отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

C3KX-NM-10G или C3KX-SM-10G

Добрый день! Помоготе выбрать между C3KX-NM-10G или C3KX-SM-10G - необходимо, чтоб подерржавали 10G, NetFlow и MacSec. Я не пойму до конца какая между ними разница, кроме цены? Здесь http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps10745/white_paper_c11-691508_ps10744_Products_White_Paper.html написано, что C3KX-SM-10G поддерживает NetFlow и MacSec, но и C3KX-NM-10G тоже вроде поддерживает, хотя datasheet по этому модулю я не нашел.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Re: C3KX-NM-10G или C3KX-SM-10G

Вы имеете ввиду это

• Flexible NetFlow and switch-to-switch hardware encryption with the uplink Service Module

C3KX-SM-10G - это и есть Service Module

C3KX-SM-10G

Service Module with two 10GbE SFP+ ports network module for Netflow and MACsec encryption

Остальные  трое это Network module, а не Service Module

C3KX-NM-1G

Four GbE port network module

C3KX-NM-10G

Two 10GbE SFP+ ports network module with four physical ports with two SFP+ and two regular SFP ports

C3KX-NM-10GT

Two 10GB-T ports network module

Соответственно Netflow и MacSec на них нет.

По умолчанию только

The Catalyst 3750-X and 3560-X switches support 802.1AE encryption with MACsec Key Agreement (MKA) on downlink ports for encryption between the switch and host devices.

А вместе с Service Module на аплинкак

The switch also supports MACsec link layer switch-to-switch security by using Cisco TrustSec Network Device Admission Control (NDAC) and the Security Association Protocol (SAP) key exchange.


12 ОТВЕТ.

Re: C3KX-NM-10G или C3KX-SM-10G

А если здесь посмотреть.

Table 3. Network Module Numbers and Descriptions

Product Number

Product Description

C3KX-NM-1G

Four GbE port network module

C3KX-NM-10G

Two 10GbE SFP+ ports network module with four physical ports with two SFP+ and two regular SFP ports

C3KX-NM-10GT

Two 10GB-T ports network module

C3KX-SM-10G

Service Module with two 10GbE SFP+ ports network module for Netflow and MACsec encryption

New Member

C3KX-NM-10G или C3KX-SM-10G

Да смотрел. Но в разделе Service Module написано в общем, что все модули все поддерживают и это не очень вяжется с табличкой. Я так понимаю NetFlow и MacSec 3750X подеррживает и без модулей?

Re: C3KX-NM-10G или C3KX-SM-10G

Вы имеете ввиду это

• Flexible NetFlow and switch-to-switch hardware encryption with the uplink Service Module

C3KX-SM-10G - это и есть Service Module

C3KX-SM-10G

Service Module with two 10GbE SFP+ ports network module for Netflow and MACsec encryption

Остальные  трое это Network module, а не Service Module

C3KX-NM-1G

Four GbE port network module

C3KX-NM-10G

Two 10GbE SFP+ ports network module with four physical ports with two SFP+ and two regular SFP ports

C3KX-NM-10GT

Two 10GB-T ports network module

Соответственно Netflow и MacSec на них нет.

По умолчанию только

The Catalyst 3750-X and 3560-X switches support 802.1AE encryption with MACsec Key Agreement (MKA) on downlink ports for encryption between the switch and host devices.

А вместе с Service Module на аплинкак

The switch also supports MACsec link layer switch-to-switch security by using Cisco TrustSec Network Device Admission Control (NDAC) and the Security Association Protocol (SAP) key exchange.


New Member

C3KX-NM-10G или C3KX-SM-10G

Большое спасибо, разъяснили. Интересно как MACSec настроить на хосте, но это уже другая тема.

Re: C3KX-NM-10G или C3KX-SM-10G

Это целая головная боль Думаю что на притерах этого никогда не сделать.

Отсюда вытекает что есть какой-то софт

Q.

The NICs in my installed client base do not have encryption capability. Will I be able to deploy Cisco Catalyst 3750-X and 3560-X Series Switches in my network?

A. Cisco will offer a software-based application that can provide encryption for legacy PCs and laptops. In these cases, the software client will handle encryption. This client will also provide for key negotiation as described by MACsec Key Agreement (MKA).

Получаем шифрование на CPU (или GPU если правильно программа написана). Думаю ничего хорошего.

По моему возможно с Anyconnect Client c версии 3.0

•           MACsec Encryption: Windows clients with Cisco AnyConnect 3.0, Cisco Catalyst 3560-C/X and 3750-X Series, Cisco Catalyst 4000 Series with Supervisor Engine 7-E, Cisco Catalyst 6000 Series with Supervisor Engine 2T, or Cisco Nexus 7000 Series.

Еще здесь

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-527494_ps10884_Products_Data_Sheet.html

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/qa_c67-622477_ns1049_Networking_Solutions_Q_and_A.html

У интела есть карты с поддержкой этой функции на уровне hardware

http://www.intel.com/support/ru/network/adapter/pro100/sb/cs-031774.htmhttp://www.intel.com/support/ru/network/adapter/pro100/sb/cs-031774.htm

http://www.intel.ru/content/www/ru/ru/ethernet-controllers/82579-gbe-controller-brief.html

Ну все как обычно - после появления технологии ждем XX (вставить нужное число) лет до полной поддержки всеми и вся.

Интересно какие IP телефоны поддерживают MACSec? Тут уж точно огромные грабли.

Кстати еще оттуда же

Q.I have a Cisco Catalyst 3750X/3560X switch with LAN Base license on it. Can I use the Service Module to configure MACSec and Netflow?

A. No. In order to use the Netflow and MACSec features, the switch must be running IP Base or IP Services license levels. The following IOS SysLog message will appear. %PLATFORM_SM10G-6-LICENSE: FRULink 10G Service Module (C3KX-SM-10G) features are not supported with this license level. Module is in pass-thru mode.

New Member

C3KX-NM-10G или C3KX-SM-10G

Хорошо много знать. А еще такую мелочь не подскажите: идет ли в комплекте с 3750Х кабель stackwise (не могу найти описание комплекта поставки)?

New Member

C3KX-NM-10G или C3KX-SM-10G

Нашел комплект поставки

C3KX-PWR-350WACC3KX-PWR-350WACCatalyst 3K-X 350W AC Power Supply1IncludedIncluded
CAB-SPWR-30CMCAB-SPWR-30CMCatalyst 3750X Stack Power Cable 30 CM1IncludedIncluded
CAB-STACK-50CMCAB-STACK-50CMCisco StackWise 50CM Stacking Cable1IncludedIncluded
S375XVK9T-12258SES375XVK9T-12258SECAT 3750X IOS UNIVERSAL WITH WEB BASE DEV MGR1IncludedIncluded
CAB-3KX-AC-EUCAB-3KX-AC-EUAC Power Cord for Catalyst 3K-X (Europe)10,000,00

Re: C3KX-NM-10G или C3KX-SM-10G

Только хотел ответить - опередили

The Catalyst 3750-X switch ships with a 0.5-meter StackWise cable (CAB-STACK-50CM) that you can use to connect the StackWise ports.

http://www.cisco.com/en/US/docs/switches/lan/catalyst3750x_3560x/hardware/installation/guide/HIGOVERV.html

Если надо длиннее то надо отдельно озаказывать

Re: C3KX-NM-10G или C3KX-SM-10G

Сергей! Обратите внимание на то, что на Service Module еще и свой софт ставится, который должен совпадать с версией софта на коммутаторе.

New Member

Re: C3KX-NM-10G или C3KX-SM-10G

А поясните пожайлуста по поводу C3KX-SM-10G MacSec switch-to-switch hardware encryption, кто нибудь уже тестировала, и как это работает? Есть задача шифровать волокно (темная оптика), в случае использования маршрутизаторов, задача решается очень недешево, получается данный модуль может обеспечить шифрования вплоть до 40Гб/c, нужно всего лишь два свича 3750X IP Base и два модуля C3KX-SM-10G. Я так понимаю используется AES128, на транках тоже работает?

Re: C3KX-NM-10G или C3KX-SM-10G

Я скажу что не тестировал но вы все понимаете правильно. Необходим IP Base.

Отсюда следует:

The new Cisco Service Module enables the following services:

● Line-rate (40G) Flexible NetFlow (supports V9) for security anomaly detection and network monitoring

● Line-rate (40G) MACsec encryption

Также почитайте Q&A. Там описан примерный принцип:

Q. What can I expect in terms of MACsec performance? Is there any degradation in switch performance?

A.  No. MACsec is performed in the Hardware PHY, thus it is line rate and has no impact on CPU and ASIC performances. However, as MACsec encryption industry standard requires additional 32 bytes to be included in each packet header, the available bandwidth decreases accordingly because of this overhead.

Q. Can I do Flexible Netflow monitoring and MACSec at the same time?

A.   Yes. You can do both at line-rate without compromising on switch performance.

Q. I don't have an ACS Server. Can I still enable encryption between the switches?

A. Yes. Using statically configured keys on both switches, encryption can be enabled without the ACS server.

Используется AES 128, 256 - планируется.

Re: C3KX-NM-10G или C3KX-SM-10G

Кстати еще одна деталь - можно обойтись и без SM, пользуясь downlink портами - которые смотрят в сторону пользователей. Естественно с меньшей скоростью. Если взять медный коммутатор то удлиняемся конвероторами без проблем.

Q.Could I connect two Cisco Catalyst 3750x/3560x downlink ports and encrypt the link between them using MACsec?

A. This is not a common use case, due to distance limitations of copper. But this is a supported scenario and does not require the service module. Any time a switch-to-switch link needs to be encrypted, both ends of the link have to be configured with Cisco SAP for key management. MACsec switch-to-switch encryption is also available on SFP downlink ports of 3750X-12S and 3750X-24S.

По поводу транков:

Cisco TrustSec NDAC SAP is supported on trunk ports because it is intended only for network device to network device links, that is, switch-to-switch links.

http://www.cisco.com/en/US/docs/switches/lan/catalyst3750x_3560x/software/release/15.0_1_se/configuration/guide/swmacsec.html

А если совсем удешевиться можно обойтись 3560c моделью с 8 гигабитными медными портами   Там тоже есть MacSec

http://www.cisco.com/en/US/prod/collateral/switches/ps11527/ps11289/at_a_glance_c45-639194.pdf


6005
Просмотры
15
Полезный материал
12
Ответы