9
Macsec 802.1ae - Günstigster Switch mit 1G-Wirespeed für Macsec
Hallo,
wir überlegen Macsec zur Verschlüsselung einer EthnernetConnect-Leitung sowie einer dark fibre-LWL nutzen. Bandbreite jeweils ca. 1 Gigabit für Außenstellen mit ca. 70 Büroarbeitsplätzen (Office etc.).
Bei meiner Recherche habe ich den Cisco Catalyst 2960CX-8TC-L als möglicherweise günstigsten macsec-fähigen Switch entdeckt (https://www.bechtle.com/shop/cisco-catalyst-2960cx-8tc-l-switch--960418- ...), 866 Euro netto): "Hardwarebasierte Verschlüsselung mit Media Access Control-Sicherheit (MACsec)."
Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
Und ist macsec bei diesem Switch ohne weitere Sonderlizenzierung direkt nutzbar? Oder wird dafür noch eine Zusatzlizenz (so wie bei den Ruckus-Switchen) benötigt?
Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?
Hat jemand einen alternativen Vorschlag?
Gruß
Peter5000
wir überlegen Macsec zur Verschlüsselung einer EthnernetConnect-Leitung sowie einer dark fibre-LWL nutzen. Bandbreite jeweils ca. 1 Gigabit für Außenstellen mit ca. 70 Büroarbeitsplätzen (Office etc.).
Bei meiner Recherche habe ich den Cisco Catalyst 2960CX-8TC-L als möglicherweise günstigsten macsec-fähigen Switch entdeckt (https://www.bechtle.com/shop/cisco-catalyst-2960cx-8tc-l-switch--960418- ...), 866 Euro netto): "Hardwarebasierte Verschlüsselung mit Media Access Control-Sicherheit (MACsec)."
Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
Und ist macsec bei diesem Switch ohne weitere Sonderlizenzierung direkt nutzbar? Oder wird dafür noch eine Zusatzlizenz (so wie bei den Ruckus-Switchen) benötigt?
Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?
Hat jemand einen alternativen Vorschlag?
Gruß
Peter5000
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5908909609
Url: https://administrator.de/contentid/5908909609
Printed on: July 26, 2024 at 23:07 o'clock
9 Comments
Latest comment
"MACsec is not supported on switches running the NPE or the LAN base image." Siehe:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960cx_3650cx ...
Das 2960CX Datenblatt sagt: "...CX compact switches ship with the IP Base version of Cisco IOS Software."
Da musst du dann die Upgrade Lizenz für das IP Service Image mitbestellen. Datenblatt lesen hilft...
Oder doch den ICX 7450 oder ICX 7550 aber dann eben mit Lizenz, die man ja aber wie oben nur einmal einspielen muss um damit das Feature permanent freizuschalten.
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960cx_3650cx ...
Das 2960CX Datenblatt sagt: "...CX compact switches ship with the IP Base version of Cisco IOS Software."
Da musst du dann die Upgrade Lizenz für das IP Service Image mitbestellen. Datenblatt lesen hilft...
Oder doch den ICX 7450 oder ICX 7550 aber dann eben mit Lizenz, die man ja aber wie oben nur einmal einspielen muss um damit das Feature permanent freizuschalten.
Vielen Dank!
Datenblatt 2:
"Q. Is MACsec supported?
A. Cisco Catalyst 3560-CX Series switches are hardware-capable of MACsec (IEEE 802.1ae). "
Oh, das hatte ich überlesen. MACsec wird also nur auf 3560-CX (IP Base/IP Services) unterstützt, nicht auf 2960-CX (LAN BAse).
Datenblatt 1:
"Cisco Catalyst 3560-CX compact switches ship with the IP Base version of Cisco IOS® Software. The 3560-CX
switches can be upgraded to use the IP Services version of IOS Software with a right-to-use (RTU) License. The IP
Base and IP Services feature set on Cisco Catalyst 3560-CX switches provides baseline enterprise services in
addition to all LAN Base features. They support Layer 3 networking features, including support for routed access,
Cisco TrustSec, media access control security (MACsec), and other advanced network services. The IP Services
feature set provides full Layer 3 routing capabilities with Open Shortest Path First (OSPF), Border Gateway
Protocol (BGP), Enhanced Internal Gateway Routing Protocol (EIGRP), Policy-Based Routing (PBR), Multicast
Routing, and Virtual Routing and Forwarding (VRF) Lite. "
Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?
Weiterhin unklar:
- Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
- Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?
Datenblatt 2:
"Q. Is MACsec supported?
A. Cisco Catalyst 3560-CX Series switches are hardware-capable of MACsec (IEEE 802.1ae). "
Oh, das hatte ich überlesen. MACsec wird also nur auf 3560-CX (IP Base/IP Services) unterstützt, nicht auf 2960-CX (LAN BAse).
Datenblatt 1:
"Cisco Catalyst 3560-CX compact switches ship with the IP Base version of Cisco IOS® Software. The 3560-CX
switches can be upgraded to use the IP Services version of IOS Software with a right-to-use (RTU) License. The IP
Base and IP Services feature set on Cisco Catalyst 3560-CX switches provides baseline enterprise services in
addition to all LAN Base features. They support Layer 3 networking features, including support for routed access,
Cisco TrustSec, media access control security (MACsec), and other advanced network services. The IP Services
feature set provides full Layer 3 routing capabilities with Open Shortest Path First (OSPF), Border Gateway
Protocol (BGP), Enhanced Internal Gateway Routing Protocol (EIGRP), Policy-Based Routing (PBR), Multicast
Routing, and Virtual Routing and Forwarding (VRF) Lite. "
Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?
Weiterhin unklar:
- Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
- Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?
nicht auf 2960-CX (LAN BAse).
Doch dort auch aber nicht mit dem IP Base Image, auch nicht auf dem 3560.Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?
Das hast du vermutlich missverstanden. Es heisst ja Base and IP Services feature. Der Implementation Guide ist da zusätzlich ganz klar in den Fakten. Verständlich, denn bei einfachen Access Switches gibt es MacSec Hardware und damit auch Kosten bedingt in der Regel nicht und wenn dann immer nur mit Zusatzlizenz.Was 17,9 mpps bei einer durchschnittlichen Paketgröße von 256 Bytes an "Wirespeed" bedeutet kannst du dir ja selbst ausrechnen:
https://calculator.academy/packets-per-second-calculator/
Sers,
Zitat von @Port5000:
Weiterhin unklar:
- Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
MACSEC läuft hier mit Wirespeed. Ich würde allerdings überlegen, gleich auf 10G zu gehen.Weiterhin unklar:
- Leider habe ich dazu keine Infos gefunden, inwieweit macsec auf diesem Switch für Laufzeit- und Bandbreitenreduktion führt. Meint "hardwarebasiert", dass es annähernd bei wirespeed bleibt?
- Ist die Forwarding-Rate von 17,9 mpps ein Problem, wenn die Leitung zur Anbindung einer Außenstelle mit ca. 70 Bürorbeitsplätzen (Office etc.) genutzt wird?
17,9mpps entspricht bei 64 Byte Paketen grob 8 gbit/s, bei 1500 Byte Paketen grob 200 gbit/s. Sprich, da ist auf jeden Fall genug Luft im ASIC für deine Anwendung ;)gleich auf 10G zu gehen.
Geht nicht, denn dark Fiber und EthernetConnect sind in der Regel immer limitiert.
Vielen Dank
Schade.
Kann es wirklich sein, dass diese Zusatzlizenz ca. 3.000 € kostet? (https://itprice.com/cisco/l-c3560cx-12-s-e.html)
Für einen Switch, der selbst nur ca. 1.500 € kostet?
Zitat von @aqui:
>> Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?
Das hast du vermutlich missverstanden. Es heisst ja Base and IP Services feature. Der Implementation Guide ist da zusätzlich ganz klar in den Fakten. Verständlich, denn bei einfachen Access Switches gibt es MacSec Hardware und damit auch Kosten bedingt in der Regel nicht und wenn dann immer nur mit Zusatzlizenz.
>> Hört sich so an, als sei ein Upgrade von "IP Base" auf "IP Services" nicht erforderlich, oder?
Das hast du vermutlich missverstanden. Es heisst ja Base and IP Services feature. Der Implementation Guide ist da zusätzlich ganz klar in den Fakten. Verständlich, denn bei einfachen Access Switches gibt es MacSec Hardware und damit auch Kosten bedingt in der Regel nicht und wenn dann immer nur mit Zusatzlizenz.
Schade.
Kann es wirklich sein, dass diese Zusatzlizenz ca. 3.000 € kostet? (https://itprice.com/cisco/l-c3560cx-12-s-e.html)
Für einen Switch, der selbst nur ca. 1.500 € kostet?
Statt rumzuraten rufe einen zertifizierten Cisco Partner in deiner Region an und lasse dir ein unverbindliches Angebot machen. Gleiches von Ruckus und dann kannst du vergleichen.
Muss es denn ein "oller" 3560er sein, oder wäre auch ein neuerer C9200CX denkbar? Den gibt es mWn neu nicht ohne Notwork Essentials Lizenz, und somit integriertem MACSEC. (beispielsweise C9200CX-12T-2X2G-E oder C9200CX-8P-2X2G-E)
Eine Alternative könnte auch die FSP 150 Serie von ADVA sein.
Die nutzen wir im Zusammenhang mit MACSEC zur Absicherung unserer EtherConnect Leitungen. Möglicherweise kann dich hier auch dein ISP beraten.
Eine Alternative könnte auch die FSP 150 Serie von ADVA sein.
Die nutzen wir im Zusammenhang mit MACSEC zur Absicherung unserer EtherConnect Leitungen. Möglicherweise kann dich hier auch dein ISP beraten.
Danke für die Tips! Werde ich mir ansehen.