我对此的结论是通过 EoIP 隧道传输 VLAN 中继并将它们封装在硬件辅助的 IPSec 中。两对相当便宜的 Mikrotik RB1100AHx2 路由器被证明能够使 1 Gbps 连接饱和,同时增加不到 1 毫秒的延迟。
我想加密两个数据中心之间的流量。站点之间的通信作为标准提供商网桥 (s-vlan/802.1ad) 提供,因此我们的本地 vlan 标记 (c-vlan/802.1q) 保留在主干上。通信遍历提供商网络中的几个第 2 层跃点。
两侧的边界交换机是带有 MACSec 服务模块的 Catalyst 3750-X,但我认为 MACSec 是不可能的,因为我看不到任何方法可以确保中继上的交换机之间的 L2 平等,尽管它可能是可能的通过提供者网桥。MPLS(使用 EoMPLS)当然允许这个选项,但在这种情况下不可用。
无论哪种方式,都可以随时更换设备以适应技术和拓扑选择。
如何寻找可行的技术选项,通过以太网运营商网络提供第 2 层点对点加密?
编辑:
总结一下我的一些发现:
提供多种硬件 L2 解决方案,起价为 60,000 美元(低延迟、低开销、高成本)
在许多情况下,MACSec 可以通过 Q-in-Q 或 EoIP 进行隧道传输。硬件起价 5,000 美元(中低延迟、中低开销、低成本)
提供多种硬件辅助 L3 解决方案,起价 5,000 美元(高延迟、高开销、低成本)
我刚刚在 Google 上快速搜索了“CESG 第 2 层加密”(CESG 是一家专门从事计算机系统保障的英国政府机构),并在他们的列表中找到了一些选项,至少有一个可以做到 1Gbit ,还有一些可以达到 10Gbit。
这可能(几乎肯定)是矫枉过正,但您会发现有相当多的 milspec 产品能够以相当高的吞吐量进行第 2 层加密。
我发现的第一个与 VLAN 和 MPLS 无关,这并不奇怪,但我怀疑它们非常昂贵。
Metro/Carrier Ethernet 的加密解决方案与 MacSec 有很大不同,MacSec 是为 LAN 而不是为 WAN 设计的。有一个由三个文档(介绍、P2P、多点)组成的市场概览。谷歌搜索“Metro Carrier Ethernet Encryptor”,你会找到它。
关于定价,必须区分标价和市场价格。一个 1Gb 的加密器目前将花费您大约 2 万美元。如果将其与线路成本联系起来,很明显,加密器的成本只有与不可比的解决方案相比才高。