sdwan 中 CPE 流量如何实现租户隔离?
核心骨干网已经搭建完成,全部基于 vxlan 进行转发,考虑到 cpe 设备可能存在在 nat 后,准备使用 ipsec 来连接 pe ,因为 ipsec 天然可以穿透 nat ,如果 ipsec 和远端的 pe 建立连接那么 pe 如何区分流量属于哪个租户的呢?这个问题困扰了我许久,有没有做过的同学,希望能指导下。 ipsec 不是带有 spi 么,spi 可以区分的 1 原生 IPsec 天然无法直接穿透 NAT ,你乱说
2.IPSec 有 SA ,可以绑定到不同的虚拟网卡,然后再走不同路由,我看爱快那边这功能就是这么实现的。 @ekucn 那岂不是 pe 测要创建一堆虚拟 tunnel ,不过这种方案应该可行,然后把 tunnel 划分的 vrf 中 @jonathan001 这不是很正常嘛,你看 docker 那一堆堆的 vethXXXX @ekucn 听君一席话,胜读十年书。
页:
[1]