Я пришел к выводу, что магистрали VLAN следует направлять через туннели EoIP и инкапсулировать их в IPSec с аппаратной поддержкой. Две пары довольно недорогих маршрутизаторов Mikrotik RB1100AHx2 оказались способными насыщать соединение со скоростью 1 Гбит / с при добавлении задержки менее 1 мс.
Я хочу зашифровать трафик между двумя дата-центрами. Связь между сайтами осуществляется по стандартному мосту провайдера (s-vlan / 802.1ad), поэтому наши локальные теги vlan (c-vlan / 802.1q) сохраняются на магистрали. Связь проходит через несколько переходов уровня 2 в сети провайдера.
Граничные коммутаторы с обеих сторон - это Catalyst 3750-X с сервисным модулем MACSec, но я предполагаю, что о MACSec не может быть и речи, поскольку я не вижу никакого способа гарантировать равенство L2 между коммутаторами по магистрали, хотя это может быть возможно. через мост провайдера. MPLS (с использованием EoMPLS), безусловно, допускает эту опцию, но в данном случае она недоступна.
В любом случае, оборудование всегда можно заменить в соответствии с выбранной технологией и топологией.
Как мне найти жизнеспособные технологические варианты, которые могут обеспечить двухточечное шифрование уровня 2 в сетях оператора связи Ethernet?
редактировать:
Подведем итоги некоторых моих выводов:
Доступен ряд аппаратных решений второго уровня по цене от 60 000 долларов США (низкая задержка, низкие накладные расходы, высокая стоимость).
MACSec может во многих случаях туннелироваться через Q-in-Q или EoIP. Оборудование от 5000 долларов США (низкая-средняя задержка, низкие-средние накладные расходы, низкая стоимость)
Доступен ряд решений L3 с аппаратной поддержкой по цене от 5000 долларов США (высокая задержка, высокие накладные расходы, низкая стоимость).
Я только что быстро поискал «шифрование CESG уровня 2» (CESG - британское правительственное агентство, специализирующееся на обеспечении безопасности компьютерных систем) в Google и нашел несколько вариантов в их списке, есть по крайней мере один, который будет работать с 1 Гбит , а некоторые - до 10 Гбит.
Вероятно (почти определенно) это будет излишним, но вы обнаружите, что существует довольно много продуктов milspec, которые поддерживают шифрование уровня 2 с довольно высокой пропускной способностью.
Первым, что я нашел, является независимость от VLAN и MPLS, что неудивительно, но я подозреваю, что они чертовски дороги.
Решения для шифрования Metro / Carrier Ethernet существенно отличаются от MacSec, который был разработан для локальных сетей, а не для глобальных сетей. Существует обзор рынка, состоящий из трех документов (вводный, P2P, многоточечный). Погуглите по запросу "Metro Carrier Ethernet Encryptor", и вы его найдете.
Что касается ценообразования, совершенно необходимо различать прейскурантные и рыночные цены. Шифровальщик на 1 Гб в настоящее время стоит около 20 тысяч долларов. Если сопоставить это со стоимостью линии, очевидно, что затраты на шифровальщики высоки только по сравнению с несопоставимыми решениями.