Я планирую подключить существующий коммутатор Cisco 3750 к коммутатору 3560C через беспроводной мост PTP. Мост будет защищен WPA2, но я ищу дополнительную меру безопасности между коммутаторами, чтобы предотвратить другой беспроводной доступ через любой из коммутаторов.
Они не поддерживают IPSec, только туннели 802.1Q, и покупка дополнительного оборудования маловероятна.
Я изучаю использование Ручной режим TrustSec между переключателями. После некоторых усилий по чтению TrustSec и MACsec я в основном уверен, что это хороший выбор по сравнению с беспроводным мостом, имея в виду, что это общая среда.
Два вопроса:
Могу ли я надежно предотвратить доступ к коммутаторам другого беспроводного трафика с помощью TrustSec?
Кто-нибудь знает какие-нибудь лучшие варианты с переключателями серии 3000?
У вас две проблемы ...
Во-первых, классическая модель Cisco 3750 не поддерживает MacSec; однако 3560C (второе поколение) поддерживает его на портах GE. MacSec требует специальной поддержки на Ethernet PHY, а более старые Cisco 3750 не имеют MacSec на PHY.
Во-вторых, MacSec - это протокол пошагового шифрования, как таковой, он не поддерживает такую топологию:
+-------------+ WPA2 CCMP +-------------+
| MacSec SW1 |---{Wireless Bridge}>>>>><<<<<<{Wireless Bridge}---| MacSec SW2 |
+-------------+ +-------------+
IEEE 802.1ae-2006 MacSec не может повторяться по разным каналам Ethernet, что вы пытаетесь сделать с мостами Wi-Fi. К сожалению, перед беспроводным соединением вам понадобится специальное аппаратное обеспечение для шифрования (например, IPSec или SSL VPN), чтобы обеспечить то, что вам нужно.
Могу ли я надежно предотвратить доступ к коммутаторам другого беспроводного трафика с помощью TrustSec?
Не с TrustSec, вам нужно что-то вроде шифрования SSL или IPSec, как я упоминал выше.