subject:"\[FRnOG\] \[TECH\] Equipements pour liens MACSEC P2P"

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-11-15 Par sujet Raphael Maunier

Pas eu le temps et vu avec Philippe qui pensait en faire un sujet pour le 
prochain FRNOG.
Il faudrait faire un scénario de test et différentes architectures :)

Le but était de prendre des paires de switchs de constructeurs et de faire un 
comparatif.
Si en Janvier, des gens auront du temps, je peux fournir l’environnement de lab 
et test ( et les Junipers of course hein )

Who’s in ?

Envoyé de mon iPhone

> Le 16 nov. 2017 à 08:07, Erik LE VACON  a écrit :
> 
> On Fri, 25 Aug 2017 13:17:11 +0200
> Raphael Maunier  wrote:
> 
>> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)
>> 
>> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur 
>> BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.
>> 
>> On verra bien ce que ça donne avec plusieurs scénarios de tests
>> 
> 
> 
> Bonjour à tous,
> En parlant de CEF (et donc d'ASIC...), on a eu un retour là dessus. Y'a un 
> peu de poussière, certes
> @Raphael, tu as pu tester ? Si ou, ca a donné quoi sur 10/40G?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-11-15 Par sujet Erik LE VACON

On Fri, 25 Aug 2017 13:17:11 +0200
Raphael Maunier  wrote:

> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)
> 
> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP 
> avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.
> 
> On verra bien ce que ça donne avec plusieurs scénarios de tests
>

Bonjour à tous,
En parlant de CEF (et donc d'ASIC...), on a eu un retour là dessus. Y'a un peu 
de poussière, certes
@Raphael, tu as pu tester ? Si ou, ca a donné quoi sur 10/40G?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-09-08 Par sujet Victor

Salut Nico,

Je tombe sur ton mail après avoir lu un article sur le sujet sur ipspace.
Deux documents sur le sujet sont téléchargeables. Le premier sur le
chiffrement des les liens MAN et WAN, et le deuxième est un comparatif du
marché dont form factor, vitesse et ordre de grandeur pour les prix.

http://blog.ipspace.net/2017/08/new-metro-and-carrier-ethernet.html

Tu y trouveras peut-être ton bonheur ou des alternatives crédibles.

Je n'ai pas lu l'intégralité des 98 et 120 pages ;) !

A plus,
Victor

2017-08-25 14:31 GMT+02:00 Raphael Maunier :

> “semble” , on va attendre 2 ou 3 releases :)
>
> > On 25 Aug 2017, at 13:38, Olivier Benghozi 
> wrote:
> >
> > Le macsec semble supporté sur EX3400.
> >
> >> Le 25 août 2017 à 13:17, Raphael Maunier  a écrit
> :
> >>
> >> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)
> >>
> >> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en
> routeur BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.
> >>
> >> On verra bien ce que ça donne avec plusieurs scénarios de tests
> >>
> >>
> >>> On 25 Aug 2017, at 13:09, Nicolas Herreyre 
> wrote:
> >>>
> >>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
> >>> pas les mutualiser) semble techniquement faisable, même si 2 ports
> >>> consommés sur 24 c'est un peu du gaspillage.
> >>>
> >>> Line rate 10G pas trop complexe et pas cher.
> >>>
> >>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
> >>> TAP, je suis preneur ;)
> >>>
> >>>
> >>>
> >>> Le 24 août 2017 à 21:59, Raphael Maunier  a
> écrit :
>  Heu ...
> 
>  Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
>  Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
>  d'encryption.
>  J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de
> pertes
>  de performance. Tu risques de perdre en Débit Avec l'overhead mais
> pas au
>  point de dégrader les performances drastiquement
> 
>  Par curiosite je vais tester Avec un injecteur de traffic afin de
> voir la
>  perte en latence et en debit sur des ports 10G
> 
>  https://www.juniper.net/documentation/en_US/junos/
> topics/concept/macsec.html
> 
>  Envoyé de mon iPhone
> 
>  Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
> 
>  Bonjour,
>  Je crains qu'à de tels débits, les problèmes émergent de par le budget
>  semble t-il contraint.
>  La latence de traitement CPU-only via un boitier comme indiqué, mais
> à cout
>  modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va
> exploser,
>  donc les 10gbps utiles ne seront jamais atteints (génération de
> problèmes et
>  de comportements équivalents à ceux rencontrés couramment sur les
> "bigfat
>  WANs" en intercontinental et difficultés à "remplir le pipe").
> 
>  Plus précisément, et à titre d'exemple, les Thales Mistral couramment
>  rencontrés, se limitent à 100mbps dans bcp de cas.
>  En revanche, leur gamme Thales Datacryptor semble monter à 10gbps,
> mais il
>  faudrait tester et vérifier si les specs d'interop sont compatibles
> avec le
>  besoin précis
>  Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
>  peut-être possible de négo vu le besoin et le volume).
> 
>  My two.
> 
> 
> 
>  On Thu, 24 Aug 2017 17:08:40 +0200
>  Nicolas Herreyre  wrote:
> 
>  Hello la liste,
> 
> 
>  Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
> 
>  me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
> 
>  sur une infra backbone de liens point à point à securiser.
> 
> 
>  En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
> 
>  type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
> 
>  chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
> 
>  coûte 2 bras).
> 
> 
>  L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
> 
>  ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
> 
>  cher, sur la 20aine d'extrémités, un truc fiable ;)
> 
> 
>  Avez vous des références pile-poil designer pour faire cela ?
> 
> 
>  Merci bien!
> 
> 
>  --
> 
>  Nicolas.
> 
> 
> 
>  ---
> 
>  Liste de diffusion du FRnOG
> 
>  http://www.frnog.org/
> 
> 
> 
>  --
>  Erik LE VACON 
> 
> 
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> >>>
> >>>
> >>> ---
> >>> Liste de

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Raphael Maunier

“semble” , on va attendre 2 ou 3 releases :)

> On 25 Aug 2017, at 13:38, Olivier Benghozi  
> wrote:
> 
> Le macsec semble supporté sur EX3400.
> 
>> Le 25 août 2017 à 13:17, Raphael Maunier  a écrit :
>> 
>> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)
>> 
>> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur 
>> BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.
>> 
>> On verra bien ce que ça donne avec plusieurs scénarios de tests
>> 
>> 
>>> On 25 Aug 2017, at 13:09, Nicolas Herreyre  
>>> wrote:
>>> 
>>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
>>> pas les mutualiser) semble techniquement faisable, même si 2 ports
>>> consommés sur 24 c'est un peu du gaspillage.
>>> 
>>> Line rate 10G pas trop complexe et pas cher.
>>> 
>>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
>>> TAP, je suis preneur ;)
>>> 
>>> 
>>> 
>>> Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
 Heu ...

 Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
 Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
 d'encryption.
 J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
 de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
 point de dégrader les performances drastiquement

 Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
 perte en latence et en debit sur des ports 10G

 https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html

 Envoyé de mon iPhone

 Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :

 Bonjour,
 Je crains qu'à de tels débits, les problèmes émergent de par le budget
 semble t-il contraint.
 La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
 modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
 donc les 10gbps utiles ne seront jamais atteints (génération de problèmes 
 et
 de comportements équivalents à ceux rencontrés couramment sur les "bigfat
 WANs" en intercontinental et difficultés à "remplir le pipe").

 Plus précisément, et à titre d'exemple, les Thales Mistral couramment
 rencontrés, se limitent à 100mbps dans bcp de cas.
 En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
 faudrait tester et vérifier si les specs d'interop sont compatibles avec le
 besoin précis
 Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
 peut-être possible de négo vu le besoin et le volume).

 My two.

 On Thu, 24 Aug 2017 17:08:40 +0200
 Nicolas Herreyre  wrote:

 Hello la liste,

 Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je

 me lance! : j'aurais aimé vos retours d'expériences et conseils avisés

 sur une infra backbone de liens point à point à securiser.

 En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,

 type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait

 chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca

 coûte 2 bras).

 L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2

 ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop

 cher, sur la 20aine d'extrémités, un truc fiable ;)

 Avez vous des références pile-poil designer pour faire cela ?

 Merci bien!

 --

 Nicolas.

 ---

 Liste de diffusion du FRnOG

 http://www.frnog.org/

 --
 Erik LE VACON 

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Philippe Bourcier



Re,

Celui qui me sort un switch macsec 10G 8 ports avec un form factor 
de

TAP, je suis preneur ;)


Chez cisco, ce petit switch semble supporter 2 x 10G et MACSec : 
C3560CX-8XPD


C'est le genre de switchs que j'utilisais en FTTD... fanless et fiable.
Aucune idée de si ça supporte 20Gb/s d'AES... et en même temps c'est 
pratiquement rien de nos jours, même sur un petit ARM.



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Olivier Benghozi

Le macsec semble supporté sur EX3400.

> Le 25 août 2017 à 13:17, Raphael Maunier  a écrit :
> 
> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)
> 
> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP 
> avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.
> 
> On verra bien ce que ça donne avec plusieurs scénarios de tests
> 
> 
>> On 25 Aug 2017, at 13:09, Nicolas Herreyre  
>> wrote:
>> 
>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
>> pas les mutualiser) semble techniquement faisable, même si 2 ports
>> consommés sur 24 c'est un peu du gaspillage.
>> 
>> Line rate 10G pas trop complexe et pas cher.
>> 
>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
>> TAP, je suis preneur ;)
>> 
>> 
>> 
>> Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
>>> Heu ...
>>> 
>>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
>>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
>>> d'encryption.
>>> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
>>> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
>>> point de dégrader les performances drastiquement
>>> 
>>> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
>>> perte en latence et en debit sur des ports 10G
>>> 
>>> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
>>> 
>>> Envoyé de mon iPhone
>>> 
>>> Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
>>> 
>>> Bonjour,
>>> Je crains qu'à de tels débits, les problèmes émergent de par le budget
>>> semble t-il contraint.
>>> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
>>> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
>>> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et
>>> de comportements équivalents à ceux rencontrés couramment sur les "bigfat
>>> WANs" en intercontinental et difficultés à "remplir le pipe").
>>> 
>>> Plus précisément, et à titre d'exemple, les Thales Mistral couramment
>>> rencontrés, se limitent à 100mbps dans bcp de cas.
>>> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
>>> faudrait tester et vérifier si les specs d'interop sont compatibles avec le
>>> besoin précis
>>> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
>>> peut-être possible de négo vu le besoin et le volume).
>>> 
>>> My two.
>>> 
>>> 
>>> 
>>> On Thu, 24 Aug 2017 17:08:40 +0200
>>> Nicolas Herreyre  wrote:
>>> 
>>> Hello la liste,
>>> 
>>> 
>>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>>> 
>>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>>> 
>>> sur une infra backbone de liens point à point à securiser.
>>> 
>>> 
>>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>>> 
>>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>>> 
>>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>>> 
>>> coûte 2 bras).
>>> 
>>> 
>>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>>> 
>>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>>> 
>>> cher, sur la 20aine d'extrémités, un truc fiable ;)
>>> 
>>> 
>>> Avez vous des références pile-poil designer pour faire cela ?
>>> 
>>> 
>>> Merci bien!
>>> 
>>> 
>>> --
>>> 
>>> Nicolas.
>>> 
>>> 
>>> 
>>> ---
>>> 
>>> Liste de diffusion du FRnOG
>>> 
>>> http://www.frnog.org/
>>> 
>>> 
>>> 
>>> --
>>> Erik LE VACON 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Raphael Maunier

Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)

J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP 
avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.

On verra bien ce que ça donne avec plusieurs scénarios de tests


> On 25 Aug 2017, at 13:09, Nicolas Herreyre  wrote:
> 
> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
> pas les mutualiser) semble techniquement faisable, même si 2 ports
> consommés sur 24 c'est un peu du gaspillage.
> 
> Line rate 10G pas trop complexe et pas cher.
> 
> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
> TAP, je suis preneur ;)
> 
> 
> 
> Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
>> Heu ...
>> 
>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
>> d'encryption.
>> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
>> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
>> point de dégrader les performances drastiquement
>> 
>> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
>> perte en latence et en debit sur des ports 10G
>> 
>> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
>> 
>> Envoyé de mon iPhone
>> 
>> Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
>> 
>> Bonjour,
>> Je crains qu'à de tels débits, les problèmes émergent de par le budget
>> semble t-il contraint.
>> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
>> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
>> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et
>> de comportements équivalents à ceux rencontrés couramment sur les "bigfat
>> WANs" en intercontinental et difficultés à "remplir le pipe").
>> 
>> Plus précisément, et à titre d'exemple, les Thales Mistral couramment
>> rencontrés, se limitent à 100mbps dans bcp de cas.
>> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
>> faudrait tester et vérifier si les specs d'interop sont compatibles avec le
>> besoin précis
>> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
>> peut-être possible de négo vu le besoin et le volume).
>> 
>> My two.
>> 
>> 
>> 
>> On Thu, 24 Aug 2017 17:08:40 +0200
>> Nicolas Herreyre  wrote:
>> 
>> Hello la liste,
>> 
>> 
>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>> 
>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>> 
>> sur une infra backbone de liens point à point à securiser.
>> 
>> 
>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>> 
>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>> 
>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>> 
>> coûte 2 bras).
>> 
>> 
>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>> 
>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>> 
>> cher, sur la 20aine d'extrémités, un truc fiable ;)
>> 
>> 
>> Avez vous des références pile-poil designer pour faire cela ?
>> 
>> 
>> Merci bien!
>> 
>> 
>> --
>> 
>> Nicolas.
>> 
>> 
>> 
>> ---
>> 
>> Liste de diffusion du FRnOG
>> 
>> http://www.frnog.org/
>> 
>> 
>> 
>> --
>> Erik LE VACON 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Nicolas Herreyre

Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
pas les mutualiser) semble techniquement faisable, même si 2 ports
consommés sur 24 c'est un peu du gaspillage.

Line rate 10G pas trop complexe et pas cher.

Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
TAP, je suis preneur ;)



Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
> Heu ...
>
> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
> d'encryption.
> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
> point de dégrader les performances drastiquement
>
> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
> perte en latence et en debit sur des ports 10G
>
> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
>
> Envoyé de mon iPhone
>
> Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
>
> Bonjour,
> Je crains qu'à de tels débits, les problèmes émergent de par le budget
> semble t-il contraint.
> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et
> de comportements équivalents à ceux rencontrés couramment sur les "bigfat
> WANs" en intercontinental et difficultés à "remplir le pipe").
>
> Plus précisément, et à titre d'exemple, les Thales Mistral couramment
> rencontrés, se limitent à 100mbps dans bcp de cas.
> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
> faudrait tester et vérifier si les specs d'interop sont compatibles avec le
> besoin précis
> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
> peut-être possible de négo vu le besoin et le volume).
>
> My two.
>
>
>
> On Thu, 24 Aug 2017 17:08:40 +0200
> Nicolas Herreyre  wrote:
>
> Hello la liste,
>
>
> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>
> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>
> sur une infra backbone de liens point à point à securiser.
>
>
> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>
> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>
> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>
> coûte 2 bras).
>
>
> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>
> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>
> cher, sur la 20aine d'extrémités, un truc fiable ;)
>
>
> Avez vous des références pile-poil designer pour faire cela ?
>
>
> Merci bien!
>
>
> --
>
> Nicolas.
>
>
>
> ---
>
> Liste de diffusion du FRnOG
>
> http://www.frnog.org/
>
>
>
> --
> Erik LE VACON 
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Raphael Maunier

"What if it's a G.729 voice packet (20B of voice data, 4B of cRTP) which gives 
a non-encrypted 37.5% efficiency (data vs total frame size) but with MACsec, 
the efficiency falls down to 23%. Which means that on a MACsec enabled 1Gbps 
link, you'd be sending 230Mbps of voice, 211Mbps of padding and 559Mbps of 
encapsulation. Wonderful!”

Ah ouais :) Ça a l’air super vu comme ça ^^

> On 25 Aug 2017, at 12:07, Erik LE VACON  wrote:
> 
> On Fri, 25 Aug 2017 11:51:33 +0200
> Youssef Bengelloun-Zahr  wrote:
> 
> Bonjour,
> 
>> 
>> Par curiosité, je serai intéressé de voir quel impact cela peut introduire,
>> en contexte SP notamment les intercos core backbone avec des débits
>> différents. Le retour de Raphaël pourrait être très intéressant.
>> 
>> Après tout, nos très chers revendeurs nous vendent cela pour un bras et
>> demi sans nous donner de retours sur les perfs. As usual.
> 
> Début de réponse ici: https://www.trueneutral.eu/2017/macsec-perf.html
> Et comme l'indiquait à juste titre Raphaël, l'impact semble d'avantage dû à 
> l'overhead qu'à la/aux latence/s de traitement (cumulées) de manière 
> générale. A confirmer/infirmer néanmoins par l'XP.
> 
> Merci à tous.
> 
>> 
>> My 2 cents.
>> 
>> @++
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Erik LE VACON

On Fri, 25 Aug 2017 11:51:33 +0200
Youssef Bengelloun-Zahr  wrote:

Bonjour,

> 
> Par curiosité, je serai intéressé de voir quel impact cela peut introduire,
> en contexte SP notamment les intercos core backbone avec des débits
> différents. Le retour de Raphaël pourrait être très intéressant.
> 
> Après tout, nos très chers revendeurs nous vendent cela pour un bras et
> demi sans nous donner de retours sur les perfs. As usual.

Début de réponse ici: https://www.trueneutral.eu/2017/macsec-perf.html
Et comme l'indiquait à juste titre Raphaël, l'impact semble d'avantage dû à 
l'overhead qu'à la/aux latence/s de traitement (cumulées) de manière générale. 
A confirmer/infirmer néanmoins par l'XP.

Merci à tous.

> 
> My 2 cents.
> 
> @++

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Youssef Bengelloun-Zahr

Bonjour Philippe,

Je plussoie pour une prez au prochain FRnOG.

Par curiosité, je serai intéressé de voir quel impact cela peut introduire,
en contexte SP notamment les intercos core backbone avec des débits
différents. Le retour de Raphaël pourrait être très intéressant.

Après tout, nos très chers revendeurs nous vendent cela pour un bras et
demi sans nous donner de retours sur les perfs. As usual.

My 2 cents.

@++



Le 25 août 2017 à 11:46, Philippe Bourcier  a écrit :

>
> Bonjour,
>
> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
>> d'encryption.
>>
>
> Et toutes les NIC Intel récentes aussi...
>
> Tiens justement tant qu'on parle MACSec, je cherche quelqu'un qui aurait
> déployé 802.1x avec MACSec en prod à large échelle sur tout un réseau de
> PCs en dynamic avec du Radius et sans client lourd (ou moins fun, en P2P
> sur des liens multi-sites L2... avec du LACP éventuellement, pour pimenter
> le truc).
>
> Ca ferait un bon retour d'expérience de 10-15 minutes lors de la prochaine
> réunion FRnOG... non ?
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Philippe Bourcier



Bonjour,


Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
d'encryption.


Et toutes les NIC Intel récentes aussi...

Tiens justement tant qu'on parle MACSec, je cherche quelqu'un qui 
aurait déployé 802.1x avec MACSec en prod à large échelle sur tout un 
réseau de PCs en dynamic avec du Radius et sans client lourd (ou moins 
fun, en P2P sur des liens multi-sites L2... avec du LACP éventuellement, 
pour pimenter le truc).


Ca ferait un bon retour d'expérience de 10-15 minutes lors de la 
prochaine réunion FRnOG... non ?



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Raphael Maunier

Je vais faire le test dans le courant de la semaine prochaine.
C’etait dans la todo pour plus tard, c’est l’occasion de changer la priorité et 
valider :)

> On 25 Aug 2017, at 10:51, Erik LE VACON  wrote:
> 
> On Thu, 24 Aug 2017 21:59:41 +0200
> Raphael Maunier  wrote:
> 
>> Heu ...
>> 
>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
> 
> Tout à fait.
> 
>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau 
>> d'encryption.
> 
> Et c'est bien là que le pb peut se poser. 
> Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira 
> t-il des suites offertes par les switches ? 
> Côté perfs, et sauf erreur/incompréhension de ma part, le 
> chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de 
> chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et 
> le trafic va passer en clair au niveau de chaque carte/chassis de 
> commutation. Est ce une spec forte que d'avoir du bout en bout, sur deux 
> sites transitant par un noeud central par ex ?
> 
> Enfin, le papier suivant traitait pour partie de ces aspects perfs et 
> sécurité via MACSEC.
> Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il 
> semble bien que MACSEC induise tout de même une méchante latence (encore une 
> fois, à vérifier par l'expérience avec plusieurs suites différentes, de 
> préférence fortes.
> Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est 
> bienvenu, Raphaël.
> 
> http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf
> 
> My two ...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-25 Par sujet Erik LE VACON

On Thu, 24 Aug 2017 21:59:41 +0200
Raphael Maunier  wrote:

> Heu ...
> 
> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.

Tout à fait.

> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau 
> d'encryption.

Et c'est bien là que le pb peut se poser. 
Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira t-il 
des suites offertes par les switches ? 
Côté perfs, et sauf erreur/incompréhension de ma part, le 
chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de 
chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et 
le trafic va passer en clair au niveau de chaque carte/chassis de commutation. 
Est ce une spec forte que d'avoir du bout en bout, sur deux sites transitant 
par un noeud central par ex ?

Enfin, le papier suivant traitait pour partie de ces aspects perfs et sécurité 
via MACSEC.
Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il semble 
bien que MACSEC induise tout de même une méchante latence (encore une fois, à 
vérifier par l'expérience avec plusieurs suites différentes, de préférence 
fortes.
Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est 
bienvenu, Raphaël.

http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf

My two ...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-24 Par sujet Raphael Maunier

Heu ...

Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau 
d'encryption.
J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes de 
performance. Tu risques de perdre en Débit Avec l'overhead mais pas au point de 
dégrader les performances drastiquement

Par curiosite je vais tester Avec un injecteur de traffic afin de voir la perte 
en latence et en debit sur des ports 10G

https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html

Envoyé de mon iPhone

> Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
> 
> Bonjour,
> Je crains qu'à de tels débits, les problèmes émergent de par le budget semble 
> t-il contraint.
> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout 
> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, 
> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et 
> de comportements équivalents à ceux rencontrés couramment sur les "bigfat 
> WANs" en intercontinental et difficultés à "remplir le pipe").
> 
> Plus précisément, et à titre d'exemple, les Thales Mistral couramment 
> rencontrés, se limitent à 100mbps dans bcp de cas. 
> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il 
> faudrait tester et vérifier si les specs d'interop sont compatibles avec le 
> besoin précis
> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais 
> peut-être possible de négo vu le besoin et le volume).
> 
> My two.
> 
> 
> 
> On Thu, 24 Aug 2017 17:08:40 +0200
> Nicolas Herreyre  wrote:
> 
>> Hello la liste,
>> 
>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>> sur une infra backbone de liens point à point à securiser.
>> 
>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>> coûte 2 bras).
>> 
>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>> cher, sur la 20aine d'extrémités, un truc fiable ;)
>> 
>> Avez vous des références pile-poil designer pour faire cela ?
>> 
>> Merci bien!
>> 
>> --
>> Nicolas.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> -- 
> Erik LE VACON 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-24 Par sujet Erik LE VACON

Bonjour,
Je crains qu'à de tels débits, les problèmes émergent de par le budget semble 
t-il contraint.
La latence de traitement CPU-only via un boitier comme indiqué, mais à cout 
modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser, 
donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et de 
comportements équivalents à ceux rencontrés couramment sur les "bigfat WANs" en 
intercontinental et difficultés à "remplir le pipe").

Plus précisément, et à titre d'exemple, les Thales Mistral couramment 
rencontrés, se limitent à 100mbps dans bcp de cas. 
En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il 
faudrait tester et vérifier si les specs d'interop sont compatibles avec le 
besoin précis
Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais peut-être 
possible de négo vu le besoin et le volume).

My two.

On Thu, 24 Aug 2017 17:08:40 +0200
Nicolas Herreyre  wrote:

> Hello la liste,
> 
> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
> sur une infra backbone de liens point à point à securiser.
> 
> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
> coûte 2 bras).
> 
> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
> cher, sur la 20aine d'extrémités, un truc fiable ;)
> 
> Avez vous des références pile-poil designer pour faire cela ?
> 
> Merci bien!
> 
> --
> Nicolas.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 
Erik LE VACON 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Equipements pour liens MACSEC P2P

2017-08-24 Par sujet Nicolas Herreyre

Hello la liste,

Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
sur une infra backbone de liens point à point à securiser.

En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
coûte 2 bras).

L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
cher, sur la 20aine d'extrémités, un truc fiable ;)

Avez vous des références pile-poil designer pour faire cela ?

Merci bien!

--
Nicolas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[FRnOG] [TECH] Equipements pour liens MACSEC P2P

17 matches

Site Navigation

Mail list logo

Footer information