форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Подбор оборудования для шифрования"	+/–
Сообщение от Drend on 16-Апр-13, 15:49
Добрый день. Есть канал по оптике - 1Гб/с. При надобности поставить медиаконвертеры - не вопрос. Короче говоря, нужно его зашифровать. Я так подозреваю, что у циски для таких скоростей железо встанет очень дорого, наверняка ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить производительность... или я ошибаюсь? А на какое еще оборудование стоит взглянуть? Может быть что-то подешевле есть...
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Подбор оборудования для шифрования"	+/–
Сообщение от pavlinux (ok) on 16-Апр-13, 16:05
> Добрый день. Есть канал по оптике - 1Гб/с. При надобности поставить медиаконвертеры > - не вопрос. Короче говоря, нужно его зашифровать. Я так подозреваю, > что у циски для таких скоростей железо встанет очень дорого, наверняка > ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить > производительность... или я ошибаюсь? > А на какое еще оборудование стоит взглянуть? Хороший шифратор трафика работает на скоростях 5-6 Mbit/s Очень хороший шифратор трафика работает на скоростях до 15 Mbit/s Для иллюзии шифрования есть вот такие приборы http://www.tiger-optics.ru/products/senetas/Senetas-Fibre-Ch.../ Ну и на 89 госте чёй-то делают > Может быть что-то подешевле есть... Core iХ c AES-NI + OpenVPN
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Подбор оборудования для шифрования"	+/–
	Сообщение от fantom (ok) on 16-Апр-13, 16:27
	>[оверквотинг удален] >> ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить >> производительность... или я ошибаюсь? >> А на какое еще оборудование стоит взглянуть? > Хороший шифратор трафика работает на скоростях 5-6 Mbit/s > Очень хороший шифратор трафика работает на скоростях до 15 Mbit/s > Для иллюзии шифрования есть вот такие приборы > http://www.tiger-optics.ru/products/senetas/Senetas-Fibre-Ch.../ > Ну и на 89 госте чёй-то делают >> Может быть что-то подешевле есть... > Core iХ c AES-NI + OpenVPN Та шо вы говорите?? Все ОЧЕНЬ сильно зависит от типа шифрования и алгоритма. Например у кошек есть модули для хардварного шифрования и обеспечивают они довольно приличные скорости. Автор - вы каким алгоритмом шифровать хотите??
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Подбор оборудования для шифрования"	+/–
	Сообщение от pavlinux (ok) on 16-Апр-13, 17:00
	>[оверквотинг удален] >> Очень хороший шифратор трафика работает на скоростях до 15 Mbit/s >> Для иллюзии шифрования есть вот такие приборы >> http://www.tiger-optics.ru/products/senetas/Senetas-Fibre-Ch.../ >> Ну и на 89 госте чёй-то делают >>> Может быть что-то подешевле есть... >> Core iХ c AES-NI + OpenVPN > Та шо вы говорите?? > Все ОЧЕНЬ сильно зависит от типа шифрования и алгоритма. > Например у кошек есть модули для хардварного шифрования и обеспечивают они довольно > приличные скорости. Специально написал - Для иллюзии шифрования есть! Типа DES/3DES/AES со специальным, урезанным до 256 бит, ключиком.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Подбор оборудования для шифрования"	+/–
	Сообщение от anonymous (??) on 17-Апр-13, 11:22
	openvpn уж сильно тормозной лучше что-нибудь из kernel-space - netgraph, ipsec
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "Подбор оборудования для шифрования"	+/–
	Сообщение от pavlinux (ok) on 17-Апр-13, 12:47
	> openvpn уж сильно тормозной А ты задай размер ключа как у цисок - 256 байт, - летать будет. Тока безопасность просядет до уровня этих перделок.   > лучше что-нибудь из kernel-space - netgraph, ipsec
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Подбор оборудования для шифрования"	+/–
	Сообщение от anonymous (??) on 17-Апр-13, 14:47
	Я не с цисками сравнивал, а с ядерным айписеком во фре и линухе.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Подбор оборудования для шифрования"	+/–
	Сообщение от pavlinux (ok) on 18-Апр-13, 04:04
	> Я не с цисками сравнивал, а с ядерным айписеком во фре и линухе. То есть никогда не пользовался, ну понятно...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Подбор оборудования для шифрования"	+/–
	Сообщение от anonymous (??) on 18-Апр-13, 08:34
	> То есть никогда не пользовался, ну понятно... Уметь делать далеко идущие выводы похвально, но в данном случае они слишком поспешные. Переезжали в другой дц, и решение на опенвпн было радостно опробовано первым, плохо оно живёт на постоянной куче мелких пакетов.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "Подбор оборудования для шифрования"	+/–
	Сообщение от pavlinux (ok) on 19-Апр-13, 01:06
	>> То есть никогда не пользовался, ну понятно... > Уметь делать далеко идущие выводы похвально, но в данном случае они слишком > поспешные. > Переезжали в другой дц, и решение на опенвпн было радостно опробовано первым, > плохо оно живёт на постоянной куче мелких пакетов. Есть у нас сервачок, держит одновременно около 500 VPN каналов, в каждом примерно по 20-30 юзеров. Пытались сделать на ipsec ну очень проседает скорость. В том числе и на цисках,... короча циски - говно! :) OpenVPN c правильно подобранными алгоритмами и размером ключа - уделывает всех. QoS ещё нужно нарулить, как внутри VPN, так и для сервера, иначе юзера друг-друга задушат, а вместе - весь трафик.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

4. "Подбор оборудования для шифрования"	+/–
Сообщение от dima (??) on 17-Апр-13, 00:26
> Добрый день. Есть канал по оптике - 1Гб/с. При надобности поставить медиаконвертеры > - не вопрос. Короче говоря, нужно его зашифровать. Я так подозреваю, > что у циски для таких скоростей железо встанет очень дорого, наверняка > ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить > производительность... или я ошибаюсь? > А на какое еще оборудование стоит взглянуть? Может быть что-то подешевле есть... ставил freebsd на компах, междуними канал 100мбит по ipsec топовом шифрованием продувался макс на 60Мбит,  фундаментально достижимо вроде 70Мбит дешевое решение - 2 компа (или 4 для кластеризации) на freebsd + ipsec задача на уровне постановки не верна. что ж это за данные такие в объемах 1Гбит/секунда  что их надо шифровать. оптика считается на порядок безопасней эзернета и сама по себе уже определенный уровень защиты информации.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Подбор оборудования для шифрования"	+/–
Сообщение от anonymous (??) on 17-Апр-13, 10:37
Для 3560Х или 3750Х есть вариант аплинкового порта с шифрованием - C3KX-SM-10G The Cisco Catalyst 3750-X and 3560-X Series Switches offer exceptional security with integrated hardware support for MACsec defined in IEEE 802.1AE. MACsec provides MAC layer encryption over wired networks using out-of-band methods for encryption keying. The MACsec Key Agreement (MKA) protocol provides the required session keys and manages the keys required for encryption when configured. MKA and MACsec are implemented following successful authentication using 802.1x Extensible Authentication Protocol (EAP) framework. In Cisco Catalyst 3750-X and 3560-X Series Switches both the user/down-link ports (links between the switch and endpoint devices such as a PC or IP phone) and, using the service module, the network/up-link ports can be secured using MACsec. With the service module you can encrypt switch to switch links such as access to distribution, or encrypt dark fiber links within a building or between buildings. Как вариант у джунипера есть srx550, где производительность шифрования впритык AES256+SHA-1 / 3DES+SHA-1 VPN performance 1.0 Gbps Или с запасом srx650, на полтора гигабита
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Подбор оборудования для шифрования"	+/–
Сообщение от eek (ok) on 17-Апр-13, 15:22
> Добрый день. Есть канал по оптике - 1Гб/с. Это смотря что для вас значит зашифровать. Для 99.9% населения если внутри оптики не ethernet это уже супер стойкое шифрование. Цели какие для шифрования? Шифрование нужно по ГОСТу или любое? На сколько стойкое? Теперь по делу. Ниже коллега анонимус вам уже порекомендовал почитать про MACsec, теперь оно называется TRUSTsec если я ничего не путаю. По сути это самый лучший вариант ибо оно реализовано в железе. Если хочется ASA (читай софтовая коробка) то смотреть стоит как минимум на 5585-X при ваших хотелках. Ну и естественно в таком разе один тазик никто не ставит, ставить надо пару. По ценнику не совсем понятно, что значит дорого? В таких случаях нужно сразу писать сколько денег есть на затею вы же не в интегратор пришли. Мимо темы. А вы уверены что будет реально гиг? Оптику можно включить и на гиг, а вот сколько ней будет траффика можно регулировать полисером\шейпером. Разница между ASA на 300 мегабит (IPSEC) и ASA на гиг чуть не в 7-10 раз по цене.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Подбор оборудования для шифрования"	+/–
Сообщение от foxnet (ok) on 18-Апр-13, 17:33
> Добрый день. Есть канал по оптике - 1Гб/с. При надобности поставить медиаконвертеры > - не вопрос. Короче говоря, нужно его зашифровать. Я так подозреваю, > что у циски для таких скоростей железо встанет очень дорого, наверняка > ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить > производительность... или я ошибаюсь? > А на какое еще оборудование стоит взглянуть? Может быть что-то подешевле есть... http://enterprise.huawei.com/en/products/security/network-se... Есть вот такой девайс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема