ギガビットキャリアイーサネットを介した暗号化
これに対する私の結論は、EoIPトンネルを介してVLANトランクをパイプし、ハードウェア支援IPSecにカプセル化することでした。2ペアのかなり安価なMikrotik RB1100AHx2ルーターは、1Gbps未満の接続を追加しながら1Gbps接続を飽和させることができることが証明されました。ミリ秒の遅延。
2つのデータセンター間のトラフィックを暗号化したいと思います。サイト間の通信は、標準のプロバイダーブリッジ(s-vlan/802.1ad)として提供されるため、ローカルVLANタグ(c-vlan/802.1q)はトランクに保持されます。通信は、プロバイダーネットワークのいくつかのレイヤ2ホップを通過します。
両側の境界スイッチはMACSecサービスモジュールを備えたCatalyst3750-Xですが、トランク上のスイッチ間でL2が等しいことを保証する方法が見当たらないため、MACSecは問題外だと思います。プロバイダーブリッジを介して。 MPLS(EoMPLSを使用)は確かにこのオプションを許可しますが、この場合は使用できません。
いずれにせよ、テクノロジーとトポロジーの選択に対応するために、機器はいつでも交換できます。
イーサネットキャリアネットワーク上でレイヤー2ポイントツーポイント暗号化を提供できる実行可能なテクノロジーオプションを見つけるにはどうすればよいですか?
編集:
私の発見のいくつかを要約すると:
60,000米ドルから始まる多くのハードウェアL2ソリューションが利用可能です(低遅延、低オーバーヘッド、高コスト)
MACSecは、多くの場合、Q-in-QまたはEoIPを介してトンネリングされます。 5,000米ドルからのハードウェア(低中遅延、低中オーバーヘッド、低コスト)
5,000米ドルから、ハードウェア支援のL3ソリューションが多数利用可能です(高遅延、高オーバーヘッド、低コスト)
Googleで「CESGレイヤー2暗号化」(CESGはコンピューターシステムの保証を専門とする英国の政府機関)をすばやく検索したところ、リストにいくつかのオプションが見つかりました。1Gbitを実行するオプションが少なくとも1つあります。 、および最大10Gbitを実行するいくつかの。
おそらく(ほぼ間違いなく)やり過ぎでしょうが、非常に高いスループットでレイヤー2暗号化が可能なmilspec製品がかなりたくさんあることがわかります。
私が最初に見つけたのはVLANおよびMPLSにとらわれず、当然のことながらですが、それらは非常に高価であると思います。
メトロ/キャリアイーサネットの暗号化ソリューションは、WANではなくLAN用に設計されたMacSecとは大きく異なります。 3つのドキュメント(イントロ、P2P、マルチポイント)で構成される市場概要があります。 Google for "Metro Carrier EthernetEncryptor"とあなたはそれを見つけるでしょう。
価格設定に関しては、定価と市場価格を区別することが不可欠です。 1Gb暗号化装置は現在約2万ドルの費用がかかります。これを回線コストとの関係で考えると、比較できないソリューションと比較した場合にのみ、暗号化装置のコストが高いことは明らかです。