“semble” , on va attendre 2 ou 3 releases :) > On 25 Aug 2017, at 13:38, Olivier Benghozi <olivier.bengh...@wifirst.fr> > wrote: > > Le macsec semble supporté sur EX3400. > >> Le 25 août 2017 à 13:17, Raphael Maunier <raph...@maunier.net> a écrit : >> >> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) >> >> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur >> BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. >> >> On verra bien ce que ça donne avec plusieurs scénarios de tests >> >> >>> On 25 Aug 2017, at 13:09, Nicolas Herreyre <nicolas.herre...@gmail.com> >>> wrote: >>> >>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne >>> pas les mutualiser) semble techniquement faisable, même si 2 ports >>> consommés sur 24 c'est un peu du gaspillage. >>> >>> Line rate 10G pas trop complexe et pas cher. >>> >>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de >>> TAP, je suis preneur ;) >>> >>> >>> >>> Le 24 août 2017 à 21:59, Raphael Maunier <raph...@maunier.net> a écrit : >>>> Heu ... >>>> >>>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW. >>>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau >>>> d'encryption. >>>> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes >>>> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au >>>> point de dégrader les performances drastiquement >>>> >>>> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la >>>> perte en latence et en debit sur des ports 10G >>>> >>>> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html >>>> >>>> Envoyé de mon iPhone >>>> >>>> Le 24 août 2017 à 18:11, Erik LE VACON <e...@levacon.net> a écrit : >>>> >>>> Bonjour, >>>> Je crains qu'à de tels débits, les problèmes émergent de par le budget >>>> semble t-il contraint. >>>> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout >>>> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, >>>> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes >>>> et >>>> de comportements équivalents à ceux rencontrés couramment sur les "bigfat >>>> WANs" en intercontinental et difficultés à "remplir le pipe"). >>>> >>>> Plus précisément, et à titre d'exemple, les Thales Mistral couramment >>>> rencontrés, se limitent à 100mbps dans bcp de cas. >>>> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il >>>> faudrait tester et vérifier si les specs d'interop sont compatibles avec le >>>> besoin précis >>>> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais >>>> peut-être possible de négo vu le besoin et le volume). >>>> >>>> My two. >>>> >>>> >>>> >>>> On Thu, 24 Aug 2017 17:08:40 +0200 >>>> Nicolas Herreyre <nicolas.herre...@gmail.com> wrote: >>>> >>>> Hello la liste, >>>> >>>> >>>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je >>>> >>>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés >>>> >>>> sur une infra backbone de liens point à point à securiser. >>>> >>>> >>>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, >>>> >>>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait >>>> >>>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca >>>> >>>> coûte 2 bras). >>>> >>>> >>>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 >>>> >>>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop >>>> >>>> cher, sur la 20aine d'extrémités, un truc fiable ;) >>>> >>>> >>>> Avez vous des références pile-poil designer pour faire cela ? >>>> >>>> >>>> Merci bien! >>>> >>>> >>>> -- >>>> >>>> Nicolas. >>>> >>>> >>>> >>>> --------------------------- >>>> >>>> Liste de diffusion du FRnOG >>>> >>>> http://www.frnog.org/ >>>> >>>> >>>> >>>> -- >>>> Erik LE VACON <e...@levacon.net> >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/