Witam,
Jest sobie ISP, którego model sieci daleki jest od wzorca podziału na warstwy core'u, dystrybucji i dostępowej. Wszystkie podsieci terminowane w core, cała reszta to czysty switching.
Łącza światłowodowe, ONT zarządzane przez provisioning system mający pełną kontrolę nad reglamentacją prędkości i przez stosowanie własnych, zamkniętych protokołów można uznać, że rozwiązanie jest bezpieczne.
Pojawia się jednak potrzeba uruchomienia nowej usługi, której elementem będą routery 892FSP instalowane u klienta, jako ONT. Celem jest rozszerzenie możliwości monitoringu, zarządzania, obsługi łącz zapasowych itp. Niestety jednak, przy tej architekturze sieci, całość ograniczania pasma i traffic shapeingu będą musiały być realizowane już na tym urzadzeniu.
Pytanie brzmi - jaki model przyjąć, by rozwiązanie to było pewne? To znaczy, by klient nie podmienił sprzetu i nie podpiął się do światła bez ograniczeń. 802.1x to trochę mało, zresztą access switch nie obsługuje, a nawet gdyby obsługiwał i 802.ae, to z kolei ten routerek tego nie ma w IOS.
PPPoE? Tunele jakieś? Zaznaczam, że nie ma presji na samo szyfrowanie transmisji, co raczej na zapewnienie, że klient nie podmienił urządzenia, lub nie wpiął się jakoś pomiędzy, klonując MACa itp. Docelowo rozwiązanie ma być powielone w kilkudziesięciu przypadkach, więc wolałbym nie koncentrować za bardzo routera, na którym jest to terminowane kwestiami enkapsulacji itp...
Jakieś sugestie?