什么第二层加密，我可以运行与底层租赁线路( MPLS顶部的MPLS如果它)？

Question

我的公司有其分支网站连接到总部使用Ubiquiti airFiber24 HD。

该公司希望获得一个租用的线路光纤连接到分支网站。

我们希望在提供者的连接之上运行我们自己的加密，以确保机密性。我们的要求是，我们需要有我们的第二层流量，例如，VLAN和DHCP流量也通过分支站点。

提供商有底层(MP和MPLS在上面)和覆盖网络(OSPF，IS-IS，和BGP)。

针对这种需求，我们可以在提供商网络上运行什么类型的加密？MACSec是一个可行的解决方案吗？

Answer 1

如果您的供应商提供第2层传输，并且您的交换机支持足够的MACsec配置灵活性，以便与传输提供商的网络兼容，则可以选择MACsec。

通常，提供者的网络会消耗MACsec密钥交换所需的PDU。您可以重新配置设备以使用不同的PDU目标地址，如果设备支持，则允许通过提供商网络形成关联。

Juniper有一篇关于以下内容的优秀技术库文章：https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_媒体_访问_控制_安全性_wan.html

Answer 2

我会尝试直接从提供者获得第二层连接，然后在它上运行IPSec。如果这是不可能的或不够的第二层为您，我会尝试使用L2TP封装在IPSec，然后基于MPLS的网络从供应商。