나는 전용 서버 세트를 임대하고 있는데, 그 서버에는 인터넷에 대한 단일 인터페이스만 있습니다.
그러나 많은 사용 사례에서는 서버가 개인 IP 네트워크를 통해 통신하기를 원합니다. 예를 들어 내부 서비스(ldap, puppet master, apt 저장소, 바인딩)를 LAN에만 노출할 수 있습니다.
이상적으로는 개인 네트워크처럼 보이지만(각 시스템에는 로컬 IP가 있는 새로운 가상 인터페이스가 있음) 인터넷에서 실행되는 오버레이 네트워크를 갖고 싶습니다.
나는 그것을 위해 사전에 프리랜을 사용했는데, 그것은 더 이상 그런 이국적인 스택을 사용하고 싶지 않다는 점을 제외하면 매력처럼 작동합니다.
GRE/IPSec으로 이것이 가능한지 궁금합니다. 내가 본 바에 따르면 전체 메시를 얻으려면 각 호스트에서 각 피어에 대해 하나의 GRE 인터페이스를 구성해야 합니다. 더 간단한 해결책이 있습니까? 동료 수에 따라 잘 확장되지 않는 것 같습니다.
답변1
예. gre 인터페이스를 구성한 다음 ipsec을 사용하여 gre 서버 간 트래픽을 암호화할 수 있습니다. ipip를 사용해도 동일한 결과를 얻을 수 있습니다(일부 UNIX 시스템에서는 이러한 유형의 인터페이스를 호출함).gif). 하지만 실제로는 오래된 레거시 방식입니다. 더 레거시적인 점은 non-gre ipsec을 구성하는 것입니다. 이렇게 하면 레거시 인터페이스리스 ipsec 위에서 실행할 수 있는 동적 라우팅 프로토콜이 없기 때문에 지원하기 어렵고 라우팅이 거의 불가능하기 때문입니다.
동시에 Cisco에서 VTI라고 부르는 기술이 있습니다(가상 터널 인터페이스) 및 Juniper가 st(보안 터널). 동시에 조금 더 복잡합니다(IP 트래픽을 처리할 수 있는 특별한 유형의 인터페이스를 만들어야 함).그리고ipsec 종료) 그러나 동시에 중간 IP 헤더를 추가하지 않기 때문에 더 간단합니다(전송 모드에서 ipsec의 경우 gre도 마찬가지임). 최신 Linux는 이 기술을 지원하며 Cisco 및 Juniper 장비와 상호 운용이 가능합니다.
따라서 기본적으로 다음과 같은 선택 사항이 있습니다. 복잡성이 증가하는 순서대로 나열하겠습니다.
- 암호화되지 않은 ipip/gre 터널(전송이 이미 TLS로 보호되어 있는 경우 안전함), 구성이 매우 간단함
- 순수 레거시 IPsec(더 이상 사용되지 않지만 언급할 가치가 있음)
- IPsec 암호화와 함께 gre/ipip
- VTI/일
또한 사용자 수준 VPN을 구성하는 소프트웨어가 많이 있습니다. 이들의 가장 큰 단점은 제한된 상호 운용성입니다. 동일한 소프트웨어로만 통신할 수 있습니다. 그러나 실제로는 괜찮은 라우팅에 더 가깝기 때문에 레거시 IPsec보다 낫습니다. 그러나 동적 라우팅 프로토콜에 대해 이야기하면 몇 가지 제한 사항이 적용되므로 확장이 필요한 환경에서는 사용하지 않는 것이 좋습니다.
- 오픈 VPN
- 충격을 주다
- 주석
그리고 마지막으로 다음 위치에 있는 전용 서버에 대해 이야기하면하나데이터 센터에서 VPN은 약간 과잉입니다. 올바른 해결책은 개인 주소 지정을 사용하여 VLAN을 설정하고 서버가 처리할 802.1q 트렁크에 이 VLAN을 추가하고 VLAN 인터페이스를 생성하는 것입니다. 이렇게 하면 하나의 인터페이스가 계속 사용됩니다(그러나 대부분의 최신 서버 플랫폼에는 최소 2개의 구리 기가비트가 있으므로 일반 이더넷 인터페이스를 하나 더 활성화하는 데 문제가 없습니다. 이는 가장 간단한 것입니다).