У меня есть две системы в стойке, которые напрямую связаны между собой кабелем Cat 5e длиной 0,25 м, поэтому они могут обмениваться данными через NFS. Как вы, возможно, знаете, простой NFS по своей сути не поддерживает шифрование или аутентификацию пользователя, поэтому данные потенциально могут быть прослушаны / перехвачены / доступны третьим лицам, но поскольку две системы заблокированы в серверной комнате внутри запертой стойки, риск считается достаточно сниженным. в данный момент.
У меня может возникнуть потребность в установке одной из систем в запертую комнату + шкаф в другом месте в локальной сети, что означает, что два блока будут связаны через проводку данных здания (точка данных к точке данных через соединение коммутационной панели), но это означает, что ссылка больше не содержится в безопасной среде, поэтому я ищу пару устройств, которые будут шифровать ссылку. Я не могу использовать какую-либо форму s / w-туннелирования или шифрования, поскольку одна из систем является проприетарной (она не работает с готовой ОС), и на нее нет такого приложения / функции, которые можно установить - единственный вариант ссылки - через NFS .
Я полагаю, что могу создать аппаратное соединение VPN, используя пару маршрутизаторов xDSL, которые поддерживают такую функциональность и имеют гигабитные порты WAN - это был бы дешевый вариант, но те, которые, как я знаю, имеют относительно медленную функциональность VPN (40-50 Мбит / с). Я также нашел несколько многопортовых «защитных» устройств / переключателей, которые будут выполнять эту работу, но их стоимость очень высока, а комплект слишком велик для одного канала.
Я рассматривал пару гигабитных адаптеров Powerline, запертых внутри шкафов, но расстояние и фазировка питания могут означать, что это не работает. Волокно - тоже вариант, но прежде чем я пойду туда ...
Кто-нибудь встречал простую пару устройств типа «ключ-ключ» - желательно с гигабитной скоростью - которые можно подключить к концам канала передачи данных cat 5e, который будет прозрачно шифровать трафик канала? Спасибо
Почему бы просто не получить 2 супер дешевых Linux-бокса малого форм-фактора, настроить туннель openvpn между ними и отправить весь трафик через эти боксы, разделив трафик nfs для перехода по ссылке vpn? Это вариант? Это позволит избежать проблемы со скоростью порта WAN.
Вам может понадобиться только 1 для закрытого конца ссылки, что еще больше снизит затраты.
Независимо от того, сколько портов вы купите, я уверен, что это будет просто бомба. Все, что не является товаром, не будет дешевым, и это примерно настолько же «не товарное», насколько это возможно, с множителем добавленных затрат, связанным с «безопасностью».
Вы можете запустить NFSv4 с Kerberos и получить надежную аутентификацию и полное шифрование. Предполагая, что у вас есть рабочая среда Kerberos, вам необходимо установить тип безопасности на krb5p который защитит все вызовы NFS RPC между клиентом и сервером.
Какова возможность запуска отдельной сети cat5 / 6 для этих серверов? возможно дешевле волокна