Karuboniru's Blog
·
一种很怪的隧道 (MACsec in VXLAN)
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
文章介绍了如何通过VXLAN和MACsec在公网上建立安全隧道。首先配置VXLAN隧道,然后添加MACsec进行加密和认证。尽管存在一些限制,该方案性能优越且配置简单,适合需要安全连接的场景。
🎯
关键要点
-
文章介绍了如何通过VXLAN和MACsec在公网上建立安全隧道。
-
最初尝试IEKv2 + IPsec,但因复杂度放弃,转而研究VXLAN隧道。
-
VXLAN本身没有加密,可能被墙检查内容,因此考虑添加MACsec进行加密和认证。
-
配置VXLAN隧道需要在两端设置相同的参数,包括端口和公网IP。
-
在任意一端生成CAK和CKN后,配置MACsec隧道以实现加密。
-
客户端通过MACsec自动获取IPv4/IPv6地址,需配置NAT和防火墙规则以实现上网。
-
MACsec是点对点的,断开后需手动重连,可通过配置文件避免接口被禁用。
-
该方案有一些限制,如需公网IP和点对点连接,但性能优越且配置简单。
-
由于是二层连接,客户端可将MACsec接口桥接到网桥上,支持更多设备接入。
❓
延伸问答
如何通过VXLAN和MACsec在公网上建立安全隧道?
首先配置VXLAN隧道,然后在任意一端生成CAK和CKN,接着配置MACsec隧道以实现加密和认证。
VXLAN隧道的主要缺点是什么?
VXLAN本身没有加密,可能被墙检查内容,因此需要添加MACsec进行加密和认证。
MACsec的配置需要哪些参数?
需要生成16字节的CAK和32字节的CKN,并在配置中指定这些密钥。
使用MACsec时,客户端如何获取IP地址?
客户端通过MACsec自动获取IPv4/IPv6地址,需配置NAT和防火墙规则以实现上网。
MACsec的连接方式有什么特点?
MACsec是点对点的,断开后需手动重连,可以通过配置文件避免接口被禁用。
该方案的优点和限制是什么?
优点是全内核支持、性能极好、配置简单;限制是需要公网IP和点对点连接。
➡️
