核心骨干网已经搭建完成,全部基于 vxlan 进行转发,考虑到 cpe 设备可能存在在 nat 后,准备使用 ipsec 来连接 pe ,因为 ipsec 天然可以穿透 nat ,如果 ipsec 和远端的 pe 建立连接那么 pe 如何区分流量属于哪个租户的呢?
这个问题困扰了我许久,有没有做过的同学,希望能指导下。
 |
1
pagxir 1 day ago via Android
ipsec 不是带有 spi 么,spi 可以区分的
|
 |
2
ekucn 1 day ago
1 原生 IPsec 天然无法直接穿透 NAT ,你乱说
2.IPSec 有 SA ,可以绑定到不同的虚拟网卡,然后再走不同路由,我看爱快那边这功能就是这么实现的。 |
 |
3
jonathan001 OP @ekucn 那岂不是 pe 测要创建一堆虚拟 tunnel ,不过这种方案应该可行,然后把 tunnel 划分的 vrf 中
|
|
4
ekucn 1 day ago
@jonathan001 这不是很正常嘛,你看 docker 那一堆堆的 vethXXXX
|
|
5
jonathan001 OP @ekucn 听君一席话,胜读十年书。
|
 |
6
jason56 5h 24m ago
大佬咨询个题外话:
cpe 中走 ipsec UDP 接 PE,是如何解决垮运营商垮省 UDP QOS 的问题。 如果 PE 使用 BGP 云服务商,如何解决合规问题。 |
|
7
jonathan001 OP @jason56 这些问题我没有遇到过,我都是谈兵。我更喜欢技术实现原理。
|
|
8
jason56 4h 54m ago
手上有类似的需求,现阶段局面很尴尬。
含传统 IDC(电联移)、云服务商(阿腾华火等),现阶段严打代理,如关键词:傲盾、通报、拔线、IP 连带责任制、对等流量 等,无法明确企业级组网协议是否合规(ipsec openvpn wireguard 等)。 |
Select Language