Cifrado sobre Gigabit carrier ethernet

12

Mi conclusión a esto fue conectar las troncales VLAN a través de túneles EoIP y encapsularlas en IPSec asistido por hardware. Dos pares de enrutadores Mikrotik RB1100AHx2 bastante económicos demostraron ser capaces de saturar una conexión de 1 Gbps y agregar menos de 1 ms de latencia.

Me gustaría cifrar el tráfico entre dos centros de datos. La comunicación entre los sitios se proporciona como un puente de proveedor estándar (s-vlan / 802.1ad), de modo que nuestras etiquetas locales vlan (c-vlan / 802.1q) se conservan en el enlace troncal. La comunicación atraviesa varios saltos de capa 2 en la red del proveedor.

Los interruptores de borde en ambos lados son Catalyst 3750-X con el módulo de servicio MACSec, pero supongo que MACSec está fuera de discusión, ya que no veo ninguna manera de garantizar la igualdad L2 entre los interruptores sobre un tronco, aunque puede ser posible sobre un puente de proveedores. MPLS (usando EoMPLS) ciertamente permitiría esta opción, pero no está disponible en este caso.

De cualquier manera, el equipo siempre se puede reemplazar para acomodar las opciones de tecnología y topología.

¿Cómo hago para encontrar opciones tecnológicas viables que puedan proporcionar cifrado punto a punto de capa 2 a través de redes de operadores de Ethernet?

editar:

Para resumir algunos de mis hallazgos:

  • Hay varias soluciones de hardware L2 disponibles, a partir de USD 60,000 (baja latencia, baja sobrecarga, alto costo)

  • MACSec puede en muchos casos ser tunelizado a través de Q-in-Q o EoIP. Hardware a partir de USD 5,000 (latencia baja-media, baja sobrecarga media, bajo costo)

  • Hay disponibles varias soluciones L3 asistidas por hardware, a partir de USD 5,000 (alta latencia, alta sobrecarga, bajo costo)

Roy
fuente
1
¿Hay alguna razón para hacerlo en la capa 2 en lugar de usar IPSec entre hosts?
mfinni 01 de
La conectividad de capa 2 es un requisito. Uno pensaría que encriptar una red de capa 2 en la capa 2 en lugar de hacer túneles y levantar horquillas sería más rápido, más simple y más seguro. Sin embargo, IPSec / L2TP o similar (con encriptación y encapsulación realizada en ASIC) aún puede ser la mejor opción disponible; eso es esencialmente lo que estoy tratando de resolver.
Roy
Podría agregar que el precio de dos ASA capaces de mantener IPSec full duplex de 1 Gbps agrega cierta motivación para explorar las alternativas. En comparación, puede obtener un Catalyst que admite 10 Gbps / velocidad de cable MACSec por menos.
Roy
Hay un montón de dispositivos que usan formas patentadas para hacer esto. No creo que haya un estándar ni nada.
Falcon Momot
¿Realmente has intentado esto? No entiendo cómo su proveedor agregar y luego eliminar una etiqueta podría estropear macsec. La trama que recibe el conmutador lejano debe ser idéntica a la trama enviada.
longneck 01 de

Respuestas:

5

Acabo de hacer una búsqueda rápida de "cifrado de capa 2 CESG" (CESG es una agencia del gobierno británico que se especializa en el aseguramiento de sistemas informáticos), en Google, y encontré algunas opciones en su lista, hay al menos una que hará 1Gbit , y algunos que harán hasta 10 Gbit.

Probablemente (casi definitivamente) sería exagerado, pero encontrará que hay muchos productos de milspec que son capaces de cifrar la capa 2, con un rendimiento bastante alto.

El primero que encontré es independiente de VLAN y MPLS, como era de esperar, pero sospecho que son muy caros.

Tom O'Connor
fuente
1
No sé sobre exageración, el CN1000 ya era mi plan de respaldo, si no se puede encontrar una solución menos costosa
Roy
¿Cómo es el precio de esos chicos malos?
Tom O'Connor
En estas partes, creo que figuran en la lista de alrededor de $ 35,000 (+ impuestos) por unidad (edición ethernet de 1 Gbps)
Roy
Casi todo lo que esperaba, estaba pensando si serían 100K +
Tom O'Connor
Teniendo en cuenta que obtienes un valor de 20 Gbps de MACSec de proveedores líderes por menos de $ 3,500, sigo pensando que los dispositivos de capa 2 que conozco son increíblemente caros. Uno podría pagar 200 veces más por el mismo ancho de banda y una latencia de cifrado comparable.
Roy
0

Las soluciones de cifrado para Metro / Carrier Ethernet difieren bastante de MacSec, que fue diseñado para LAN y no para WAN. Hay una vista general del mercado que consta de tres documentos (introducción, P2P, multipunto). Google para "Metro Carrier Ethernet Encryptor" y lo encontrarás.

En cuanto a los precios, es imprescindible diferenciar entre precios de lista y precios de mercado. Un encriptador de 1 Gb actualmente le costará alrededor de $ 20K. Si pone eso en relación con los costos de línea, es obvio que los costos de cifrado solo son altos si se comparan con soluciones no comparables.

Christoph Jaggi
fuente
Creo que parte del punto es que las WAN y LAN están creciendo mucho más juntas en cuanto a tecnología. Sobre los costos de línea, en torno a estas partes, el costo de actualizar de cable virtual a cable / frecuencia dedicado (donde MACSec es obviamente totalmente compatible) es MUCHO menor que adquirir cifradores L2 dediactados. Estamos hablando de un orden de magnitud.
Roy