Ma conclusion à cela a été de diriger les trunks VLAN via des tunnels EoIP et d'encapsuler ceux dans IPSec assisté par matériel. Deux paires de routeurs Mikrotik RB1100AHx2 assez bon marché se sont avérées capables de saturer une connexion à 1 Gbit / s tout en ajoutant moins de 1 ms de latence.
Je voudrais chiffrer le trafic entre deux centres de données. La communication entre les sites est fournie sous la forme d'un pont fournisseur standard (s-vlan / 802.1ad), de sorte que nos balises vlan locales (c-vlan / 802.1q) sont préservées sur le tronc. La communication traverse plusieurs sauts de couche 2 dans le réseau du fournisseur.
Les commutateurs de bordure des deux côtés sont Catalyst 3750-X avec le module de service MACSec, mais je suppose que MACSec est hors de question, car je ne vois aucun moyen d'assurer l'égalité L2 entre les commutateurs sur un tronc, bien que cela puisse être possible sur un pont fournisseur. MPLS (en utilisant EoMPLS) permettrait certainement cette option, mais n'est pas disponible dans ce cas.
Dans les deux cas, l'équipement peut toujours être remplacé pour s'adapter aux choix technologiques et topologiques.
Comment puis-je trouver des options technologiques viables qui peuvent fournir un chiffrement point à point de couche 2 sur les réseaux des opérateurs Ethernet?
Éditer:
Pour résumer certaines de mes conclusions:
Un certain nombre de solutions matérielles L2 sont disponibles, à partir de 60 000 USD (faible latence, faible surcharge, coût élevé)
MACSec peut dans de nombreux cas être tunnelisé via Q-in-Q ou EoIP. Matériel à partir de 5 000 USD (latence faible à moyenne, surcharge faible à moyenne, faible coût)
Un certain nombre de solutions L3 assistées par matériel sont disponibles, à partir de 5 000 USD (latence élevée, frais généraux élevés, faible coût)