我正在进行一项合同的初步研究,该合同是在运行Linux CentOS 6的约600台远程服务器(及其600个专用LAN)之间建立VPN网络的。该网络应该是基于星型的,因此每个远程服务器都连接到中央服务器以进入VPN(我知道这是SPOF,但这没关系,因为构建此VPN的主要应用程序将在中央服务器)。
我想使用OpenVPN(它非常灵活,可以调整到我们所需的配置),但是我想知道在如此大的网络上运行它的最佳实践是什么。例如,如果在tun模式下使用,它将在中央服务器上创建600个tun接口,我什至不知道它是否受支持和/或产生任何问题。
我没有这么大的网络经验,因此我愿意接受任何类型的建议和指导。谢谢!
Answers:
检查一下。它是一个自动协商路由的更简单的守护程序。因此,乍一看连接看起来像一颗星星,但是如果两个服务器直接连接的距离更近,它们就会这样做。另外,由于每个框仅需配置一次即可连接到主节点,因此添加新服务器意味着您不必在所有现有服务器上更新配置。拥有约600台服务器,将很快变得痛苦不堪。
使用OpenVPN AFAIK,您只需在中央服务器上创建一个tun接口,然后所有连接节点都位于该接口的子网中。因此,您不会在这方面遇到任何限制。
即使没有达到您提到的规模,我也建立了类似的VPN。我们有80台服务器,其后有80个/ 24LAN。我们使用OpenVPN,效果很好。我们遇到的主要问题是由于监管不力和规划不当导致带宽过载。这么多服务器可以轻松达到100Mbit / s,因此您必须仔细计划。取决于您的使用是否正确,但这是我们遇到的主要问题。
在配置方面,您必须使用客户端特定的配置,将VPN证书绑定到特定的路由。这可以通过ccd目录来完成。保持配置整洁,因为使用那么多服务器,它很快就会变成一团糟。为自己创建一个小脚本以快速生成密钥,因为要花很多时间才能花费一些时间。您可以修改OpenVPN实用程序以静默执行。如果安全性不成问题,则设置较长的证书到期时间,重新颁发600份证书将很痛苦。