本帖最后由 我是大笨蛋 于 2018-12-15 00:19 编辑
这几天搞sangforvpn 然后对比了一下标准ipsec ,感觉 sangforvpn配置简单,但是相对比标准ipsec 还是失去了一些灵活性上图是经过精简后的拓扑图,只是用来快速的描述问题 ipsec设备网关部署,下联三层交换,地址规划已如上图描述。 需求如图(如下) 1 分支A的pc(192.168.1.10)需要与总部服务器(192.168.2.100)互访 2 分支B的pc(192.168.2.10)需要与总部服务器(192.168.1.100)互访 3 分支A的互联地址(10.0.1.0)不能与总部互联地址(10.0.2.0)互访
解决思路 对于需求1,2 如果用标准ipsec 可以通过写感兴趣流, 比如在总部 可以写 源192.168.2.100 目的 192.168.1.10 引向分支A的隧道;源192.168.1.100 目的 192.168.2.10 引向分支B的隧道 如果用sangforvpn 个人感觉 好像有点问题,似乎可以不在总部写本地子网,能否在分支通过隧道路由的方式强行引入隧道 感觉也很奇怪。
对于需求3 如果用标准ipsec 可以不写感兴趣流 那么这样的数据就不会进入隧道 对于sangforvpn,似乎 好像 没啥好办法? 除非在设备上写acl?(就算是写acl ,也已经算是隧道建立了,只是不让数据通过)
最后 希望有个合理的技术讨论 看看这种需求 有没有更好的解决办法
另外 此拓扑图不针对某一用户,而且进行的大量精简,旨在干净利落的描述问题,然后探讨问题解决思路,需求虽少见但并不违规。质疑需求,质疑环境,要求换ip的请自觉退散。 | 
发表于 2018-12-15 00:17
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
