Alternative zu Macsec?
Hallo zusammen,
wir müssten bald ein 2 Gebäude mit Netzwerk versorgen (temporär für 2 Jahre gemietet).
Da leider eine Straße dazwischen ist, bleibt imho nur Richtfunk (130m) übrig.
Leider scheinen die 60ghz Lösungen alle, eine "out of the Box" Lösung zu sein --> an der Antenne werden 2 RJ49 Kabel rein gesteckt --> funktioniert.
Das Problem ist jetzt natürlich, dass jeder der aufm Dach kommt, das Kabel einfach raus ziehen kann, POE Switch + Laptop --> die jenigen sind im Netz.
Richtfunkanlagen, die nach Aussen nur mit einem Koaxkabel für die Antenne verbunden werden, und der "Router" im Gebäude ist, gibts wohl nur im 80GHZ oder klassicher Richtfunk, Bereich. Problem hier ist im Gegensatz zu 60Ghz Bereich teuer und man muss eine Lizenz für die benötigte Frequenz zu beantragen.
Daher meine Idee, die zu überwindende Strecke zu verschlüsseln.
Ich weiss, dass ein HPE 5400R zl2 und HPE 2930M mit passendem Modul "macsec" betreiben kann.
Dazu habe ich jetzt ein "paar" fragen:
Ein HPE 5400R zl2 haben wir, aber auch der kleinste 2930M + Macsec Modul (wenn man sie überhaupt bekommt) + SFPRJ49 Modul ist man ja schnell bei 3000€.
Gibts da andere alternativen?
Bzw. weiss jemand ob das Macsec zwischen HPE/Aruba und Cisco kompatibel sind?
Eine VPN dazwischen zu bauen, möchten wir vermeiden.
Danke schon mal im vorraus...
Gruß
Hoschi
wir müssten bald ein 2 Gebäude mit Netzwerk versorgen (temporär für 2 Jahre gemietet).
Da leider eine Straße dazwischen ist, bleibt imho nur Richtfunk (130m) übrig.
Leider scheinen die 60ghz Lösungen alle, eine "out of the Box" Lösung zu sein --> an der Antenne werden 2 RJ49 Kabel rein gesteckt --> funktioniert.
Das Problem ist jetzt natürlich, dass jeder der aufm Dach kommt, das Kabel einfach raus ziehen kann, POE Switch + Laptop --> die jenigen sind im Netz.
Richtfunkanlagen, die nach Aussen nur mit einem Koaxkabel für die Antenne verbunden werden, und der "Router" im Gebäude ist, gibts wohl nur im 80GHZ oder klassicher Richtfunk, Bereich. Problem hier ist im Gegensatz zu 60Ghz Bereich teuer und man muss eine Lizenz für die benötigte Frequenz zu beantragen.
Daher meine Idee, die zu überwindende Strecke zu verschlüsseln.
Ich weiss, dass ein HPE 5400R zl2 und HPE 2930M mit passendem Modul "macsec" betreiben kann.
Dazu habe ich jetzt ein "paar" fragen:
Ein HPE 5400R zl2 haben wir, aber auch der kleinste 2930M + Macsec Modul (wenn man sie überhaupt bekommt) + SFPRJ49 Modul ist man ja schnell bei 3000€.
Gibts da andere alternativen?
Bzw. weiss jemand ob das Macsec zwischen HPE/Aruba und Cisco kompatibel sind?
Eine VPN dazwischen zu bauen, möchten wir vermeiden.
Danke schon mal im vorraus...
Gruß
Hoschi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2538507293
Url: https://administrator.de/forum/alternative-zu-macsec-2538507293.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
37 Kommentare
Neuester Kommentar
Moin,
schau mal hier: https://www.secunet.com
Zwei SINA-Boxen und die Leitung ist sicher. Verschlüsselung made in Germany.
Gruß
bdmvg
schau mal hier: https://www.secunet.com
Zwei SINA-Boxen und die Leitung ist sicher. Verschlüsselung made in Germany.
Gruß
bdmvg
Leider scheinen die 60ghz Lösungen alle, eine "out of the Box" Lösung zu sein
Nein, so pauschal gesagt ist das wie immer Unsinn. Nicht alle. Mikrotik (und viele andere) 60GHz Bridges (oder Router) kannst du frei konfigurieren mit RouterOS. Ist immer besser sie statt ineffizientem Bridging im Routing Mode laufen zu lassen um nicht wertvolle Funk Bandbreite mit Broad- und Multicast Traffic beider zu koppelnder Netze nicht sinnlos zu verschwenden.https://mikrotik.com/products/group/60-ghz-products
Datenblätter richtig lesen hilft ungemein !
Daher meine Idee, die zu überwindende Strecke zu verschlüsseln.
Wäre die andere Alternative... Kann jeder popelige Funk Router wie z.B. die o.a. Mikrotiks auch.Macsec Modul (wenn man sie überhaupt bekommt
Weltfirma HP...ohne Worte ! Das bekommt man wenn sich Druckerspezialisten an Netzwerk Infrastruktur versuchen... 🤣Andere Hersteller wie z.B. Ruckus, Cisco, Mikrotik (ab RouterOS 7) u.v.a. haben sowas von sich aus schon gleich per Firmware an Bord ohne teure Zusatzhardware.
finde ich nicht schlecht..eher gut,
Du kennst vermutlich deren Innenleben nicht und auch andere Hersteller, dann würdest du so etwas nicht schreiben.Wie schlecht sie sind zeigt ja auch dein Macsec Thema. Das haben schon einfache 100 Euro Switches an Bord...
Aber egal...ganz anderes Thema !
Kann man denn Aruba und Cisco Macsec kombinieren?
Oha, die Frage lässt ebenso Schlimmes erahnen ob du wirklich der Richtige für so eine Aufgabe bist... Ist ein weltweiter Standard:https://en.wikipedia.org/wiki/IEEE_802.1AE
Das ist so als würdest du fragen ob Ethernet zwischen Switches unterschiedlicher Hersteller funktioniert oder ob man Jet Benzin auch in Porsche oder Opel tanken kann... 😉
welche Minrotikprodukte meinst du denn genau...
Mikrotik heisst der Hersteller und ist einer der wenigen der noch in der EU produziert.Alle deren Ethernet Switches supporten es. Zumindestens alle die RouterOS tauglich sind, denn Macsec ist ein Feature der Firmware RouterOS 7
Noch viel lernen du noch musst... würde Meister Yoda sagen...
Zitat von @aqui:
Mikrotik heisst der Hersteller und ist einer der wenigen der noch in der EU produziert.
Alle deren Ethernet Switches supporten es. Zumindestens alle die RouterOS tauglich sind, denn Macsec ist ein Feature der Firmware RouterOS 7
Nur das MacSec auf den Mikrotiks im 7er Zweig noch überhaupt nicht funktional ist ! Denke das sollte man hier wichtigerweise noch erwähnen ...Mikrotik heisst der Hersteller und ist einer der wenigen der noch in der EU produziert.
Alle deren Ethernet Switches supporten es. Zumindestens alle die RouterOS tauglich sind, denn Macsec ist ein Feature der Firmware RouterOS 7
Aber aktiviertes "dot1x" oder ein einfacher IPtoIP oder EoIP oder GRE Tunnel mit aktiviertem IPSec erledigt das mit denen natürlich in null komma nix ...
Moin,
Nur mal nebenbei als ich mich vor ein paar Jahren mit MacSec bei Ruckus Geräten beschäftigen musste war das ebenfalls sau teuer.
Der Preis pro Seite für die Lizenz lag bei gut 1500€. So entspannt die Technologie auch ist.
Wir haben es da dennoch in Kauf genommen da wir gut 2k Kunden darüber bedient haben. Für eine simple Luftlinie sehe ich das jetzt nicht gerade im Verhältnis.
Gruß
Spirit
Nur mal nebenbei als ich mich vor ein paar Jahren mit MacSec bei Ruckus Geräten beschäftigen musste war das ebenfalls sau teuer.
Der Preis pro Seite für die Lizenz lag bei gut 1500€. So entspannt die Technologie auch ist.
Wir haben es da dennoch in Kauf genommen da wir gut 2k Kunden darüber bedient haben. Für eine simple Luftlinie sehe ich das jetzt nicht gerade im Verhältnis.
Gruß
Spirit
Ist heute in einigen Ruckus Modellen per Default embedded aber nicht bei allen wo eine Lizenz fällig ist. Ist bei Cisco und anderen ähnlich.
Der Lösungsansatz des Kollegen @1915348599 ist natürlich preiswerter und genauso gut. Zumal die 60Ghz Bridges/Router das mit Bordmitteln machen.
Den letzten Kauderwelsch Satz des TO versteht leider kein Mensch ! (Google Translate auch nicht)
Der Lösungsansatz des Kollegen @1915348599 ist natürlich preiswerter und genauso gut. Zumal die 60Ghz Bridges/Router das mit Bordmitteln machen.
Den letzten Kauderwelsch Satz des TO versteht leider kein Mensch ! (Google Translate auch nicht)
Zitat von @atarjono:
Sorry für meine Ausdrucksweise.
Welches Mikrotik 60ghz Richtfunk wäre es denn, wo die Antenne und Technik, getrennt wäre.
Sorry für meine Ausdrucksweise.
Welches Mikrotik 60ghz Richtfunk wäre es denn, wo die Antenne und Technik, getrennt wäre.
Gibt es (noch) nicht
https://mikrotik.com/products/group/60-ghz-products
Bringt dir ehrlich gesagt auch keine großen Vorteile, unverschlüsselte Wifi Signale lassen sich sogar noch leichter knacken als sich extra an ne Buchse zu stöpseln, wozu sollte der Angreifer also extra aufs Dach kraxeln? Verschlüssel die Routing-Endpunkte im Netz mit IPSec und der Jung hat ernste Probleme auch nachdem er die Wifi-Verbindung geknackt hätte...
Dienstleister ?? Warum kaufst du dir nicht einfach 2 der Bridges wie es jeder Netzwerk Admin macht, klemmst sie mit Saugnapfhaltern an ein Fenster oder fragst den Hausmeister ob er die an beiden Gebäuden montiert, fertig.
Die o.a. Bridges kosten um die 250 Euro, haben IPsec Verschlüsselung gleich an Bord und lösen deine Anforderung im Handumdrehen. Allein ein einziger Catalyst Switch kostet das 30fache dieser Summe. Du brauchst 2 und dann noch deinen "Dienstleister". Rechnen kannst du sicher selber...
Bei "Dienstleistern" wirst du zudem lange suchen müssen. Gibt es nicht sowas. Ist ja auch unsinnig wenn man nur 2 popelige Gebäude verbinden will. Aber warum einfach machen wenn es umständlich und mit ordentlich Bürokratie auch geht ?!
Ganz ehrlich ? Du solltest dir wirklich jemanden an die Hand nehmen der auch versteht was er macht.
Case closed !
Die o.a. Bridges kosten um die 250 Euro, haben IPsec Verschlüsselung gleich an Bord und lösen deine Anforderung im Handumdrehen. Allein ein einziger Catalyst Switch kostet das 30fache dieser Summe. Du brauchst 2 und dann noch deinen "Dienstleister". Rechnen kannst du sicher selber...
Bei "Dienstleistern" wirst du zudem lange suchen müssen. Gibt es nicht sowas. Ist ja auch unsinnig wenn man nur 2 popelige Gebäude verbinden will. Aber warum einfach machen wenn es umständlich und mit ordentlich Bürokratie auch geht ?!
ein Cisco Catalyst 2960CX-8PC-L (der nur für Macsec ist)
Du ziehst dir ganz sicher auch morgens die Hose mit einer Kneifzange an. Mit einer glanzverchromten sicherlich ?!! Ohne Worte...Ganz ehrlich ? Du solltest dir wirklich jemanden an die Hand nehmen der auch versteht was er macht.
aber das macht leider weitere Baustellen auf wie z.B. neues Netzsegment, DHCP-Server, Routing etc..
Was eine Fehleinschätzung...aber egal. Siehe "an die Hand nehmen" oben. Mach es wie du das für richtig hälst und gut iss. Du hast ja eh schon einen Plan also warum noch andere Administratoren fragen ?Case closed !
neues Netzsegment, DHCP-Server, Routing etc..
Bridgen über Wireless wo dann auch der Broadcast-Traffic die verfügbare Bandbreite weiter reduziert ist eh keine gute Idee ... Aber na gut muss jeder selbst wissen.Dann bitte den Beitrag auch schließen. Danke.
🖖
Anscheint muss ich mich wohl über "Bridges" einlesen.
Jein. Im Grunde sind die 60Ghz Geräte Funk Router. Zumindestens die von MT.Router supporten wie der Kollege @1915348599 oben schon gesagt hat immer auch den Bridge Mode. Sprich die Geräte sind eierlegende Wollmilchsäue und können quasi alles was der Anwender in seinem Anforderungsprofil hat. Es ist lediglich einen Frage der Konfiguration. (Wie immer )
Bei der Funkkopplung größerer Netze wie z.B. denen zweier Gebäude nutzen vorausplanende und verantwortungsvolle Netzwerker meist niemals den Bridge Mode. Der Grund sind die jeweiligen Broad- und Multicast Lasten der zu koppelnden Netze die auf einem Link im Bridge Mode (Layer 2), Prinzip bedingt, immer übertragen werden müssen. Da der Funk Link physisch bedingt eine deutlich schmalere Bandbreite besitzt kostet sowas massiv wertvolle Bandbreite die man sinnvoller für reine Nutzdaten vorhalten sollte.
Bei gerouteten Links passiert das nicht, denn Router leiten, auch Prinzip bedingt da Layer 3, generell keine Broad- und Multicast Frames weiter. Diese Art ist also immer zu bevorzugen und die entsprechenden Geräte haben alle die von dir genannten Funktionen auch gleich an Bord.
warum kostet ein Richtfunk, was vom Dienstleister installiert wird (Ceragon FibeAir IP-20V) um ein vielfaches?
Diese Anbieter nutzen in der Regel genehmigungspflichtige Lösungen in nicht freien Frequenzbereichen arbeiten. WLAN und 60Ghz nutzen lizenzfreie Frequenzbereiche. Dazu ist zum einen eine vielfach teurere Hardware erforderlich und es kommen monatliche Lizenz- und Nutzungsgebühren der jeweiligen Telekommunikationsverwaltung hinzu. Planung und physische Umsetzung der erforderlichen Infrastruktur so eines Dienstleisters der eine feste physische Umgebung erfordert, erhöht die Preise nochmehr so das es zu diesen drastischen Unterschieden kommt. Vom laufenden kostenpflichtigen Support solcher Anbieter mal nicht zu reden der auch noch dazukommt.Die Ceragon Gurke ist auch nichts anderes als eine einfache 60Ghz Bridge die auch das lizenzfreie V-Band nutzt. Laut Datenblatt ist sie aber nix anderes als eine billige Bridge die im Gegensatz zum MT nur Layer 2 kann und kein Layer 3 (Routing).
Die Frage ist letztlich ob dieser Aufwand für eine temporäre Installation gerechtfertig ist oder ob man es selber betreibt. Der Aufwand und Kosten dafür sind gering.
Das alles sind aber rein ökonomische Fragen die dir ein rein technisches Forum wie dieses nicht beantworten kann. Zumal es ja auch budgettechnische Fragen der Firma selber betrifft.
Alles einfache Binsenweisheiten die man eigentlich als Netzwerk Admin kennt oder kennen sollte...
Case closed !
Wie kann ich einen Beitrag als gelöst markieren?
Du hast ja gesehen wie dein "Dienstleister" sowas löst. An einem aufs Dach gestellten Sonnenschirmständer durch Gehwegplatten beschwert...!
Der Öffnungswinkel der Antennen (sofern du weisst was das ist ?!) ist niemals so schmal das es bei Winstößen zu Unterbrechungen kommt. Da kannst du also ganz entspannt bleiben.
Der Öffnungswinkel der Antennen (sofern du weisst was das ist ?!) ist niemals so schmal das es bei Winstößen zu Unterbrechungen kommt. Da kannst du also ganz entspannt bleiben.
"Ob der Elektiker nun 1 oder 1 Cat7 Kabel zieht "
Was genau meinst du mit diesem kryptischen Satz ???Huch meinte ob er 1 oder 2 Cat7 Kabel bis zum Dach zieht...
Korrektur lesen nach dem Abschicken hilft hier ! Außerdem gibt es immer den "Bearbeiten" Knopf der dich das IMMER auch nachträglich korrigieren lässt. Da hast du wohl noch etwas 🍅 auf den 👀 gehabt ?!Zum Öffnungswinkel siehe hier:
https://de.wikipedia.org/wiki/Antennendiagramm
"Noch viel lernen du noch musst..."
Zitat von @atarjono:
Noch mal eine kleine Verständnissfrage:
Ist 802.1AE in 802.1X enthalten?
Dachte das "X" steht für eine Buchstabe und nicht eine x beliebige Buchstabe ^^
Noch mal eine kleine Verständnissfrage:
Ist 802.1AE in 802.1X enthalten?
Dachte das "X" steht für eine Buchstabe und nicht eine x beliebige Buchstabe ^^
Also:
https://en.wikipedia.org/wiki/IEEE_802.1AE
https://de.wikipedia.org/wiki/IEEE_802.1X
sowas ist doch nicht so schwer.
Ich kenne gerade nicht das komplette aktuelle Portfolio.
Früher war MACsec aber auch bei Aruba nicht in allen Produkten verfügbar. Ich schätze der Supporter hat nicht verstanden das es ja nun schließlich um eine eigene Norm geht.
802.11X hätte ich jetzt auch auf so ziemlich allen Aruba Switchen vermutet.
Früher war MACsec aber auch bei Aruba nicht in allen Produkten verfügbar. Ich schätze der Supporter hat nicht verstanden das es ja nun schließlich um eine eigene Norm geht.
802.11X hätte ich jetzt auch auf so ziemlich allen Aruba Switchen vermutet.
Zitat von @aqui:
Oha...sagt ja viel aus über Aruba wenn 2nd Level Supporter nicht einmal den Unterschied zw. .1ae und .1x kennen. Solltest du vielleicht mal drüber nachdenken ob ein Druckerhersteller auch Netzwerk kann und das eine gute Wahl für dich ist...?! Andere können das besser.
Oha...sagt ja viel aus über Aruba wenn 2nd Level Supporter nicht einmal den Unterschied zw. .1ae und .1x kennen. Solltest du vielleicht mal drüber nachdenken ob ein Druckerhersteller auch Netzwerk kann und das eine gute Wahl für dich ist...?! Andere können das besser.
Das ist auch übertrieb formuliert. Aruba selbst habe ich immer als sehr kompetent empfunden.
Wahrscheinlich wurde der Support nun aber mit HPe zusammen gelegt.