我正在做一个合同的初步研究,在〜600个运行Linux CentOS 6的远程服务器(+他们的600个专用局域网)之间build立一个VPNnetworking。 networking应该是基于星形的,所以每个远程服务器连接到一个或多个中央服务器以进入VPN(我知道这是一个SPOF,但没关系,因为构build这个VPN的主要应用程序将运行在中央服务器)。
我想使用OpenVPN(它非常灵活,可以根据我们需要的configuration进行调整),但是我想知道在这么大的networking上运行它的最佳实践是什么。 例如,如果在tun模式下使用,它将在中央服务器上创build600个tun接口,我甚至不知道它是否受支持和/或创build任何问题。
我对这样一个庞大的networking没有任何经验,所以我可以接受任何build议和指引。 谢谢!
看看tinc。 它是一个简单的守护进程,自动协商路由。 所以起初连接看起来像一个明星,但如果两个服务器直接连接的话,它们就会这样做。 另外,因为每个盒子只需configuration一次即可连接到主节点,添加新的服务器意味着您不必更新所有现有服务器上的configuration。 大约600台服务器很快就会变得痛苦。
使用OpenVPN AFAIK,您只能在中央服务器上创build一个tun接口,然后所有连接节点都位于此接口的子网中。 所以你不会在这方面遇到任何限制。
我有一个类似的VPN设置,即使不是你提到的规模。 我们有80个80 / 24LANs的服务器。 我们使用OpenVPN,它的效果很好。 我们遇到的主要问题是由于监督不力和计划不周造成的带宽过载。 许多服务器可以很容易地达到100Mbit / s,所以你必须仔细计划。 取决于你的使用是真实的,但这是我们的主要问题。
在configuration方面,您必须使用客户端特定configuration将VPN证书绑定到特定路由。 这可以通过ccd目录来完成。 保持你的configuration清洁,因为有很多服务器,它可以很快变成一团糟。 为自己创build一个小脚本来快速生成密钥,因为这么多密钥需要一段时间。 您可以修改OpenVPN实用程序以静默执行。 如果安全性不是问题,那么设置一个很长的证书到期时间,重新颁发600个证书是非常痛苦的。