port5000
Goto Top

Macsec 802.1ae - Günstigster Switch mit 1G-Wirespeed für Macsec

Hallo,

wir überlegen Macsec zur Verschlüsselung einer EthnernetConnect-Leitung sowie einer dark fibre-LWL nutzen. Bandbreite jeweils ca. 1 Gigabit für Außenstellen mit ca. 70 Büroarbeitsplätzen (Office etc.).

Bei meiner Recherche habe ich den Cisco Catalyst 2960CX-8TC-L als möglicherweise günstigsten macsec-fähigen Switch entdeckt (https://www.bechtle.com/shop/cisco-catalyst-2960cx-8tc-l-switch--960418- ...), 866 Euro netto): "Hardwarebasierte Verschlüsselung mit Media Access Control-Sicherheit (MACsec)."
Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
Und ist macsec bei diesem Switch ohne weitere Sonderlizenzierung direkt nutzbar? Oder wird dafür noch eine Zusatzlizenz (so wie bei den Ruckus-Switchen) benötigt?
Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?

Hat jemand einen alternativen Vorschlag?


Gruß
Peter5000

Content-Key: 5908909609

Url: https://administrator.de/contentid/5908909609

Printed on: June 22, 2024 at 19:06 o'clock

Member: aqui
aqui Feb 08, 2023 at 11:50:05 (UTC)
Goto Top
"MACsec is not supported on switches running the NPE or the LAN base image." Siehe:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960cx_3650cx ...
Das 2960CX Datenblatt sagt: "...CX compact switches ship with the IP Base version of Cisco IOS Software."
Da musst du dann die Upgrade Lizenz für das IP Service Image mitbestellen. Datenblatt lesen hilft... face-wink

Oder doch den ICX 7450 oder ICX 7550 aber dann eben mit Lizenz, die man ja aber wie oben nur einmal einspielen muss um damit das Feature permanent freizuschalten.
Member: Port5000
Port5000 Feb 08, 2023 at 12:16:22 (UTC)
Goto Top
Vielen Dank!

Datenblatt 2:
"Q. Is MACsec supported?
A. Cisco Catalyst 3560-CX Series switches are hardware-capable of MACsec (IEEE 802.1ae). "

Oh, das hatte ich überlesen. MACsec wird also nur auf 3560-CX (IP Base/IP Services) unterstützt, nicht auf 2960-CX (LAN BAse).


Datenblatt 1:
"Cisco Catalyst 3560-CX compact switches ship with the IP Base version of Cisco IOS® Software. The 3560-CX
switches can be upgraded to use the IP Services version of IOS Software with a right-to-use (RTU) License. The IP
Base and IP Services feature set on Cisco Catalyst 3560-CX switches provides baseline enterprise services in
addition to all LAN Base features. They support Layer 3 networking features, including support for routed access,
Cisco TrustSec, media access control security (MACsec), and other advanced network services. The IP Services
feature set provides full Layer 3 routing capabilities with Open Shortest Path First (OSPF), Border Gateway
Protocol (BGP), Enhanced Internal Gateway Routing Protocol (EIGRP), Policy-Based Routing (PBR), Multicast
Routing, and Virtual Routing and Forwarding (VRF) Lite. "


Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?

Weiterhin unklar:
- Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
- Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?
Member: aqui
Solution aqui Feb 08, 2023 updated at 14:52:02 (UTC)
Goto Top
nicht auf 2960-CX (LAN BAse).
Doch dort auch aber nicht mit dem IP Base Image, auch nicht auf dem 3560.
Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?
Das hast du vermutlich missverstanden. Es heisst ja Base and IP Services feature. Der Implementation Guide ist da zusätzlich ganz klar in den Fakten. Verständlich, denn bei einfachen Access Switches gibt es MacSec Hardware und damit auch Kosten bedingt in der Regel nicht und wenn dann immer nur mit Zusatzlizenz.
Was 17,9 mpps bei einer durchschnittlichen Paketgröße von 256 Bytes an "Wirespeed" bedeutet kannst du dir ja selbst ausrechnen:
https://calculator.academy/packets-per-second-calculator/
Member: psannz
Solution psannz Feb 08, 2023 at 15:01:41 (UTC)
Goto Top
Sers,
Zitat von @Port5000:
Weiterhin unklar:
- Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
MACSEC läuft hier mit Wirespeed. Ich würde allerdings überlegen, gleich auf 10G zu gehen.
- Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?
17,9mpps entspricht bei 64 Byte Paketen grob 8 gbit/s, bei 1500 Byte Paketen grob 200 gbit/s. Sprich, da ist auf jeden Fall genug Luft im ASIC für deine Anwendung ;)
Member: aqui
aqui Feb 08, 2023 at 16:17:03 (UTC)
Goto Top
gleich auf 10G zu gehen.
Geht nicht, denn dark Fiber und EthernetConnect sind in der Regel immer limitiert.
Member: Port5000
Port5000 Feb 08, 2023 at 17:25:58 (UTC)
Goto Top
Vielen Dank
Zitat von @aqui:
>> Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?
Das hast du vermutlich missverstanden. Es heisst ja Base and IP Services feature. Der Implementation Guide ist da zusätzlich ganz klar in den Fakten. Verständlich, denn bei einfachen Access Switches gibt es MacSec Hardware und damit auch Kosten bedingt in der Regel nicht und wenn dann immer nur mit Zusatzlizenz.

Schade.

Kann es wirklich sein, dass diese Zusatzlizenz ca. 3.000 € kostet? (https://itprice.com/cisco/l-c3560cx-12-s-e.html)
Für einen Switch, der selbst nur ca. 1.500 € kostet?
Member: aqui
aqui Feb 08, 2023 at 18:28:07 (UTC)
Goto Top
Statt rumzuraten rufe einen zertifizierten Cisco Partner in deiner Region an und lasse dir ein unverbindliches Angebot machen. Gleiches von Ruckus und dann kannst du vergleichen. face-wink
Member: psannz
Solution psannz Feb 09, 2023 updated at 10:14:49 (UTC)
Goto Top
Muss es denn ein "oller" 3560er sein, oder wäre auch ein neuerer C9200CX denkbar? Den gibt es mWn neu nicht ohne Notwork Essentials Lizenz, und somit integriertem MACSEC. (beispielsweise C9200CX-12T-2X2G-E oder C9200CX-8P-2X2G-E)

Eine Alternative könnte auch die FSP 150 Serie von ADVA sein.
Die nutzen wir im Zusammenhang mit MACSEC zur Absicherung unserer EtherConnect Leitungen. Möglicherweise kann dich hier auch dein ISP beraten.
Member: Port5000
Port5000 Feb 13, 2023 at 17:17:14 (UTC)
Goto Top
Danke für die Tips! Werde ich mir ansehen.