Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
pas les mutualiser) semble techniquement faisable, même si 2 ports
consommés sur 24 c'est un peu du gaspillage.
Line rate 10G pas trop complexe et pas cher.
Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
TAP, je suis preneur ;)
Le 24 août 2017 à 21:59, Raphael Maunier <raph...@maunier.net> a écrit :
> Heu ...
>
> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
> d'encryption.
> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
> point de dégrader les performances drastiquement
>
> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
> perte en latence et en debit sur des ports 10G
>
> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
>
> Envoyé de mon iPhone
>
> Le 24 août 2017 à 18:11, Erik LE VACON <e...@levacon.net> a écrit :
>
> Bonjour,
> Je crains qu'à de tels débits, les problèmes émergent de par le budget
> semble t-il contraint.
> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et
> de comportements équivalents à ceux rencontrés couramment sur les "bigfat
> WANs" en intercontinental et difficultés à "remplir le pipe").
>
> Plus précisément, et à titre d'exemple, les Thales Mistral couramment
> rencontrés, se limitent à 100mbps dans bcp de cas.
> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
> faudrait tester et vérifier si les specs d'interop sont compatibles avec le
> besoin précis
> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
> peut-être possible de négo vu le besoin et le volume).
>
> My two.
>
>
>
> On Thu, 24 Aug 2017 17:08:40 +0200
> Nicolas Herreyre <nicolas.herre...@gmail.com> wrote:
>
> Hello la liste,
>
>
> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>
> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>
> sur une infra backbone de liens point à point à securiser.
>
>
> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>
> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>
> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>
> coûte 2 bras).
>
>
> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>
> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>
> cher, sur la 20aine d'extrémités, un truc fiable ;)
>
>
> Avez vous des références pile-poil designer pour faire cela ?
>
>
> Merci bien!
>
>
> --
>
> Nicolas.
>
>
>
> ---
>
> Liste de diffusion du FRnOG
>
> http://www.frnog.org/
>
>
>
> --
> Erik LE VACON <e...@levacon.net>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
