fractal Опубликовано 30 ноября, 2018 · Жалоба Всем привет, есть вопрос, хотим брать l2 канал между офисами, есть 4 3750x, кластер по 2 в каждом офисе, необходимо ли сейчас покупать платы для них чтобы использовать macsec между ними на trunk портах? если к примеру собрать lacp на l2 из двух каналов и применить на etherchannel? доберусь до них только в понедельник чтобы потестировать, но интересно уже сейчас) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 5 декабря, 2018 · Жалоба Удалось попробовать? Заинтересовала возможность шифрануть L2, хотелось бы понимать как это на практике и какие накладные расходы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 5 декабря, 2018 · Жалоба шифрует отдельный чип, не CPU. Если пишут что надо плату - значит надо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба 1 час назад, fork сказал: Удалось попробовать? Заинтересовала возможность шифрануть L2, хотелось бы понимать как это на практике и какие накладные расходы. вообщем macsec работает со скоростью порта между оборудованием соединенным напрямую (темная оптика, витая пара) или посредством технологий eompls, vpls, evpn, шифруется на уровне phy (чип порта или asic коммутационной фабрики), 3750x, 3650x могут шифровать на всех портах со скоростью 1G, либо купить плату SM SFP 10G и шифровать со скоростью 10G если надо отработать macsec через влан (промежуточные устройства между устройствами, то это технология macsec-wan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба У нас такие замороченные покупают фстэк-сертифицированное, и не парятся. Федералы и прочие озабоченные пд(типа медицины) таки парятся, им всё по фстэку сдавать надо. Так что если только для себя - всё что взлетит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба 5 минут назад, YuryD сказал: У нас такие замороченные покупают фстэк-сертифицированное, и не парятся. Федералы и прочие озабоченные пд(типа медицины) таки парятся, им всё по фстэку сдавать надо. Так что если только для себя - всё что взлетит. это решение когда нужны 1G каналы и в течение 3х недель, а вот такие замороченности заказаны, но в течение 3-х, 5ти месяцев придет, так что это прекрасное решение asr-1002hx долго идут да и раз циска заяявляет что это супер классное решение, то почему бы и не проверить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба Если сумеете ввезти такую киску с таким шифрованием, если модуль конечно. Если просто стырить иос у пиратов с подобным функционалом. Но я уже писал - для себя можно пробовать всё. Как только там хоть-как-то будет присутствовать персональные данные, там сразу преграды. У нас обычная стоматология с кучей филиалов по городу долго морочилась, пока не купила фстэковское по концам влана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба Только что, YuryD сказал: Если сумеете ввезти такую киску с таким шифрованием, если модуль конечно. Если просто стырить иос у пиратов с подобным функционалом. 3750x есть одна, и еще с 10к у поставщика, так что все прекрасно, также 3560x еще больше на складе, поэтому и был вопрос про эту технологию, если нормально поднимется в продакшн, то возьмем модули к asr с максек, также 3760x и 3750х могут и без модуля шифровать на гигабитных портах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба Только зачем ? Если вы думаете, что провайдер сам лазит в чужие спд, или это сормит - накукуй ему это надо ? Особенно сормить.... Коммерсы у нас этим особо не парятся, поднимают esp меж своими железяками, у кого на какие денег хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба Только что, YuryD сказал: Только зачем ? Если вы думаете, что провайдер сам лазит в чужие спд, или это сормит - накукуй ему это надо ? Особенно сормить.... Коммерсы у нас этим особо не парятся, поднимают esp меж своими железяками, у кого на какие денег хватает. уж поверьте) сормят) я у провайдера работаю) мы даем eompls, evpn, vpls, в нем максек работает, также я знаком со структурой банков, в некоторых безопасность требуется шифровать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба Только что, fractal сказал: уж поверьте) сормят) я у провайдера работаю) А я где ? И банчки есть в клиентах, и прочие федералы. Многим ластмилю даём, ни разу не требовали сормить спд внутри нашей сети. У оставшихся федералов - голая l2 или темное волокно. Банки и прочее ставят фстэковское или своё. Коммерсы жуют кактус и плачут, но покупают таки фстэковское. Никто ни разу не потребовал от нас шифрованные ластмили. Так зачем её предлагать ? Мы ведь не создаём криптосеть масштаба города. Шифрование у клиентов у нас устраивает техкомунадо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба 1 минуту назад, YuryD сказал: А я где ? И банчки есть в клиентах, и прочие федералы. Многим ластмилю даём, ни разу не требовали сормить спд внутри нашей сети. У оставшихся федералов - голая l2 или темное волокно. Банки и прочее ставят фстэковское или своё. Коммерсы жуют кактус и плачут, но покупают таки фстэковское. Никто ни разу не потребовал от нас шифрованные ластмили. Так зачем её предлагать ? Мы ведь не создаём криптосеть масштаба города. Шифрование у клиентов у нас устраивает техкомунадо. ну повезло вам, а у нас менеджеры продали такое, вот внедряем, так как оборудование они заказывают через нас, им надо срочно, мы им предложили решение, если им зайдет внедрим macsec wan, да и что спорить то, у каждого свои вещи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба 8 минут назад, fractal сказал: ну повезло вам, а у нас менеджеры продали такое, вот внедряем, так как оборудование они заказывают через нас, им надо срочно, мы им предложили решение, если им зайдет внедрим macsec wan, да и что спорить то, у каждого свои вещи Пусть закон о крепкой криптографии в РФ читают, и готовьте кучку бумаг, чтобы свою попу прикрыть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба 1 минуту назад, YuryD сказал: Пусть закон о крепкой криптографии в РФ читают, и готовьте кучку бумаг, чтобы свою попу прикрыть. мы внедряем канал и даем оборудование, уже с сертификацией фстэк, далее забота клиента, там все чисто и законно, не первый год работаем, ежегодно проверки проходят просто они спросили, заработает ли это, я с этим не сталкивался, стало интересно, вот и написал тут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 5 декабря, 2018 · Жалоба Это они обязаны шифровать. А провайдер ничего не обязан. Мы предоставляем услугу в рамках сданного узла связи, это главное. А шифрует тот, кому это надо. Другое дело это маркетинг и впяливать это :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба Ну не сдастся он, ибо Вы предложили и продали чего-то несертифицированное. С кого он спросит ? Отмазки типа "насосы-колёсы" могут и не прокатить . Бандюки бывают суровы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба 2 минуты назад, YuryD сказал: Ну не сдастся он, ибо Вы предложили и продали чего-то несертифицированное. С кого он спросит ? Отмазки типа "насосы-колёсы" могут и не прокатить . Бандюки бывают суровы. Во первых сертифицированное, смотрите спецификации от фстэк, и я не собираюсь спорить с Вами, оставайтесь при своем мнение 3 минуты назад, Butch3r сказал: Это они обязаны шифровать. А провайдер ничего не обязан. Мы предоставляем услугу в рамках сданного узла связи, это главное. А шифрует тот, кому это надо. Другое дело это маркетинг и впяливать это :) боже, читайте внимательнее, менеджеры впарили технологию, мы проверили, документацию от фстэк и разрешение гоструктур получили, предоставили оборудование, все это тема была про то как работает технология, а не про то как надо работать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба Где-ж такой рай в РФ ? Ввезти стойкую чужую криптографию, сертифицироваться, и продать.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба 6 минут назад, YuryD сказал: Где-ж такой рай в РФ ? Ввезти стойкую чужую криптографию, сертифицироваться, и продать.... не буду дискутировать, я пришел на форум спросить о технологии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба 20 минут назад, fractal сказал: не буду дискутировать, я пришел на форум спросить о технологии Как Вы думете, о незаконной технологии в открытом форуме тут кто-то поделится ? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба думаю да, тут дело не в законности, а в изучение, для меня она интересна, особенно после прочтения trustsec, в соседней ветке изучают радиооборудование, которое тоже требуется сертифицировать, сдавать в РКН и покупать частоты и ничего, общаются и делятся опытом, я предлагаю не мучать друг друга вопросами не затрагивающими тему macsec, скажу одно, регулятор, в частности фстэк изучает macsec, выявляет уязвимости и выставляет требования вендору, для сегмента частной банковской сферы технология разрешена, все остальное решаемо модулями шифрующими по Гост, но это уже меня не интересует и ко мне не относится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба 36 минут назад, fractal сказал: но это уже меня не интересует и ко мне не относится Вот ко мне , как провайдеру - совершенно не относится. Изучать фстэк и их требования, только для того, чтобы выдать шифрованный канал клиенту - мне это надо ? Набуя мне изучать возможности крипто на моих железяках ? Им надо - пусть и изучают. Хотя таким клиентам сразу прайс дают не от нас. И зачем мне изучать возможности крипто моих магистральных и клиентских кисок. Мне платят не за криптотуннель, а за обычный l2. Если мне закажут криптотуннель клиенты - ну или пошлю их лесом, или буду искать фстэковское в каталоге. А не придумывать новые схемы, на древних железяках 3750.... Поймите правильно, Вы получите огромный опыт. Но неприменимый в условиях РФ, и значит немного бесполезный в будущем. Гимнастика для ума, не более.. И второе - эффективно-дефективные манагеры легко свалят всю кривизну на Вас, как проектанта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 5 декабря, 2018 · Жалоба 1 минуту назад, YuryD сказал: Вот ко мне , как провайдеру - совершенно не относится. Изучать фстэк и их требования, только для того, чтобы выдать шифрованный канал клиенту - мне это надо ? Набуя мне изучать возможности крипто на моих железяках ? Им надо - пусть и изучают. Хотя таким клиентам сразу прайс дают не от нас. И зачем мне изучать возможности крипто моих магистральных и клиентских кисок. Мне платят не за криптотуннель, а за обычный l2. Если мне закажут криптотуннель клиенты - ну или пошлю их лесом, или буду искать фстэковское в каталоге. А не придумывать новые схемы, на древних железяках 3750.... Ну и зачем Вы мне пишите тогда если даже не знаете что 3750x сертифицированно, и видимо Вы крутой провайдер раз клиентов шлете, если Вы не прочитали выше о том, что клиент написал в тз - у него есть 3750х и хочет использовать macsec, мы как представитель циско все проверили и на оборудование разрешенным фстэк, даже технология разрешена и предоставили клиенту оборудование и темное волокно и толтко, зачем Вы докопались до моей темы не понятно, если Вы не идете на встречу клиенту, то мы так не поступаем, у нас от этого премия зависит, пожалуйста проходите мимо если нечего по технологии добавить И да, новые 9300 ещё не прошли сертификацию, также как 4461, а все остальное при ввозе требует проверку и разрешение, а это долго Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 декабря, 2018 · Жалоба 4 минуты назад, fractal сказал: Ну и зачем Вы мне пишите тогда если даже не знаете что 3750x сертифицированно, и видимо Вы крутой провайдер раз клиентов шлете, если Вы не прочитали выше о том, что клиент написал в тз - у него есть 3750х и хочет использовать macsec, мы как представитель циско все проверили и на оборудование разрешенным фстэк, даже Ничего, что с крутой крипто киски ввозить нельзя. Ничего, что 3750серия давно снята и с поддержки. Ничего, что она занимает 2 юнита и жрет как не в себя. У меня последняя в работе осталась, но уже заказана замена. Вам, как представителю циско надо бы это знать, и про санкции тоже. Скопирую Ваш ответ " мы как представитель циско " чутьчуть :) Логи загрузки циско читали ? Что она там про криптографию пишет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 5 декабря, 2018 · Жалоба @YuryD 3750x в два юнита? жрёт много, но в целом какие альтернативы менее жрущие? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...