Roy*_*Roy 12 encryption vlan cisco-catalyst macsec
我对此的结论是通过 EoIP 隧道传输 VLAN 中继并将其封装在硬件辅助的 IPSec 中。两对相当便宜的 Mikrotik RB1100AHx2 路由器被证明能够使 1 Gbps 连接饱和,同时增加不到 1 毫秒的延迟。
我想加密两个数据中心之间的流量。站点之间的通信作为标准提供商网桥 (s-vlan/802.1ad) 提供,以便我们的本地 vlan 标签 (c-vlan/802.1q) 保留在主干上。通信经过提供商网络中的几个第 2 层跃点。
两侧的边界交换机都是带有 MACSec 服务模块的 Catalyst 3750-X,但我认为 MACSec 是不可能的,因为我看不到任何方法可以确保中继上的交换机之间的 L2 平等,尽管这可能是可能的通过提供者桥。MPLS(使用 EoMPLS)肯定会允许此选项,但在这种情况下不可用。
无论哪种方式,始终可以更换设备以适应技术和拓扑选择。
我如何寻找可行的技术选项,以通过以太网运营商网络提供第 2 层点对点加密?
编辑:
总结一下我的一些发现:
提供多种硬件 L2 解决方案,起价为 60,000 美元(低延迟、低开销、高成本)
在许多情况下,MACSec 可以通过 Q-in-Q 或 EoIP 进行隧道传输。硬件起价 5,000 美元(中低延迟、中低开销、低成本)
提供多种硬件辅助 L3 解决方案,起价为 5,000 美元(高延迟、高开销、低成本)
我刚刚在谷歌上快速搜索了“CESG 第 2 层加密”(CESG 是一个英国政府机构,专门为计算机系统提供保证),并在他们的列表中找到了一些选项,至少有一个可以做到 1Gbit ,还有一些最高可达 10Gbit。
这可能(几乎肯定)有点矫枉过正,但您会发现有相当多的军用规格产品能够以相当高的吞吐量进行第 2 层加密。
我发现的第一个是 VLAN 和 MPLS 不可知的,不出所料,但我怀疑它们非常昂贵。
| 归档时间: |
|
| 查看次数: |
3203 次 |
| 最近记录: |