我打算通过无线PTP网桥将现有的Cisco 3750交换机连接到3560C交换机。 该网桥将受到WPA2保护,但是我正在寻求交换机之间的安全措施,以防止通过任一交换机进行其他无线访问。
他们不支持IPSec,只有802.1Q隧道,购买额外的硬件不太可能。
我正在考虑在交换机之间使用TrustSec手动模式 。 经过一番努力读入TrustSec和MACsec之后,我确定这是一个很好的select,因为它是一个共享的媒介。
两个问题:
我能否可靠地防止其他无线stream量使用TrustSec访问交换机?
有没有人知道3000系列交换机有更好的select?
你有两个问题
首先,Cisco 3750经典型号不支持MacSec; 但是,3560C(第二代)在GE端口上支持它。 MacSec需要在以太网PHY中提供特殊的支持,旧的Cisco 3750在PHY中没有MacSec。
其次, MacSec是逐跳encryption协议 ,因此它不支持如下的拓扑结构:
+-------------+ WPA2 CCMP +-------------+ | MacSec SW1 |---{Wireless Bridge}>>>>><<<<<<{Wireless Bridge}---| MacSec SW2 | +-------------+ +-------------+ IEEE 802.1ae-2006 MacSec不能在不同的以太网链路上重复使用,这就是你想用wifi桥接器做的事情。 可悲的是,您需要在无线链路之前使用一些专用的encryption硬件(如IPSec或SSL VPN),以确保达到您的要求。
我能否可靠地防止其他无线stream量使用TrustSec访问交换机?
不用TrustSec,你需要像上面提到的SSL或IPSecencryption。