當企業有這樣的需求時,你該如何實作呢?
公司有5個分部,都需要通路總公司内部資源。老闆要求使用較低的費用實作。最好不要使用專用裝置。你知道的,專用裝置價格都比較給力,性能缺不一定很好。
我這裡給你一個簡單的解決方案:
在總部的Internet Edge安裝一台OpenBSD Server, 各分公司的Internet出口處也安裝一台OpenBSD。通過GRE協定,在分公司和總公司的OpenBSD伺服器之間建立tunnel. 實作Site to Site ×××。 分公司區域網路和總公司的區域網路就可以互通。
方案優點:
1、成本低:你知道的,OpenBSD運作要求很低,512Mb記憶體的主機,10Gb硬碟,CPU嘛,現在能買到的都能滿足。
2、實作簡單:總共不超過15條指令。
缺點:
1、GRE協定其實隻是重新封裝了資料包,并沒有對資料包進行加密,是以,如果是機密資料傳輸,最好能使用GRE報頭驗證,或者結合IPSEC使用。下一步我研究GRE+IPSEC方式。當然,IPSEC會損耗一定的性能。
2、排故手段少:如果你按照步驟配置完,發現網絡不通,排查的手段比較少。這就考驗你的網絡知識的時候了。
這裡假設總公司要和兩個分公司之間建立GRE Tunnel。下面是拓撲圖:
配置步驟:
Site A OpenBSD Server:Tunnel to Site B,C
1. route add default 218.4.144.2
2. sysctl net.inet.ip.forwarding=1
3. sysctl net.inet.gre.allow=1
4. sysctl net.inet.gre.wccp=1
5. ifconfig gre0 create
6. ifconfig gre0 inet 172.16.1.1/24
7. ifconfig gre0 tunnel 218.4.144.1 222.92.36.1
8. ifconfig gre0 link0 up
9. route add 192.168.2.0/24 172.16.1.2
#配置到達Site C的GRE Tunnel
10.ifconfig gre1 create
11.ifconfig gre1 inet 172.16.2.1/24
12.ifconfig gre1 tunnel 218.4.144.1 58.34.217.1
13.ifconfig gre1 link0 up
14.route add 192.168.3.0/24 172.16.2.2
備注,如果要儲存配置,則需要做如下配置:
在/etc/sysctl.conf檔案中,找到2,3,4步對應的内容,執行修改操作。
建立/etc/hostname.gre0檔案,并把下面内容寫入:
172.16.1.1 172.16.1.2 netmask 0xffffffff link0 up
tunnel 218.4.144.1 222.92.36.1
!route add -net 192.168.2.0 -netmask 255.255.255.0 172.16.1.2
建立/etc/hostname.gre1檔案,并把下面内容寫入:
172.16.2.1 172.16.2.2 netmask 0xffffffff link0 up
tunnel 218.4.144.1 58.34.217.1
!route add -net 192.168.3.0 -netmask 255.255.255.0 172.16.2.2
Site B OpenBSD Server:Tunnel to Site A
1. route add default 222.92.36.2
6. ifconfig gre0 inet 172.16.1.2/24
7. ifconfig gre0 tunnel 222.92.36.1 218.4.144.1
9. route add 192.168.1.0/24 172.16.1.1
備注,如果要儲存配置,則需要做如下配置:
172.16.1.2 172.16.1.1 netmask 0xffffffff link0 up
tunnel 222.92.36.1 218.4.144.1
!route add -net 192.168.1.0 -netmask 255.255.255.0 172.16.1.1
Site C OpenBSD Server:Tunnel to Site A
1. route add default 58.34.217.2
6. ifconfig gre0 inet 172.16.2.2/24
7. ifconfig gre0 tunnel 58.34.217.1 218.4.144.1
9. route add 192.168.1.0/24 172.16.2.1
172.16.2.2 172.16.2.1 netmask 0xffffffff link0 up
tunnel 58.34.217.1 218.4.144.1
!route add -net 192.168.1.0 -netmask 255.255.255.0 172.16.2.1
備注:
如果所有Site使用者還需要利用OpenBSD伺服器上網,那就要在伺服器上啟用NAT功能。可選的方案有很多。其實pf包過濾防火牆挺不錯的。如果不會,自己就搜尋一下吧。