Перейти к содержимому
Калькуляторы

Шифрование оптического линка

Добрый день!

Гспода есть один вопросик, может не в тему, но пока не можем найти решение.

 

Задача следующая:

есть 2 здания - между ними лежит отптика.

Оптика используется для взаимодействия между 2-мя сетями зданий. В данный момент оптика тупо включена в Cisco Catalyst 3750 в SPF модули. Линк уровня L2.

В итоге проблемма - линк не безопасен, т.е. формально можно в разрыве поставить комутатор оптический и проникнуть в сеть.

 

Что хочется - на концах линка поставить 2 железки которые между собой будут шифровать трафик.

Скорость линка до 10 Гб.

Желательно, чтоб линк остался L2.

 

Поставть маршрутизатор Cisco и поднять IPSEC не проблемма - но это будет стоить на таких скоростях очень дорого да и выглядит не рационально - ради одного туннеля.

Может есть какие нибудь узкоспециализированные желлезки???

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а может быть просто алярм по пропаданию линка и чоп? нахрена оно вам. что у вас такого гоняется точ ради этого партизаны будут оптику резать. проще уж вайфай донгл воткнуть в персоналку или флешку и угнать все что надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это банк

т.ч. есть что гонять :)

Вай фай у нас воткнуть достаточно трудно .... как и флешку

 

А алярм как вариант - но хочется красиво....хотя и ребята с автоматами есть

Изменено пользователем ch1234

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Непонятно как вы это себе предстовляеете воткнуть просто так комутатор в разрыв, можно помоему перенастроить счетчик error disable и по пропаданию хотябы раз связи линк не поднимится пока не сбросите счетчик, и никто не сможет воткнуть коммутатор в разрыв потому как больше ничего не поднимится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё сильно зависит от скоростей. Шифровать на ходу 1 Gbit/s - это вам не мешки ворочить.

Решения для шифрования L2 траффика есть - как в режиме точка-точка, так и точка-многоточек.

Вот пример.

Есть пример использования в ЕС, но не в России. Будут ли проблемы с импортом - не знаю, но скорей всего будут.

Всё это отнюдь не дешево, потому как wire-speed.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

спасибо за пример... изучаем

 

По error disable конечно то же можно.

Но если честно есть еще задача - подобная - есть линк такой же но 15 км предоставляется провайдером несколько прямых волокон. В этом случает ероор дисайбл может не подойти тк. могут быть падения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уберите Ethernet из оптики и запустите SDH :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SFP с аппаратным шифрованием по обе стороны ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SFP с аппаратным шифрованием по обе стороны ?

А такие есть?

 

с Вашей подачи нашел еще интересную вещь

http://www.datasec.ru/prod/safee.html

но цена не рабоует конечно

http://price.ru/bin/price/prodlist?curr=2&...10&where=00

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а поставить в регламент съем рефлектограммы?

Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а поставить в регламент съем рефлектограммы?

Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать.

Отключать нет возможности.

Да и осо не умеем жто делать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разделить на 2 подсети а между ними шифрованный канал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разделить на 2 подсети а между ними шифрованный канал?

Можно и разделить - т.е. линк будет L3 тогда.

Есть что нибудь такое для шифрования?

 

Мы можем поставить Cisco ASR или что то подобное но имхо это многовать для одного линка - если честно хочется коробку какую нибудть недорогую....тысяч в 100 двести с каждой стороны и чтоб она работали толкьо на этом линке

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может несколько линков по 100Мбит зашифровать?

http://www.amicon.ru/fpsuip/case.htm

Устройство прозрачно на L2.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А я круче вариант знаю :)

соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать.

 

p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может несколько линков по 100Мбит зашифровать?

http://www.amicon.ru/fpsuip/case.htm

Устройство прозрачно на L2.

openvpn с tap интерфейсами сверхсложная задача.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Skylaer, кстати мысль не плоха.......

Я в курсе. С топикстартера пиво :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы в такой банк деньги не положил-бы ... Да и хотелка сэкономить на шифраторах, при этом имея возможность построить сеть на Сиське и 10Г... смотрится подозрительно...

Вообще у банка должно быть две сети внешняя и внутренняя.. отделяется друг от друга шифратором... все что бегает между филиалами банка все шифруется(на практике Л3 уровень)... скорость выжать - да это проблема но кластер из шифровальщиков позволит избавится от этого недостатка... из того что использовал- ФПСУ от амикона, понравились...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Та да, переплачивать деньги за обычный ПК как-то странно. Если не юзать решения от хардварных вендоров то смысл покупать это? не рыба не мясо, надежность как у ПК, а за такой ценник лучше просто сервак поставить для шифрования + еще останется на парочку запасных.

 

etherchannel + CWDM зачет )) хотя банк наверно не то место где можно внедрять такие системы, иллюзия защиты еще хуже чем ее отсутствие.

 

 

Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков.

2 здания в каждом по 500 человек - здания в 500 метрах друг от друго.

Серверная в первом здании.

Хочется надежный канал иметь.

+ гоняют файлы иногда по 50-100 Гб...

10 Гб это конечно на рост, а гигабит самое то.

Постоить на цисках - не проблемма - сейчас рассматриваются технические вопросы.

Согласистесь ставить железку которая умеет 1000 вещей для 1 дела - ну неразумно - надо тупо зашифровать 1 канал, а ставить железку которая умеет шифровать 5000 тунелей (и ббольшая часть ее стоимости из за этого) - зачем...

К стати по своему опыту - банки очень умеют считать деньги

 

А я круче вариант знаю :)

соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать.

 

p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется.

Очень интересная идея - подумаем посмотрм

СПАСИБО!!!

 

отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина....

А линки шифруются? А если короткие но лежат во враждебной территории???

Изменено пользователем ch1234

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уберите Ethernet из оптики и запустите SDH :)

И как это может помочь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.