Cisco Schweiz Blog

Verschlüsselung mit hoher Bandbreite beisst sich nicht (mehr)

3 min read



Ethernet als Treiber

Die Ethernet Technologie wird stetig weiterentwickelt.
Ich kann mich noch gut erinnern, als ich im Jahre 1999 in den Netzwerk-Bereich gewechselt bin und wir Netzwerk-Umbauten von 10Mbps Half-Duplex mit Coax-Kabeln auf damals sagenhafte 100Mbps Full-Duplex mit Twisted-Pair Technik durchgeführt hatten, oder das damals schnelle 155Mbps ATM LAN-E Netzwerk auf das noch schnellere 1Gbps Ethernet migriert haben. Was waren das für Zeiten!
Auch Protokolle kamen und gingen, so z.B. IPX, Apple-Talk oder DecNet, um nur einige zu nennen.
Danach kamen 10Gbps Ethernet und damit auch die Diskussionen, welche Protokolle überhaupt diese Links füllen sollten und ob sich die Kurve des Geschwindigkeits-Rausches langsam abflacht – bis kurz danach 40Gbps und 100Gbps Ethernet auftauchten und die Kunden diese Geschwindigkeiten auch nutzten – heute z.B. sind 100Gbps Links in einer ACI-Fabric fast Standard.
Weiter folgten 25Gbps und 50Gbps und spätestens seit Ende 2019 mit Cisco Silicon One und dem Cisco 8000 Router ist 400Gbps Ethernet im Markt zumindest momentan für Service Provider angekommen.
Was für ein Sprung innerhalb von 20 Jahren – von 10Mbps im Jahre 1999 zu 400Gbps Ethernet im Jahre 2019!

Verschlüsselung

Was hat aber die im Titel erwähnte Verschlüsselung mit dem Thema Ethernet zu tun?

Die oben beschriebene Entwicklung von Ethernet zeigt generell den Bedarf zu mehr Geschwindigkeit, waren früher z.B. Internet-Anschlüsse im einstelligen Mbps Bereich Premium, werden heute flächendeckend 1Gbps Anschlüsse Standard. Die Kunden möchten natürlich auch mit den höheren Bandbreiten alle Netzwerk-Dienste wie gewohnt nutzen können und somit auch die gleichen Sicherheitsstandards verwenden. Sichere Verbindungen führen zwangsläufig zur Frage der Datensicherheit und wie diese geschützt werden können, womit wir direkt im Thema der Verschlüsselung landen.
Auch heute ist es nicht Standard, dass die Verschlüsselung generell auf Applikations-Ebene durchgeführt wird, sie findet typischerweise auf der Sicherungs- oder Vermittlungs-Schicht statt und somit im Netzwerk üblicherweise auf den Links oder in einem Overlay.

MacSec vs. IPSec

Im Netzwerk Bereich gibt es generell zwei verschiedene Verschlüsselungs-Lösungen ; MacSec auf Layer-2 vs. IPSec auf Layer-3. Beide Varianten haben ihre Vor- und Nachteile, aber grundsätzliche hat sich MacSec auf LAN und für Punkt-zu-Punkt Verbindungen breiter durchgesetzt, während sich IPSec im WAN Umfeld etabliert hat. Es gibt zwar MacSec-WAN Ansätze, aber diese benötigen einerseits Vorgaben auf dem unterliegenden WAN Transport-Layer, die nicht immer einfach umzusetzen sind und andererseits ist auch die Skalierung der Anzahl Systeme ein Thema.
Im Gegenzug dazu ist IPSec als Overlay technisch wesentlich einfacher umzusetzen, hatte aber lange Zeit Probleme mit den heutigen hohen Bandbreiten Schritt zu halten.

IPSec skalierte in der Vergangenheit mit Cisco Geräten zwischen 8-25Gbps – wie sollte man somit die höheren Bandbreiten verschlüsseln ohne das massiv Bandbreite verloren ging? Sichere Links mit hohen Bandbreiten wurden speziell zwischen Datacentern oder im Zusammenhang mit Public Clouds oder Colocation verlangt, wo der Trend stark in Richtung 100Gbps Bandbreite geht.

Für Verschlüsselungen mit IPSec werden typischerweise Router oder Firewalls eingesetzt, wobei die Router über mehr Fähigkeiten verfügen als Firewalls.
Cisco kennt im Zusammenhang mit IPSec die Router Familien ISR 1000, ISR 4000, CSR 1000v (virtuelle Router) sowie ASR 1000.
Etwas plakativ und ohne weitere Details hier grob die IPSec Skalierungen der erwähnten Familien:

Für hohe IPSec Bandbreiten kommt damit eigentlich nur noch die ASR 1000 Familie in Frage.

ASR 1000 mit der neuen ESP100-X und ESP200-X

Cisco hat mit zwei neuen Hardware-Linecards für die ASR 1000 Familie die Skalierung von IPSec massiv steigern können, mit der neusten Generation von QFP Prozessoren können nun IPSec Links mit bis zu 140+Gbps (!) Throughput verschlüsselt werden.

 

Mit den neuen ESP-X Linecards kann damit im Zusammenhang mit IPSec ein neues Kapitel aufgeschlagen werden und auch eine Verschlüsselung mit 100Gbps Links ist nun möglich, ohne dass ein grosser Teil der Bandbreite verloren geht.

Die neuen ESP-X Karten passen in die folgenden Modularen ASR 1000 Plattformen:

 

Fazit – es geht weiter:

So wie sich Ethernet im Verlaufe der Jahre weiterentwickelt hat, ist auch die Hardware für die Router Funktionen nicht stehen geblieben und es können heute Services wie Verschlüsselungen mit Geschwindigkeiten realisiert werden, die vor einigen Jahren noch nicht möglich gewesen wären.

Es bleibt spannend und das Rad dreht sich kontinuierlich weiter – übrigens arbeiten die Standard-Gremien weiterhin an der Entwicklung von Ethernet – so ist ab 2023-25 Terrabit Ethernet zu erwarten…

 

Übrigens, die Dokumentationen der neuen ESP-100X / 200X Karten sind hier zu finden.

Authors

Daniel Girardet

System Engineer

Kommentar hinterlassen


1 Kommentare