Шифрование через гигабитный носитель Ethernet

12

Я пришел к выводу, что должен передавать магистрали VLAN через туннели EoIP и инкапсулировать их в IPSec с аппаратной поддержкой. Две пары довольно недорогих маршрутизаторов Mikrotik RB1100AHx2 оказались способными к насыщению соединения 1 Гбит / с при добавлении задержки менее 1 мс.

Я хотел бы зашифровать трафик между двумя центрами обработки данных. Связь между сайтами обеспечивается в виде стандартного моста поставщика (s-vlan / 802.1ad), поэтому наши локальные теги vlan (c-vlan / 802.1q) сохраняются в транке. Связь проходит через несколько переходов уровня 2 в сети провайдера.

Пограничными коммутаторами с обеих сторон являются Catalyst 3750-X с сервисным модулем MACSec, но я предполагаю, что об MACSec не может быть и речи, поскольку я не вижу никакого способа обеспечить равенство L2 между коммутаторами по транку, хотя это может быть возможно через мост провайдера. MPLS (использующий EoMPLS), безусловно, разрешит эту опцию, но в этом случае недоступен.

В любом случае, оборудование всегда можно заменить, чтобы приспособить выбор технологии и топологии.

Как мне найти жизнеспособные технологические варианты, которые могут обеспечить двухточечное шифрование уровня 2 по сетям операторов Ethernet?

редактировать:

Подводя итог некоторым из моих выводов:

  • Доступен ряд аппаратных решений L2, начиная с 60 000 долларов США (низкая задержка, низкие накладные расходы, высокая стоимость)

  • MACSec во многих случаях может быть туннелирован через Q-in-Q или EoIP. Аппаратные средства, начинающиеся с 5000 долларов США (низкая средняя задержка, низкие средние издержки, низкая стоимость)

  • Доступно несколько аппаратных решений L3, начиная с 5000 долларов США (высокая задержка, высокие накладные расходы, низкая стоимость)

vlan encryption cisco-catalyst macsec Рой
источник
1
Есть ли причина делать это на уровне 2, а не использовать IPSec между хостами?
mfinni
Подключение уровня 2 является обязательным требованием. Можно было бы подумать, что шифрование сети уровня 2 на уровне 2 вместо туннелирования и поднятия вил будет быстрее, проще и безопаснее. Однако IPSec / L2TP или аналогичный (с шифрованием и инкапсуляцией, выполненным в ASIC) все еще может оказаться лучшим доступным вариантом; это по сути то, что я пытаюсь выяснить.
Рой
Я мог бы добавить, что цена двух ASA, способных поддерживать полнодуплексный IPSec 1 Гбит / с, добавляет мотивацию для изучения альтернатив. Для сравнения, вы можете получить Catalyst, поддерживающий 10 Гбит / с / wireSed MACSec за меньшую цену.
Рой
Существует множество устройств, которые используют запатентованные способы сделать это. Я не думаю, что есть стандарт или что-то еще.
Сокол Момот
Вы действительно пробовали это? Я не понимаю, как ваш провайдер, добавляющий, а затем удаляющий тег, мог испортить macsec. Кадр, который получает удаленный коммутатор, должен быть идентичен отправленному кадру.
Longneck

Ответы:

5

Я только что быстро выполнил поиск по «шифрованию CESG layer 2» (CESG - британское правительственное агентство, специализирующееся на обеспечении безопасности для компьютерных систем) в Google и нашел несколько вариантов в их списке, хотя бы один из них будет работать с 1 Гбит и несколько, которые будут делать до 10 Гбит.

Это, вероятно, (почти наверняка) будет излишним, но вы обнаружите, что существует довольно много продуктов milspec, способных шифровать данные 2-го уровня с довольно высокой пропускной способностью.

Неудивительно, что первое, что я нашел, - это независимость от VLAN и MPLS, но я подозреваю, что они чертовски дороги.

Том О'Коннор
источник
1
Я не знаю насчет излишков, CN1000 уже был моим планом резервного копирования, если не удается найти менее дорогое решение
Рой
Каковы цены на этих плохих парней, как?
Том О'Коннор
Я полагаю, что в этих частях они указаны в пределах 35 000 долларов США (+ налог) за единицу (издание Ethernet 1 Гбит / с)
Рой
Примерно столько, сколько я ожидал, я размышлял, будут ли они 100K +
Том О'Коннор
Учитывая, что вы получаете MACSec на 20 Гбит / с от ведущих поставщиков менее чем за 3500 долларов, я все же думаю, что устройства второго уровня, о которых я знаю, слишком дорого переоценены. Можно заплатить в 200 раз больше за ту же пропускную способность и сопоставимую задержку шифрования.
Рой
0

Решения для шифрования для Metro / Carrier Ethernet довольно существенно отличаются от MacSec, который был разработан для локальных сетей, а не для глобальных сетей. Существует обзор рынка, состоящий из трех документов (введение, P2P, многоточечный). Google для "Metro Carrier Ethernet Encryptor", и вы найдете его.

Что касается ценообразования, необходимо проводить различие между прайс-листами и рыночными ценами. Шифрование на 1 Гбайт в настоящее время обойдется вам примерно в 20 тысяч долларов. Если вы сопоставите это с затратами на линию, очевидно, что затраты на шифрование высоки только по сравнению с несопоставимыми решениями.

Кристоф Джагги
источник
Я думаю, что отчасти дело в том, что глобальные и глобальные сети становятся все ближе друг к другу с точки зрения технологий. Что касается стоимости линии, то в этих частях стоимость перехода с виртуального провода на выделенный провод / частоту (где, очевидно, полностью поддерживается MACSec) намного меньше, чем приобретение зашифрованных L2-шифровальщиков. Мы говорим на порядок.
Рой