VPN 网络:如何跨越两个位置的 /24 子网?

网络工程 虚拟专用网 聚光灯 l2vpn
2021-07-19 11:13:06

如何拥有跨越 VPN 两个位置的单个 /24 私有 IP 地址空间?

又名 VPLS

设想:

我们有一个 /24: 192.168.100.0/24,上面有工作站和服务器。服务器是 0.5 到 0.30,工作站是 0.50-.254。

  • 目前,所有这些都在一个物理位置。
  • 服务器都是单个 VMWare 主机上的所有 VMWare 实例。
  • 我们目前使用 Sonicwall NSA 3600 和类似型号

我们需要将服务器移至数据中心(以回收办公空间等),并且出于多种原因,需要保持网络原样。(在应用程序服务器和客户端级别有大量配置,为特定 IP 地址提供特定权限,阻止 IP 访问,并将不同类型的用户放在不同的 IP 地址块中。)

当我过去完成 VPN 配置时,我们总是在每个位置都有不同的子网。这会破坏应用程序设置的许多层,因此我们希望避免它。我们需要相同的子网 (192.168.100.0/24) 来跨越两个位置,并让服务器正确地看到客户端(例如,当所有内容都在一个物理位置时,客户端 IP 表示给服务器,就像现在一样)。

我听说电信公司的 MPLS 和/或 L2 服务器可能能够解决这个问题,但我不知道具体是如何解决的。我们更愿意在我们自己的网络设备中实现这一点(为我们提供灵活的 RE 位置,例如不完全依赖电信公司),但需要了解选项。

注意: - 我们知道从某些角度来看,L2 桥接并不理想 - 然而,它对于此应用程序来说是正确的 - 我们知道如何使用 NAT 将“本地”地址路由到另一个子网。不用解释了。此线程是“如何跨越两个位置的 /24 子网”

a) 这能做到吗?

b) 我们知道电信公司有这样的服务。我们想知道:我们可以用自己的装备来做吗?(我们目前使用 Sonicwall NSA 3600,但如果需要,我们会迁移出去。我们需要什么,规范,准备好这样做?)

c) 对此建议的“最接近的选项”?(例如,如果我们在自己的设备中实现 VPLS 的梦想是不可能的,那么在以这种方式解决的电信 VPLS 和电信 VPLS 之间是否还有另一种选择?)

3个回答

了解和配置使用 IRB 功能的路由器上的 VLAN 路由和桥接

背景资料

为了使 VLAN 跨越路由器,路由器必须能够将帧从一个接口转发到另一个接口,同时保持 VLAN 报头。如果路由器配置为路由第 3 层(网络层)协议,它将在帧到达的接口处终止 VLAN 和 MAC 层。如果路由器桥接网络层协议,则可以保留 MAC 层报头。但是,常规桥接仍会终止 VLAN 报头。

使用 Cisco IOS® 11.2 版或更高版本中的 IRB 功能,可以配置路由器以在同一接口上路由和桥接同一网络层协议。这允许在将路由器从一个接口传输到另一个接口时将 VLAN 报头保留在帧上。IRB 提供了在桥接域和具有桥接组虚拟接口 (BVI) 的路由域之间进行路由的能力。BVI 是路由器内的虚拟接口,其作用类似于不支持桥接的普通路由接口,但代表路由器内路由接口的可比桥接组。BVI的接口号就是虚拟接口所代表的桥组号。数字是 BVI 和桥组之间的链接。

a) 这能做到吗?

是的,它可以。

b) 我们可以用我们自己的设备来做吗?(我们目前使用 Sonicwall NSA 3600,但如果需要,我们会迁移出去。我们需要什么,规范,准备好这样做?)

是的,你可以用你的防火墙做到这一点;它们支持第 2 层隧道。

c) 对此建议的“最接近的选项”?

我不确定你问这个问题是什么意思。您可以使用现有设备做您想做的事情,还有许多其他选项可以做到这一点,但产品或资源推荐在这里显然是题外话。

值得注意的是,您想要灵活性,但是您通过专门使用 IP 地址将自己逼到了角落,消除了您所有的灵活性。您的应用程序应该使用域名而不是特定的服务器 IP 地址。如果你纠正了这个问题,你将重新获得灵活性。这是您应该咬紧牙关并按照应有的方式修复事物的时间点。

当然有可能。

以 Linux 机器为终端的桥接模式下的 Openvpn 是一种解决方案。还有可能更多的企业。

其它你可能感兴趣的问题
上一篇链路聚合是否使用全部带宽? 下一篇在 Cisco IOS 12.2(55)SE7 上配置 SSH 密码