt). Google dla „Metro Carrier Ethernet Encryptor” i go znajdziesz.

Jeśli chodzi o ceny, konieczne jest rozróżnienie między cenami katalogowymi a cenami rynkowymi. Szyfrowanie 1 Gb kosztuje obecnie około 20 000 USD. Jeśli porównasz to z kosztami linii, oczywiste jest, że koszty szyfrowania są wysokie tylko w porównaniu z nieporównywalnymi rozwiązaniami.

Christoph Jaggi
źródło
Myślę, że po części chodzi o to, że sieci WAN i LAN są coraz bliżej technologii. Jeśli chodzi o koszty linii wokół tych części, koszt przejścia z wirtualnego drutu na dedykowany drut / częstotliwość (gdzie MACSec jest oczywiście w pełni obsługiwany) jest o wiele mniejszy niż zakup dedykowanych szyfratorów L2. Mówimy o rzędzie wielkości.
Roy