LINUX.ORG.RU

История изменений

Исправление upcFrost, (текущая версия) :

а зачем gre

за маршрутизацией в целом, и OSPF в том числе. Ну, что такое вообще GRE? это инкапсуляция маршрутов.

Собственно в чем основной косяк пиписека - IPsec это p2p-тоннель, и если тебе надо больше одной подсети и ты не можешь объединить их широкой маской (ну скажем сеть такая что есть подсети классов А и С одновременно, типа разделение для безопасности, вся фигня, бывает), то тебе нужен тоннель+маршрут на _каждую_ подсеть.

GRE упаковывает изначальный пакет в свою обертку, которая идет по p2p-тоннелю, потом в конечной точке она разуплотняется и идет дальше по таблице маршрутизации удаленной системы без всяких дополнительных телодвиженей со стороны пиписека. Так что остаются только маршруты.

Откуда их добыть? ну, можно и статикой. А можно и динамически. Если строить OSPF, то мало ли как топология может в случае косяка вылезти. Да и вообще мало ли какая у тебя топология. это универсальный вариант, когда у тебя полностью динамическая маршрутизация. Для совсем большой сети конечно можно лезть в BGP либо запариться с MPLS L2/L3VPN (мне кстати было б интересно), но для средних размеров сети эта связка работает на ура. По сути это то как работают DVPN/DMVPN от HP и сиськи соответственно

Исходная версия upcFrost, :

а зачем gre

за OSPF в том числе. Ну, что такое вообще GRE? это инкапсуляция маршрутов.

Собственно в чем основной косяк пиписека - IPsec это p2p-тоннель, и если тебе надо больше одной подсети и ты не можешь объединить их широкой маской (ну скажем сеть такая что есть подсети классов А и С одновременно, типа разделение для безопасности, вся фигня, бывает), то тебе нужен тоннель+маршрут на _каждую_ подсеть.

GRE упаковывает изначальный пакет в свою обертку, которая идет по p2p-тоннелю, потом в конечной точке она разуплотняется и идет дальше по таблице маршрутизации удаленной системы без всяких дополнительных телодвиженей со стороны пиписека. Так что остаются только маршруты.

Откуда их добыть? ну, можно и статикой. А можно и динамически. Если строить OSPF, то мало ли как топология может в случае косяка вылезти. Да и вообще мало ли какая у тебя топология. это универсальный вариант, когда у тебя полностью динамическая маршрутизация. Для совсем большой сети конечно можно лезть в BGP либо запариться с MPLS L2/L3VPN (мне кстати было б интересно), но для средних размеров сети эта связка работает на ура. По сути это то как работают DVPN/DMVPN от HP и сиськи соответственно