web-dev-qa-db-ja.com

ワイヤレスブリッジを介して暗号化を切り替えるように切り替えます(TrustSec?)

既存のCisco3750スイッチをワイヤレスPTPブリッジを介して3560Cスイッチに接続することを計画しています。ブリッジはWPA2で保護されますが、いずれかのスイッチを介した他のワイヤレスアクセスを防ぐために、スイッチ間の追加のセキュリティ対策を探しています。

これらはIPSecをサポートせず、802.1Qトンネルのみをサポートし、追加のハードウェアを購入することはおそらくオプションではありません。

スイッチ間で TrustSec手動モード を使用することを検討しています。 TrustSecとMACsecを少し読んだ後、これは共有メディアであることを念頭に置いて、ワイヤレスブリッジよりも良い選択であると確信しています。

2つの質問:

  • TrustSecを使用して他のワイヤレストラフィックがスイッチにアクセスするのを確実に防ぐことはできますか?

  • 3000シリーズスイッチのより良いオプションを知っている人はいますか?

1
metatheorem

あなたには2つの問題があります...

まず、Cisco3750クラシックモデルはMacSecをサポートしていません。ただし、3560C(第2世代)はGEポートでサポートしています。 MacSecはイーサネットPHYで特別なサポートを必要とし、古いCisco3750はPHYにMacSecを備えていません。

次に、 MacSecはホップバイホップ暗号化プロトコルです そのため、次のようなトポロジはサポートされていません。

+-------------+                     WPA2 CCMP                     +-------------+
| MacSec SW1  |---{Wireless Bridge}>>>>><<<<<<{Wireless Bridge}---|  MacSec SW2 |
+-------------+                                                   +-------------+

IEEE 802.1ae-2006 MacSecは、異なるイーサネットリンク間で繰り返すことはできません。これは、wifiブリッジで実行しようとしていることです。残念ながら、ワイヤレスリンクの前に専用の暗号化ハードウェア(IPSecやSSL VPNなど)が必要です。

TrustSecを使用して他のワイヤレストラフィックがスイッチにアクセスするのを確実に防ぐことはできますか?

TrustSecを使用しない場合は、前述のようにSSLまたはIPSec暗号化のようなものが必要です。

1
Mike Pennington