Je vais faire le test dans le courant de la semaine prochaine. C’etait dans la todo pour plus tard, c’est l’occasion de changer la priorité et valider :)
> On 25 Aug 2017, at 10:51, Erik LE VACON <e...@levacon.net> wrote: > > On Thu, 24 Aug 2017 21:59:41 +0200 > Raphael Maunier <raph...@maunier.net> wrote: > >> Heu ... >> >> Pas vraiment, la plupart des sw récent supportent mac-sec en HW. > > Tout à fait. > >> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau >> d'encryption. > > Et c'est bien là que le pb peut se poser. > Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira > t-il des suites offertes par les switches ? > Côté perfs, et sauf erreur/incompréhension de ma part, le > chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de > chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et > le trafic va passer en clair au niveau de chaque carte/chassis de > commutation. Est ce une spec forte que d'avoir du bout en bout, sur deux > sites transitant par un noeud central par ex ? > > Enfin, le papier suivant traitait pour partie de ces aspects perfs et > sécurité via MACSEC. > Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il > semble bien que MACSEC induise tout de même une méchante latence (encore une > fois, à vérifier par l'expérience avec plusieurs suites différentes, de > préférence fortes. > Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est > bienvenu, Raphaël. > > http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf > > My two ... > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
