我们有 2 个办公室,通过光纤电缆连接。两侧的 FO 都插入交换机的光纤端口,但如果需要,我们可以在某些服务器上安装光纤 pci-e 卡。
办公室很小,所有人通常都相互信任,局域网内部不安全,我们宁愿保持这种状态也不愿建立强大的安全保障。
光缆穿过公共区域约 500 米,很容易接入,有人可以使用它来访问我们的局域网内部。
这个想法是在两个办公室之间建立一个加密通道,以避免通过该电缆进行任何入侵。
您能推荐什么设备/软件?我们需要具有完全正常工作的 ~1000mbit/sec 链接和最小的系统负载。例如,如果办公室将使用 OpenVPN 或类似软件进行连接,它是否能够处理千兆位连接?我们应该预期什么样的服务器负载?所有服务器都配备了类似的 CPU - Core Quad 9440,但我当然不想将整个 CPU 用于 VPN。
拥有一些单独的设备会更好,特别是如果桥对 TCP/IP 是透明的。
办公室没有专用的服务器机房,因此我们想避免安装任何嘈杂的工业交换机/路由器。
答案1
如果您担心光纤拼接,我绝对建议在两端都使用硬件防火墙设备,并在它们之间建立持久的 VPN 连接。
答案2
您是否对常见的 VPN 解决方案进行过测试?试试吧。我认为您会发现加密对性能的影响是可以接受的。现代分组密码(如 AES)非常高效,现代 CPU 也非常快。例如,我的 2 GHz(Intel T2600)笔记本电脑的一个核心可以加密 120 MBps。我预计,在您的 9440s 上加密每秒千兆位所需的 CPU 成本将低于您的四个核心之一的 50%。
VPN 解决方案的 CPU 成本可能太高,但我强烈建议至少尝试一下。这是一种简单、低成本的解决方案,而且性能很可能不错。
答案3
最坏的情况是,完全按照您的建议去做:在两端各找一台机器充当路由器,并通过它们之间的 openvpn 链接转发数据包。其他机器上没有额外的负载,而且 openVPN 非常轻量,所以即使在路由器上也应该是合理的。
稍微好一点的例子是查看 Cisco 或 Juniper 的小型办公路由器是否能够处理千兆位。快速谷歌搜索显示 SafeNet 有一款产品声称能够处理高达 10gE,但很难在网上找到它的价格,所以 YYMV。
答案4
您不需要为服务器购买光纤卡,看看您是否可以在交换机上创建一个 VLAN,其中包括光纤链路端口和服务器中的辅助以太网卡端口。然后在它们之间设置 VPN 并通过它路由内部流量。