我们总部和未来远程办公室的数据 VLAN 上的用户需要从远程服务器访问文件、浮动网络许可证等,因此我们需要为数据网络使用站点到站点 VPN。在设置总部时,我认为使用大型(B 类,即 255.255.0.0)子网作为数据 VLAN 是一种聪明的做法,而站点到站点 VPN 只需允许我们将同一子网扩展到所有未来办公室,让任何地方的用户都能无缝连接到任何位置的任何服务器。但是,现在我开始设置 VPN,我了解到这是不好的做法,因为互联网上的广播流量会产生延迟。
我有一对机架盒,每个机架盒都在 Hyper-V VM 中运行 pfSense。它们将成为每个站点的防火墙,并在它们之间建立站点到站点 VPN。站点到站点 VPN 的 pfSense 配置选项(我假设 SSL/TLS 模式下的 OpenVPN 是最安全的选项)要求三个网络,即隧道网络、远程网络和本地网络。我的问题是隧道网络需要多大?它可以是一个 C 类 (255.255.255.0) 网络,每个办公室都有一个 IP,还是需要足够大才能为所有办公室的每个设备提供一个地址?如果是后者,我显然无法为每个办公室提供一个 255.255.0.0 子网(我认为不需要),但我是否必须缩小 HQ 子网的大小(尽管有数万个可用的 IP 地址,但目前可能只有不到 500 个主机)?该子网原本打算用作我们的全球网络?
答案1
站点到站点 VPN 通常是完全路由的网络。这意味着没有 NAT 或任何东西。用于 VPN 的子网只需要连接的路由器的地址。
因此,您需要的子网的最小大小仅为二sites 是一个/30
,也可能是一个/31
。当然,您将来可能会添加更多站点,因此/24
为 VPN 分配更大的空间并不是一个坏主意,这取决于您的特定 VPN 技术及其处理路由的方式。与 OpenVPN 或 IPSec 相比,您在 wireguard 等系统中分配子网的方式可能有所不同。