147048
Feb 09, 2021, updated at 22:11:53 (UTC)
3204
2
0
Mikrotik - MACsec, Hardware, Performance
Abend zusammen,
folgende Situation: Ich möchte mir neue Mikrotik-Hardware zulegen und mich vor einem teuren Fehlkauf bewahren.
Als Hauptrouter soll ein RB4011iGS+RM zum Einsatz kommen.
In einem von mir allerdings nicht kontrollierbaren Bereich möchte ich via 10GBE -Fiber-Uplink (zum RB4011) einen CRS305-1G-4S+IN einbinden, welcher seinerseits Konnektivität für einen wAP ac, cAP ac, hEX und Endgeräte bieten soll.
Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Außerdem - und da wären wir beim Punkt - bietet MACsec, im Gegensatz zu IPsec, Line-Rate-Encryption auf Layer-2.
So zumindest die Hoffnung.
Mir stellen sich dabei mehrere Fragen, die ich mir leider nicht selbst beantworten kann:
1) Ist die Hardware in allen oben aufgezählten Geräten (fett markiert) überhaupt MACsec fähig und
2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
3) Wie steht es generell um die Performance eines CRS305-1G-4S+IN im RouterOS-Modus?
Viele Grüße und schönen Rest-Dienstag.
folgende Situation: Ich möchte mir neue Mikrotik-Hardware zulegen und mich vor einem teuren Fehlkauf bewahren.
Als Hauptrouter soll ein RB4011iGS+RM zum Einsatz kommen.
In einem von mir allerdings nicht kontrollierbaren Bereich möchte ich via 10GBE -Fiber-Uplink (zum RB4011) einen CRS305-1G-4S+IN einbinden, welcher seinerseits Konnektivität für einen wAP ac, cAP ac, hEX und Endgeräte bieten soll.
Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Außerdem - und da wären wir beim Punkt - bietet MACsec, im Gegensatz zu IPsec, Line-Rate-Encryption auf Layer-2.
So zumindest die Hoffnung.
Mir stellen sich dabei mehrere Fragen, die ich mir leider nicht selbst beantworten kann:
1) Ist die Hardware in allen oben aufgezählten Geräten (fett markiert) überhaupt MACsec fähig und
2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
3) Wie steht es generell um die Performance eines CRS305-1G-4S+IN im RouterOS-Modus?
Viele Grüße und schönen Rest-Dienstag.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 649701
Url: https://administrator.de/contentid/649701
Printed on: April 16, 2024 at 12:04 o'clock
2 Comments
Latest comment
Zitat von @147048:
Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
Warum konfigurierst du nicht einfach eine 802.1x Port Security, das kann der Mikrotik auch schon jetzt im 6er Zweig?!Da dieser sich nun leider in einer "nicht vertrauenswürdigen" Umgebung befindet pokere ich darauf, dass Mikrotik wie angekündigt in ROS7 MACsec zeitnah zum laufen bringt und ich somit zum einen den Uplink CRS ---> RB4011 mit MACsec und NAC sowie die Verbindungen der APs und hEX ---> CRS305 (ROS-Boot-Mode) absichern kann.
Vorteil: Niemand könnte sich einfach an den CRS stöpseln (NAC) oder Paket-Sniffing durchführen.
2) wie sieht es performancetechnisch aus... Wäre bei mehreren Tunneln zum CRS + 10G-Uplink-Verschlüsselung überhaupt noch überall mit "Line-Rate-Encryption" zu rechnen bzw. diese denkbar?
Der RB4011 hat zwar einen 10G Port, aber die CPU im Zusammenhang mit dem billigen Switch Chip schafft auf dem Port höchstens 7GBit/s, das solltest du hier berücksichtigen.