%20%E5%88%87%E6%8D%A2%E5%8A%A0%E5%AF%86.png)
我计划通过无线 PTP 网桥将现有的 Cisco 3750 交换机连接到 3560C 交换机。网桥将受到 WPA2 保护,但我正在寻找交换机之间的额外安全措施,以防止其他无线访问通过任一交换机。
它们不支持 IPSec,仅支持 802.1Q 隧道,而且购买额外的硬件可能不是一种选择。
我正在考虑使用TrustSec 手动模式在交换机之间。在仔细研究了 TrustSec 和 MACsec 之后,我基本确定这是比无线网桥更好的选择,请记住它是一种共享介质。
两个问题:
我可以使用 TrustSec 可靠地阻止其他无线流量访问交换机吗?
有人知道 3000 系列交换机有哪些更好的选择吗?
答案1
你有两个问题...
首先,Cisco 3750 经典型号不支持 MacSec;但是 3560C(第二代)在 GE 端口上支持它。MacSec 需要以太网 PHY 中的特殊支持,而较旧的 Cisco 3750 在 PHY 中没有 MacSec。
第二,MacSec 是一种逐跳加密协议因此,它不支持这样的拓扑:
+-------------+ WPA2 CCMP +-------------+
| MacSec SW1 |---{Wireless Bridge}>>>>><<<<<<{Wireless Bridge}---| MacSec SW2 |
+-------------+ +-------------+
IEEE 802.1ae-2006 MacSec 无法在不同的以太网链路上重复,而这正是您尝试使用 wifi 桥接器实现的。遗憾的是,您需要在无线链路之前使用一些专用的加密硬件(例如 IPSec 或 SSL VPN)来确保它能满足您的需要。
我可以使用 TrustSec 可靠地阻止其他无线流量访问交换机吗?
不是使用 TrustSec,您需要像我上面提到的 SSL 或 IPSec 加密之类的东西。