Eu vejo duas ideias.
-
Primeiro, é como a ideia do seu openvpn, como tratar sua linha como um link wan normal, e colocar um roteador lá para fazer uma VPN site-to-site.
-
Segunda ideia, nunca usei, mas tentaria MACsec entre os dois uplink do switch;
MACsec is the IEEE 802.1AE standard for authenticating and encrypting packets between two MACsec-capable devices. The Catalyst 4500 series switch supports 802.1AE encryption with MACsec Key Agreement (MKA) on downlink ports for encryption between the switch and host devices. The switch also supports MACsec link layer switch-to-switch security by using Cisco TrustSec Network Device Admission Control (NDAC) and the Security Association Protocol (SAP) key exchange. Link layer security can include both packet authentication between switches and MACsec encryption between switches (encryption is optional).
Exemplo de configuração de segurança de link do Switch-to-Switch da Cisco TrustSec
Este exemplo mostra a configuração necessária para um dispositivo sem sementes e sem sementes para a segurança de comutação para switch do Cisco TrustSec. Você deve configurar o AAA e o RADIUS para a segurança do link. Neste exemplo, o ACS-1 a ACS-3 pode ser qualquer nome de servidor e o cts-radius é o servidor Cisco TrustSec.