我们的开发人员正在开发一款应用程序,需要频繁将少量数据分发到多个位置,这些位置可能会动态变化(服务器可能会频繁加入和离开)。一些服务器位于 AWS、DO 等云提供商上,一些位于 IDC 中的硬件上。
我的任务是找到一个合理的解决方案。我在想是否有可能在 IPSec VPN 之上创建一个子网(使用 openswan/libreswan)。我知道我可以通过 VPN 设置连接的不同子网之间的路由,但这是一项相当手动的工作。考虑到这些服务器经常来来往往,这样做会相当困难。所以我想知道是否可以利用 VPN 设置(最好是 IPSec,或者可能是 OpenVPN)将这些服务器组织成具有自己的子网范围的单个“虚拟 LAN”,并能够连接此子网内的 IP(也可能使用广播地址?)。
答案1
您可以使用 OpenVPN 创建以太网隧道。只需使用 OpenVPN 的示例配置文件并进行以下更改即可:
- 使用
dev tap模式。 server-bridge使用所需的 IP 子网信息配置指令- 使用
client-to-client指令。
您还需要为服务器和每个客户端生成密钥。
基本上它只是一个标准的 OpenVPN 以太网隧道配置,互联网上应该有很多关于它的指南。
答案2
根据您的确切需求和资源,您可以考虑使用 DMVPN。它是一种中心辐射型 VPN 技术,使用 (m)GRE over IPSec,并且可以使用 NHRP 来动态创建辐射到辐射隧道。mGRE 允许您的所有不同站点使用单个“覆盖”子网来路由流量,并且如果您有可以放置在每个辐射位置且支持 NHRP 的设备,它们可以动态地构建从一个站点到另一个站点的隧道,从而减少中心设备的整体延迟和负载。使用 DMVPN 的最大好处之一是配置简单。一旦您为 GRE、IPSec 和 NHRP 设置了中心,从那时起您只需配置辐射,因为中心将动态地对额外的辐射做出反应。