对通过“不受信任”的以太网电缆段的网络流量进行加密

对通过“不受信任”的以太网电缆段的网络流量进行加密

假设我在一栋多租户建筑中拥有两个办公空间。房东很好心地为我提供了连接两个不相交空间的铜质 cat 6 电缆。

我可以在两端连接网络交换机并创建一个扁平的 L2 网络。但我想确保其他租户不能轻易接入电缆并窃听我的两个办公室之间的流量。

您会建议什么解决方案?理想情况下,它应该提供透明的 L2 连接并处理几百 mbit/s。我更喜欢可以轻松更换的现成设备。

使用加密的家用插头设备或提供 wpa2-psk 的无线接入点 - 似乎加密硬件可用。

我的一些想法:

  • 使用适当的硬件以太网加密设备,如;不幸的是,这些似乎相当昂贵
  • 在连接的两端放置两个 Linux 服务器并运行开放VPN为他们提供透明的 l2 桥接,并对穿越“不受信任”网段的流量进行加密

谢谢您的任何建议!

答案1

我看到两个想法。

  • 首先就像你的 openvpn 的想法一样,把你的线路当作一个普通的 wan 链接,并在那里放置一些路由器来实现站点到站点的 vpn。

  • 第二个想法,我从未用过,但我会尝试MACsec两台交换机之间的上行链路;

MACsec 是 IEEE 802.1AE 标准,用于对两个支持 MACsec 的设备之间的数据包进行身份验证和加密。Catalyst 4500 系列交换机支持在下行链路端口上使用 MACsec 密钥协议 (MKA) 进行 802.1AE 加密,以对交换机和主机设备进行加密。该交换机还通过使用 Cisco TrustSec 网络设备准入控制 (NDAC) 和安全关联协议 (SAP) 密钥交换来支持 MACsec 链路层交换机到交换机安全性。链路层安全性可以包括交换机之间的数据包身份验证和交换机之间的 MACsec 加密(加密是可选的)。

Cisco TrustSec 交换机到交换机链路安全配置示例

此示例显示了 Cisco TrustSec 交换机到交换机安全所需的种子和非种子设备配置。您必须配置 AAA 和 RADIUS 以实现链路安全。在此示例中,ACS-1 到 ACS-3 可以是任何服务器名称,而 cts-radius 是 Cisco TrustSec 服务器。

答案2

我会使用 pfSensehttps://www.pfsense.org双方建立IPSec或OpenVPN隧道。pfSense是OSS,易于使用,您还可以购买专用设备、专业支持,甚至可以在虚拟机管理程序中使用它。

一个非常小的设备可以在https://www.pfsense.org/products/带有两个以太网端口,每个端口 150 美元。

我们在 VMWare-Hypervisor 中使用 pfSense 为我们的 Guest-WiFi 提供 Captive-Portal,并且效果非常好。

萨普利

相关内容