Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Pas eu le temps et vu avec Philippe qui pensait en faire un sujet pour le prochain FRNOG. Il faudrait faire un scénario de test et différentes architectures :) Le but était de prendre des paires de switchs de constructeurs et de faire un comparatif. Si en Janvier, des gens auront du temps, je peux fournir l’environnement de lab et test ( et les Junipers of course hein ) Who’s in ? Envoyé de mon iPhone > Le 16 nov. 2017 à 08:07, Erik LE VACON a écrit : > > On Fri, 25 Aug 2017 13:17:11 +0200 > Raphael Maunier wrote: > >> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) >> >> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur >> BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. >> >> On verra bien ce que ça donne avec plusieurs scénarios de tests >> > > > Bonjour à tous, > En parlant de CEF (et donc d'ASIC...), on a eu un retour là dessus. Y'a un > peu de poussière, certes > @Raphael, tu as pu tester ? Si ou, ca a donné quoi sur 10/40G? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Equipements pour liens MACSEC P2P
On Fri, 25 Aug 2017 13:17:11 +0200 Raphael Maunier wrote: > Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) > > J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP > avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. > > On verra bien ce que ça donne avec plusieurs scénarios de tests > Bonjour à tous, En parlant de CEF (et donc d'ASIC...), on a eu un retour là dessus. Y'a un peu de poussière, certes @Raphael, tu as pu tester ? Si ou, ca a donné quoi sur 10/40G? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Salut Nico, Je tombe sur ton mail après avoir lu un article sur le sujet sur ipspace. Deux documents sur le sujet sont téléchargeables. Le premier sur le chiffrement des les liens MAN et WAN, et le deuxième est un comparatif du marché dont form factor, vitesse et ordre de grandeur pour les prix. http://blog.ipspace.net/2017/08/new-metro-and-carrier-ethernet.html Tu y trouveras peut-être ton bonheur ou des alternatives crédibles. Je n'ai pas lu l'intégralité des 98 et 120 pages ;) ! A plus, Victor 2017-08-25 14:31 GMT+02:00 Raphael Maunier : > “semble” , on va attendre 2 ou 3 releases :) > > > On 25 Aug 2017, at 13:38, Olivier Benghozi > wrote: > > > > Le macsec semble supporté sur EX3400. > > > >> Le 25 août 2017 à 13:17, Raphael Maunier a écrit > : > >> > >> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) > >> > >> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en > routeur BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. > >> > >> On verra bien ce que ça donne avec plusieurs scénarios de tests > >> > >> > >>> On 25 Aug 2017, at 13:09, Nicolas Herreyre > wrote: > >>> > >>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne > >>> pas les mutualiser) semble techniquement faisable, même si 2 ports > >>> consommés sur 24 c'est un peu du gaspillage. > >>> > >>> Line rate 10G pas trop complexe et pas cher. > >>> > >>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de > >>> TAP, je suis preneur ;) > >>> > >>> > >>> > >>> Le 24 août 2017 à 21:59, Raphael Maunier a > écrit : > Heu ... > > Pas vraiment, la plupart des sw récent supportent mac-sec en HW. > Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau > d'encryption. > J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de > pertes > de performance. Tu risques de perdre en Débit Avec l'overhead mais > pas au > point de dégrader les performances drastiquement > > Par curiosite je vais tester Avec un injecteur de traffic afin de > voir la > perte en latence et en debit sur des ports 10G > > https://www.juniper.net/documentation/en_US/junos/ > topics/concept/macsec.html > > Envoyé de mon iPhone > > Le 24 août 2017 à 18:11, Erik LE VACON a écrit : > > Bonjour, > Je crains qu'à de tels débits, les problèmes émergent de par le budget > semble t-il contraint. > La latence de traitement CPU-only via un boitier comme indiqué, mais > à cout > modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va > exploser, > donc les 10gbps utiles ne seront jamais atteints (génération de > problèmes et > de comportements équivalents à ceux rencontrés couramment sur les > "bigfat > WANs" en intercontinental et difficultés à "remplir le pipe"). > > Plus précisément, et à titre d'exemple, les Thales Mistral couramment > rencontrés, se limitent à 100mbps dans bcp de cas. > En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, > mais il > faudrait tester et vérifier si les specs d'interop sont compatibles > avec le > besoin précis > Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais > peut-être possible de négo vu le besoin et le volume). > > My two. > > > > On Thu, 24 Aug 2017 17:08:40 +0200 > Nicolas Herreyre wrote: > > Hello la liste, > > > Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je > > me lance! : j'aurais aimé vos retours d'expériences et conseils avisés > > sur une infra backbone de liens point à point à securiser. > > > En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, > > type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait > > chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca > > coûte 2 bras). > > > L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 > > ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop > > cher, sur la 20aine d'extrémités, un truc fiable ;) > > > Avez vous des références pile-poil designer pour faire cela ? > > > Merci bien! > > > -- > > Nicolas. > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > -- > Erik LE VACON > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > >>> > >>> > >>> --- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --- >
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
“semble” , on va attendre 2 ou 3 releases :) > On 25 Aug 2017, at 13:38, Olivier Benghozi > wrote: > > Le macsec semble supporté sur EX3400. > >> Le 25 août 2017 à 13:17, Raphael Maunier a écrit : >> >> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) >> >> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur >> BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. >> >> On verra bien ce que ça donne avec plusieurs scénarios de tests >> >> >>> On 25 Aug 2017, at 13:09, Nicolas Herreyre >>> wrote: >>> >>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne >>> pas les mutualiser) semble techniquement faisable, même si 2 ports >>> consommés sur 24 c'est un peu du gaspillage. >>> >>> Line rate 10G pas trop complexe et pas cher. >>> >>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de >>> TAP, je suis preneur ;) >>> >>> >>> >>> Le 24 août 2017 à 21:59, Raphael Maunier a écrit : Heu ... Pas vraiment, la plupart des sw récent supportent mac-sec en HW. Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau d'encryption. J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au point de dégrader les performances drastiquement Par curiosite je vais tester Avec un injecteur de traffic afin de voir la perte en latence et en debit sur des ports 10G https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html Envoyé de mon iPhone Le 24 août 2017 à 18:11, Erik LE VACON a écrit : Bonjour, Je crains qu'à de tels débits, les problèmes émergent de par le budget semble t-il contraint. La latence de traitement CPU-only via un boitier comme indiqué, mais à cout modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et de comportements équivalents à ceux rencontrés couramment sur les "bigfat WANs" en intercontinental et difficultés à "remplir le pipe"). Plus précisément, et à titre d'exemple, les Thales Mistral couramment rencontrés, se limitent à 100mbps dans bcp de cas. En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il faudrait tester et vérifier si les specs d'interop sont compatibles avec le besoin précis Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais peut-être possible de négo vu le besoin et le volume). My two. On Thu, 24 Aug 2017 17:08:40 +0200 Nicolas Herreyre wrote: Hello la liste, Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je me lance! : j'aurais aimé vos retours d'expériences et conseils avisés sur une infra backbone de liens point à point à securiser. En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca coûte 2 bras). L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop cher, sur la 20aine d'extrémités, un truc fiable ;) Avez vous des références pile-poil designer pour faire cela ? Merci bien! -- Nicolas. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Erik LE VACON --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Re, Celui qui me sort un switch macsec 10G 8 ports avec un form factor de TAP, je suis preneur ;) Chez cisco, ce petit switch semble supporter 2 x 10G et MACSec : C3560CX-8XPD C'est le genre de switchs que j'utilisais en FTTD... fanless et fiable. Aucune idée de si ça supporte 20Gb/s d'AES... et en même temps c'est pratiquement rien de nos jours, même sur un petit ARM. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Le macsec semble supporté sur EX3400. > Le 25 août 2017 à 13:17, Raphael Maunier a écrit : > > Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) > > J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP > avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. > > On verra bien ce que ça donne avec plusieurs scénarios de tests > > >> On 25 Aug 2017, at 13:09, Nicolas Herreyre >> wrote: >> >> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne >> pas les mutualiser) semble techniquement faisable, même si 2 ports >> consommés sur 24 c'est un peu du gaspillage. >> >> Line rate 10G pas trop complexe et pas cher. >> >> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de >> TAP, je suis preneur ;) >> >> >> >> Le 24 août 2017 à 21:59, Raphael Maunier a écrit : >>> Heu ... >>> >>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW. >>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau >>> d'encryption. >>> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes >>> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au >>> point de dégrader les performances drastiquement >>> >>> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la >>> perte en latence et en debit sur des ports 10G >>> >>> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html >>> >>> Envoyé de mon iPhone >>> >>> Le 24 août 2017 à 18:11, Erik LE VACON a écrit : >>> >>> Bonjour, >>> Je crains qu'à de tels débits, les problèmes émergent de par le budget >>> semble t-il contraint. >>> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout >>> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, >>> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et >>> de comportements équivalents à ceux rencontrés couramment sur les "bigfat >>> WANs" en intercontinental et difficultés à "remplir le pipe"). >>> >>> Plus précisément, et à titre d'exemple, les Thales Mistral couramment >>> rencontrés, se limitent à 100mbps dans bcp de cas. >>> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il >>> faudrait tester et vérifier si les specs d'interop sont compatibles avec le >>> besoin précis >>> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais >>> peut-être possible de négo vu le besoin et le volume). >>> >>> My two. >>> >>> >>> >>> On Thu, 24 Aug 2017 17:08:40 +0200 >>> Nicolas Herreyre wrote: >>> >>> Hello la liste, >>> >>> >>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je >>> >>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés >>> >>> sur une infra backbone de liens point à point à securiser. >>> >>> >>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, >>> >>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait >>> >>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca >>> >>> coûte 2 bras). >>> >>> >>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 >>> >>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop >>> >>> cher, sur la 20aine d'extrémités, un truc fiable ;) >>> >>> >>> Avez vous des références pile-poil designer pour faire cela ? >>> >>> >>> Merci bien! >>> >>> >>> -- >>> >>> Nicolas. >>> >>> >>> >>> --- >>> >>> Liste de diffusion du FRnOG >>> >>> http://www.frnog.org/ >>> >>> >>> >>> -- >>> Erik LE VACON >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :) J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100. On verra bien ce que ça donne avec plusieurs scénarios de tests > On 25 Aug 2017, at 13:09, Nicolas Herreyre wrote: > > Effectivement, la solution de mettre un EX4600 par extrémité (et de ne > pas les mutualiser) semble techniquement faisable, même si 2 ports > consommés sur 24 c'est un peu du gaspillage. > > Line rate 10G pas trop complexe et pas cher. > > Celui qui me sort un switch macsec 10G 8 ports avec un form factor de > TAP, je suis preneur ;) > > > > Le 24 août 2017 à 21:59, Raphael Maunier a écrit : >> Heu ... >> >> Pas vraiment, la plupart des sw récent supportent mac-sec en HW. >> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau >> d'encryption. >> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes >> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au >> point de dégrader les performances drastiquement >> >> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la >> perte en latence et en debit sur des ports 10G >> >> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html >> >> Envoyé de mon iPhone >> >> Le 24 août 2017 à 18:11, Erik LE VACON a écrit : >> >> Bonjour, >> Je crains qu'à de tels débits, les problèmes émergent de par le budget >> semble t-il contraint. >> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout >> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, >> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et >> de comportements équivalents à ceux rencontrés couramment sur les "bigfat >> WANs" en intercontinental et difficultés à "remplir le pipe"). >> >> Plus précisément, et à titre d'exemple, les Thales Mistral couramment >> rencontrés, se limitent à 100mbps dans bcp de cas. >> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il >> faudrait tester et vérifier si les specs d'interop sont compatibles avec le >> besoin précis >> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais >> peut-être possible de négo vu le besoin et le volume). >> >> My two. >> >> >> >> On Thu, 24 Aug 2017 17:08:40 +0200 >> Nicolas Herreyre wrote: >> >> Hello la liste, >> >> >> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je >> >> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés >> >> sur une infra backbone de liens point à point à securiser. >> >> >> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, >> >> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait >> >> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca >> >> coûte 2 bras). >> >> >> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 >> >> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop >> >> cher, sur la 20aine d'extrémités, un truc fiable ;) >> >> >> Avez vous des références pile-poil designer pour faire cela ? >> >> >> Merci bien! >> >> >> -- >> >> Nicolas. >> >> >> >> --- >> >> Liste de diffusion du FRnOG >> >> http://www.frnog.org/ >> >> >> >> -- >> Erik LE VACON >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Effectivement, la solution de mettre un EX4600 par extrémité (et de ne pas les mutualiser) semble techniquement faisable, même si 2 ports consommés sur 24 c'est un peu du gaspillage. Line rate 10G pas trop complexe et pas cher. Celui qui me sort un switch macsec 10G 8 ports avec un form factor de TAP, je suis preneur ;) Le 24 août 2017 à 21:59, Raphael Maunier a écrit : > Heu ... > > Pas vraiment, la plupart des sw récent supportent mac-sec en HW. > Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau > d'encryption. > J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes > de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au > point de dégrader les performances drastiquement > > Par curiosite je vais tester Avec un injecteur de traffic afin de voir la > perte en latence et en debit sur des ports 10G > > https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html > > Envoyé de mon iPhone > > Le 24 août 2017 à 18:11, Erik LE VACON a écrit : > > Bonjour, > Je crains qu'à de tels débits, les problèmes émergent de par le budget > semble t-il contraint. > La latence de traitement CPU-only via un boitier comme indiqué, mais à cout > modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, > donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et > de comportements équivalents à ceux rencontrés couramment sur les "bigfat > WANs" en intercontinental et difficultés à "remplir le pipe"). > > Plus précisément, et à titre d'exemple, les Thales Mistral couramment > rencontrés, se limitent à 100mbps dans bcp de cas. > En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il > faudrait tester et vérifier si les specs d'interop sont compatibles avec le > besoin précis > Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais > peut-être possible de négo vu le besoin et le volume). > > My two. > > > > On Thu, 24 Aug 2017 17:08:40 +0200 > Nicolas Herreyre wrote: > > Hello la liste, > > > Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je > > me lance! : j'aurais aimé vos retours d'expériences et conseils avisés > > sur une infra backbone de liens point à point à securiser. > > > En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, > > type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait > > chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca > > coûte 2 bras). > > > L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 > > ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop > > cher, sur la 20aine d'extrémités, un truc fiable ;) > > > Avez vous des références pile-poil designer pour faire cela ? > > > Merci bien! > > > -- > > Nicolas. > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > -- > Erik LE VACON > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
"What if it's a G.729 voice packet (20B of voice data, 4B of cRTP) which gives a non-encrypted 37.5% efficiency (data vs total frame size) but with MACsec, the efficiency falls down to 23%. Which means that on a MACsec enabled 1Gbps link, you'd be sending 230Mbps of voice, 211Mbps of padding and 559Mbps of encapsulation. Wonderful!” Ah ouais :) Ça a l’air super vu comme ça ^^ > On 25 Aug 2017, at 12:07, Erik LE VACON wrote: > > On Fri, 25 Aug 2017 11:51:33 +0200 > Youssef Bengelloun-Zahr wrote: > > Bonjour, > >> >> Par curiosité, je serai intéressé de voir quel impact cela peut introduire, >> en contexte SP notamment les intercos core backbone avec des débits >> différents. Le retour de Raphaël pourrait être très intéressant. >> >> Après tout, nos très chers revendeurs nous vendent cela pour un bras et >> demi sans nous donner de retours sur les perfs. As usual. > > Début de réponse ici: https://www.trueneutral.eu/2017/macsec-perf.html > Et comme l'indiquait à juste titre Raphaël, l'impact semble d'avantage dû à > l'overhead qu'à la/aux latence/s de traitement (cumulées) de manière > générale. A confirmer/infirmer néanmoins par l'XP. > > Merci à tous. > >> >> My 2 cents. >> >> @++ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
On Fri, 25 Aug 2017 11:51:33 +0200 Youssef Bengelloun-Zahr wrote: Bonjour, > > Par curiosité, je serai intéressé de voir quel impact cela peut introduire, > en contexte SP notamment les intercos core backbone avec des débits > différents. Le retour de Raphaël pourrait être très intéressant. > > Après tout, nos très chers revendeurs nous vendent cela pour un bras et > demi sans nous donner de retours sur les perfs. As usual. Début de réponse ici: https://www.trueneutral.eu/2017/macsec-perf.html Et comme l'indiquait à juste titre Raphaël, l'impact semble d'avantage dû à l'overhead qu'à la/aux latence/s de traitement (cumulées) de manière générale. A confirmer/infirmer néanmoins par l'XP. Merci à tous. > > My 2 cents. > > @++ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Bonjour Philippe, Je plussoie pour une prez au prochain FRnOG. Par curiosité, je serai intéressé de voir quel impact cela peut introduire, en contexte SP notamment les intercos core backbone avec des débits différents. Le retour de Raphaël pourrait être très intéressant. Après tout, nos très chers revendeurs nous vendent cela pour un bras et demi sans nous donner de retours sur les perfs. As usual. My 2 cents. @++ Le 25 août 2017 à 11:46, Philippe Bourcier a écrit : > > Bonjour, > > Pas vraiment, la plupart des sw récent supportent mac-sec en HW. >> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau >> d'encryption. >> > > Et toutes les NIC Intel récentes aussi... > > Tiens justement tant qu'on parle MACSec, je cherche quelqu'un qui aurait > déployé 802.1x avec MACSec en prod à large échelle sur tout un réseau de > PCs en dynamic avec du Radius et sans client lourd (ou moins fun, en P2P > sur des liens multi-sites L2... avec du LACP éventuellement, pour pimenter > le truc). > > Ca ferait un bon retour d'expérience de 10-15 minutes lors de la prochaine > réunion FRnOG... non ? > > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org/ > blog : https://www.linkedin.com/today/author/philippebourcier > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Bonjour, Pas vraiment, la plupart des sw récent supportent mac-sec en HW. Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau d'encryption. Et toutes les NIC Intel récentes aussi... Tiens justement tant qu'on parle MACSec, je cherche quelqu'un qui aurait déployé 802.1x avec MACSec en prod à large échelle sur tout un réseau de PCs en dynamic avec du Radius et sans client lourd (ou moins fun, en P2P sur des liens multi-sites L2... avec du LACP éventuellement, pour pimenter le truc). Ca ferait un bon retour d'expérience de 10-15 minutes lors de la prochaine réunion FRnOG... non ? Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Je vais faire le test dans le courant de la semaine prochaine. C’etait dans la todo pour plus tard, c’est l’occasion de changer la priorité et valider :) > On 25 Aug 2017, at 10:51, Erik LE VACON wrote: > > On Thu, 24 Aug 2017 21:59:41 +0200 > Raphael Maunier wrote: > >> Heu ... >> >> Pas vraiment, la plupart des sw récent supportent mac-sec en HW. > > Tout à fait. > >> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau >> d'encryption. > > Et c'est bien là que le pb peut se poser. > Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira > t-il des suites offertes par les switches ? > Côté perfs, et sauf erreur/incompréhension de ma part, le > chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de > chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et > le trafic va passer en clair au niveau de chaque carte/chassis de > commutation. Est ce une spec forte que d'avoir du bout en bout, sur deux > sites transitant par un noeud central par ex ? > > Enfin, le papier suivant traitait pour partie de ces aspects perfs et > sécurité via MACSEC. > Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il > semble bien que MACSEC induise tout de même une méchante latence (encore une > fois, à vérifier par l'expérience avec plusieurs suites différentes, de > préférence fortes. > Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est > bienvenu, Raphaël. > > http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf > > My two ... > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
On Thu, 24 Aug 2017 21:59:41 +0200 Raphael Maunier wrote: > Heu ... > > Pas vraiment, la plupart des sw récent supportent mac-sec en HW. Tout à fait. > Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau > d'encryption. Et c'est bien là que le pb peut se poser. Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira t-il des suites offertes par les switches ? Côté perfs, et sauf erreur/incompréhension de ma part, le chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et le trafic va passer en clair au niveau de chaque carte/chassis de commutation. Est ce une spec forte que d'avoir du bout en bout, sur deux sites transitant par un noeud central par ex ? Enfin, le papier suivant traitait pour partie de ces aspects perfs et sécurité via MACSEC. Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il semble bien que MACSEC induise tout de même une méchante latence (encore une fois, à vérifier par l'expérience avec plusieurs suites différentes, de préférence fortes. Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est bienvenu, Raphaël. http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf My two ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Heu ... Pas vraiment, la plupart des sw récent supportent mac-sec en HW. Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau d'encryption. J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au point de dégrader les performances drastiquement Par curiosite je vais tester Avec un injecteur de traffic afin de voir la perte en latence et en debit sur des ports 10G https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html Envoyé de mon iPhone > Le 24 août 2017 à 18:11, Erik LE VACON a écrit : > > Bonjour, > Je crains qu'à de tels débits, les problèmes émergent de par le budget semble > t-il contraint. > La latence de traitement CPU-only via un boitier comme indiqué, mais à cout > modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, > donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et > de comportements équivalents à ceux rencontrés couramment sur les "bigfat > WANs" en intercontinental et difficultés à "remplir le pipe"). > > Plus précisément, et à titre d'exemple, les Thales Mistral couramment > rencontrés, se limitent à 100mbps dans bcp de cas. > En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il > faudrait tester et vérifier si les specs d'interop sont compatibles avec le > besoin précis > Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais > peut-être possible de négo vu le besoin et le volume). > > My two. > > > > On Thu, 24 Aug 2017 17:08:40 +0200 > Nicolas Herreyre wrote: > >> Hello la liste, >> >> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je >> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés >> sur une infra backbone de liens point à point à securiser. >> >> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, >> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait >> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca >> coûte 2 bras). >> >> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 >> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop >> cher, sur la 20aine d'extrémités, un truc fiable ;) >> >> Avez vous des références pile-poil designer pour faire cela ? >> >> Merci bien! >> >> -- >> Nicolas. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > -- > Erik LE VACON > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P
Bonjour, Je crains qu'à de tels débits, les problèmes émergent de par le budget semble t-il contraint. La latence de traitement CPU-only via un boitier comme indiqué, mais à cout modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et de comportements équivalents à ceux rencontrés couramment sur les "bigfat WANs" en intercontinental et difficultés à "remplir le pipe"). Plus précisément, et à titre d'exemple, les Thales Mistral couramment rencontrés, se limitent à 100mbps dans bcp de cas. En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il faudrait tester et vérifier si les specs d'interop sont compatibles avec le besoin précis Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais peut-être possible de négo vu le besoin et le volume). My two. On Thu, 24 Aug 2017 17:08:40 +0200 Nicolas Herreyre wrote: > Hello la liste, > > Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je > me lance! : j'aurais aimé vos retours d'expériences et conseils avisés > sur une infra backbone de liens point à point à securiser. > > En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, > type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait > chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca > coûte 2 bras). > > L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 > ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop > cher, sur la 20aine d'extrémités, un truc fiable ;) > > Avez vous des références pile-poil designer pour faire cela ? > > Merci bien! > > -- > Nicolas. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Erik LE VACON --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Equipements pour liens MACSEC P2P
Hello la liste, Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je me lance! : j'aurais aimé vos retours d'expériences et conseils avisés sur une infra backbone de liens point à point à securiser. En gros, on dispose d'une dizaine de liens 10G ethernet nationaux, type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca coûte 2 bras). L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2 ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop cher, sur la 20aine d'extrémités, un truc fiable ;) Avez vous des références pile-poil designer pour faire cela ? Merci bien! -- Nicolas. --- Liste de diffusion du FRnOG http://www.frnog.org/