Jump to content
Калькуляторы

Шифрование оптического линка

Добрый день!

Гспода есть один вопросик, может не в тему, но пока не можем найти решение.

 

Задача следующая:

есть 2 здания - между ними лежит отптика.

Оптика используется для взаимодействия между 2-мя сетями зданий. В данный момент оптика тупо включена в Cisco Catalyst 3750 в SPF модули. Линк уровня L2.

В итоге проблемма - линк не безопасен, т.е. формально можно в разрыве поставить комутатор оптический и проникнуть в сеть.

 

Что хочется - на концах линка поставить 2 железки которые между собой будут шифровать трафик.

Скорость линка до 10 Гб.

Желательно, чтоб линк остался L2.

 

Поставть маршрутизатор Cisco и поднять IPSEC не проблемма - но это будет стоить на таких скоростях очень дорого да и выглядит не рационально - ради одного туннеля.

Может есть какие нибудь узкоспециализированные желлезки???

 

Share this post


Link to post
Share on other sites

а может быть просто алярм по пропаданию линка и чоп? нахрена оно вам. что у вас такого гоняется точ ради этого партизаны будут оптику резать. проще уж вайфай донгл воткнуть в персоналку или флешку и угнать все что надо.

Share this post


Link to post
Share on other sites

это банк

т.ч. есть что гонять :)

Вай фай у нас воткнуть достаточно трудно .... как и флешку

 

А алярм как вариант - но хочется красиво....хотя и ребята с автоматами есть

Edited by ch1234

Share this post


Link to post
Share on other sites

Непонятно как вы это себе предстовляеете воткнуть просто так комутатор в разрыв, можно помоему перенастроить счетчик error disable и по пропаданию хотябы раз связи линк не поднимится пока не сбросите счетчик, и никто не сможет воткнуть коммутатор в разрыв потому как больше ничего не поднимится.

Share this post


Link to post
Share on other sites

Всё сильно зависит от скоростей. Шифровать на ходу 1 Gbit/s - это вам не мешки ворочить.

Решения для шифрования L2 траффика есть - как в режиме точка-точка, так и точка-многоточек.

Вот пример.

Есть пример использования в ЕС, но не в России. Будут ли проблемы с импортом - не знаю, но скорей всего будут.

Всё это отнюдь не дешево, потому как wire-speed.

 

Share this post


Link to post
Share on other sites

спасибо за пример... изучаем

 

По error disable конечно то же можно.

Но если честно есть еще задача - подобная - есть линк такой же но 15 км предоставляется провайдером несколько прямых волокон. В этом случает ероор дисайбл может не подойти тк. могут быть падения.

Share this post


Link to post
Share on other sites

Уберите Ethernet из оптики и запустите SDH :)

Share this post


Link to post
Share on other sites
SFP с аппаратным шифрованием по обе стороны ?

А такие есть?

 

с Вашей подачи нашел еще интересную вещь

http://www.datasec.ru/prod/safee.html

но цена не рабоует конечно

http://price.ru/bin/price/prodlist?curr=2&...10&where=00

Share this post


Link to post
Share on other sites

а поставить в регламент съем рефлектограммы?

Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать.

Share this post


Link to post
Share on other sites
а поставить в регламент съем рефлектограммы?

Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать.

Отключать нет возможности.

Да и осо не умеем жто делать...

Share this post


Link to post
Share on other sites
Разделить на 2 подсети а между ними шифрованный канал?

Можно и разделить - т.е. линк будет L3 тогда.

Есть что нибудь такое для шифрования?

 

Мы можем поставить Cisco ASR или что то подобное но имхо это многовать для одного линка - если честно хочется коробку какую нибудть недорогую....тысяч в 100 двести с каждой стороны и чтоб она работали толкьо на этом линке

Share this post


Link to post
Share on other sites

А я круче вариант знаю :)

соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать.

 

p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется.

Share this post


Link to post
Share on other sites

Skylaer, кстати мысль не плоха.......

Я в курсе. С топикстартера пиво :)

Share this post


Link to post
Share on other sites

Я бы в такой банк деньги не положил-бы ... Да и хотелка сэкономить на шифраторах, при этом имея возможность построить сеть на Сиське и 10Г... смотрится подозрительно...

Вообще у банка должно быть две сети внешняя и внутренняя.. отделяется друг от друга шифратором... все что бегает между филиалами банка все шифруется(на практике Л3 уровень)... скорость выжать - да это проблема но кластер из шифровальщиков позволит избавится от этого недостатка... из того что использовал- ФПСУ от амикона, понравились...

Share this post


Link to post
Share on other sites

И накой нужен этот амикон? Писюк писюком...

Share this post


Link to post
Share on other sites

Та да, переплачивать деньги за обычный ПК как-то странно. Если не юзать решения от хардварных вендоров то смысл покупать это? не рыба не мясо, надежность как у ПК, а за такой ценник лучше просто сервак поставить для шифрования + еще останется на парочку запасных.

 

etherchannel + CWDM зачет )) хотя банк наверно не то место где можно внедрять такие системы, иллюзия защиты еще хуже чем ее отсутствие.

 

 

Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков.

Share this post


Link to post
Share on other sites

отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина....

Share this post


Link to post
Share on other sites
Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков.

2 здания в каждом по 500 человек - здания в 500 метрах друг от друго.

Серверная в первом здании.

Хочется надежный канал иметь.

+ гоняют файлы иногда по 50-100 Гб...

10 Гб это конечно на рост, а гигабит самое то.

Постоить на цисках - не проблемма - сейчас рассматриваются технические вопросы.

Согласистесь ставить железку которая умеет 1000 вещей для 1 дела - ну неразумно - надо тупо зашифровать 1 канал, а ставить железку которая умеет шифровать 5000 тунелей (и ббольшая часть ее стоимости из за этого) - зачем...

К стати по своему опыту - банки очень умеют считать деньги

 

А я круче вариант знаю :)

соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать.

 

p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется.

Очень интересная идея - подумаем посмотрм

СПАСИБО!!!

 

отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина....

А линки шифруются? А если короткие но лежат во враждебной территории???

Edited by ch1234

Share this post


Link to post
Share on other sites

Уберите Ethernet из оптики и запустите SDH :)

И как это может помочь?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this