有什么标准/协议/产品支持在设备(如工作站)和LAN交换机之间发送的所有数据的encryption? 类似WPA的WLAN。
我不知道如何回复上面的post,但是这是我对Rory的问题的回应,在多主机模式下,你可以在一个端口后面支持多个客户端,但这并不是很好,因为只要一个设备authentication,整个端口被授权给所有的客户端,Multi-auth更好,因为它强制每个唯一的mac进行身份validation,但是在某些情况下,你将失去使用guest vlan,身份validation失败vlan和多个radius提供的vlan的能力。在至less4500系列交换机上的IOS 12.2(54)SG1中的多重authentication和多域问题详见: https : //supportforums.cisco.com/thread/2044456 。我有这些function与netgear和d-link小型5端口桌面交换机 – 不仅仅是思科品牌的设备,Dot1x更多的是在客户端连接到networking之前对客户端进行身份validation,对于客户端到服务器的encryption,IPSec是一种可以完全configuration和免费configuration的方式。 GPO
任何IPstream量都可以使用IPSEC进行保护 – 无论是在LAN还是在WAN上。
但是,在局域网中它更复杂 – 因为你必须处理设置SA(安全关联)和密钥pipe理(如果不使用PSK)。 使用Windows,您可以将密钥pipe理集成到活动目录中,但是您还需要证书基础结构来支持向客户端分发证书,以及如果stream量尚未encryption,他们如何获得证书。
802.1x在一个单独的供应商局域网上工作正常(我的经验与思科的一样 ) – 事实上,从pipe理的angular度来看,企业环境中的IPSec的挑战比较less。
如果您使用思科为您的局域网,我可能会build议这一点,因为它是直接实施。
以前的post提到802.1x,但没有真正详细说明。 802.1x已经存在了很长一段时间(2004年的主要IEEE规范),但总是担心保证客户端完整性后validation。 (使用有线集线器进行身份validation后,stream氓数据包注入和监控始终是可能的(虽然运气好,但老化中心+攻击箱在别人的办公桌上却不被注意)。 NAC作为一个概念部分是为了解决这个问题,但从来没有像802.11i那样干净。
802.1x在2010年进行了标准修订(802.1x-2010,也被称为802.1x-REV),该标准包含了符合Alex特定要求的2006年标准(802.11AE)。 检查MacSecencryption。 IEEE现在可以免费下载规格,这很有趣。
MacSec被devise为与WPA2-AES(802.11i)提供的安全并行,两种encryptionscheme均由802.1x EAP(可扩展身份validation协议)身份validation驱动到RADIUS服务器。 MacSec确保链路层的数据包完整性,并防止数据包注入和监控。
思科在这个职位上是实施和支持802.1x-2010方面最先进的职位,但是我看到来自其他硬件供应商(一些Juniper交换机是MacSec“准备就绪”)的悬而未决的支持暗示。 有三个位需要让所有这些工作,只有思科现在有三个位都处于商业状态: – 一个802.1x恳求者,可以在软件中执行EAPauthentication和MacSecencryption,和/或使用支持硬件NIC Mac硬件。 – 可以为端口上的MacSec Encryptionconfiguration的交换机。 – 可以提供所有密钥材料作为EAP Accept响应的一部分的AAA服务器。
MacSec的真实世界价值是有争议的。 如果有人能够接近足够的网线,你就会陷入更大的安全冲突。
你的意思是像RADIUS ?