交换机到交换机的流量保护

Question

我目前正在从事一个处理网络安全的项目，我的问题是，在局域网中保护交换机到交换链路上的通信量的可行方法是什么，而不是端主机到端主机加密。我只对一种加密两个网络交换机之间通信量的方法感兴趣。我知道MACsec协议及其变种思科TrustSec可用于此目的，但Macsec用于主机到交换加密，TrustSec仅支持少数思科交换机模型。我需要一个更广泛接受的解决方案。

除此之外，如果可以使用SNMP将解决方案配置到交换机上，那么整个过程就可以以编程方式执行。

我真的很希望有人能帮我找到这样的解决办法。

Answer 1

到今天为止，你的广泛解决方案还不存在。

一般来说，开关是透明的设备。任何当前的解决方案都将是特定于供应商的，假设交换机甚至是可配置的(并不是所有的都是可配置的)。

我担心你的搜索结果会令人失望。即使明天将802.1AE扩展到切换到交换连接，所有现有交换机都不会使用它，直到供应商更新代码，然后安装更新的代码。

你需要用拼凑的方法来做这件事。正如您已经发现的，Cisco有一个解决方案，但它只对一些交换机工作，运行正确的代码。您将发现与其他供应商的情况相同，而且这些解决方案不太可能互操作。

编辑您的评论：

自动化Cisco网络设备配置有许多解决方案。对NMS (网络管理系统)执行搜索。不幸的是，除了软件建议和硬件建议之外，产品或资源建议在这里被明确地排除在主题之外，因为它们在大多数SE站点上都是如此。