Перейти к содержимому
Калькуляторы

Cisco MacSec - что для этого необходимо

Всем привет, есть вопрос, хотим брать l2 канал между офисами, есть 4 3750x, кластер по 2 в каждом офисе, необходимо ли сейчас покупать платы для них чтобы использовать macsec между ними на trunk портах? если к примеру собрать lacp на l2 из двух каналов и применить на etherchannel? доберусь до них только в понедельник чтобы потестировать, но интересно уже сейчас)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удалось попробовать? Заинтересовала возможность шифрануть L2, хотелось бы понимать как это на практике и какие накладные расходы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

шифрует отдельный чип, не CPU. Если пишут что надо плату  - значит надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, fork сказал:

Удалось попробовать? Заинтересовала возможность шифрануть L2, хотелось бы понимать как это на практике и какие накладные расходы.

вообщем macsec работает со скоростью порта между оборудованием соединенным напрямую (темная оптика, витая пара) или посредством технологий eompls, vpls, evpn, шифруется на уровне phy (чип порта или asic коммутационной фабрики), 3750x, 3650x могут шифровать на всех портах со скоростью 1G, либо купить плату SM SFP 10G и шифровать со скоростью 10G

 

если надо отработать macsec через влан (промежуточные устройства между устройствами, то это технология macsec-wan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 У нас такие замороченные покупают фстэк-сертифицированное, и не парятся. Федералы и прочие озабоченные пд(типа медицины) таки парятся, им всё по  фстэку  сдавать надо. Так что если только для себя - всё что взлетит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, YuryD сказал:

 У нас такие замороченные покупают фстэк-сертифицированное, и не парятся. Федералы и прочие озабоченные пд(типа медицины) таки парятся, им всё по  фстэку  сдавать надо. Так что если только для себя - всё что взлетит.

это решение когда нужны 1G каналы и в течение 3х недель, а вот такие замороченности заказаны, но в течение 3-х, 5ти месяцев придет, так что это прекрасное решение  asr-1002hx долго идут

 

да и раз циска заяявляет что это супер классное решение, то почему бы и не проверить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Если сумеете ввезти такую киску с таким шифрованием, если модуль конечно. Если просто стырить иос у пиратов с подобным функционалом.

Но я уже писал - для себя можно пробовать всё. Как только там хоть-как-то будет присутствовать персональные данные, там сразу преграды. У нас обычная стоматология с кучей филиалов по городу долго морочилась, пока не купила фстэковское по концам влана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, YuryD сказал:

 Если сумеете ввезти такую киску с таким шифрованием, если модуль конечно. Если просто стырить иос у пиратов с подобным функционалом.

3750x есть одна, и еще с 10к у поставщика, так что все прекрасно, также 3560x еще больше на складе, поэтому и был вопрос про эту технологию, если нормально поднимется в продакшн, то возьмем модули к asr с максек, также 3760x и 3750х могут и без модуля шифровать на гигабитных портах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Только зачем ? Если вы думаете, что провайдер сам лазит в чужие спд, или это сормит - накукуй ему это надо ? Особенно сормить.... Коммерсы у нас этим особо не парятся, поднимают esp меж своими железяками, у кого на какие денег хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, YuryD сказал:

 Только зачем ? Если вы думаете, что провайдер сам лазит в чужие спд, или это сормит - накукуй ему это надо ? Особенно сормить.... Коммерсы у нас этим особо не парятся, поднимают esp меж своими железяками, у кого на какие денег хватает.

уж поверьте) сормят) я у провайдера работаю) мы даем eompls, evpn, vpls, в нем максек работает, также я знаком со структурой банков, в некоторых безопасность требуется шифровать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, fractal сказал:

уж поверьте) сормят) я у провайдера работаю)

 А я где ? И банчки есть в клиентах, и прочие федералы. Многим ластмилю даём, ни разу не требовали сормить спд внутри нашей сети. У оставшихся федералов - голая l2 или темное волокно. Банки и прочее ставят фстэковское или своё. Коммерсы жуют кактус и плачут, но покупают таки фстэковское. Никто ни разу не потребовал от нас шифрованные ластмили. Так зачем её предлагать ? Мы ведь не создаём криптосеть масштаба города. Шифрование у клиентов у нас устраивает  техкомунадо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, YuryD сказал:

 А я где ? И банчки есть в клиентах, и прочие федералы. Многим ластмилю даём, ни разу не требовали сормить спд внутри нашей сети. У оставшихся федералов - голая l2 или темное волокно. Банки и прочее ставят фстэковское или своё. Коммерсы жуют кактус и плачут, но покупают таки фстэковское. Никто ни разу не потребовал от нас шифрованные ластмили. Так зачем её предлагать ? Мы ведь не создаём криптосеть масштаба города. Шифрование у клиентов у нас устраивает  техкомунадо.

ну повезло вам, а у нас менеджеры продали такое, вот внедряем, так как оборудование они заказывают через нас, им надо срочно, мы им предложили решение, если им зайдет внедрим macsec wan, да и что спорить то, у каждого свои вещи

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, fractal сказал:

ну повезло вам, а у нас менеджеры продали такое, вот внедряем, так как оборудование они заказывают через нас, им надо срочно, мы им предложили решение, если им зайдет внедрим macsec wan, да и что спорить то, у каждого свои вещи

  Пусть закон о крепкой криптографии в РФ читают, и готовьте кучку бумаг, чтобы свою попу прикрыть.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, YuryD сказал:

  Пусть закон о крепкой криптографии в РФ читают, и готовьте кучку бумаг, чтобы свою попу прикрыть.

 

мы внедряем канал и даем оборудование, уже с сертификацией фстэк, далее забота клиента, там все чисто и законно, не первый год работаем, ежегодно проверки проходят

 

просто они спросили, заработает ли это, я с этим не сталкивался, стало интересно, вот и написал тут

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это они обязаны шифровать. А провайдер ничего не обязан. Мы предоставляем услугу в рамках сданного узла связи, это главное. А шифрует тот, кому это надо.

Другое дело это маркетинг и впяливать это :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Ну не сдастся он, ибо Вы предложили и продали чего-то несертифицированное. С кого он спросит ?  Отмазки типа "насосы-колёсы"  могут и не прокатить . Бандюки бывают суровы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, YuryD сказал:

 Ну не сдастся он, ибо Вы предложили и продали чего-то несертифицированное. С кого он спросит ?  Отмазки типа "насосы-колёсы"  могут и не прокатить . Бандюки бывают суровы.

Во первых сертифицированное, смотрите спецификации от фстэк, и я не собираюсь спорить с Вами, оставайтесь при своем мнение

 

3 минуты назад, Butch3r сказал:

Это они обязаны шифровать. А провайдер ничего не обязан. Мы предоставляем услугу в рамках сданного узла связи, это главное. А шифрует тот, кому это надо.

Другое дело это маркетинг и впяливать это :)

боже, читайте внимательнее, менеджеры впарили технологию, мы проверили, документацию от фстэк и разрешение гоструктур получили, предоставили оборудование, все это тема была про то как работает технология, а не про то как надо работать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Где-ж такой рай в РФ ? Ввезти стойкую чужую криптографию, сертифицироваться, и продать....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, YuryD сказал:

 Где-ж такой рай в РФ ? Ввезти стойкую чужую криптографию, сертифицироваться, и продать....

не буду дискутировать, я пришел на форум спросить о технологии

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 минут назад, fractal сказал:

не буду дискутировать, я пришел на форум спросить о технологии

 Как Вы думете, о незаконной технологии в открытом форуме тут кто-то поделится ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

думаю да, тут дело не в законности, а в изучение, для меня она интересна, особенно после прочтения trustsec, в соседней ветке изучают радиооборудование, которое тоже требуется сертифицировать, сдавать в РКН и покупать частоты и ничего, общаются и делятся опытом, я предлагаю не мучать друг друга вопросами не затрагивающими тему macsec, скажу одно, регулятор,  в частности фстэк изучает macsec, выявляет уязвимости и выставляет требования вендору, для сегмента частной банковской сферы технология разрешена, все остальное решаемо модулями шифрующими по Гост, но это уже меня не интересует и ко мне не относится

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

36 минут назад, fractal сказал:

 но это уже меня не интересует и ко мне не относится

  Вот ко мне , как провайдеру - совершенно не относится. Изучать фстэк и их требования, только для того, чтобы выдать шифрованный канал клиенту - мне это надо ? Набуя мне изучать возможности крипто на моих железяках ? Им надо - пусть и изучают. Хотя таким клиентам сразу прайс дают не от нас. И зачем мне изучать возможности крипто моих магистральных и клиентских кисок. Мне платят не за криптотуннель, а за обычный l2. Если мне закажут криптотуннель клиенты - ну или пошлю их лесом, или буду искать фстэковское в каталоге. А не придумывать новые схемы, на древних железяках 3750....

 

 Поймите правильно, Вы получите огромный опыт. Но неприменимый в условиях РФ, и значит немного бесполезный в будущем. Гимнастика для ума, не более.. И второе - эффективно-дефективные манагеры легко свалят всю кривизну на Вас, как проектанта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, YuryD сказал:

  Вот ко мне , как провайдеру - совершенно не относится. Изучать фстэк и их требования, только для того, чтобы выдать шифрованный канал клиенту - мне это надо ? Набуя мне изучать возможности крипто на моих железяках ? Им надо - пусть и изучают. Хотя таким клиентам сразу прайс дают не от нас. И зачем мне изучать возможности крипто моих магистральных и клиентских кисок. Мне платят не за криптотуннель, а за обычный l2. Если мне закажут криптотуннель клиенты - ну или пошлю их лесом, или буду искать фстэковское в каталоге. А не придумывать новые схемы, на древних железяках 3750....

Ну и зачем Вы мне пишите тогда если даже не знаете что 3750x сертифицированно, и видимо Вы крутой провайдер раз клиентов шлете, если Вы не прочитали выше о том, что клиент написал в тз - у него есть 3750х и хочет использовать macsec, мы как представитель циско все проверили и на оборудование разрешенным фстэк, даже технология разрешена и предоставили клиенту оборудование и темное волокно и толтко, зачем Вы докопались до моей темы не понятно, если Вы не идете на встречу клиенту, то мы так не поступаем, у нас от этого премия зависит, пожалуйста проходите мимо если нечего по технологии добавить

 

И да, новые 9300 ещё не прошли сертификацию, также как 4461, а все остальное при ввозе требует проверку и разрешение, а это долго

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, fractal сказал:

Ну и зачем Вы мне пишите тогда если даже не знаете что 3750x сертифицированно, и видимо Вы крутой провайдер раз клиентов шлете, если Вы не прочитали выше о том, что клиент написал в тз - у него есть 3750х и хочет использовать macsec, мы как представитель циско все проверили и на оборудование разрешенным фстэк, даже

 Ничего, что с крутой крипто киски ввозить нельзя. Ничего, что 3750серия давно снята и с поддержки. Ничего, что она занимает 2 юнита и жрет как не в себя. У меня последняя в работе осталась, но уже заказана замена. Вам, как представителю циско надо бы это знать, и про санкции тоже.

 Скопирую Ваш ответ " мы как представитель циско " чутьчуть :) Логи загрузки циско читали ? Что она там про криптографию пишет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@YuryD 

3750x в два юнита? жрёт много, но в целом какие альтернативы менее жрущие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.