核心骨干网已经搭建完成,全部基于 vxlan 进行转发,考虑到 cpe 设备可能存在在 nat 后,准备使用 ipsec 来连接 pe ,因为 ipsec 天然可以穿透 nat ,如果 ipsec 和远端的 pe 建立连接那么 pe 如何区分流量属于哪个租户的呢?
这个问题困扰了我许久,有没有做过的同学,希望能指导下。
 |
1
pagxir 2h 17m ago via Android
ipsec 不是带有 spi 么,spi 可以区分的
|
 |
2
ekucn 2h 12m ago
1 原生 IPsec 天然无法直接穿透 NAT ,你乱说
2.IPSec 有 SA ,可以绑定到不同的虚拟网卡,然后再走不同路由,我看爱快那边这功能就是这么实现的。 |
 |
3
jonathan001 OP @ekucn 那岂不是 pe 测要创建一堆虚拟 tunnel ,不过这种方案应该可行,然后把 tunnel 划分的 vrf 中
|
|
4
ekucn 1h 2m ago
@jonathan001 这不是很正常嘛,你看 docker 那一堆堆的 vethXXXX
|
|
5
jonathan001 OP @ekucn 听君一席话,胜读十年书。
|
Select Language