Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Vraag


  • xelnaha
  • Registratie: November 2008
  • Laatst online: 25-05 00:46
Hallo,

wij zijn bezig een backbone omgeving te bouwen in EMEA tussen DC's en aantal POP locaties.
Dit gaan we doen doormiddel van een EVPN connecties van een 3rd party, waarover we MPLS netwerk bouwen. Qua MTU, protocol L2 transparancy etc is dit geen probleem en hebben we dit reeds eerder gedaan.

nieuw in deze is de eis om end-2-end encryptie toe te passen waar het over 3rd party infrastructure gaat. Nu zijn we aan het kijken naar WAN MACSEC. ik heb hier nog geen ervaring mee, maar de vraag die ik niet geheel beantwoord kan krijgen op de cisco site is:

1:) kan MACSEC werken met MPLS labels, aangezien ik begrijp dat de hele frame lijkt te wordt ge-encrypt?
2:) en als dit mogelijk is, is het mogelijk om met multipoint to multipoint in een shared vlan te selecteren welke peers een verbinding kunnen opzetten?

Thanks

Alle reacties


  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 25-11 22:42
Dit niets ?
Is maar een gokje hoor :z

https://www.cisco.com/c/e...ite-paper-c11-737544.html
Hebben jullie verder geen contacten binnen Cisco zodat je dit gewoon kan vragen voor jullie specifiek case?

Ergens staat daar :

To summarize some of the findings from the matrix in Figure 21:

● MACsec supports line-rate encryption performance (100 Gbps+), regardless of the MTU and packet size
● MACsec is transparent to upper layer protocols (IPv4/v6, MPLS labels)
● IPsec is extremely flexible from an underlying transport perspective (completely agnostic)
● IPsec supports massive scale (DMVPN moving beyond 4000 connections) from an SA termination perspective
● MACsec support will be dictated by the hardware’s Ethernet PHY capabilities
● In some cases, either solution will work and experience and desire from a designers perspective will dictate the choice

  • xelnaha
  • Registratie: November 2008
  • Laatst online: 25-05 00:46
Yup, alleen zijn die nog bezig met nieuwjaars borrel.

Dank voor de link dat document had ik ook gevonden en daarin staat wat je aangeeft:

transparant to upper layers is een ding, maar werkt dit ook in een multipoint-to-multipoint omgeving. Daarnaast staat een paar regels lager in een diagram staat MPLS is Not Support. AKA, de documentatie spreekt zichzelf tegen. Vandaar dat ik benieuwd was of iemand dit zelf ook heeft geimplementeerd

  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 25-11 22:42
Klopt, die tabel/figure 21 waar idd "NS" staat is wat gek ja, maar die tabel gaat over "Ethernet & IP Encryption" positionering. Ik denk dat je dat gewoon moet lezen dat MACSEC eigenlijk niets te maken heeft met "IP" encryptie zoals IPSEC, daarom staat er wat ongelukkig NS maar hadden dat beter NA (Not Applicable) genoemd ofzo. Daar om gewoon te gebruiken indien er nog wat MPLS-labels aan hangen in een latere fase.

Die MACSEC is MAC-layer/link-layer encryptie en de encryptie-functie zit in de physical layer (PHY) van vb de Ethernet-poort (1/10/40/100GE) bidirectioneel.

Het multi-point <> multi-point gedoe hmm ... geen idee ...DAT zou ik maar eens navragen als ze van de champagne af zijn ;-)

  • Bl@ckbird
  • Registratie: November 2000
  • Niet online
Voor Multipoint-Multipoint kan je gewoon MACSec configureren en daar bovenop een routing protocol draaien.
Example: Multipoint-to-multipoint, Hub and Spoke Connectivity Using EVP-LAN Service
Zie:
https://www.cisco.com/c/e...-mka-support-enhance.html

Als het allemaal DC's zijn kan je naar MACsec kijken. Als het ook verschillende nevenvestigingen van een bedrijf betreft, kan je eventueel naar SD-WAN kijken. Je kan dan per verkeerstype aangeven welke WAN verbinding deze moet gebruiken. (Op basis van parameters als latency, jitter, packetloss, etc.)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~


  • xelnaha
  • Registratie: November 2008
  • Laatst online: 25-05 00:46
Bl@ckbird schreef op donderdag 3 januari 2019 @ 15:21:
Voor Multipoint-Multipoint kan je gewoon MACSec configureren en daar bovenop een routing protocol draaien.


[...]


Zi
https://www.cisco.com/c/e...-mka-support-enhance.html
dank, ik zal het doorlezen
Als het allemaal DC's zijn kan je naar MACsec kijken. Als het ook verschillende nevenvestigingen van een bedrijf betreft, kan je eventueel naar SD-WAN kijken. Je kan dan per verkeerstype aangeven welke WAN verbinding deze moet gebruiken. (Op basis van parameters als latency, jitter, packetloss, etc.)
hier hebben we naar gekeken, en we hebben een prijs/functionality vergelijking gemaakt. prijs verschil was nogal enorm, ongeveer £1 miloen / 3 jaar voor MPLS vs £2,3-3 milioen /3 jaar. Het prijs verschil is voor ons de extra kosten niet waard, maar dank voor de suggestie.
Pagina: 1