|
阅读:1941回复:10
大型VPN组网
拟用工控机+Linux+FreesWAN作为vpn网关进行1000个点的组网,请大家就系统的稳定性,可维护性等方面探讨一下;
|
|
|
沙发#
发布于:2003-01-14 15:54
网关后面1000个点还是有1000个点连网关
|
|
|
|
板凳#
发布于:2003-01-15 08:39
mike说的这点很重要!如果有1000个网关,配置策略就是一件很复杂的事情。
|
|
|
|
地板#
发布于:2003-01-15 09:50
1k个网关,太多了吧,1k条隧道还可以模拟
|
|
|
地下室#
发布于:2003-01-15 11:38
多谢大家回应,目前情况是这样:
某证券有1000个营业厅,要保证营业厅和上级间数据传输的安全,1000个网关不会都有通讯关系,只是相邻级节点有通讯。 但是必须保证工程的可实施性,可配置性,稳定性;因此我觉得要有一个集中监控系统,监控这写网关,这些网关要定时上报日志,接受远程的配置。 不知是否可行? |
|
|
5楼#
发布于:2003-01-15 11:44
看来你们不是做VPN的只是有了这样一个工程临时拼凑东西??
|
|
|
|
6楼#
发布于:2003-01-15 11:51
没错,以前用工控机+freeswan调试过点对点的网络,但是不知道freeswan在这么多点网络下能够稳定工作,不知楼上的大侠能否给些建议
|
|
|
7楼#
发布于:2003-01-16 09:33
freeswan的SA hash数组定义好像是257,这个值应该会限制sadb的大小,因此我认为如果要在一个vpn节点上建立1000个隧道可能不行,几十~100多应该没有问题。个人看法,供参考。建议你给freeswan的编写者发个mail问问。 :)
|
|
|
|
8楼#
发布于:2003-01-16 13:48
你们一定要自己做软硬件设备??有没有考虑过合作的形势?
|
|
|
|
9楼#
发布于:2003-01-16 14:08
我用过FREESWAN的VPN,我看效率是个很大的问题,我只是提醒你,而且你要看清楚是哪个版本,好多东西都是要改的
|
|
|
10楼#
发布于:2003-01-17 11:13
freeswan的SA hash数组定义好像是257,这个值应该会限制sadb的大小,因此我认为如果要在一个vpn节点上建立1000个隧道可能不行,几十~100多应该没有问题。个人看法,供参考。建议你给freeswan的编写者发个mail问问。 :) 你让我有点郁闷。hash是什么含义? 何况一个条件编译还让freeswan的hash数组的变成了8千多。 只要资源够,10k条联接也不会有问题的。 不过freeswan目前前途未卜,2.5的核已经打算扔掉freeswan 另来一套了。不过目前而言,freeswan还是linux下最完善的 ipsec实现,虽然不支持x509,nat-t,any-any,post selector, l2tp,dhcp,ike auth,动态算法,异步加密等等。 除了异步加密,都有补丁,但是要让这些补丁很好的打进去, 而且还能没有bug的工作,比较费劲。 freeswan的一个缺点是,和内核不是紧密结合,不过这样也好, 对于我这种移植代码的人来说,更加容易些:-P |
|
|
