GRE - Overlay-Netzwerk

Question

Ja. Sie können die GRE-Schnittstellen konfigurieren und dann Ihren GRE-Verkehr zwischen den Servern mit IPSec verschlüsseln. Dasselbe ist mit IPSec möglich (einige UNIX-Systeme nennen diese Art von Schnittstellegif). Aber eigentlich ist das eine alte, veraltete Methode. Noch veralteter ist die Konfiguration eines nicht-gre-IPSec, da es auf diese Weise schwer zu unterstützen und fast nicht routbar ist, da keine dynamischen Routing-Protokolle auf dem veralteten schnittstellenlosen IPSec ausgeführt werden können.

Gleichzeitig gibt es eine Technologie, die Cisco VTI nennt (Virtuelle Tunnelschnittstelle) und Juniper ruft st (sicherer Tunnel). Es ist gleichzeitig etwas komplizierter (Sie müssen eine spezielle Schnittstelle erstellen, die IP-Verkehr verarbeiten kannUndbeendet IPSec), ist aber gleichzeitig einfacher, weil es keinen Zwischen-IP-Header hinzufügt (das tut gre allerdings auch mit IPSec im Transportmodus). Moderne Linux-Systeme unterstützen diese Technologie und sind außerdem mit Cisco- und Juniper-Geräten kompatibel.

Sie haben grundsätzlich die folgenden Auswahlmöglichkeiten, ich liste sie in der Reihenfolge auf, in der die Komplexität zunimmt:

unverschlüsselte ipip/gre-Tunnel (sicher, wenn Ihr Transport bereits TLS-geschützt ist), ziemlich einfach zu konfigurieren
reines Legacy-IPsec (veraltet, aber erwähnenswert)
gre/ipip zusammen mit IPsec-Verschlüsselung
VTI/st

Außerdem gibt es jede Menge Software, die VPNs auf Benutzerebene erstellt. Der Hauptnachteil dieser Software ist die eingeschränkte Interoperabilität – sie kann nur mit derselben Software kommunizieren. Allerdings ist sie tatsächlich besser als das herkömmliche IPSec, da sie einem ordentlichen Routing näher kommt. Wenn wir jedoch über dynamische Routing-Protokolle sprechen, gelten mehrere Einschränkungen und ich empfehle nicht, sie in einer Umgebung zu verwenden, die skalierbar sein soll:

OpenVPN
Tunnel
tinte

Und schließlich sollte ich anmerken, dass, wenn wir über dedizierte Server sprechen, die sich ineinsRechenzentrum, VPN ist ein bisschen übertrieben. Die richtige Lösung wäre, ein VLAN für sie einzurichten, mit privater Adressierung, dieses VLAN zu einem 802.1q-Trunk hinzuzufügen, den Ihr Server handhaben wird, und eine VLAN-Schnittstelle zu erstellen. Auf diese Weise wird immer noch eine Schnittstelle verwendet (die meisten modernen Serverplattformen haben jedoch mindestens zwei Kupfer-Gigabit, daher sehe ich kein Problem darin, eine weitere einfache Ethernet-Schnittstelle zu aktivieren – das ist einfach die einfachste Lösung).

Answer 1

Ja. Sie können die GRE-Schnittstellen konfigurieren und dann Ihren GRE-Verkehr zwischen den Servern mit IPSec verschlüsseln. Dasselbe ist mit IPSec möglich (einige UNIX-Systeme nennen diese Art von Schnittstellegif). Aber eigentlich ist das eine alte, veraltete Methode. Noch veralteter ist die Konfiguration eines nicht-gre-IPSec, da es auf diese Weise schwer zu unterstützen und fast nicht routbar ist, da keine dynamischen Routing-Protokolle auf dem veralteten schnittstellenlosen IPSec ausgeführt werden können.

Gleichzeitig gibt es eine Technologie, die Cisco VTI nennt (Virtuelle Tunnelschnittstelle) und Juniper ruft st (sicherer Tunnel). Es ist gleichzeitig etwas komplizierter (Sie müssen eine spezielle Schnittstelle erstellen, die IP-Verkehr verarbeiten kannUndbeendet IPSec), ist aber gleichzeitig einfacher, weil es keinen Zwischen-IP-Header hinzufügt (das tut gre allerdings auch mit IPSec im Transportmodus). Moderne Linux-Systeme unterstützen diese Technologie und sind außerdem mit Cisco- und Juniper-Geräten kompatibel.

Sie haben grundsätzlich die folgenden Auswahlmöglichkeiten, ich liste sie in der Reihenfolge auf, in der die Komplexität zunimmt:

unverschlüsselte ipip/gre-Tunnel (sicher, wenn Ihr Transport bereits TLS-geschützt ist), ziemlich einfach zu konfigurieren
reines Legacy-IPsec (veraltet, aber erwähnenswert)
gre/ipip zusammen mit IPsec-Verschlüsselung
VTI/st

Außerdem gibt es jede Menge Software, die VPNs auf Benutzerebene erstellt. Der Hauptnachteil dieser Software ist die eingeschränkte Interoperabilität – sie kann nur mit derselben Software kommunizieren. Allerdings ist sie tatsächlich besser als das herkömmliche IPSec, da sie einem ordentlichen Routing näher kommt. Wenn wir jedoch über dynamische Routing-Protokolle sprechen, gelten mehrere Einschränkungen und ich empfehle nicht, sie in einer Umgebung zu verwenden, die skalierbar sein soll:

OpenVPN
Tunnel
tinte

Und schließlich sollte ich anmerken, dass, wenn wir über dedizierte Server sprechen, die sich ineinsRechenzentrum, VPN ist ein bisschen übertrieben. Die richtige Lösung wäre, ein VLAN für sie einzurichten, mit privater Adressierung, dieses VLAN zu einem 802.1q-Trunk hinzuzufügen, den Ihr Server handhaben wird, und eine VLAN-Schnittstelle zu erstellen. Auf diese Weise wird immer noch eine Schnittstelle verwendet (die meisten modernen Serverplattformen haben jedoch mindestens zwei Kupfer-Gigabit, daher sehe ich kein Problem darin, eine weitere einfache Ethernet-Schnittstelle zu aktivieren – das ist einfach die einfachste Lösung).

GRE - Overlay-Netzwerk

Antwort1

verwandte Informationen