我租用了一組專用伺服器,它們只有一個網路介面。
然而,對於許多用例,我希望我的伺服器透過專用 IP 網路進行通訊。例如,這將允許我只向 LAN 公開內部服務(ldap、puppet master、apt 儲存庫、bind)。
理想情況下,我希望能夠擁有一個看起來像專用網路的覆蓋網路(每台電腦都有一個新的虛擬接口,具有本地 IP),但在互聯網上運行。
我之前使用過 freelan 來實現這一點,它就像一個魅力,只是我不想再使用如此奇特的堆疊了。
我想知道 GRE/IPSec 是否可以實現這一點?據我所知,我必須在每台主機上為每個對等點配置一個 GRE 接口,才能獲得完整的網格。有更簡單的解決方案嗎?這似乎與同行的數量不太相符。
答案1
是的。您可以設定 gre 接口,然後使用 ipsec 加密 gre 伺服器間流量。使用 ipip 也可以實現同樣的效果(某些 UNIX 系統稱這種類型的接口動圖)。但實際上,這是一種古老的傳統方式。更傳統的是設定非 gre ipsec,因為這種方式將很難支援且幾乎無法路由,因為沒有動態路由協定能夠在傳統無介面 ipsec 之上運作。
同時,還有一種被 Cisco 稱為 VTI 的技術(虛擬隧道介面) 並且 Juniper 呼叫 st (安全隧道)。同時它有點複雜(您需要創建一種特殊類型的接口,能夠處理 ip 流量和終止 ipsec),但同時更簡單,因為它不會添加中間 IP 標頭(儘管 gre 在傳輸模式下使用 ipsec 也是如此)。現代 Linux 支援該技術,並且可以與 Cisco 和 Juniper 設備互通。
所以基本上你有以下選擇,我按照複雜性增加的順序列出它們:
- 未加密的 ipip/gre 隧道(如果您的傳輸已受 TLS 保護,則安全),配置相當簡單
- 純傳統 IPsec(已過時,但值得一提)
- gre/ipip 以及 IPsec 加密
- VTI/st
另外,還有很多建置用戶級 VPN 的軟體。它們的主要缺點是互通性有限——它只能與相同的軟體通訊。然而,它實際上比傳統的 ipsec 更好,因為它更接近體面的路由。但是,如果我們談論動態路由協議,則會存在一些限制,我不建議在應該擴展的環境中使用它:
- 開放VPN
- 隧道
- 頂客
最後我應該注意到,如果我們談論位於一資料中心,VPN有點大材小用了。正確的解決方案是為它們設定一個 VLAN,使用專用尋址,將此 VLAN 新增至您的伺服器將處理的 802.1q 中繼並建立 VLAN 介面。這樣,仍然會使用一個介面(但是,大多數現代伺服器平台至少有兩個千兆銅纜,因此我認為啟用一個更簡單的乙太網路介面沒有問題 - 這只是最簡單的事情)。