Ma conclusion à cela a été de diriger les trunks VLAN via des tunnels EoIP et d'encapsuler ceux dans IPSec assisté par matériel. Deux paires de routeurs Mikrotik RB1100AHx2 assez bon marché se sont avérées capables de saturer une connexion à 1 Gbit / s tout en ajoutant moins de 1 ms de latence.
Je voudrais chiffrer le trafic entre deux centres de données. La communication entre les sites est fournie sous la forme d'un pont fournisseur standard (s-vlan / 802.1ad), de sorte que nos balises vlan locales (c-vlan / 802.1q) sont préservées sur le tronc. La communication traverse plusieurs sauts de couche 2 dans le réseau du fournisseur.
Les commutateurs de bordure des deux côtés sont Catalyst 3750-X avec le module de service MACSec, mais je suppose que MACSec est hors de question, car je ne vois aucun moyen d'assurer l'égalité L2 entre les commutateurs sur un tronc, bien que cela puisse être possible sur un pont fournisseur. MPLS (en utilisant EoMPLS) permettrait certainement cette option, mais n'est pas disponible dans ce cas.
Dans les deux cas, l'équipement peut toujours être remplacé pour s'adapter aux choix technologiques et topologiques.
Comment puis-je trouver des options technologiques viables qui peuvent fournir un chiffrement point à point de couche 2 sur les réseaux des opérateurs Ethernet?
Éditer:
Pour résumer certaines de mes conclusions:
Un certain nombre de solutions matérielles L2 sont disponibles, à partir de 60 000 USD (faible latence, faible surcharge, coût élevé)
MACSec peut dans de nombreux cas être tunnelisé via Q-in-Q ou EoIP. Matériel à partir de 5 000 USD (latence faible à moyenne, surcharge faible à moyenne, faible coût)
Un certain nombre de solutions L3 assistées par matériel sont disponibles, à partir de 5 000 USD (latence élevée, frais généraux élevés, faible coût)
Réponses:
Je viens de faire une recherche rapide de "cryptage de la couche 2 de la SCEE" (la SCEE est une agence du gouvernement britannique spécialisée dans l'assurance des systèmes informatiques), sur Google, et j'ai trouvé quelques options sur leur liste, il y en a au moins une qui fera du 1Gbit , et quelques-uns qui feront jusqu'à 10 Gbit.
Ce serait probablement (presque certainement) exagéré, mais vous constaterez qu'il existe de nombreux produits milspec capables de chiffrer la couche 2, à des débits assez élevés.
Le premier que j'ai trouvé est VLAN et MPLS agnostique, sans surprise, mais je pense qu'ils sont sacrément chers.
la source
Les solutions de chiffrement pour Metro / Carrier Ethernet diffèrent considérablement de MacSec, qui a été conçu pour les LAN et non pour les WAN. Il existe un aperçu du marché composé de trois documents (intro, P2P, multipoint). Google pour "Metro Carrier Ethernet Encryptor" et vous le trouverez.
Concernant la tarification, il est impératif de différencier les prix catalogue et les prix du marché. Un chiffreur de 1 Go vous coûtera actuellement environ 20 000 $. Si vous mettez cela en relation avec les coûts de ligne, il est évident que les coûts de chiffrement ne sont élevés que par rapport à des solutions non comparables.
la source