Effectivement, la solution de mettre un EX4600 par extrémité (et de ne pas les mutualiser) semble techniquement faisable, même si 2 ports consommés sur 24 c'est un peu du gaspillage.
Line rate 10G pas trop complexe et pas cher. Celui qui me sort un switch macsec 10G 8 ports avec un form factor de TAP, je suis preneur ;) Le 24 août 2017 à 21:59, Raphael Maunier <raph...@maunier.net> a écrit : > Heu ... > > Pas vraiment, la plupart des sw récent supportent mac-sec en HW. > Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau > d'encryption. > J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes > de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au > point de dégrader les performances drastiquement > > Par curiosite je vais tester Avec un injecteur de traffic afin de voir la > perte en latence et en debit sur des ports 10G > > https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html > > Envoyé de mon iPhone > > Le 24 août 2017 à 18:11, Erik LE VACON <e...@levacon.net> a écrit : > > Bonjour, > Je crains qu'à de tels débits, les problèmes émergent de par le budget > semble t-il contraint. > La latence de traitement CPU-only via un boitier comme indiqué, mais à cout > modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, > donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et > de comportements équivalents à ceux rencontrés couramment sur les "bigfat > WANs" en intercontinental et difficultés à "remplir le pipe"). > > Plus précisément, et à titre d'exemple, les Thales Mistral couramment > rencontrés, se limitent à 100mbps dans bcp de cas. > En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il > faudrait tester et vérifier si les specs d'interop sont compatibles avec le > besoin précis > Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais > peut-être possible de négo vu le besoin et le volume). > > My two. > > > > On Thu, 24 Aug 2017 17:08:40 +0200 > Nicolas Herreyre <nicolas.herre...@gmail.com> wrote: > > Hello la liste, > > > Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je > > me lance! : j'aurais aimé vos retours d'expériences et conseils avisés > > sur une infra backbone de liens point à point à securiser. > > > En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, > > type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait > > chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca > > coûte 2 bras). > > > L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 > > ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop > > cher, sur la 20aine d'extrémités, un truc fiable ;) > > > Avez vous des références pile-poil designer pour faire cela ? > > > Merci bien! > > > -- > > Nicolas. > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > -- > Erik LE VACON <e...@levacon.net> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
