допустим, у меня есть два офисных помещения в мультитенантном здании. Хозяин был достаточно любезен, чтобы предоставить мне медный кабель категории 6, соединяющий оба непересекающихся пространства.
Я мог бы просто подключить сетевые коммутаторы на обоих концах и создать плоскую сеть L2. но я хотел бы быть уверен, что другие арендаторы не смогут легко подключиться к кабелю и подслушать трафик, проходящий между двумя моими офисами.
какое решение вы бы здесь предложили? в идеале он должен обеспечивать прозрачное соединение L2 и обрабатывать несколько сотен Мбит / с. Я бы предпочел готовые устройства, которые можно легко заменить.
с зашифрованным оборудованием с домашней розеткой или точками беспроводного доступа, обеспечивающими wpa2-psk - похоже, что оборудование для шифрования доступно.
некоторые из моих идей:
спасибо за любые предложения!
Вижу две идеи.
Во-первых, это похоже на идею вашего openvpn, так как относитесь к вашей линии как к обычному wan-каналу и помещаете туда какой-нибудь маршрутизатор, чтобы выполнять vpn между сайтами.
Вторая идея, никогда не использовал, но я бы попробовал MACsec между двумя переключателями восходящей линии связи;
MACsec - это стандарт IEEE 802.1AE для аутентификации и шифрования пакетов между двумя устройствами с поддержкой MACsec. Коммутатор Catalyst серии 4500 поддерживает шифрование 802.1AE с соглашением о ключах MACsec (MKA) на нисходящих портах для шифрования между коммутатором и хост-устройствами. Коммутатор также поддерживает межкоммутаторную безопасность канального уровня MACsec с помощью управления доступом к сетевым устройствам Cisco TrustSec (NDAC) и обмена ключами протокола ассоциации безопасности (SAP). Безопасность канального уровня может включать как аутентификацию пакетов между коммутаторами, так и шифрование MACsec между коммутаторами (шифрование не является обязательным).
Пример конфигурации безопасности канала Cisco TrustSec Switch-to-Switch
В этом примере показана конфигурация, необходимая для начального и не-начального устройства для обеспечения безопасности коммутатора Cisco TrustSec. Вы должны настроить AAA и RADIUS для защиты канала. В этом примере от ACS-1 до ACS-3 могут быть любые имена серверов, а cts-radius - это сервер Cisco TrustSec.
Я бы использовал pfSense https://www.pfsense.org с обеих сторон, чтобы установить IPSec- или OpenVPN-туннель. pfSense - это OSS, простой в использовании, и вы также можете покупать специализированные устройства, профессиональную поддержку или даже использовать его в гипервизоре.
Очень минималистичное устройство доступно по адресу https://www.pfsense.org/products/ с двумя портами Ethernet по 150 долларов США каждый.
Мы используем pfSense в VMWare-Hypervisor, чтобы предоставить Captive-Portal для нашего гостевого Wi-Fi, и он работает очень хорошо.
SaPl