Перейти к содержимому
Калькуляторы

Cisco MacSec - что для этого необходимо

1 час назад, YuryD сказал:

 Ничего, что с крутой крипто киски ввозить нельзя. Ничего, что 3750серия давно снята и с поддержки. Ничего, что она занимает 2 юнита и жрет как не в себя. У меня последняя в работе осталась, но уже заказана замена. Вам, как представителю циско надо бы это знать, и про санкции тоже.

 Скопирую Ваш ответ " мы как представитель циско " чутьчуть :) Логи загрузки циско читали ? Что она там про криптографию пишет ?

show version, пожалуйста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, YuryD сказал:

 Ничего, что с крутой крипто киски ввозить нельзя. Ничего, что 3750серия давно снята и с поддержки. Ничего, что она занимает 2 юнита и жрет как не в себя. У меня последняя в работе осталась, но уже заказана замена. Вам, как представителю циско надо бы это знать, и про санкции тоже.

 Скопирую Ваш ответ " мы как представитель циско " чутьчуть :) Логи загрузки циско читали ? Что она там про криптографию пишет ?

Занимает она один юнит, в продаже со складов она ещё есть, про замену знаем, но менять или нет решает клиент, там крипто aes 256 и ничего что мы пишем письма во фстэк и фсб и они нам отвечают и дают разрешение на эксплуатацию? И кстати, ещё раз напомню, заказали, молодцы, как провайдеру Вам проще, а клиенту в финансовой сфере поставить серию 9300 пока нет возможности - разрешения как раз на неё нет, появится в перечне примерно к лету 2019

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, fractal сказал:

там крипто aes 256

Cisco TrustSec uses AES-128 GCM and GMAC and is compliant with the 802.1AE standard.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 минуту назад, vvertexx сказал:

Cisco TrustSec uses AES-128 GCM and GMAC and is compliant with the 802.1AE standard.

3750x да, верно 128, The Cisco 3850 and 3650 switches running IOS XE 16.x support GCM-AES-256 cipher suite.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, vvertexx сказал:

@YuryD 

3750x в два юнита? жрёт много, но в целом какие альтернативы менее жрущие?

 Ну полтора.  WS-C2970G-24TS-E жрет при том-же функционале в 2.5 раза меньше. 75Вт против 175Вт. Меряли лично мы, и энергетик этого БЦ, когда меняли. По факту безперебойник стал жить в 3 раза дольше. Все порты и sfp заняты, обычный коммутатор с кучей vlan, только с pvst+, причем образ lanbase.

 

Switch Ports Model              SW Version            SW Image
------ ----- -----              ----------            ----------
*    1 28    WS-C2970G-24TS-E   12.2(44)SE5           C2970-LANBASEK9-M

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, fractal сказал:

Занимает она один юнит, в продаже со складов она ещё есть, про замену знаем,

 Ну у меня были полутораюнитовые. киско говорит что такое было :) Говорят что и одноюнитовые бывают - не попадались...

https://shop.nag.ru/uploads/docs/Doc/catalyst3x00.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 часов назад, vurd сказал:

show version, пожалуйста

 Вас этот кусок sho ver удовлетворит ?

 

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

 

 Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, YuryD сказал:

 Вас этот кусок sho ver удовлетворит ?

 

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

 

 Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ?

это предупреждение о том, что надо соблюдать законы на территории страны где будет установлено оборудование, в банковской сфере разрешены устройства определяемые как мсэ 4го класса с лицензией на ipsec, https://www.s-terra.ru/products/kak-pravilno-vybrat-vpn/ специально для оборудования циско производят сервисные модули которые выполняют шифрование по госту - оно используется для связи с ЦБ. Вероятно для госучреждений и используется только специализированное оборудование, так как там другие классы доступов, но также и предполагаю что могут быть к примеру checkpoint или та же asa + s-terra, Вообщем у Вас не полная инфа

 

35 минут назад, YuryD сказал:

 Ну у меня были полутораюнитовые. киско говорит что такое было :) Говорят что и одноюнитовые бывают - не попадались...

https://shop.nag.ru/uploads/docs/Doc/catalyst3x00.pdf

мы о разных линейках говорим, я про 3750x, а Вы про 3750

 

вот такой запросили - Cisco Catalyst 3750X-48P-L Switch

 

25 минут назад, YuryD сказал:

 Вас этот кусок sho ver удовлетворит ?

 

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

 

 Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ?

кстати нам на склад приходят уже с hsec лицензией

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 минут назад, fractal сказал:

это предупреждение о том, что надо соблюдать законы на терри

 

кстати нам на склад приходят уже с hsec лицензией

 На сайте циско есть pdf на русском https://www.cisco.com/c/dam/global/ru_ru/assets/downloads/crypto_faq.pdf, о криптографии и ввозе, но он древний, с древними инструкциями куда и кому в РФ надо пойти, при ввозе, продаже и использовании. Как киска пишет , если у вас есть K8-9 в букве продукта - идите сдаваться сами.

 

17 минут назад, fractal сказал:

вообщем бессмысленно, тема уже не туда ушла

 Вообще-то впаривать клиентам древнее запрещённое решение, работающее конечно - против моих скреп :) Чтобы сбыть древнее 3750 - на что только манагеры не пойдут....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, YuryD сказал:

 Вас этот кусок sho ver удовлетворит ?

 

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

 

 Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ?

Нет, не устроит.

Вы сказали, что она снята с поддержки. Я захожу на сайт и вижу - https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560-x-series-switches/eos-eol-notice-c51-736139.html

 

Вы человеку не поможете ничем, у вас устаревшее древнее оборудование и никаких перспектив роста. Вы лучше чем срать на форуме во всех темах пошли бы и город построили соседний, глядишь и стали бы отличать -X серию от остальных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

24 минуты назад, vurd сказал:

Вы лучше чем срать на форуме во всех темах пошли бы и город построили соседний, глядишь и стали бы отличать -X серию от остальных.

 А мы так и делаем, только не на древнем гуано. И не надо путать 3750 с 3560. 29xx серия вполне неплоха.

 Для начала, я писал про 3570 снятое, вы впариваете про новое 35хх.

 

 У меня, как предпенсионного , конечно плохое зрение, и память плохая, но копипаст версий и с сайта киски - мышка пока работает. Бойтесь приходящих от сааба :) Мне - если доживу до пенсии - уже это будет по барабану, весь мир будет в мокротиках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@YuryD 

ещё раз. мы пишем про 3750x, иобозначает не любую букву, а конкретную модель, например, 3750x-24t-s

При чем тут полутароюнитовые доисторические циски - понять никто не может

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, YuryD сказал:

А мы так и делаем, только не на древнем гуано. И не надо путать 3750 с 3560. 29xx серия вполне неплоха.

 Для начала, я писал про 3570 снятое, вы впариваете про новое 35хх.

 

Коллега, Вы что то вбили себе в голову не то,

Вы сравниваете теплое с мягким, 1.5 3750G был снят с поддержки в 2014г.

3750Х серия вполне еще себе поддерживаемая до 2021 года, под нее даже софт еще будут год поддерживать и обновлять.

https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560-x-series-switches/eos-eol-notice-c51-736139.html

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 05.12.2018 в 12:10, fractal сказал:

вообщем macsec работает со скоростью порта между оборудованием соединенным напрямую (темная оптика, витая пара) или посредством технологий eompls, vpls, evpn, шифруется на уровне phy (чип порта или asic коммутационной фабрики), 3750x, 3650x могут шифровать на всех портах со скоростью 1G, либо купить плату SM SFP 10G и шифровать со скоростью 10G

 

если надо отработать macsec через влан (промежуточные устройства между устройствами, то это технология macsec-wan

 

насколько я понял, даже в случае macsec-wan шифрануть можно только р2р, если в транзите "чужие" L2 свитчи, ничего не получиться

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, fork сказал:

 

насколько я понял, даже в случае macsec-wan шифрануть можно только р2р, если в транзите "чужие" L2 свитчи, ничего не получиться

 

В macsec-wan есть доп. Команда, очистить тэг 802.1q, в итоге в формате кадра поле 802.1.q смещается вперёд заголовка macsec и нормально работает с транзитным оборудованием, Cisco обещает это и на свитчах новых сделать 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, fractal сказал:

В macsec-wan есть доп. Команда, очистить тэг 802.1q, в итоге в формате кадра поле 802.1.q смещается вперёд заголовка macsec и нормально работает с транзитным оборудованием, Cisco обещает это и на свитчах новых сделать 

Подтверждаю. У нас есть клиент, которому продаём L2 VPN и клиент гоняет по нему macsec. Только важно чтобы транзитные коммутатора не резали EAPoL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подтверждаю. У нас есть клиент, которому продаём L2 VPN и клиент гоняет по нему macsec. Только важно чтобы транзитные коммутатора не резали EAPoL.  

 

 

 

 

 

На 9300 кто-нибудь пробовал? 🙂

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Pon97 сказал:

Подтверждаю. У нас есть клиент, которому продаём L2 VPN и клиент гоняет по нему macsec. Только важно чтобы транзитные коммутатора не резали EAPoL.  

 

 

 

 

 

На 9300 кто-нибудь пробовал? 🙂

Юзаем, на 9300L / 9200L

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно если не сложно настройки портов?

 

У нас ситуация такая юзаем 9300 везде аренда тёмной оптики, всё ок максек работает. Теперь появился узел где провайдер мегафон дает только l2vpn, psudowire и мак сек нивкакую не поднимается 😞

 

Самое интересное, что я сделал эмуляцию взял две 9300 и между ними положил старую HP и мак сек так же не поднимается 🙂

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, Pon97 сказал:

Можно если не сложно настройки портов?

 

У нас ситуация такая юзаем 9300 везде аренда тёмной оптики, всё ок максек работает. Теперь появился узел где провайдер мегафон дает только l2vpn, psudowire и мак сек нивкакую не поднимается 😞

 

Самое интересное, что я сделал эмуляцию взял две 9300 и между ними положил старую HP и мак сек так же не поднимается 🙂

 

Eapol провайдер не должен резать и передавать чистый Ethernet, настройки не отличаются

 

У нас есть места где eompls нам дают, а есть где vpls, везде просили не трогать заголовки и гонять чисто

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Pon97 сказал:

Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем. 

Пусть снимет дамп в конечной точке и покажет Вам

 

В 12.04.2023 в 18:24, Pon97 сказал:

Можно если не сложно настройки портов?

 

У нас ситуация такая юзаем 9300 везде аренда тёмной оптики, всё ок максек работает. Теперь появился узел где провайдер мегафон дает только l2vpn, psudowire и мак сек нивкакую не поднимается 😞

 

Самое интересное, что я сделал эмуляцию взял две 9300 и между ними положил старую HP и мак сек так же не поднимается 🙂

 

 

sw1-hub

key chain Te_1_1_4 macsec
   key 01
     cryptographic-algorithm aes-128-cmac
     key-string 872937486219351094759823798739487123027598239487238947
	 
mka policy MKA-POLICY
   macsec-cipher-suite gcm-aes-128
   key-server priority 10
   sak-rekey interval 43200
   
interface Te1/1/4
   switchport mode trunk
   macsec network-link
   mka policy MKA-POLICY
   mka pre-shared-key key-chain Te_1_1_4
   
sw1-branch

key chain Te_1_1_4 macsec
   key 01
     cryptographic-algorithm aes-128-cmac
     key-string 872937486219351094759823798739487123027598239487238947
	 
mka policy MKA-POLICY
   macsec-cipher-suite gcm-aes-128
   key-server priority 50

interface Te1/1/4
   switchport mode trunk
   macsec network-link
   mka policy MKA-POLICY
   mka pre-shared-key key-chain Te_1_1_4

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

thx, всё как у нас 🙂 еще я SAP пробовал, такая же петрушка. Буду снимать дампы и кидать провайдеру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, Pon97 сказал:

Буду снимать дампы и кидать провайдеру.

полезная статья https://www.cisco.com/c/en/us/support/docs/switches/catalyst-9300-series-switches/216849-troubleshoot-macsec-on-catalyst-9000.html#toc-hId-34570494

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.