Mikrotik - MACsec, Hardware, Performance

Mitglied: SwiftAwayy

SwiftAwayy (Level 1) - Jetzt verbinden

09.02.2021, aktualisiert 23:11 Uhr, 422 Aufrufe, 2 Kommentare

Abend zusammen,

folgende Situation: Ich möchte mir neue Mikrotik-Hardware zulegen und mich vor einem teuren Fehlkauf bewahren.

Als Hauptrouter soll ein RB4011iGS+RM zum Einsatz kommen.
In einem von mir allerdings nicht kontrollierbaren Bereich möchte ich via 10GBE -Fiber-Uplink (zum RB4011) einen CRS305-1G-4S+IN einbinden, welcher seinerseits Konnektivität für einen wAP ac, cAP ac, hEX und Endgeräte bieten soll.

Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Außerdem - und da wären wir beim Punkt - bietet MACsec, im Gegensatz zu IPsec, Line-Rate-Encryption auf Layer-2.
So zumindest die Hoffnung.

Mir stellen sich dabei mehrere Fragen, die ich mir leider nicht selbst beantworten kann:
1) Ist die Hardware in allen oben aufgezählten Geräten (fett markiert) überhaupt MACsec fähig und
2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
3) Wie steht es generell um die Performance eines CRS305-1G-4S+IN im RouterOS-Modus?

Viele Grüße und schönen Rest-Dienstag.
Mitglied: 147323
147323 (Level 1)
10.02.2021, aktualisiert um 11:49 Uhr
Zitat von @SwiftAwayy:
Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Warum konfigurierst du nicht einfach eine 802.1x Port Security, das kann der Mikrotik auch schon jetzt im 6er Zweig?!

2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
Der RB4011 hat zwar einen 10G Port, aber die CPU im Zusammenhang mit dem billigen Switch Chip schafft auf dem Port höchstens 7GBit/s, das solltest du hier berücksichtigen.
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Probleme im Netzwerk Switche teilweise nicht erreichbar
hukimanVor 19 StundenFrageSwitche und Hubs29 Kommentare

Guten Morgen, seit Monaten haben wir hier immer wieder Probleme mit dem Netzwerk, das Problem konnte ich leider aber noch immer nicht finden. Es ...

Erkennung und -Abwehr
Einer Malware auf der Spur. Benötige Sherlock Holmes!
streamVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Guten Abend Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf ...

Batch & Shell
Tabellarische Ausgabe der Netzwerkschnittstellen
gelöst dysti99Vor 17 StundenFrageBatch & Shell18 Kommentare

Mit - ip a - werden ja die Netzwerkschnittstellen angezeigt. Ich möchte mit ein Batchscript folgende Ausgabe erreichen: 1 eth0 192.168.1.1 AD:13:67:56:14:D1 2 eth1 ...

Ubuntu
Mailserver Test Provider IP
gelöst it-blzVor 1 TagFrageUbuntu9 Kommentare

Hallo, ist es möglich einen "Mailserver" (Imap + smtp) in einer Virtual Box mit einer Provider IP (dynamisch - ist allerdings konstant) zu testen? ...

Microsoft
MS Teams und Office im gemeinnützigen Verein
DanielBodenseeVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen, ich würde gerne in unserem anerkannten gemeinnützigen Verein eine gemeinsame Platform aufbauen, über die wir Diskutieren und uns austauschen können, insbesondere bei ...

Hardware
DisplayPort zu USB-C Adapter Converter
gelöst felixhuth-itVor 1 TagFrageHardware11 Kommentare

Hallo liebe Gemeinde Ich habe da ein kleines Problemchen. Der Kunde wollte einen 14 Zoll Monitor mit Touch in Verbindung mit einem Mini PC ...

Linux Netzwerk
SAMBA FS Portfreigabe
gelöst Jannik2018Vor 1 TagFrageLinux Netzwerk17 Kommentare

Hallo zusammen, ich habe eine Portfreigabe für meinen SAMBA Server mit Netzwerkfreigaben auf port 445 TCP eingerichtet allerdings wenn ich per DNS oder externer ...

Ausbildung
FISI Projektantrag GPO
gelöst JenzooVor 1 TagFrageAusbildung10 Kommentare

Moin, leider wurde mein Projektantrag abgelehnt mit folgender Begründung abgelehnt "Antrag kann so nicht genehmigt werden. Uns fehlt hier die Tiefe und der entsprechende ...