Шифрование L2 по технологии MACsec.
Современные коммутаторы от Cisco поддерживают шифрование трафика на канальном уровне, на скорости порта (1G, 10G) без просадки CPU.
Поэтому если у вас есть каталисты 3750x, 3560x, 3850 и коммутаторы новой серии 9XXX, есть выделенные каналы L2 и есть лютое желание их зашифровать за вменяемые деньги, то эта возможность таки есть.
Кто хочет теории - гуглить по ключевым словам MACsec, TrustSec и 802.1AE
А теперь практическая задача. Необходимо соединить два офиса на скорости не менее 10 Gb/s, через тёмную оптику, с защитой от любителей пассивного подслушивания и с поддержкой отказоустойчивости.
Решение: Ставим по два коммутатора Cisco Catalyst 3850 (в стеке) в каждом здании. Устанавливаем в коммутаторы трансиверы SFP-10G-LR. Соединяем двумя оптическими каналами (тёмное волокно).
Отказоустойчивость реализуем через LACP. Тут всё обычно.
interface Port-channel1
description Po1 == ==LINK_TO_Office2_LAG
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,12,15,100
switchport mode trunk
spanning-tree bpdufilter enable
А теперь главная магия. На физических интерфейсах настраиваем следующее
cts manual
no propagate sgt
sap pmk 1234567890OoKkMmIiJjNnUuHhBbTtFfCc mode-list gcm-encrypt
1234567890OoKkMmIiJjNnUuHhBbTtFfCc - это ключ для шифрования. С обеих сторон он должен совпадать :)
interface TenGigabitEthernet1/0/1
description TG1/0/1 ==LINK_TO_Office2_LAG_1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,12,15,100
switchport mode trunk
udld port aggressive
cts manual
no propagate sgt
sap pmk 1234567890OoKkMmIiJjNnUuHhBbTtFfCc mode-list gcm-encrypt
spanning-tree bpdufilter enable
channel-group 1 mode active
interface TenGigabitEthernet1/0/2
description TG1/0/2 ==LINK_TO_Office2_LAG_2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,12,15,100
switchport mode trunk
udld port aggressive
cts manual
no propagate sgt
sap pmk 1234567890OoKkMmIiJjNnUuHhBbTtFfCc mode-list gcm-encrypt
spanning-tree bpdufilter enable
channel-group 1 mode active
Проверяем функционирование командами show macsec summary и show macsec interface
Этих настроек достаточно для работы MACsec в режиме Switch-to-switch.
Есть ещё режим Switch-to-host и есть технология MACsec WAN. Но это уже совсем другая история.
Поэтому если у вас есть каталисты 3750x, 3560x, 3850 и коммутаторы новой серии 9XXX, есть выделенные каналы L2 и есть лютое желание их зашифровать за вменяемые деньги, то эта возможность таки есть.
Кто хочет теории - гуглить по ключевым словам MACsec, TrustSec и 802.1AE
А теперь практическая задача. Необходимо соединить два офиса на скорости не менее 10 Gb/s, через тёмную оптику, с защитой от любителей пассивного подслушивания и с поддержкой отказоустойчивости.
Решение: Ставим по два коммутатора Cisco Catalyst 3850 (в стеке) в каждом здании. Устанавливаем в коммутаторы трансиверы SFP-10G-LR. Соединяем двумя оптическими каналами (тёмное волокно).
Отказоустойчивость реализуем через LACP. Тут всё обычно.
interface Port-channel1
description Po1 == ==LINK_TO_Office2_LAG
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,12,15,100
switchport mode trunk
spanning-tree bpdufilter enable
А теперь главная магия. На физических интерфейсах настраиваем следующее
cts manual
no propagate sgt
sap pmk 1234567890OoKkMmIiJjNnUuHhBbTtFfCc mode-list gcm-encrypt
1234567890OoKkMmIiJjNnUuHhBbTtFfCc - это ключ для шифрования. С обеих сторон он должен совпадать :)
interface TenGigabitEthernet1/0/1
description TG1/0/1 ==LINK_TO_Office2_LAG_1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,12,15,100
switchport mode trunk
udld port aggressive
cts manual
no propagate sgt
sap pmk 1234567890OoKkMmIiJjNnUuHhBbTtFfCc mode-list gcm-encrypt
spanning-tree bpdufilter enable
channel-group 1 mode active
interface TenGigabitEthernet1/0/2
description TG1/0/2 ==LINK_TO_Office2_LAG_2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,12,15,100
switchport mode trunk
udld port aggressive
cts manual
no propagate sgt
sap pmk 1234567890OoKkMmIiJjNnUuHhBbTtFfCc mode-list gcm-encrypt
spanning-tree bpdufilter enable
channel-group 1 mode active
Проверяем функционирование командами show macsec summary и show macsec interface
Этих настроек достаточно для работы MACsec в режиме Switch-to-switch.
Есть ещё режим Switch-to-host и есть технология MACsec WAN. Но это уже совсем другая история.