Security
通過無線網橋切換加密(TrustSec?)
我計劃通過無線 PTP 網橋將現有的 Cisco 3750 交換機連接到 3560C 交換機。網橋將受 WPA2 保護,但我正在尋找交換機之間的額外安全措施,以防止通過任一交換機進行其他無線訪問。
它們不支持 IPSec,只支持 802.1Q 隧道,而且購買額外的硬體不太可能。
我正在研究在交換機之間使用TrustSec 手動模式。在閱讀了 TrustSec 和 MACsec 之後,我基本確定這是無線網橋上的一個不錯的選擇,記住它是一種共享介質。
兩個問題:
- 我能否可靠地阻止其他無線流量使用 TrustSec 訪問交換機?
- 有人知道 3000 系列交換機有什麼更好的選擇嗎?
你有兩個問題…
一、Cisco 3750經典機型不支持MacSec;但是,3560C(第二代)在 GE 埠上支持它。MacSec 需要乙太網 PHY 中的特殊支持,而較舊的 Cisco 3750 在 PHY 中沒有 MacSec。
其次,MacSec 是逐跳加密協議,因此,它不支持這樣的拓撲:
+-------------+ WPA2 CCMP +-------------+ | MacSec SW1 |---{Wireless Bridge}>>>>><<<<<<{Wireless Bridge}---| MacSec SW2 | +-------------+ +-------------+
IEEE 802.1ae-2006 MacSec 不能在不同的乙太網鏈路上重複,這就是你試圖用 wifi 網橋做的事情。遺憾的是,您需要在無線連結之前使用一些專用的加密硬體(例如 IPSec 或 SSL VPN),以確保它滿足您的需求。
我能否可靠地阻止其他無線流量使用 TrustSec 訪問交換機?
不是使用 TrustSec,您需要像我上面提到的 SSL 或 IPSec 加密。