Шифрование через гигабитный носитель Ethernet

Я пришел к выводу, что должен передавать магистрали VLAN через туннели EoIP и инкапсулировать их в IPSec с аппаратной поддержкой. Две пары довольно недорогих маршрутизаторов Mikrotik RB1100AHx2 оказались способными к насыщению соединения со скоростью 1 Гбит / с при добавлении задержки менее 1 мс.

Я хотел бы зашифровать трафик между двумя центрами обработки данных. Связь между сайтами обеспечивается в виде стандартного моста поставщика (s-vlan/802.1ad), так что наши локальные теги vlan (c-vlan/802.1q) сохраняются в транке. Связь проходит через несколько переходов уровня 2 в сети провайдера.

Пограничными коммутаторами с обеих сторон являются Catalyst 3750-X с сервисным модулем MACSec, но я предполагаю, что об MACSec не может быть и речи, поскольку я не вижу никакого способа обеспечить равенство L2 между коммутаторами по транку, хотя это может быть возможно через мост провайдера. MPLS (использующий EoMPLS), безусловно, разрешит эту опцию, но в этом случае недоступен.

В любом случае, оборудование всегда можно заменить, чтобы приспособить выбор технологии и топологии.

Как мне найти жизнеспособные технологические варианты, которые могут обеспечить двухточечное шифрование на уровне 2 по сетям операторов Ethernet?

редактировать:

Подводя итог некоторым из моих выводов:

• Доступен ряд аппаратных решений L2, начиная с 60 000 долларов США (низкая задержка, низкие накладные расходы, высокая стоимость)

• MACSec во многих случаях может быть туннелирован через Q-in-Q или EoIP. Аппаратные средства, начинающиеся с 5000 долларов США (низкая средняя задержка, низкие средние издержки, низкая стоимость)

• Доступен ряд аппаратных решений L3, начиная с 5000 долларов США (высокая задержка, высокие накладные расходы, низкая стоимость)