У нас есть 2 офиса, соединенные оптоволоконным кабелем. С обеих сторон оптоволоконный кабель вставляется в оптоволоконные порты коммутаторов, но при необходимости мы можем установить оптоволоконные платы pci-e в некоторые серверы.
Офисы маленькие, все люди в основном доверяют друг другу, внутри LAN небезопасно, и мы бы предпочли оставить это так, чем строить надежную безопасность.
Оптоволоконный кабель проходит около 500 м через общественные места, он легко доступен и может быть использован кем-то для получения доступа внутри нашей локальной сети.
Идея состоит в том, чтобы создать зашифрованный канал между двумя офисами, чтобы избежать проникновения через этот кабель.
Какие устройства / программное обеспечение вы можете порекомендовать? Нам нужен полностью рабочий канал ~ 1000 мбит / сек с минимальной нагрузкой на систему. Например, если офисы будут подключены с помощью OpenVPN или аналогичного программного обеспечения, сможет ли он обрабатывать гигабитное соединение? Какую нагрузку на сервер следует ожидать? Все серверы оснащены одинаковыми процессорами - Core Quad 9440, но, конечно, я не хочу использовать весь процессор для VPN.
Было бы лучше иметь какое-то отдельное устройство, особенно если мост будет прозрачным для TCP / IP.
В офисах нет выделенных серверных комнат, поэтому мы не хотели бы устанавливать громкие промышленные коммутаторы / маршрутизаторы.
Я определенно рекомендую аппаратный брандмауэр на каждом конце с постоянным VPN-соединением между ними, если вы беспокоитесь о сращивании оптоволокна.
В худшем случае сделайте именно то, что вы предложили: заставьте машину на каждом конце действовать как маршрутизатор и пересылать пакеты по каналу openvpn между ними. Никакой дополнительной нагрузки на другие машины и openVPN довольно легкий, поэтому он должен быть разумным даже на маршрутизаторах.
Немного лучше было бы проверить, что есть у Cisco или Juniper в отношении небольшого офисного маршрутизатора, способного обрабатывать гигабитные данные. Быстрый поиск в Google показывает, что SafeNet имеет продукт, который, как утверждается, может обрабатывать до 10gE, но трудно найти цену на него в Интернете, поэтому YYMV.
Вы тестировали общие решения VPN? Попытайся. Я думаю, вы обнаружите, что влияние шифрования на производительность приемлемо. Современные блочные шифры, такие как AES, очень эффективны, а современные процессоры очень быстры. Например, одно ядро моего ноутбука с тактовой частотой 2 ГГц (Intel T2600) может зашифровать 120 Мбит / с. Я ожидаю, что затраты ЦП на шифрование гигабита в секунду на ваших 9440 будут меньше 50% от одного из ваших четырех ядер.
Возможно, стоимость ЦП для решения VPN слишком высока, но я настоятельно рекомендую хотя бы попробовать его. Это простое и недорогое решение, и вполне вероятно, что производительность будет на высоте.
Вам не нужно покупать оптоволоконные карты для сервера, посмотрите, не можете ли вы создать VLAN на коммутаторах, которая включает в себя порт оптоволоконного соединения и порт для вторичной карты Ethernet на сервере. Затем установите между ними VPN и направьте по нему внутренний трафик.