Salut Nico, Je tombe sur ton mail après avoir lu un article sur le sujet sur ipspace. Deux documents sur le sujet sont téléchargeables. Le premier sur le chiffrement des les liens MAN et WAN, et le deuxième est un comparatif du marché dont form factor, vitesse et ordre de grandeur pour les prix.
http://blog.ipspace.net/2017/08/new-metro-and-carrier-ethernet.html Tu y trouveras peut-être ton bonheur ou des alternatives crédibles. Je n'ai pas lu l'intégralité des 98 et 120 pages ;) ! A plus, Victor 2017-08-25 14:31 GMT+02:00 Raphael Maunier <[email protected]>: > “semble” , on va attendre 2 ou 3 releases :) > > > On 25 Aug 2017, at 13:38, Olivier Benghozi <[email protected]> > wrote: > > > > Le macsec semble supporté sur EX3400. > > > >> Le 25 août 2017 à 13:17, Raphael Maunier <[email protected]> a écrit > : > >> > >> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) > >> > >> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en > routeur BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. > >> > >> On verra bien ce que ça donne avec plusieurs scénarios de tests > >> > >> > >>> On 25 Aug 2017, at 13:09, Nicolas Herreyre <[email protected]> > wrote: > >>> > >>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne > >>> pas les mutualiser) semble techniquement faisable, même si 2 ports > >>> consommés sur 24 c'est un peu du gaspillage. > >>> > >>> Line rate 10G pas trop complexe et pas cher. > >>> > >>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de > >>> TAP, je suis preneur ;) > >>> > >>> > >>> > >>> Le 24 août 2017 à 21:59, Raphael Maunier <[email protected]> a > écrit : > >>>> Heu ... > >>>> > >>>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW. > >>>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau > >>>> d'encryption. > >>>> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de > pertes > >>>> de performance. Tu risques de perdre en Débit Avec l'overhead mais > pas au > >>>> point de dégrader les performances drastiquement > >>>> > >>>> Par curiosite je vais tester Avec un injecteur de traffic afin de > voir la > >>>> perte en latence et en debit sur des ports 10G > >>>> > >>>> https://www.juniper.net/documentation/en_US/junos/ > topics/concept/macsec.html > >>>> > >>>> Envoyé de mon iPhone > >>>> > >>>> Le 24 août 2017 à 18:11, Erik LE VACON <[email protected]> a écrit : > >>>> > >>>> Bonjour, > >>>> Je crains qu'à de tels débits, les problèmes émergent de par le budget > >>>> semble t-il contraint. > >>>> La latence de traitement CPU-only via un boitier comme indiqué, mais > à cout > >>>> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va > exploser, > >>>> donc les 10gbps utiles ne seront jamais atteints (génération de > problèmes et > >>>> de comportements équivalents à ceux rencontrés couramment sur les > "bigfat > >>>> WANs" en intercontinental et difficultés à "remplir le pipe"). > >>>> > >>>> Plus précisément, et à titre d'exemple, les Thales Mistral couramment > >>>> rencontrés, se limitent à 100mbps dans bcp de cas. > >>>> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, > mais il > >>>> faudrait tester et vérifier si les specs d'interop sont compatibles > avec le > >>>> besoin précis > >>>> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais > >>>> peut-être possible de négo vu le besoin et le volume). > >>>> > >>>> My two. > >>>> > >>>> > >>>> > >>>> On Thu, 24 Aug 2017 17:08:40 +0200 > >>>> Nicolas Herreyre <[email protected]> wrote: > >>>> > >>>> Hello la liste, > >>>> > >>>> > >>>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je > >>>> > >>>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés > >>>> > >>>> sur une infra backbone de liens point à point à securiser. > >>>> > >>>> > >>>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, > >>>> > >>>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait > >>>> > >>>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca > >>>> > >>>> coûte 2 bras). > >>>> > >>>> > >>>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 > >>>> > >>>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop > >>>> > >>>> cher, sur la 20aine d'extrémités, un truc fiable ;) > >>>> > >>>> > >>>> Avez vous des références pile-poil designer pour faire cela ? > >>>> > >>>> > >>>> Merci bien! > >>>> > >>>> > >>>> -- > >>>> > >>>> Nicolas. > >>>> > >>>> > >>>> > >>>> --------------------------- > >>>> > >>>> Liste de diffusion du FRnOG > >>>> > >>>> http://www.frnog.org/ > >>>> > >>>> > >>>> > >>>> -- > >>>> Erik LE VACON <[email protected]> > >>>> > >>>> > >>>> --------------------------- > >>>> Liste de diffusion du FRnOG > >>>> http://www.frnog.org/ > >>> > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
