Назад | Перейти на главную страницу

Шифрование через гигабитную сеть Ethernet

Я пришел к выводу, что магистрали VLAN следует направлять через туннели EoIP и инкапсулировать их в IPSec с аппаратной поддержкой. Две пары довольно недорогих маршрутизаторов Mikrotik RB1100AHx2 оказались способными насыщать соединение со скоростью 1 Гбит / с при добавлении задержки менее 1 мс.

Я хочу зашифровать трафик между двумя дата-центрами. Связь между сайтами осуществляется по стандартному мосту провайдера (s-vlan / 802.1ad), поэтому наши локальные теги vlan (c-vlan / 802.1q) сохраняются на магистрали. Связь проходит через несколько переходов уровня 2 в сети провайдера.

Граничные коммутаторы с обеих сторон - это Catalyst 3750-X с сервисным модулем MACSec, но я предполагаю, что о MACSec не может быть и речи, поскольку я не вижу никакого способа гарантировать равенство L2 между коммутаторами по магистрали, хотя это может быть возможно. через мост провайдера. MPLS (с использованием EoMPLS), безусловно, допускает эту опцию, но в данном случае она недоступна.

В любом случае, оборудование всегда можно заменить в соответствии с выбранной технологией и топологией.

Как мне найти жизнеспособные технологические варианты, которые могут обеспечить двухточечное шифрование уровня 2 в сетях оператора связи Ethernet?

редактировать:

Подведем итоги некоторых моих выводов:

Я только что быстро поискал «шифрование CESG уровня 2» (CESG - британское правительственное агентство, специализирующееся на обеспечении безопасности компьютерных систем) в Google и нашел несколько вариантов в их списке, есть по крайней мере один, который будет работать с 1 Гбит , а некоторые - до 10 Гбит.

Вероятно (почти определенно) это будет излишним, но вы обнаружите, что существует довольно много продуктов milspec, которые поддерживают шифрование уровня 2 с довольно высокой пропускной способностью.

Первым, что я нашел, является независимость от VLAN и MPLS, что неудивительно, но я подозреваю, что они чертовски дороги.

Решения для шифрования Metro / Carrier Ethernet существенно отличаются от MacSec, который был разработан для локальных сетей, а не для глобальных сетей. Существует обзор рынка, состоящий из трех документов (вводный, P2P, многоточечный). Погуглите по запросу "Metro Carrier Ethernet Encryptor", и вы его найдете.

Что касается ценообразования, совершенно необходимо различать прейскурантные и рыночные цены. Шифровальщик на 1 Гб в настоящее время стоит около 20 тысяч долларов. Если сопоставить это со стоимостью линии, очевидно, что затраты на шифровальщики высоки только по сравнению с несопоставимыми решениями.