假设我在一个多租户大楼里有两个办公室。 房东很友善地给我提供连接两个不相交空间的铜猫6电缆。
我可以只在两端连接networking交换机并创build一个扁平的L2networking。 但我想确保其他租户不能轻易地接入电缆,并窃听我的两个办公室之间的交通。
你会在这里提出什么解决scheme? 理想情况下,它应该提供透明的L2连接并处理几百mbit / s。 我更喜欢现成的设备,可以很容易地更换。
encryption的家用插头设备或提供wpa2-psk的无线接入点 – 似乎可以使用encryption硬件。
我的一些想法:
感谢您的任何build议!
我看到两个主意。
首先就像你的openvpn的想法一样,对待你的线路就像一个正常的wan链接,并把一些路由器在那里做一个站点到站点的VPN。
第二个想法,从来没有使用它,但我会尝试两个交换机上行链路之间的MACsec ;
MACsec是IEEE 802.1AE标准,用于对两个具有MACsecfunction的设备之间的数据包进行身份validation和encryption。 Catalyst 4500系列交换机支持在下行链路端口上使用MACsec密钥协议(MKA)进行802.1AEencryption,以便在交换机和主机设备之间进行encryption。 通过使用Cisco TrustSecnetworking设备准入控制(NDAC)和安全关联协议(SAP)密钥交换,交换机还支持MACsec链路层交换机到交换机的安全性。 链路层安全可以包括交换机之间的分组authentication和交换机之间的MACsecencryption(encryption是可选的)。
Cisco TrustSec交换机到交换机链路安全configuration示例
此示例显示了Cisco TrustSec交换机到交换机安全性的种子和非种子设备所需的configuration。 您必须configurationAAA和RADIUS以确保链路安全。 在本例中,ACS-1到ACS-3可以是任何服务器名称,而cts-radius是Cisco TrustSec服务器。
我会使用双方的pfSense https://www.pfsense.orgbuild立IPSec-或OpenVPN-Tunnel。 pfSense是OSS,易于使用,您也可以购买专业设备,专业支持,甚至在Hypervisor中使用它。
https://www.pfsense.org/products/上提供了一个非常小的设备,其中两个以太网端口每个端口为150美元。
我们在VMWare虚拟机pipe理程序中使用pfSense来为我们的Guest-WiFi提供Captive-Portal,并且工作得非常好。
SAPL