기가비트 캐리어 이더넷을 통한 암호화


12

이것에 대한 나의 결론은 EoIP 터널을 통해 VLAN 트렁크를 파이프하고 하드웨어 지원 IPSec에서 이들을 캡슐화하는 것이 었습니다. 상당히 저렴한 Mikrotik RB1100AHx2 라우터 2 쌍은 1ms 미만의 지연 시간을 추가하면서 1Gbps 연결을 포화시킬 수 있음을 입증했습니다.

두 데이터 센터 간의 트래픽을 암호화하고 싶습니다. 사이트 간 통신은 표준 공급자 브리지 (s-vlan / 802.1ad)로 제공되므로 로컬 VLAN 태그 (c-vlan / 802.1q)가 트렁크에 유지됩니다. 통신은 제공자 네트워크에서 여러 계층 2 홉을 통과합니다.

양쪽의 경계 스위치는 MACSec 서비스 모듈이있는 Catalyst 3750-X이지만 MACSec은 문제가 아니라고 생각합니다. 공급자 다리 위로. MPo (EoMPLS 사용)는 확실히이 옵션을 허용하지만이 경우에는 사용할 수 없습니다.

어느 쪽이든, 기술 및 토폴로지 선택을 수용하기 위해 장비를 항상 교체 할 수 있습니다.

이더넷 캐리어 네트워크를 통해 계층 2 지점 간 암호화를 제공 할 수있는 실행 가능한 기술 옵션을 찾으려면 어떻게해야합니까?

편집하다:

내 결과 중 일부를 요약하면 다음과 같습니다.

  • 미화 60,000 달러부터 시작하는 다양한 하드웨어 L2 솔루션 (낮은 대기 시간, 낮은 오버 헤드, 높은 비용)

  • MACSec은 많은 경우 Q-in-Q 또는 EoIP를 통해 터널링 될 수 있습니다. 미화 5,000 달러부터 시작하는 하드웨어 (중간 대기 시간, 중간 오버 헤드, 저렴한 비용)

  • USD 5,000부터 시작하여 다양한 하드웨어 지원 L3 솔루션을 사용할 수 있습니다 (대기 시간, 높은 오버 헤드, 저렴한 비용)


1
호스트간에 IPSec을 사용하지 않고 Layer-2에서 수행해야하는 이유가 있습니까?
mfinni

계층 2 연결이 필요합니다. 터널링과 지게차를 수행하는 대신 계층 2에서 계층 2 네트워크를 암호화하는 것이 더 빠르고 간단하며 안전 할 것이라고 생각할 것입니다. 그러나 IPSec / L2TP 또는 이와 유사한 기능 (ASIC에서 암호화 및 캡슐화가 수행됨)이 여전히 가장 유용한 옵션 일 수 있습니다. 그것은 본질적으로 내가 알아 내려고하는 것입니다.
Roy

1Gbps 전이중 IPSec을 유지할 수있는 두 ASA의 가격표에 대안을 모색하는 동기가 추가 될 수 있습니다. 이에 비해 10Gbps / wirespeed MACSec을 지원하는 Catalyst를 더 적은 비용으로 얻을 수 있습니다.
Roy

이를 위해 독점적 인 방법을 사용하는 수많은 장치가 있습니다. 나는 표준이나 다른 것이 없다고 생각합니다.
Falcon Momot

실제로 이것을 시도 했습니까? 공급자가 태그를 추가했다가 제거하면 macsec이 엉망이되는 방법을 이해하지 못합니다. 원거리 스위치가 수신하는 프레임은 전송 된 프레임과 동일해야합니다.
longneck

답변:


5

방금 Google에서 "CESG 계층 2 암호화"(CESG는 컴퓨터 시스템을 전문으로하는 영국 정부 기관)에 대한 빠른 검색을 수행했으며 목록에서 몇 가지 옵션을 찾았습니다. , 일부는 최대 10Gbit입니다.

아마 (거의 확실하게) 과잉 일 것입니다. 그러나 상당히 높은 처리량으로 레이어 2 암호화가 가능한 많은 milspec 제품이 있습니다.

내가 찾은 첫 번째 것은 의심 할 여지없이 VLAN과 MPLS에 관계없이 불가피하지만 피의 비싸다고 생각합니다.


1
비용이 덜 드는 솔루션을 찾을 수없는 경우 과잉에 대해 몰랐습니다. CN1000은 이미 백업 계획이었습니다.
Roy

나쁜 소년들에 대한 가격은 얼마입니까?
Tom O'Connor 19

이 부분에서 나는 그들이 단위당 약 $ 35,000 (+ 세금) (1 Gbps 이더넷 판)으로 나열되어 있다고 생각합니다
Roy

내가 예상했던만큼, 그들이 그들이 100K +가되면 숙고하고 있었다
Tom O'Connor

3,500 달러 미만의 가격으로 주요 공급 업체로부터 20Gbps 가치의 MACSec을 얻는 것을 고려할 때 필자가 알고있는 계층 2 장치가 엄청나게 비싸다고 생각합니다. 동일한 대역폭과 비슷한 암호화 대기 시간으로 200 배 더 많은 비용을 지불 할 수 있습니다.
Roy

0

Metro / Carrier Ethernet 용 암호화 솔루션은 WAN 용이 아닌 LAN 용으로 설계된 MacSec과는 상당히 다릅니다. 3 개의 문서 (인트로, P2P, 멀티 포인트)로 구성된 시장 개요가 있습니다. "Metro Carrier Ethernet Encryptor"에 대한 Google이 있습니다.

가격 책정과 관련하여 정가와 시장 가격을 구별하는 것이 필수적입니다. 1Gb 암호화 기는 현재 약 $ 20K의 비용이 듭니다. 이를 라인 비용과 관련하여 비교할 수없는 경우 비교할 수없는 솔루션과 비교할 때 암호화 비용이 높을 것입니다.


요점의 일부는 WAN과 LAN이 기술 측면에서 훨씬 더 밀접하게 성장하고 있다는 것입니다. 회선 비용과 관련하여 가상 와이어에서 전용 와이어 / 주파수로 업그레이드하는 데 드는 비용 (MACSec이 완전히 지원되는 경우)은 디 트랙트 된 L2 암호화 장치를 구입하는 것보다 훨씬 적습니다. 우리는 순서대로 이야기하고 있습니다.
Roy
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.