sdwan 中 CPE 流量如何实现租户隔离?

4 小时 25 分钟前
 jonathan001

核心骨干网已经搭建完成,全部基于 vxlan 进行转发,考虑到 cpe 设备可能存在在 nat 后,准备使用 ipsec 来连接 pe ,因为 ipsec 天然可以穿透 nat ,如果 ipsec 和远端的 pe 建立连接那么 pe 如何区分流量属于哪个租户的呢?

这个问题困扰了我许久,有没有做过的同学,希望能指导下。

255 次点击
所在节点    问与答
5 条回复
pagxir
3 小时 14 分钟前
ipsec 不是带有 spi 么,spi 可以区分的
ekucn
3 小时 9 分钟前
1 原生 IPsec 天然无法直接穿透 NAT ,你乱说
2.IPSec 有 SA ,可以绑定到不同的虚拟网卡,然后再走不同路由,我看爱快那边这功能就是这么实现的。
jonathan001
3 小时 2 分钟前
@ekucn 那岂不是 pe 测要创建一堆虚拟 tunnel ,不过这种方案应该可行,然后把 tunnel 划分的 vrf 中
ekucn
1 小时 59 分钟前
@jonathan001 这不是很正常嘛,你看 docker 那一堆堆的 vethXXXX
jonathan001
1 小时 45 分钟前
@ekucn 听君一席话,胜读十年书。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1213178

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX