Crittografia su ethernet carrier gigabit


12

La mia conclusione è stata quella di reindirizzare i trunk VLAN attraverso i tunnel EoIP e incapsulare quelli in IPSec con assistenza hardware. Due coppie di router Mikrotik RB1100AHx2 abbastanza economici si sono dimostrate in grado di saturare una connessione da 1 Gbps aggiungendo una latenza inferiore a 1 ms.

Vorrei crittografare il traffico tra due data center. La comunicazione tra i siti viene fornita come bridge provider standard (s-vlan / 802.1ad), in modo che i nostri tag vlan locali (c-vlan / 802.1q) siano conservati sul trunk. La comunicazione attraversa diversi hop di livello 2 nella rete del provider.

Gli interruttori di frontiera su entrambi i lati sono Catalyst 3750-X con il modulo di servizio MACSec, ma suppongo che MACSec sia fuori discussione, in quanto non vedo alcun modo per garantire l'uguaglianza L2 tra gli interruttori su un trunk, sebbene possa essere possibile su un bridge provider. MPLS (usando EoMPLS) consentirebbe sicuramente questa opzione, ma non è disponibile in questo caso.

Ad ogni modo, le apparecchiature possono sempre essere sostituite per adattarsi alle scelte tecnologiche e di topologia.

Come posso trovare opzioni tecnologiche valide in grado di fornire la crittografia point-to-point di livello 2 su reti di carrier Ethernet?

modificare:

Per riassumere alcune delle mie scoperte:

  • Sono disponibili numerose soluzioni hardware L2, a partire da 60.000 USD (bassa latenza, costi generali bassi, costo elevato)

  • MACSec può in molti casi essere tunnelato attraverso Q-in-Q o EoIP. Hardware a partire da 5.000 USD (latenza medio-bassa, sovraccarico medio-basso, basso costo)

  • Sono disponibili numerose soluzioni L3 assistite da hardware, a partire da 5.000 USD (alta latenza, costi generali elevati, basso costo)


1
C'è un motivo per farlo su Layer-2 piuttosto che usare IPSec tra host?
mfinni,

La connettività di livello 2 è un requisito. Si potrebbe pensare che crittografare una rete di livello 2 sul livello 2 piuttosto che eseguire tunneling e fork fork sarebbe più veloce, più semplice e più sicuro. Tuttavia, IPSec / L2TP o simili (con crittografia e incapsulamento eseguiti in ASIC) potrebbero comunque rivelarsi l'opzione migliore disponibile; questo è essenzialmente quello che sto cercando di capire.
Roy

Potrei aggiungere che il prezzo di due ASA in grado di mantenere IPSec full duplex da 1 Gbps aggiunge una motivazione per esplorare le alternative. In confronto, puoi ottenere un catalizzatore che supporta MACSec da 10 Gbps / wirepeed a un prezzo inferiore.
Roy

Ci sono un sacco di dispositivi che usano modi proprietari per farlo. Non penso che ci sia uno standard o altro.
Falcon Momot,

Hai davvero provato questo? Non capisco come l'aggiunta e la rimozione di un tag da parte del provider causerebbe macsec. Il frame che riceve l'interruttore remoto dovrebbe essere identico al frame inviato.
collo lungo

Risposte:


5

Ho appena fatto una rapida ricerca di "Crittografia CESG layer 2" (CESG è un'agenzia governativa britannica specializzata in assicurazione per i sistemi informatici), su Google, e ho trovato alcune opzioni nella loro lista, ce n'è almeno una che farà 1Gbit e alcuni che faranno fino a 10 Gbit.

Probabilmente sarebbe (quasi sicuramente) eccessivo, ma scoprirai che ci sono molti prodotti milspec che sono in grado di crittografare il livello 2, con throughput piuttosto elevati.

Il primo che ho trovato è VLAN e MPLS agnostico, non sorprende, ma sospetto che siano dannatamente costosi.


1
Non so di eccessivo, il CN1000 era già il mio piano di backup, se non fosse possibile trovare una soluzione meno costosa
Roy

Qual è il prezzo di quei cattivi ragazzi come?
Tom O'Connor,

Da queste parti credo che siano elencati intorno a $ 35.000 (+ tasse) per unità (edizione ethernet da 1 Gbps)
Roy

Circa quanto mi aspettassi, stavo meditando se sarebbero stati 100K +
Tom O'Connor

Considerando che ottieni 20 Gbps di MACSec dai principali fornitori per meno di $ 3.500, penso ancora che i dispositivi di livello 2 che conosco siano follemente costosi. Si potrebbe pagare 200 volte di più per la stessa larghezza di banda e latenza di crittografia comparabile.
Roy

0

Le soluzioni di crittografia per Metro / Carrier Ethernet differiscono in modo sostanziale da MacSec, progettato per le LAN e non per le WAN. Esiste una panoramica del mercato composta da tre documenti (introduzione, P2P, multipunto). Google per "Metro Carrier Ethernet Encryptor" e lo troverai.

Per quanto riguarda i prezzi, è indispensabile distinguere tra prezzi di listino e prezzi di mercato. Un criptatore da 1 GB attualmente ti costerà circa $ 20.000. Se lo metti in relazione con i costi di linea, è ovvio che i costi di crittografia sono elevati solo se confrontati con soluzioni non confrontabili.


Penso che parte del punto sia che le WAN e le LAN si stanno avvicinando molto di più alla tecnologia. Per quanto riguarda i costi di linea, attorno a queste parti, il costo dell'aggiornamento da filo virtuale a filo / frequenza dedicati (in cui MACSec è ovviamente completamente supportato) è MOLTO inferiore rispetto all'acquisizione di crittografi L2 distrutti. Stiamo parlando di un ordine di grandezza.
Roy,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.