Jump to content

Шифрование оптического линка

ch1234
 Share

Recommended Posts

ch1234

ch1234

Posted
Posted

Добрый день!

Гспода есть один вопросик, может не в тему, но пока не можем найти решение.

 

Задача следующая:

есть 2 здания - между ними лежит отптика.

Оптика используется для взаимодействия между 2-мя сетями зданий. В данный момент оптика тупо включена в Cisco Catalyst 3750 в SPF модули. Линк уровня L2.

В итоге проблемма - линк не безопасен, т.е. формально можно в разрыве поставить комутатор оптический и проникнуть в сеть.

 

Что хочется - на концах линка поставить 2 железки которые между собой будут шифровать трафик.

Скорость линка до 10 Гб.

Желательно, чтоб линк остался L2.

 

Поставть маршрутизатор Cisco и поднять IPSEC не проблемма - но это будет стоить на таких скоростях очень дорого да и выглядит не рационально - ради одного туннеля.

Может есть какие нибудь узкоспециализированные желлезки???

 

dIMbI4

dIMbI4

Posted
Posted

а может быть просто алярм по пропаданию линка и чоп? нахрена оно вам. что у вас такого гоняется точ ради этого партизаны будут оптику резать. проще уж вайфай донгл воткнуть в персоналку или флешку и угнать все что надо.

ch1234

ch1234

Posted
  • Author
Posted (edited)

это банк

т.ч. есть что гонять :)

Вай фай у нас воткнуть достаточно трудно .... как и флешку

 

А алярм как вариант - но хочется красиво....хотя и ребята с автоматами есть

Edited by ch1234
yegorgk

yegorgk

Posted
Posted

Непонятно как вы это себе предстовляеете воткнуть просто так комутатор в разрыв, можно помоему перенастроить счетчик error disable и по пропаданию хотябы раз связи линк не поднимится пока не сбросите счетчик, и никто не сможет воткнуть коммутатор в разрыв потому как больше ничего не поднимится.

JoeDoe

JoeDoe

Posted
Posted

Всё сильно зависит от скоростей. Шифровать на ходу 1 Gbit/s - это вам не мешки ворочить.

Решения для шифрования L2 траффика есть - как в режиме точка-точка, так и точка-многоточек.

Вот пример.

Есть пример использования в ЕС, но не в России. Будут ли проблемы с импортом - не знаю, но скорей всего будут.

Всё это отнюдь не дешево, потому как wire-speed.

 

ch1234

ch1234

Posted
  • Author
Posted

спасибо за пример... изучаем

 

По error disable конечно то же можно.

Но если честно есть еще задача - подобная - есть линк такой же но 15 км предоставляется провайдером несколько прямых волокон. В этом случает ероор дисайбл может не подойти тк. могут быть падения.

boykov

boykov

Posted
Posted

а поставить в регламент съем рефлектограммы?

Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать.

ch1234

ch1234

Posted
  • Author
Posted
а поставить в регламент съем рефлектограммы?

Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать.

Отключать нет возможности.

Да и осо не умеем жто делать...

ch1234

ch1234

Posted
  • Author
Posted
Разделить на 2 подсети а между ними шифрованный канал?

Можно и разделить - т.е. линк будет L3 тогда.

Есть что нибудь такое для шифрования?

 

Мы можем поставить Cisco ASR или что то подобное но имхо это многовать для одного линка - если честно хочется коробку какую нибудть недорогую....тысяч в 100 двести с каждой стороны и чтоб она работали толкьо на этом линке

Skylaer

Skylaer

Posted
Posted

А я круче вариант знаю :)

соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать.

 

p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется.

zoro

zoro

Posted
Posted

Я бы в такой банк деньги не положил-бы ... Да и хотелка сэкономить на шифраторах, при этом имея возможность построить сеть на Сиське и 10Г... смотрится подозрительно...

Вообще у банка должно быть две сети внешняя и внутренняя.. отделяется друг от друга шифратором... все что бегает между филиалами банка все шифруется(на практике Л3 уровень)... скорость выжать - да это проблема но кластер из шифровальщиков позволит избавится от этого недостатка... из того что использовал- ФПСУ от амикона, понравились...

CNick

CNick

Posted
Posted

Та да, переплачивать деньги за обычный ПК как-то странно. Если не юзать решения от хардварных вендоров то смысл покупать это? не рыба не мясо, надежность как у ПК, а за такой ценник лучше просто сервак поставить для шифрования + еще останется на парочку запасных.

 

etherchannel + CWDM зачет )) хотя банк наверно не то место где можно внедрять такие системы, иллюзия защиты еще хуже чем ее отсутствие.

 

 

Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков.

zoro

zoro

Posted
Posted

отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина....

ch1234

ch1234

Posted
  • Author
Posted (edited)
Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков.

2 здания в каждом по 500 человек - здания в 500 метрах друг от друго.

Серверная в первом здании.

Хочется надежный канал иметь.

+ гоняют файлы иногда по 50-100 Гб...

10 Гб это конечно на рост, а гигабит самое то.

Постоить на цисках - не проблемма - сейчас рассматриваются технические вопросы.

Согласистесь ставить железку которая умеет 1000 вещей для 1 дела - ну неразумно - надо тупо зашифровать 1 канал, а ставить железку которая умеет шифровать 5000 тунелей (и ббольшая часть ее стоимости из за этого) - зачем...

К стати по своему опыту - банки очень умеют считать деньги

 

А я круче вариант знаю :)

соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать.

 

p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется.

Очень интересная идея - подумаем посмотрм

СПАСИБО!!!

 

отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина....

А линки шифруются? А если короткие но лежат во враждебной территории???

Edited by ch1234

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.