147048
Apr 24, 2021
1839
3
0
MACSec Fragen, Hardware, etc
Hallo zusammen,
ich möchte gerne zwei Gebäude via 60 GHz Richtfunk miteinander vernetzen, um einen möglichst großen Durchsatz zu erreichen.
Der Link soll zur Sicherheit verschlüsselt werden - möglichst full-duplex wirespeed.
Die Topologie sieht in etwa wie folgt aus:
... <---> Sender 1 <---> Sender 2 <---> L2-managed Switch <---> ...
Nun stehe ich leider vor dem Problem, dass "normales" MACSec, das wohl die offensichtlichste Wahl gewesen wäre, bei diesem Ansatz - aufgrund des Wireless-Links - leider nicht mehr funktioniert...
Lösungen, zumindest diejenigen, welche ich finden konnte, die MACSec-over-WAN fähig sind (bspw. von Cisco), gehen leider schnell - auch bei gebrauchter Hardware - in die tausende; von den für einen "nicht-Profi" unterirdischen Konfigurationsmöglichkeiten mal ganz abgesehen.
Entsprechend habe ich mir zwei Fragen gestellt:
1a) Ist es grundsätzlich möglich (normales) MACSec über L2tp oder EoIP (Mikrotik), parallel zu anderen VLANs außerhalb des Tunnels, zu betreiben und somit die Beschränkungen der Hop-by-Hop Verschlüsselung zu "umgehen"?
1b) Würde der Ansatz aus 1a) den Durchsatz merklich verringern bzw. die wirespeed-Verschlüsselung zunichte machen?
2) Welche günstige Hardware (auch generalüberholt) für MACSec und MACSec-over-WAN ist derzeit überhaupt erhältlich bzw. für den oben genannten use-case sinnvoll?
Ich hoffe, das war so weit alles verständlich
Viele Grüße
ich möchte gerne zwei Gebäude via 60 GHz Richtfunk miteinander vernetzen, um einen möglichst großen Durchsatz zu erreichen.
Der Link soll zur Sicherheit verschlüsselt werden - möglichst full-duplex wirespeed.
Die Topologie sieht in etwa wie folgt aus:
... <---> Sender 1 <---> Sender 2 <---> L2-managed Switch <---> ...
Nun stehe ich leider vor dem Problem, dass "normales" MACSec, das wohl die offensichtlichste Wahl gewesen wäre, bei diesem Ansatz - aufgrund des Wireless-Links - leider nicht mehr funktioniert...
Lösungen, zumindest diejenigen, welche ich finden konnte, die MACSec-over-WAN fähig sind (bspw. von Cisco), gehen leider schnell - auch bei gebrauchter Hardware - in die tausende; von den für einen "nicht-Profi" unterirdischen Konfigurationsmöglichkeiten mal ganz abgesehen.
Entsprechend habe ich mir zwei Fragen gestellt:
1a) Ist es grundsätzlich möglich (normales) MACSec über L2tp oder EoIP (Mikrotik), parallel zu anderen VLANs außerhalb des Tunnels, zu betreiben und somit die Beschränkungen der Hop-by-Hop Verschlüsselung zu "umgehen"?
1b) Würde der Ansatz aus 1a) den Durchsatz merklich verringern bzw. die wirespeed-Verschlüsselung zunichte machen?
2) Welche günstige Hardware (auch generalüberholt) für MACSec und MACSec-over-WAN ist derzeit überhaupt erhältlich bzw. für den oben genannten use-case sinnvoll?
Ich hoffe, das war so weit alles verständlich
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666080
Url: https://administrator.de/contentid/666080
Printed on: April 19, 2024 at 23:04 o'clock
3 Comments
Latest comment
1a.)
Nein, das lässt das Konzept von Macsec Prinzip bedingt (hop by hop) nicht zu.
1b.)
Nein, Macsec ist immer Wirespeed bei entsprechender HW.
2.)
Da es mit Macsec so nicht lösbar ist hat sich die Frage vermutlich erübrigt.
Lösung:
Route ganz einfach über den 60Ghz Link, ist so oder so erheblich besser weil man den Link nicht mit den beidseitigen Broad- und Multicast Traffic in der Performance belastet.
Dann machst du darüber eine ganz einfache IPsec Transport Verschlüsselung (kein Tunnel Mode !). Jeder preiswerte Mikrotik Router wie z.B. hex-S, RB4011 oder ein L3 Switch CRSxyz usw. realisiert das problemlos. Für dich auch mit einem einfachen Klicki Bunti GUI für Anfänger. 🤣
Nein, das lässt das Konzept von Macsec Prinzip bedingt (hop by hop) nicht zu.
1b.)
Nein, Macsec ist immer Wirespeed bei entsprechender HW.
2.)
Da es mit Macsec so nicht lösbar ist hat sich die Frage vermutlich erübrigt.
Lösung:
Route ganz einfach über den 60Ghz Link, ist so oder so erheblich besser weil man den Link nicht mit den beidseitigen Broad- und Multicast Traffic in der Performance belastet.
Dann machst du darüber eine ganz einfache IPsec Transport Verschlüsselung (kein Tunnel Mode !). Jeder preiswerte Mikrotik Router wie z.B. hex-S, RB4011 oder ein L3 Switch CRSxyz usw. realisiert das problemlos. Für dich auch mit einem einfachen Klicki Bunti GUI für Anfänger. 🤣
1
Danke erstmal für die Antwort.
Leider habe ich schon vermutet, dass es darauf hinausläuft.
Ich muss allerdings noch einmal kurz einhaken: Sollte ich auf IPsec zurückgreifen, käme ich wohl (selbst mit dem RB4011) nicht an voll-duplex Wirespeed ran. Ist das so korrekt?
Zumindest ist das meine Schlussfolgerung aus den Messwerten auf der Mikrotik Seite...
PS: Warum eigentlich kein Tunnel-Mode? Ich dachte transport-mode wird nur bei Host-to-Host Verbindungen genutzt? Ich will ja im Grunde die Netze in den beiden Gebäuden Koppeln...
Leider habe ich schon vermutet, dass es darauf hinausläuft.
Ich muss allerdings noch einmal kurz einhaken: Sollte ich auf IPsec zurückgreifen, käme ich wohl (selbst mit dem RB4011) nicht an voll-duplex Wirespeed ran. Ist das so korrekt?
Zumindest ist das meine Schlussfolgerung aus den Messwerten auf der Mikrotik Seite...
PS: Warum eigentlich kein Tunnel-Mode? Ich dachte transport-mode wird nur bei Host-to-Host Verbindungen genutzt? Ich will ja im Grunde die Netze in den beiden Gebäuden Koppeln...
nicht an voll-duplex Wirespeed ran. Ist das so korrekt?
Its all on the web...https://mikrotik.com/product/rb4011igs_rm#fndtn-testresults
Liegt zw. 1,6 Gig und 600 Mbit je nach Paketgröße
Je nach deiner Anwendung als mehr oder minder Wirespeed wenn wir hier über einen 1 Gig Funklink reden von dem ja auch noch Management Frames/Overhead usw. abgehen so das die Nettorate unter 1 Gig liegt.
PS: Warum eigentlich kein Tunnel-Mode?
Tunnel Mode hat etwas mehr Overhead. Aber du hast Recht ob man Transport und GRE Tunnel oder native Tunnel nutzt ist mehr oder minder kosmetisch.
