147048
09.02.2021, aktualisiert um 23:11:53 Uhr
3656
2
0
Mikrotik - MACsec, Hardware, Performance
Abend zusammen,
folgende Situation: Ich möchte mir neue Mikrotik-Hardware zulegen und mich vor einem teuren Fehlkauf bewahren.
Als Hauptrouter soll ein RB4011iGS+RM zum Einsatz kommen.
In einem von mir allerdings nicht kontrollierbaren Bereich möchte ich via 10GBE -Fiber-Uplink (zum RB4011) einen CRS305-1G-4S+IN einbinden, welcher seinerseits Konnektivität für einen wAP ac, cAP ac, hEX und Endgeräte bieten soll.
Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Außerdem - und da wären wir beim Punkt - bietet MACsec, im Gegensatz zu IPsec, Line-Rate-Encryption auf Layer-2.
So zumindest die Hoffnung.
Mir stellen sich dabei mehrere Fragen, die ich mir leider nicht selbst beantworten kann:
1) Ist die Hardware in allen oben aufgezählten Geräten (fett markiert) überhaupt MACsec fähig und
2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
3) Wie steht es generell um die Performance eines CRS305-1G-4S+IN im RouterOS-Modus?
Viele Grüße und schönen Rest-Dienstag.
folgende Situation: Ich möchte mir neue Mikrotik-Hardware zulegen und mich vor einem teuren Fehlkauf bewahren.
Als Hauptrouter soll ein RB4011iGS+RM zum Einsatz kommen.
In einem von mir allerdings nicht kontrollierbaren Bereich möchte ich via 10GBE -Fiber-Uplink (zum RB4011) einen CRS305-1G-4S+IN einbinden, welcher seinerseits Konnektivität für einen wAP ac, cAP ac, hEX und Endgeräte bieten soll.
Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Außerdem - und da wären wir beim Punkt - bietet MACsec, im Gegensatz zu IPsec, Line-Rate-Encryption auf Layer-2.
So zumindest die Hoffnung.
Mir stellen sich dabei mehrere Fragen, die ich mir leider nicht selbst beantworten kann:
1) Ist die Hardware in allen oben aufgezählten Geräten (fett markiert) überhaupt MACsec fähig und
2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
3) Wie steht es generell um die Performance eines CRS305-1G-4S+IN im RouterOS-Modus?
Viele Grüße und schönen Rest-Dienstag.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 649701
Url: https://administrator.de/forum/mikrotik-macsec-hardware-performance-649701.html
Ausgedruckt am: 04.05.2025 um 22:05 Uhr
2 Kommentare
Neuester Kommentar
Zitat von @147048:
Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Warum konfigurierst du nicht einfach eine 802.1x Port Security, das kann der Mikrotik auch schon jetzt im 6er Zweig?!Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
Der RB4011 hat zwar einen 10G Port, aber die CPU im Zusammenhang mit dem billigen Switch Chip schafft auf dem Port höchstens 7GBit/s, das solltest du hier berücksichtigen.
