GRE - оверлейная сеть

Question

Да. Вы можете настроить интерфейсы gre, а затем зашифровать ваш межсерверный трафик gre с помощью ipsec. То же самое можно сделать с помощью ipip (некоторые системы UNIX называют этот тип интерфейсагифка). Но, на самом деле, это старый устаревший способ. Что еще более устаревший - это настройка не-gre ipsec, потому что в этом случае его будет трудно поддерживать и почти невозможно маршрутизировать, потому что никакие динамические протоколы маршрутизации не смогут работать поверх устаревшего безинтерфейсного ipsec.

В то же время существует технология, которую Cisco называет VTI (Интерфейс виртуального туннеля) и Juniper называет st (безопасный туннель). В то же время это немного сложнее (нужно создать специальный тип интерфейса, способный обрабатывать IP-трафик)иterminate ipsec), но в то же время проще, так как не добавляет промежуточный заголовок IP (хотя gre с ipsec в транспортном режиме тоже). Современные Linux поддерживают эту технологию, плюс она совместима с оборудованием Cisco и Juniper.

Итак, по сути у вас есть следующие варианты, я перечисляю их в порядке возрастания сложности:

незашифрованные туннели ipip/gre (безопасно, если ваш транспорт уже защищен TLS), довольно просты в настройке
чистый устаревший IPsec (устаревший, но достойный упоминания)
gre/ipip вместе с шифрованием IPsec
ВТИ/ст

Плюс, есть много программного обеспечения, которое создает VPN на уровне пользователя. Главным недостатком этого является ограниченная совместимость — оно может взаимодействовать только с тем же программным обеспечением. Однако, это на самом деле лучше, чем устаревший ipsec, потому что он ближе к приличной маршрутизации. Однако, если говорить о протоколах динамической маршрутизации, то действуют несколько ограничений, и я не рекомендую использовать его в среде, которая должна масштабироваться:

опенвпн
ошеломить
тинк

И напоследок я должен заметить, что если говорить о выделенных серверах, которые находятся водиндатацентр, VPN немного излишне. Правильным решением было бы настроить для них VLAN с частной адресацией, добавить этот vlan в транк 802.1q, который будет обрабатывать ваш сервер, и создать интерфейс vlan. Таким образом, один интерфейс все равно будет использоваться (однако, большинство современных серверных платформ имеют как минимум два медных гигабита, поэтому я не вижу проблемы в том, чтобы включить еще один простой интерфейс ethernet — это просто самая простая вещь).

Answer 1

Да. Вы можете настроить интерфейсы gre, а затем зашифровать ваш межсерверный трафик gre с помощью ipsec. То же самое можно сделать с помощью ipip (некоторые системы UNIX называют этот тип интерфейсагифка). Но, на самом деле, это старый устаревший способ. Что еще более устаревший - это настройка не-gre ipsec, потому что в этом случае его будет трудно поддерживать и почти невозможно маршрутизировать, потому что никакие динамические протоколы маршрутизации не смогут работать поверх устаревшего безинтерфейсного ipsec.

В то же время существует технология, которую Cisco называет VTI (Интерфейс виртуального туннеля) и Juniper называет st (безопасный туннель). В то же время это немного сложнее (нужно создать специальный тип интерфейса, способный обрабатывать IP-трафик)иterminate ipsec), но в то же время проще, так как не добавляет промежуточный заголовок IP (хотя gre с ipsec в транспортном режиме тоже). Современные Linux поддерживают эту технологию, плюс она совместима с оборудованием Cisco и Juniper.

Итак, по сути у вас есть следующие варианты, я перечисляю их в порядке возрастания сложности:

незашифрованные туннели ipip/gre (безопасно, если ваш транспорт уже защищен TLS), довольно просты в настройке
чистый устаревший IPsec (устаревший, но достойный упоминания)
gre/ipip вместе с шифрованием IPsec
ВТИ/ст

Плюс, есть много программного обеспечения, которое создает VPN на уровне пользователя. Главным недостатком этого является ограниченная совместимость — оно может взаимодействовать только с тем же программным обеспечением. Однако, это на самом деле лучше, чем устаревший ipsec, потому что он ближе к приличной маршрутизации. Однако, если говорить о протоколах динамической маршрутизации, то действуют несколько ограничений, и я не рекомендую использовать его в среде, которая должна масштабироваться:

опенвпн
ошеломить
тинк

И напоследок я должен заметить, что если говорить о выделенных серверах, которые находятся водиндатацентр, VPN немного излишне. Правильным решением было бы настроить для них VLAN с частной адресацией, добавить этот vlan в транк 802.1q, который будет обрабатывать ваш сервер, и создать интерфейс vlan. Таким образом, один интерфейс все равно будет использоваться (однако, большинство современных серверных платформ имеют как минимум два медных гигабита, поэтому я не вижу проблемы в том, чтобы включить еще один простой интерфейс ethernet — это просто самая простая вещь).

GRE - оверлейная сеть

решение1

Связанный контент