Re: [uanog] ISP/NSP сеть с нуля в 2020

13 Nov 2019

      hi,
On Tue, Nov 12, 2019 at 09:12:10PM +0200, Vladimir Sharun wrote:
...
На Украину распространялось эмбарго на лицензии Macsec для EX - надо пробивать этот вопрос.
Эмбарго есть только на "Crimea Region of Ukraine", хотя могут иногда валить в кучу из лени.

Без лицензии там whitelist, который не менялся с ~2010:

Without prior approval from the U.S. Department of Commerce, Bureau
of Industry and Security ("BIS"), neither I nor the Company shall
engage in any export or re-export of any Juniper Networks Encryption
Items classified as "5A002 restricted" or "5D002 restricted" to any
"government end-user" (as defined in Part 772 of the US Export
Administration Regulations) of any country other than Canada,
Austria, Australia, Belgium, Cyprus, Czech Republic, Denmark,
Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy,
Japan, Latvia, Lithuania, Luxembourg, Malta, Netherlands, New
Zealand, Norway, Poland, Portugal, Slovakia, Slovenia, Spain, Sweden,
Switzerland and the United Kingdom. (Examples of "5D002 restricted"
products include: JUNOS (domestic) software (including JUNOS
(domestic) for J-Series); JUNOSe software; SDX application software.
Examples of "5A002 restricted" products include: all E-series
Products; M-, T- or J-Series products on which JUNOS (Domestic)
software is loaded; and NS50, 204, 208, 500, 5200 or 5400; ISG2000.
Contact Export_Compliance_Desk@juniper.net if you need further
details on specific products or components.)

Наверное слишком мало покупают и Juniper не хочет заниматься лицензиями :(

--igor
...
12 листопада 2019, 21:08:10, від "Igor Sviridov" :
hi,
On Mon, Nov 04, 2019 at 06:27:53PM +0200, Volodymyr Litovka wrote:
...
Шифрование на всех уровнях - это (а) само по себе упражнение и (б) с 
резкой потерей производительности. В оригинальном письме упоминалось
MACsec работает практически без потери производительности, и настраивается с полпинка.
Если нужно Nx10G, то я рекомендую Juniper EX4600; если таки 100G, то Arista 7050 etc.
Мы тоже страдали с производительностью IPsec, но вот :)
MACsec требует прозрачного L2, на dark fiber + CWDM конечно без проблем, а на чужом L2 бывают проблемы
(необычные ethertypes должны пролазить).
--igor