加密同一局域网上两个数据端口之间的链路

Question

我有两个系统在一个机架，是直接连接在一起的0.25m猫5e电缆，以便他们可以交换数据通过NFS。正如您可能知道的那样，普通NFS本身并不支持加密或用户身份验证，因此数据可能会被第三方嗅探/拦截/访问，但是由于这两个系统被锁在一个锁着的机架内的服务器房中，因此目前风险被认为是足够的减轻了。

我可能需要将其中一个系统放在局域网其他地方的一个锁定的room+cabinet中，这意味着这两个单元将通过建筑物的数据连接(数据点到数据点通过补丁面板链接)连接，但这意味着链接不再包含在安全的环境中，因此我正在寻找一对将加密链接的设备。我不能使用任何形式的s/w隧道或加密，因为其中一个系统是专有的(它没有运行现成的操作系统)，也没有这样的应用程序/功能来安装-唯一的链接选项是通过NFS。

我想我可以使用一对支持这种功能的'xDSL‘路由器创建一个硬件VPN链接，并且拥有千兆位的广域网端口--这是一个廉价的选择，但我知道的那些VPN功能相对较慢(40-50 50Mbit/S)。我还发现了一些多端口的“安全”设备/开关来完成这项工作，但是成本看起来很高，而且这个套件对于一个链接来说太过分了。

我已经考虑了一对千兆位电源适配器锁定在橱柜内，但距离和电源相位可能意味着这是行不通的。纤维也是一种选择，但在我去之前.

有没有人遇到过一种简单的“dongle式”设备--最好是千兆速率--可以插入猫5e数据链路的两端，透明地加密链路流量？谢谢

Answer 1

为什么不直接得到两个超级廉价的小型linux框，在它们之间设置一个openvpn隧道，并通过这些框发送所有的流量，将nfs的流量分割掉以通过vpn链接？这是一种选择吗？这样可以避免湾港的速度问题。

您可能只需要1，对于该链接的专有端，这将降低更多的成本。

Answer 2

不管你买了多少港口，我都很有信心它会花费一枚绝对的炸弹。任何不是大宗商品的东西都不会便宜，这就是“非大宗商品”，还有增加的“安全性”成本乘数。

Answer 3

您可以使用Kerberos运行NFSv4，并获得强大的身份验证和完全加密。假设您有一个正常工作的Kerberos环境，您将需要将安全类型设置为krb5p，这将保护客户机和服务器之间的所有NFS调用。