Cryptage sur Ethernet porteur Gigabit

12

Ma conclusion à cela a été de diriger les trunks VLAN via des tunnels EoIP et d'encapsuler ceux dans IPSec assisté par matériel. Deux paires de routeurs Mikrotik RB1100AHx2 assez bon marché se sont avérées capables de saturer une connexion à 1 Gbit / s tout en ajoutant moins de 1 ms de latence.

Je voudrais chiffrer le trafic entre deux centres de données. La communication entre les sites est fournie sous la forme d'un pont fournisseur standard (s-vlan / 802.1ad), de sorte que nos balises vlan locales (c-vlan / 802.1q) sont préservées sur le tronc. La communication traverse plusieurs sauts de couche 2 dans le réseau du fournisseur.

Les commutateurs de bordure des deux côtés sont Catalyst 3750-X avec le module de service MACSec, mais je suppose que MACSec est hors de question, car je ne vois aucun moyen d'assurer l'égalité L2 entre les commutateurs sur un tronc, bien que cela puisse être possible sur un pont fournisseur. MPLS (en utilisant EoMPLS) permettrait certainement cette option, mais n'est pas disponible dans ce cas.

Dans les deux cas, l'équipement peut toujours être remplacé pour s'adapter aux choix technologiques et topologiques.

Comment puis-je trouver des options technologiques viables qui peuvent fournir un chiffrement point à point de couche 2 sur les réseaux des opérateurs Ethernet?

Éditer:

Pour résumer certaines de mes conclusions:

  • Un certain nombre de solutions matérielles L2 sont disponibles, à partir de 60 000 USD (faible latence, faible surcharge, coût élevé)

  • MACSec peut dans de nombreux cas être tunnelisé via Q-in-Q ou EoIP. Matériel à partir de 5 000 USD (latence faible à moyenne, surcharge faible à moyenne, faible coût)

  • Un certain nombre de solutions L3 assistées par matériel sont disponibles, à partir de 5 000 USD (latence élevée, frais généraux élevés, faible coût)

Roy
la source
1
Y a-t-il une raison de le faire au niveau 2 plutôt que d'utiliser IPSec entre les hôtes?
mfinni
La connectivité de couche 2 est une exigence. On pourrait penser que chiffrer un réseau de couche 2 sur la couche 2 plutôt que de faire du tunneling et du levage de fourches serait plus rapide, plus simple et plus sûr. Cependant, IPSec / L2TP ou similaire (avec le cryptage et l'encapsulation effectués dans ASIC) peut encore s'avérer être la meilleure option disponible; c'est essentiellement ce que j'essaie de comprendre.
Roy
Je pourrais ajouter que le prix de deux ASA capables de maintenir IPSec duplex intégral à 1 Gbit / s ajoute une certaine motivation pour explorer les alternatives. En comparaison, vous pouvez obtenir un Catalyst prenant en charge 10 Gbit / s / MAC à vitesse filaire pour moins.
Roy
Il existe une tonne d'appareils qui utilisent des méthodes propriétaires pour ce faire. Je ne pense pas qu'il y ait de norme ou quoi que ce soit.
Falcon Momot
Avez-vous réellement essayé cela? Je ne comprends pas comment votre fournisseur ajoutant puis supprimant une balise gâcherait le macsec. La trame reçue par le commutateur distant doit être identique à la trame envoyée.
longneck

Réponses:

5

Je viens de faire une recherche rapide de "cryptage de la couche 2 de la SCEE" (la SCEE est une agence du gouvernement britannique spécialisée dans l'assurance des systèmes informatiques), sur Google, et j'ai trouvé quelques options sur leur liste, il y en a au moins une qui fera du 1Gbit , et quelques-uns qui feront jusqu'à 10 Gbit.

Ce serait probablement (presque certainement) exagéré, mais vous constaterez qu'il existe de nombreux produits milspec capables de chiffrer la couche 2, à des débits assez élevés.

Le premier que j'ai trouvé est VLAN et MPLS agnostique, sans surprise, mais je pense qu'ils sont sacrément chers.

Tom O'Connor
la source
1
Je ne sais pas trop de choses, le CN1000 était déjà mon plan de sauvegarde, si une solution moins coûteuse ne peut pas être trouvée
Roy
Quel est le prix de ces mauvais garçons?
Tom O'Connor
Dans ces parties, je crois qu'elles sont répertoriées autour de 35 000 $ (+ taxes) par unité (édition Ethernet 1 Gbit / s)
Roy
À peu près autant que je m'y attendais, je me demandais s'ils seraient 100K +
Tom O'Connor
Étant donné que vous obtenez 20 Gbps de MACSec des principaux fournisseurs pour moins de 3 500 $, je pense toujours que les appareils de couche 2 que je connais sont incroyablement hors de prix. On pourrait payer 200 fois plus pour la même bande passante et une latence de chiffrement comparable.
Roy
0

Les solutions de chiffrement pour Metro / Carrier Ethernet diffèrent considérablement de MacSec, qui a été conçu pour les LAN et non pour les WAN. Il existe un aperçu du marché composé de trois documents (intro, P2P, multipoint). Google pour "Metro Carrier Ethernet Encryptor" et vous le trouverez.

Concernant la tarification, il est impératif de différencier les prix catalogue et les prix du marché. Un chiffreur de 1 Go vous coûtera actuellement environ 20 000 $. Si vous mettez cela en relation avec les coûts de ligne, il est évident que les coûts de chiffrement ne sont élevés que par rapport à des solutions non comparables.

Christoph Jaggi
la source
Je pense qu'une partie du problème est que les WAN et les LAN se rapprochent beaucoup plus sur le plan technologique. À propos des coûts de ligne, autour de ces pièces, le coût de la mise à niveau du fil virtuel vers le fil / fréquence dédié (où MACSec est évidemment entièrement pris en charge) est beaucoup moins que l'acquisition de chiffreurs L2 dédiés. Nous parlons d'un ordre de grandeur.
Roy