Criptografia por Ethernet de operadora de gigabit

12

Minha conclusão foi canalizar troncos de VLAN através de túneis EoIP e encapsular aqueles em IPSec assistido por hardware. Dois pares de roteadores Mikrotik RB1100AHx2 razoavelmente baratos mostraram-se capazes de saturar uma conexão de 1 Gbps enquanto adicionavam menos de 1 ms de latência.

Eu gostaria de criptografar o tráfego entre dois data centers. A comunicação entre os sites é fornecida como uma ponte de provedor padrão (s-vlan / 802.1ad), para que nossas tags de vlan locais (c-vlan / 802.1q) sejam preservadas no tronco. A comunicação percorre vários saltos da camada 2 na rede do provedor.

Os switches de borda dos dois lados são o Catalyst 3750-X com o módulo de serviço MACSec, mas presumo que o MACSec esteja fora de questão, pois não vejo nenhuma maneira de garantir a igualdade L2 entre os switches em um tronco, embora possa ser possível sobre uma ponte de provedor. O MPLS (usando o EoMPLS) certamente permitiria essa opção, mas não está disponível neste caso.

De qualquer maneira, o equipamento sempre pode ser substituído para acomodar opções de tecnologia e topologia.

Como faço para encontrar opções de tecnologia viáveis ​​que possam fornecer criptografia ponto a ponto da camada 2 em redes de operadoras Ethernet?

editar:

Para resumir algumas das minhas descobertas:

  • Estão disponíveis várias soluções L2 de hardware, a partir de US $ 60.000 (baixa latência, baixa sobrecarga, alto custo)

  • O MACSec pode, em muitos casos, ser encapsulado por meio do Q-in-Q ou EoIP. Hardware a partir de US $ 5.000 (latência baixa-média, sobrecarga baixa-média, baixo custo)

  • Estão disponíveis várias soluções L3 assistidas por hardware, a partir de US $ 5.000 (alta latência, alta sobrecarga, baixo custo)

vlan encryption cisco-catalyst macsec Roy
fonte
1
Existe um motivo para fazer isso na camada 2, em vez de usar o IPSec entre hosts?
M11
A conectividade da camada 2 é um requisito. Alguém poderia pensar que criptografar uma rede da camada 2 na camada 2, em vez de fazer o tunelamento e o fork fork seria mais rápido, mais simples e mais seguro. No entanto, IPSec / L2TP ou similar (com criptografia e encapsulamento feitos no ASIC) ainda pode se tornar a melhor opção disponível; isso é essencialmente o que estou tentando descobrir.
Roy
Devo acrescentar que o preço de dois ASAs capazes de manter IPSec full duplex de 1 Gbps acrescenta alguma motivação para explorar as alternativas. Em comparação, você pode obter um Catalyst suportando MACSec de 10 Gbps / wirespeed por menos.
217 Roy Roy
Existem vários dispositivos que usam maneiras proprietárias de fazer isso. Eu não acho que exista um padrão ou algo assim.
Falcon Momot
Você realmente tentou isso? Não entendo como o seu provedor, adicionando e removendo uma tag, atrapalharia o macsec. O quadro que o switch remoto recebe deve ser idêntico ao quadro enviado.
longneck

Respostas:

5

Acabei de fazer uma pesquisa rápida por "criptografia CESG de camada 2" (CESG é uma agência governamental britânica especializada em garantia de sistemas de computador), no Google, e encontrei algumas opções em sua lista, há pelo menos uma que faz 1Gbit , e alguns que fazem até 10 Gbit.

Provavelmente (quase definitivamente) seria um exagero, mas você encontrará muitos produtos milspec capazes de criptografia da Camada 2, com taxas de transferência bastante altas.

O primeiro que eu encontrei é o VLAN e o MPLS agnóstico, sem surpresa, mas suspeito que sejam muito caros.

Tom O'Connor
fonte
1
Eu não sei sobre um exagero, o CN1000 já era o meu plano de backup, se uma solução menos dispendiosa não pode ser encontrado
Roy
Qual é o preço desses meninos maus?
Tom O'Connor
Nessas partes Eu acredito que eles estão listados cerca de US $ 35.000 (+ impostos) por unidade (1 Gbps edição ethernet)
Roy
Tanto quanto eu esperava, eu estava pensando se eles estariam 100K +
Tom O'Connor
Considerando que você obtém 20 Gbps de MACSec dos principais fornecedores por menos de US $ 3.500, ainda acho que os dispositivos da camada 2 que conheço são extremamente caros. Pode-se pagar 200 vezes mais pela mesma largura de banda e latência de criptografia comparável.
Roy
0

As soluções de criptografia para a Metro / Carrier Ethernet diferem substancialmente do MacSec, que foi projetado para LANs e não para WANs. Há uma visão de mercado composta por três documentos (introdução, P2P, multiponto). Google para "Metro Carrier Ethernet Encryptor" e você o encontrará.

Em relação aos preços, é imperativo diferenciar entre preços de tabela e preços de mercado. Atualmente, um criptografador de 1 Gb custa cerca de US $ 20 mil. Se você colocar isso em relação aos custos da linha, é óbvio que os custos do criptografador são altos apenas se comparados a soluções não comparáveis.

Christoph Jaggi
fonte
Eu acho que parte do ponto é que WANs e LANs estão se aproximando muito da tecnologia. Sobre os custos de linha, nessas partes, o custo da atualização do fio virtual para o fio / frequência dedicado (onde o MACSec é obviamente totalmente suportado) é MUITO menor do que a aquisição de criptografadores L2 dedicados. Estamos falando de uma ordem de magnitude.
30713 Roy Roy