我公司的分支机构使用 Ubiquiti airFiber24 HD 连接到总部。
该公司希望获得一条到分支站点的租用线路光纤连接。
我们希望在提供者的连接之上运行我们自己的加密以确保机密性。要求是我们需要让我们的第 2 层流量(例如 VLAN 和 DHCP 流量)也通过分支站点。
提供商有底层网络(MP-BGP,其上带有 MPLS)和覆盖网络(OSPF、IS-IS 和 BGP)。
我们可以在提供商网络之上运行哪种类型的加密来满足此类要求?MACSec 是一个可行的解决方案吗?
我可以在带有底层的租用线路上运行什么第 2 层加密(如果有,则 MP-BGP 和 MPLS 在顶部)?
网络工程
第 2 层
2022-02-11 04:54:49
2个回答
如果您的供应商提供第 2 层传输并且您的交换机支持足够的 MACsec 配置灵活性以与您的传输提供商的网络兼容,则MACsec 是一个选项。
通常,提供商的网络会吃掉 MACsec 密钥交换所需的 PDU。如果您的设备支持,您可以重新配置您的设备以使用不同的 PDU 目标地址,从而允许通过提供商网络形成关联。
瞻博网络对此有一篇很棒的技术库文章:https ://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_media_access_control_security_wan.html
我会尝试直接从提供商获得第 2 层连接,然后在其上运行 IPSec。如果这对您来说不可能或第 2 层不够,我会尝试使用封装在 IPSec 中的 L2TP,然后使用提供商提供的基于 MPLS 的网络。