局域网交换机和终端设备之间的加密

Question

有哪些标准/协议/产品支持对设备(例如工作站)和局域网交换机之间发送的所有数据进行加密？就像无线局域网中的WPA。

Answer 1

我不知道如何回复上面的帖子，但这是我对罗里的问题的答复。在多主机模式下，您可以在一个端口后面支持多个客户端，但这并不好，因为只要一个设备进行身份验证，所有客户端都可以获得整个端口的授权。multiple更好，因为它强制每个唯一的mac进行身份验证，但是您失去了使用来宾vlans、身份验证失败vlans和在某些情况下提供多个radius的vlans的能力。另外，至少在4500系列交换机上，IOS 12.2(54) SG1中存在多个auth和多域的缺陷。详见：https://supportforums.cisco.com/thread/2044456。我有这些功能与netgear和d链接小5端口桌面交换机-不仅仅是思科品牌的设备。Dot1x更多地用于在客户端连接到网络之前对其进行身份验证。对于客户端到服务器加密，IPSec是一种方法，可以通过GPO完全配置(并且免费)。

Answer 2

之前的文章提到了802.1x，但并没有详细介绍。802.1x已经存在了很长一段时间(主要的IEEE规范在2004年)，但是一直以来人们都担心在认证后保证客户端的完整性。使用有线集线器进行身份验证后的恶意数据包注入和监视总是有可能的(不过，幸运的是，将一个老化的集线器+攻击框放在某人的办公桌上却没有被注意到)。NAC作为一个概念在一定程度上是为了解决这个问题，但从来没有像802.11i那样干净。

802.1x在2010年进行了标准修订(802.1x-2010，也称为802.1x-REV)，其中包含了2006年针对Alex的具体要求的标准(802.11AE)。查看MacSec加密。IEEE现在有免费下载规范，这是有趣的。

MacSec是与WPA2-AES (802.11i)提供的安全性并行设计的，这两种加密方案都由802.1xEAP(可扩展认证协议)认证RADIUS服务器。MacSec确保链路层的数据包完整性，并防止数据包注入和监视.

在这篇文章中，思科在实现和支持802.1x-2010方面是最先进的，但我看到其他硬件供应商正在等待支持的迹象(一些Juniper交换机是MacSec的“就绪”)。有三位您需要让它全部工作，只有思科目前有所有三位在一个商业状态：- 802.1x提供的，可以在软件和/或工作的硬件网卡，支持MacSec的软件和MacSec认证和加密。-可配置用于端口上的MacSec加密的交换机。- AAA服务器，它可以将所有关键材料作为EAP接受响应的一部分。

MacSec的真实价值值得商榷。如果有人能接近网络电缆，你就处于更大的安全冲突中。

Answer 3

任何IP通信都可以使用IPSEC进行安全保护--无论是在局域网上还是在广域网上。

然而，在局域网中，它更复杂，因为您必须处理设置SA(安全关联)和密钥管理(如果不使用PSKs)。使用Windows，您可以将密钥管理集成到活动目录中，但您还需要证书基础结构来支持向客户端分发证书，以及如果通信尚未加密，他们如何获得证书。