ギガビットキャリアイーサネットを介した暗号化

これに対する私の結論は、EoIPトンネルを介してVLANトランクをパイプし、それらをハードウェア支援IPSecにカプセル化することでした。2組のかなり安価なMikrotik RB1100AHx2ルーターは、1ミリ秒未満のレイテンシを追加しながら、1 Gbps接続を飽和させることができることが証明されました。

2つのデータセンター間のトラフィックを暗号化します。サイト間の通信は標準プロバイダーブリッジ（s-vlan / 802.1ad）として提供されるため、ローカルvlanタグ（c-vlan / 802.1q）はトランクで保持されます。通信は、プロバイダーネットワーク内の複数のレイヤー2ホップを通過します。

両側の境界スイッチは、Catalyst 3750-XとMACSecサービスモジュールですが、トランク上のスイッチ間でL2の同等性を保証する方法が見当たらないため、MACSecは問題外だと思います。プロバイダーブリッジ経由。MPLS（EoMPLSを使用）は、このオプションを確実に許可しますが、この場合は使用できません。

いずれにしても、テクノロジーとトポロジーの選択に対応するために、機器をいつでも交換できます。

イーサネットキャリアネットワーク上でレイヤー2ポイントツーポイント暗号化を提供できる実行可能なテクノロジーオプションを見つけるにはどうすればよいですか？

編集：

私の発見のいくつかを要約すると：

• 60,000米ドルから始まる多くのハードウェアL2ソリューションが利用可能です（低遅延、低オーバーヘッド、高コスト）

• MACSecは多くの場合、Q-in-QまたはEoIPを介してトンネリングされます。5,000米ドルからのハードウェア（低中遅延、低中オーバーヘッド、低コスト）

• 5,000米ドルからのハードウェア支援L3ソリューションが多数利用可能です（高遅延、高オーバーヘッド、低コスト）

Googleで「CESGレイヤー2暗号化」（CESGはコンピューターシステムの保証に特化した英国政府機関です）をすばやく検索したところ、リストにいくつかのオプションが見つかりました。少なくとも1Gbitを実行するオプションがあります。 、および最大10Gbitで動作するものがいくつかあります。

おそらく（ほぼ間違いなく）やり過ぎかもしれませんが、非常に高いスループットでレイヤー2暗号化が可能なmilspec製品が非常にたくさんあることがわかります。

私が最初に見つけたのはVLANとMPLSにとらわれない、当然のことですが、それらは血まみれの高価だと思います。

Metro / Carrier Ethernetの暗号化ソリューションは、WAN用ではなくLAN用に設計されたMacSecとは大きく異なります。3つのドキュメント（イントロ、P2P、マルチポイント）で構成される市場の概要があります。「Metro Carrier Ethernet Encryptor」のGoogleで見つけられます。

価格設定に関しては、リスト価格と市場価格を区別することが不可欠です。現在、1Gb暗号化装置の費用は約2万ドルです。これを回線コストとの関係で考えると、比較できないソリューションと比較した場合にのみ暗号化コストが高くなることは明らかです。