On Thu, 24 Aug 2017 21:59:41 +0200 Raphael Maunier <raph...@maunier.net> wrote:
> Heu ... > > Pas vraiment, la plupart des sw récent supportent mac-sec en HW. Tout à fait. > Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau > d'encryption. Et c'est bien là que le pb peut se poser. Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira t-il des suites offertes par les switches ? Côté perfs, et sauf erreur/incompréhension de ma part, le chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et le trafic va passer en clair au niveau de chaque carte/chassis de commutation. Est ce une spec forte que d'avoir du bout en bout, sur deux sites transitant par un noeud central par ex ? Enfin, le papier suivant traitait pour partie de ces aspects perfs et sécurité via MACSEC. Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il semble bien que MACSEC induise tout de même une méchante latence (encore une fois, à vérifier par l'expérience avec plusieurs suites différentes, de préférence fortes. Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est bienvenu, Raphaël. http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf My two ... --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/