La mia conclusione è stata quella di reindirizzare i trunk VLAN attraverso i tunnel EoIP e incapsulare quelli in IPSec con assistenza hardware. Due coppie di router Mikrotik RB1100AHx2 abbastanza economici si sono dimostrate in grado di saturare una connessione da 1 Gbps aggiungendo una latenza inferiore a 1 ms.
Vorrei crittografare il traffico tra due data center. La comunicazione tra i siti viene fornita come bridge provider standard (s-vlan / 802.1ad), in modo che i nostri tag vlan locali (c-vlan / 802.1q) siano conservati sul trunk. La comunicazione attraversa diversi hop di livello 2 nella rete del provider.
Gli interruttori di frontiera su entrambi i lati sono Catalyst 3750-X con il modulo di servizio MACSec, ma suppongo che MACSec sia fuori discussione, in quanto non vedo alcun modo per garantire l'uguaglianza L2 tra gli interruttori su un trunk, sebbene possa essere possibile su un bridge provider. MPLS (usando EoMPLS) consentirebbe sicuramente questa opzione, ma non è disponibile in questo caso.
Ad ogni modo, le apparecchiature possono sempre essere sostituite per adattarsi alle scelte tecnologiche e di topologia.
Come posso trovare opzioni tecnologiche valide in grado di fornire la crittografia point-to-point di livello 2 su reti di carrier Ethernet?
modificare:
Per riassumere alcune delle mie scoperte:
Sono disponibili numerose soluzioni hardware L2, a partire da 60.000 USD (bassa latenza, costi generali bassi, costo elevato)
MACSec può in molti casi essere tunnelato attraverso Q-in-Q o EoIP. Hardware a partire da 5.000 USD (latenza medio-bassa, sovraccarico medio-basso, basso costo)
Sono disponibili numerose soluzioni L3 assistite da hardware, a partire da 5.000 USD (alta latenza, costi generali elevati, basso costo)