Kesimpulan saya untuk ini adalah untuk pipa batang VLAN melalui terowongan EoIP dan merangkum orang-orang dalam perangkat keras yang dibantu IPSec. Dua pasang router Mikrotik RB1100AHx2 yang cukup murah terbukti mampu menjenuhkan koneksi 1 Gbps sambil menambahkan latensi kurang dari 1 ms.
Saya ingin mengenkripsi lalu lintas antara dua pusat data. Komunikasi antar situs disediakan sebagai jembatan penyedia standar (s-vlan / 802.1ad), sehingga tag vlan lokal kami (c-vlan / 802.1q) dipertahankan di bagasi. Komunikasi melewati beberapa layer 2 hop di jaringan provider.
Border switch di kedua sisi adalah Catalyst 3750-X dengan modul layanan MACSec, tapi saya berasumsi MACSec keluar dari pertanyaan, karena saya tidak melihat cara untuk memastikan kesetaraan L2 antara switch di atas trunk, meskipun mungkin saja dimungkinkan lebih dari jembatan penyedia. MPLS (menggunakan EoMPLS) tentu akan memungkinkan opsi ini, tetapi tidak tersedia dalam kasus ini.
Either way, peralatan selalu dapat diganti untuk mengakomodasi pilihan teknologi dan topologi.
Bagaimana cara mencari opsi teknologi yang layak yang dapat memberikan enkripsi layer 2 point-to-point melalui jaringan operator ethernet?
edit:
Singkatnya, beberapa temuan saya:
Sejumlah solusi L2 perangkat keras tersedia, mulai dari USD 60.000 (latensi rendah, overhead rendah, biaya tinggi)
MACSec dalam banyak kasus dapat diterobos melalui Q-in-Q atau EoIP. Perangkat keras mulai dari USD 5.000 (latensi rendah-menengah, overhead rendah-menengah, biaya rendah)
Sejumlah solusi L3 berbantuan perangkat keras tersedia, mulai dari USD 5.000 (Latensi tinggi, overhead tinggi, biaya rendah)