我对此的结论是将 VLAN 中继通过 EoIP 隧道传输,并将其封装在硬件辅助 IPSec 中。两对相当便宜的 Mikrotik RB1100AHx2 路由器被证明能够满足 1 Gbps 连接,同时增加的延迟不到 1 毫秒。
我想加密两个数据中心之间的通信。站点之间的通信以标准提供商桥接 (s-vlan/802.1ad) 的形式提供,这样我们的本地 vlan 标签 (c-vlan/802.1q) 就会保留在中继上。通信在提供商网络中经过多个第 2 层跳转。
两侧的边界交换机都是带有 MACSec 服务模块的 Catalyst 3750-X,但我认为 MACSec 是不可能的,因为我看不出有任何方法可以通过中继确保交换机之间的 L2 平等,尽管通过提供商桥接器可以实现。MPLS(使用 EoMPLS)当然允许此选项,但在这种情况下不可用。
无论哪种方式,设备总是可以更换以适应技术和拓扑选择。
我如何找到可以通过以太网运营商网络提供第 2 层点对点加密的可行技术选项?
编辑:
总结一下我的一些发现:
有多种硬件 L2 解决方案可供选择,起价为 60,000 美元(低延迟、低开销、高成本)
在许多情况下,MACSec 可通过 Q-in-Q 或 EoIP 进行隧道传输。硬件起价为 5,000 美元(低至中等延迟、低至中等开销、低成本)
有多种硬件辅助 L3 解决方案可供选择,起价为 5,000 美元(高延迟、高开销、低成本)
答案1
我刚刚在 Google 上快速搜索了“CESG 第 2 层加密”(CESG 是英国政府机构,专门负责计算机系统的保障),并在他们的列表中找到了几个选项,至少有一个可以做到 1Gbit,还有一些可以做到高达 10Gbit。
这可能(几乎肯定)是小题大做,但你会发现有相当多的军事规格产品能够实现第 2 层加密,并且吞吐量相当高。
我发现的第一个与 VLAN 和 MPLS 无关,这并不奇怪,但我怀疑它们非常昂贵。
答案2
城域/运营商以太网的加密解决方案与 MacSec 有很大不同,后者是为 LAN 而非 WAN 设计的。有一个由三份文档(简介、P2P、多点)组成的市场概述。在 Google 上搜索“城域运营商以太网加密器”,您就会找到它。
关于定价,必须区分标价和市场价格。目前,1Gb 加密器的成本约为 2 万美元。如果将其与线路成本进行比较,很明显,加密器成本只有在与不可比的解决方案相比时才会很高。