我目前正在研究一台机器,我们将把它运送给世界各地的许多客户,这台机器需要连接到一台服务器,目前这项工作是通过互联网完成的,但我认为通过 VPN 让它们连接到我的网络对于远程管理来说会更容易。
虽然我知道如何在每个客户端和我的数据中心之间建立 VPN,但我不知道以下是否可行,如果可行,如何做:
- 每个客户端都配备支持 VPN 的路由器
- 在我们的数据中心有一个 VPN 路由器
- 有 n 个(每个客户端 1 个)vpn 连接
- 将这些多个连接放在不同的 VLAN 上,以便这些客户网络无法相互通信(直到那时我才知道如何做到这一切)
- 让服务器以某种方式“处于”单个 NIC 上所有这些 VLAN 的总和(是否可以创建一个包含多个其他 VLAN 或类似内容的 VLAN?我是否完全走错了路?)
答案1
Ronan,您想要的是一个简单的电话回家类型的解决方案,这可以是安装在每台服务器上的软件或独立的网络硬件。
电话回家选项(按最简单的顺序排列)
- 使用网络 (IPSEC) 的专用站点到站点 VPN 隧道(独立于操作系统)
- 软件 VPN 连接(多种,IPSEC、PPTP、OpenVNP)
- SSH 隧道(基于端口的启动,取决于操作系统)
至于安全性,你只需要阻止端点相互通信,这是任何 VPN 解决方案的标准选项
硬件方法,每个端点都有一个 IPSEC VPN 路由器,您需要为每个端点提供自己的子网以避免冲突,除非您运行隧道 nat。
您可以进一步细分这些子网,因为您不需要整个 C 类,但为了简单起见,我将使用 255.255.255.0 掩码。
Datacenter - 172.16.0.0/24, server is 172.16.0.10.
Client A) 172.17.0.0/24, endpoint 172.17.0.10
Client B) 172.17.1.0/24, endpoint 172.17.1.10
Client C) 172.17.2.0/24, endpoint 172.17.2.10
Client D) 172.17.3.0/24, endpoint 172.17.3.10
Client E) 172.17.4.0/24, endpoint 172.17.4.10
Client F) 172.17.5.0/24, endpoint 172.17.5.10
你的访问规则将是这样的:
allow 172.17.0.0/16 172.16.0.0/24
allow 172.16.0.0/24 172.17.0.0/16
deny any/any
客户端都可以访问服务器,服务器可以访问客户端,客户端之间不能互相访问。
除非您的 LAN 上有多个需要分段的子网,否则 vLans 不会真正发挥作用。