Переключить шифрование через беспроводной мост (TrustSec?)

Я планирую подключить существующий коммутатор Cisco 3750 к коммутатору 3560C по беспроводному мосту PTP. Мост будет защищен WPA2, но я ищу дополнительную меру безопасности между коммутаторами, чтобы предотвратить другой беспроводной доступ через любой из коммутаторов.

Они не поддерживают IPSec, только туннели 802.1Q, и покупка дополнительного оборудования вряд ли возможна.

Я изучаю использование ручного режима TrustSec между коммутаторами. После некоторых усилий по чтению в TrustSec и MACsec, я в основном уверен, что это хороший выбор по сравнению с беспроводным мостом, имея в виду, что это общая среда.

Два вопроса:

  • Могу ли я надежно запретить другому беспроводному трафику доступ к коммутаторам через TrustSec?

  • Кто-нибудь знает какие-либо лучшие варианты с переключателями серии 3000?

Источник

1 ответ

Решение

У тебя две проблемы...

Во-первых, классическая модель Cisco 3750 не поддерживает MacSec; однако 3560C (второе поколение) поддерживает его на портах GE. MacSec требует специальной поддержки в PHY Ethernet, а более старые модели Cisco 3750 не имеют MacSec в PHY.

Во-вторых, MacSec - это протокол шифрования за переходом, поэтому он не поддерживает топологию, подобную этой:

+-------------+                     WPA2 CCMP                     +-------------+
| MacSec SW1  |---{Wireless Bridge}>>>>><<<<<<{Wireless Bridge}---|  MacSec SW2 |
+-------------+                                                   +-------------+

IEEE 802.1ae-2006 MacSec нельзя повторить по разным сетевым каналам, что вы пытаетесь сделать с мостами Wi-Fi. К сожалению, вам нужно некоторое выделенное HW шифрования (например, IPSec или SSL VPN) перед беспроводным каналом, чтобы гарантировать, что это делает то, что вам нужно.

Могу ли я надежно запретить другому беспроводному трафику доступ к коммутаторам через TrustSec?

Не с TrustSec, вам нужно что-то вроде шифрования SSL или IPSec, как я упоминал выше.

Источник
Другие вопросы по тегам