Eu recomendaria definitivamente um dispositivo de firewall de hardware em cada extremidade com uma conexão VPN persistente entre eles, se você estiver preocupado com a fibra de emenda.
Temos dois escritórios conectados com cabos de fibra ótica. Em ambos os lados, o FO é inserido nas portas de fibra nos switches, mas, se necessário, podemos instalar placas de fibra PCI-e em alguns servidores.
Os escritórios são pequenos, todas as pessoas geralmente confiam umas nas outras, a LAN é insegura por dentro e preferimos deixar isso assim do que construir uma segurança strong.
O cabo de fibra percorre cerca de 500 m de áreas públicas, é de fácil acesso e pode ser usado por alguém para acessar a LAN.
A ideia é criar um canal criptografado entre dois escritórios para evitar qualquer invasão por esse cabo.
Quais dispositivos / software você pode recomendar? Precisamos ter um link de trabalho de ~ 1000mbit / seg com a carga mínima do sistema. Por exemplo, se os escritórios forem conectados ao OpenVPN ou a softwares similares, eles poderão lidar com uma conexão gigabit? Qual carga de servidor devemos esperar? Todos os servidores são equipados com CPUs similares - Core Quad 9440, mas é claro que não quero usar toda a CPU para VPN.
Ter um dispositivo separado seria melhor, especialmente se a ponte fosse transparente para o TCP / IP.
Os escritórios não têm salas de servidores dedicadas, portanto gostaríamos de evitar a instalação de switches / roteadores industriais barulhentos.
Você já fez algum teste com soluções VPN comuns? Tente. Acho que você verá que o impacto no desempenho da criptografia é aceitável. Cifras de bloco modernas, como AES, são muito eficientes, e CPUs modernas são muito rápidas. Por exemplo, um núcleo do meu laptop de 2 GHz (Intel T2600) pode criptografar 120 MBps. Espero que o custo da CPU de criptografar um gigabit por segundo em seus 9440s seja inferior a 50% de um dos seus quatro núcleos.
Pode ser que o custo da CPU de uma solução VPN seja muito alto, mas recomendo que você experimente, pelo menos. É a solução simples e de baixo custo, e é muito provável que o desempenho seja bom.
Um caso um pouco melhor seria verificar o que a Cisco ou a Juniper tem no caminho de um roteador de pequeno porte que pode lidar com gigabits. Um rápido google mostra a SafeNet como tendo um produto que alega ser capaz de lidar com até 10gE, mas é difícil encontrar um preço on-line, então YYMV.
Você não precisa comprar cartões de fibra para o servidor, veja se não é possível criar uma VLAN nos switches, o que inclui a porta de link de fibra e uma porta para uma placa de rede secundária no servidor. Em seguida, configure uma VPN entre eles e direcione o tráfego interno sobre ela.