- Подбор оборудования для шифрования,
 pavlinux, 16:05 , 16-Апр-13 (1)> Добрый день. Есть канал по оптике - 1Гб/с. При надобности поставить медиаконвертеры
> - не вопрос. Короче говоря, нужно его зашифровать. Я так подозреваю,
> что у циски для таких скоростей железо встанет очень дорого, наверняка
> ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить
> производительность... или я ошибаюсь?
> А на какое еще оборудование стоит взглянуть? Хороший шифратор трафика работает на скоростях 5-6 Mbit/s
Очень хороший шифратор трафика работает на скоростях до 15 Mbit/s Для иллюзии шифрования есть вот такие приборы http://www.tiger-optics.ru/products/senetas/Senetas-Fibre-Ch.../
Ну и на 89 госте чёй-то делают > Может быть что-то подешевле есть... Core iХ c AES-NI + OpenVPN
- Подбор оборудования для шифрования, fantom, 16:27 , 16-Апр-13 (2)
>[оверквотинг удален]
>> ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить
>> производительность... или я ошибаюсь?
>> А на какое еще оборудование стоит взглянуть?
> Хороший шифратор трафика работает на скоростях 5-6 Mbit/s
> Очень хороший шифратор трафика работает на скоростях до 15 Mbit/s
> Для иллюзии шифрования есть вот такие приборы
> http://www.tiger-optics.ru/products/senetas/Senetas-Fibre-Ch.../
> Ну и на 89 госте чёй-то делают
>> Может быть что-то подешевле есть...
> Core iХ c AES-NI + OpenVPN Та шо вы говорите?? Все ОЧЕНЬ сильно зависит от типа шифрования и алгоритма.
Например у кошек есть модули для хардварного шифрования и обеспечивают они довольно приличные скорости. Автор - вы каким алгоритмом шифровать хотите??
- Подбор оборудования для шифрования, pavlinux, 17:00 , 16-Апр-13 (3)
>[оверквотинг удален]
>> Очень хороший шифратор трафика работает на скоростях до 15 Mbit/s
>> Для иллюзии шифрования есть вот такие приборы
>> http://www.tiger-optics.ru/products/senetas/Senetas-Fibre-Ch.../
>> Ну и на 89 госте чёй-то делают
>>> Может быть что-то подешевле есть...
>> Core iХ c AES-NI + OpenVPN
> Та шо вы говорите??
> Все ОЧЕНЬ сильно зависит от типа шифрования и алгоритма.
> Например у кошек есть модули для хардварного шифрования и обеспечивают они довольно
> приличные скорости.Специально написал - Для иллюзии шифрования есть! Типа DES/3DES/AES со специальным, урезанным до 256 бит, ключиком.
- Подбор оборудования для шифрования, anonymous, 11:22 , 17-Апр-13 (6)
openvpn уж сильно тормозной
лучше что-нибудь из kernel-space - netgraph, ipsec
- Подбор оборудования для шифрования, pavlinux, 12:47 , 17-Апр-13 (7)
> openvpn уж сильно тормозной А ты задай размер ключа как у цисок - 256 байт, - летать будет.
Тока безопасность просядет до уровня этих перделок. > лучше что-нибудь из kernel-space - netgraph, ipsec
- Подбор оборудования для шифрования, anonymous, 14:47 , 17-Апр-13 (8)
Я не с цисками сравнивал, а с ядерным айписеком во фре и линухе.
- Подбор оборудования для шифрования, pavlinux, 04:04 , 18-Апр-13 (10)
> Я не с цисками сравнивал, а с ядерным айписеком во фре и линухе.То есть никогда не пользовался, ну понятно...
- Подбор оборудования для шифрования, anonymous, 08:34 , 18-Апр-13 (11)
> То есть никогда не пользовался, ну понятно...Уметь делать далеко идущие выводы похвально, но в данном случае они слишком поспешные.
Переезжали в другой дц, и решение на опенвпн было радостно опробовано первым, плохо оно живёт на постоянной куче мелких пакетов.
- Подбор оборудования для шифрования, pavlinux, 01:06 , 19-Апр-13 (13)
>> То есть никогда не пользовался, ну понятно...
> Уметь делать далеко идущие выводы похвально, но в данном случае они слишком
> поспешные.
> Переезжали в другой дц, и решение на опенвпн было радостно опробовано первым,
> плохо оно живёт на постоянной куче мелких пакетов.Есть у нас сервачок, держит одновременно около 500 VPN каналов, в каждом
примерно по 20-30 юзеров. Пытались сделать на ipsec ну очень проседает скорость.
В том числе и на цисках,... короча циски - говно! :)
OpenVPN c правильно подобранными алгоритмами и размером ключа - уделывает всех.
QoS ещё нужно нарулить, как внутри VPN, так и для сервера, иначе юзера друг-друга
задушат, а вместе - весь трафик.
- Подбор оборудования для шифрования, dima, 00:26 , 17-Апр-13 (4)
> Добрый день. Есть канал по оптике - 1Гб/с. При надобности поставить медиаконвертеры
> - не вопрос. Короче говоря, нужно его зашифровать. Я так подозреваю,
> что у циски для таких скоростей железо встанет очень дорого, наверняка
> ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить
> производительность... или я ошибаюсь?
> А на какое еще оборудование стоит взглянуть? Может быть что-то подешевле есть... ставил freebsd на компах, междуними канал 100мбит по ipsec топовом шифрованием продувался макс на 60Мбит, фундаментально достижимо вроде 70Мбит дешевое решение - 2 компа (или 4 для кластеризации) на freebsd + ipsec задача на уровне постановки не верна.
что ж это за данные такие в объемах 1Гбит/секунда что их надо шифровать.
оптика считается на порядок безопасней эзернета и сама по себе уже определенный уровень защиты информации.
- Подбор оборудования для шифрования, anonymous, 10:37 , 17-Апр-13 (5)
Для 3560Х или 3750Х есть вариант аплинкового порта с шифрованием - C3KX-SM-10GThe Cisco Catalyst 3750-X and 3560-X Series Switches offer exceptional security with integrated hardware support for MACsec defined in IEEE 802.1AE. MACsec provides MAC layer encryption over wired networks using out-of-band methods for encryption keying. The MACsec Key Agreement (MKA) protocol provides the required session keys and manages the keys required for encryption when configured. MKA and MACsec are implemented following successful authentication using 802.1x Extensible Authentication Protocol (EAP) framework. In Cisco Catalyst 3750-X and 3560-X Series Switches both the user/down-link ports (links between the switch and endpoint devices such as a PC or IP phone) and, using the service module, the network/up-link ports can be secured using MACsec. With the service module you can encrypt switch to switch links such as access to distribution, or encrypt dark fiber links within a building or between buildings. Как вариант у джунипера есть srx550, где производительность шифрования впритык
AES256+SHA-1 / 3DES+SHA-1 VPN performance 1.0 Gbps
Или с запасом srx650, на полтора гигабита
- Подбор оборудования для шифрования, eek, 15:22 , 17-Апр-13 (9)
> Добрый день. Есть канал по оптике - 1Гб/с.Это смотря что для вас значит зашифровать. Для 99.9% населения если внутри оптики не ethernet это уже супер стойкое шифрование. Цели какие для шифрования? Шифрование нужно по ГОСТу или любое? На сколько стойкое? Теперь по делу. Ниже коллега анонимус вам уже порекомендовал почитать про MACsec, теперь оно называется TRUSTsec если я ничего не путаю. По сути это самый лучший вариант ибо оно реализовано в железе. Если хочется ASA (читай софтовая коробка) то смотреть стоит как минимум на 5585-X при ваших хотелках. Ну и естественно в таком разе один тазик никто не ставит, ставить надо пару. По ценнику не совсем понятно, что значит дорого? В таких случаях нужно сразу писать сколько денег есть на затею вы же не в интегратор пришли. Мимо темы. А вы уверены что будет реально гиг? Оптику можно включить и на гиг, а вот сколько ней будет траффика можно регулировать полисером\шейпером. Разница между ASA на 300 мегабит (IPSEC) и ASA на гиг чуть не в 7-10 раз по цене.
- Подбор оборудования для шифрования, foxnet, 17:33 , 18-Апр-13 (12)
> Добрый день. Есть канал по оптике - 1Гб/с. При надобности поставить медиаконвертеры
> - не вопрос. Короче говоря, нужно его зашифровать. Я так подозреваю,
> что у циски для таких скоростей железо встанет очень дорого, наверняка
> ведь нужно будет покупать что-нибудь в стиле asa 5580, чтобы обеспечить
> производительность... или я ошибаюсь?
> А на какое еще оборудование стоит взглянуть? Может быть что-то подешевле есть... http://enterprise.huawei.com/en/products/security/network-se... Есть вот такой девайс.
|
Версия для распечатки
Подбор оборудования для шифрования, 
