Vlan

通過千兆運營商乙太網加密

  • July 7, 2015

我對此的結論是通過 EoIP 隧道傳輸 VLAN 中繼並將它們封裝在硬體輔助的 IPSec 中。兩對相當便宜的 Mikrotik RB1100AHx2 路由器被證明能夠使 1 Gbps 連接飽和,同時增加不到 1 毫秒的延遲。

我想加密兩個數據中心之間的流量。站點之間的通信作為標準提供商網橋 (s-vlan/802.1ad) 提供,因此我們的本地 vlan 標記 (c-vlan/802.1q) 保留在主幹上。通信遍歷提供商網路中的幾個第 2 層躍點。

兩側的邊界交換機是帶有 MACSec 服務模組的 Catalyst 3750-X,但我認為 MACSec 是不可能的,因為我看不到任何方法可以確保中繼上的交換機之間的 L2 平等,儘管它可能是可能的通過提供者網橋。MPLS(使用 EoMPLS)當然允許這個選項,但在這種情況下不可用。

無論哪種方式,都可以隨時更換設備以適應技術和拓撲選擇。

如何尋找可行的技術選項,通過乙太網運營商網路提供第 2 層點對點加密?

編輯:

總結一下我的一些發現:

  • 提供多種硬體 L2 解決方案,起價為 60,000 美元(低延遲、低成本、高成本)
  • 在許多情況下,MACSec 可以通過 Q-in-Q 或 EoIP 進行隧道傳輸。硬體起價 5,000 美元(中低延遲、中低成本、低成本)
  • 提供多種硬體輔助 L3 解決方案,起價 5,000 美元(高延遲、高成本、低成本)

我剛剛在 Google 上快速搜尋了“CESG 第 2 層加密”(CESG 是一家專門從事電腦系統保障的英國政府機構),並在他們的列表中找到了一些選項,至少有一個可以做到 1Gbit ,還有一些可以達到 10Gbit。

這可能(幾乎肯定)是矯枉過正,但您會發現有相當多的 milspec 產品能夠以相當高的吞吐量進行第 2 層加密。

我發現的第一個與 VLAN 和 MPLS 無關,這並不奇怪,但我懷疑它們非常昂貴。

引用自:https://serverfault.com/questions/518992