2
ギガビットキャリアイーサネットを介した暗号化
これに対する私の結論は、EoIPトンネルを介してVLANトランクをパイプし、それらをハードウェア支援IPSecにカプセル化することでした。2組のかなり安価なMikrotik RB1100AHx2ルーターは、1ミリ秒未満のレイテンシを追加しながら、1 Gbps接続を飽和させることができることが証明されました。 2つのデータセンター間のトラフィックを暗号化します。サイト間の通信は標準プロバイダーブリッジ(s-vlan / 802.1ad)として提供されるため、ローカルvlanタグ(c-vlan / 802.1q)はトランクで保持されます。通信は、プロバイダーネットワーク内の複数のレイヤー2ホップを通過します。 両側の境界スイッチは、Catalyst 3750-XとMACSecサービスモジュールですが、トランク上のスイッチ間でL2の同等性を保証する方法が見当たらないため、MACSecは問題外だと思います。プロバイダーブリッジ経由。MPLS(EoMPLSを使用)は、このオプションを確実に許可しますが、この場合は使用できません。 いずれにしても、テクノロジーとトポロジーの選択に対応するために、機器をいつでも交換できます。 イーサネットキャリアネットワーク上でレイヤー2ポイントツーポイント暗号化を提供できる実行可能なテクノロジーオプションを見つけるにはどうすればよいですか? 編集: 私の発見のいくつかを要約すると: 60,000米ドルから始まる多くのハードウェアL2ソリューションが利用可能です(低遅延、低オーバーヘッド、高コスト) MACSecは多くの場合、Q-in-QまたはEoIPを介してトンネリングされます。5,000米ドルからのハードウェア(低中遅延、低中オーバーヘッド、低コスト) 5,000米ドルからのハードウェア支援L3ソリューションが多数利用可能です(高遅延、高オーバーヘッド、低コスト)