我的结论是通过EoIP隧道pipe道VLAN中继,并将其封装在硬件辅助的IPSec中。 两对相当便宜的Mikrotik RB1100AHx2路由器被certificate能够饱和1 Gbps连接,同时延迟不到1毫秒。
我想encryption两个数据中心之间的stream量。 站点之间的通信作为标准提供者桥接(s-vlan / 802.1ad)提供,以便我们的本地vlan标记(c-vlan / 802.1q)保留在中继上。 通信经过提供商networking中的几个二层跳。
Catalyst 3750-X与MACSec服务模块,但我认为MACSec是不可能的,因为我没有看到任何方式来确保交换机之间的L2等同于中继,虽然也许是可能的通过提供者桥。 MPLS(使用EoMPLS)肯定会允许这个选项,但在这种情况下不可用。
无论哪种方式,设备总是可以被replace以适应技术和拓扑select。
我如何才能find可以在以太网运营商networking上提供第2层点对点encryption的可行技术选项?
编辑:
总结一下我的发现:
许多硬件L2解决scheme可供select,起价为60,000美元(低延迟,低开销,高成本)
MACSec在很多情况下可能通过Q-in-Q或EoIP隧道传输。 硬件起价为5,000美元(低中延迟,低中等开销,低成本)
有许多硬件辅助的L3解决scheme可供select,起价为5,000美元(高延迟,高开销,低成本)
我刚刚在Google上search了“CESG第二层encryption”(CESG是英国政府专门从事计算机系统保证的机构),并在他们的名单上find了一些选项,至less有一个select了1Gbit ,还有一些会达到10Gbit。
它可能(几乎肯定)是矫枉过正,但是你会发现有相当多的milspec产品能够进行第二层encryption,而且吞吐量相当高。
我发现的第一个是VLAN和MPLS不可知论的,不出所料,但我怀疑他们是血腥昂贵的。
城域/运营商以太网的encryption解决scheme与MacSec的区别很大,MacSec是为局域网devise的,而不是为广域网devise的。 有三个文件(介绍,P2P,多点)组成的市场总览。 谷歌的“地铁运营商以太网encryption器”,你会发现它。
关于定价,必须区分标价和市场价格。 一个1Gb的encryption器目前会花费你大约20K美元。 如果将这与线路成本相关联,那么与非可比较的解决scheme相比,encryption器成本显然是高的。