站點到站點 VPN 子網需要多大?
我們總部和未來遠端辦公室的數據 VLAN 上的使用者將需要從遠端伺服器訪問文件、浮動網路許可證等,因此我們需要一個用於數據網路的站點到站點 VPN。在設置我們的總部時,我認為我很聰明地為數據 VLAN 使用了一個大型(B 類,即 255.255.0.0)子網,並且站點到站點 VPN 將允許我們在所有未來的辦公室中擴展相同的子網並讓使用者在任何地方無縫連接到任何位置的任何伺服器。但是,現在我開始設置 VPN,我了解到這是一種不好的做法,因為網際網路上的廣播流量涉及延遲。
我有一對機架盒,每個都在 Hyper-V VM 中執行 pfSense。這些將成為每個站點的防火牆,它們之間有一個站點到站點的 VPN。站點到站點 VPN 的 pfSense 配置選項(我假設 SSL/TLS 模式下的 OpenVPN 是最安全的選項)要求三個網路,隧道網路、遠端網路和本地網路。**我的問題是隧道網路需要多大?**它可以是一個 C 類 (255.255.255.0) 網路,每個辦公室都有一個 IP,還是需要足夠大才能為所有辦公室的每台設備提供一個地址?如果是後者,我顯然無法給每個辦公室一個 255.255.0.0 子網(我認為這不是必需的),但我是否必須減小 HQ 子網的大小(它可能有 500 台以下主機目前儘管有數以萬計的 IP 地址可用)最初打算成為我們的全球網路?
站點到站點 VPN 通常是完全路由的網路。這意味著沒有 NAT 或任何東西。用於 VPN 的子網只需要連接路由器的地址。
因此,僅在兩個站點之間需要的子網的最小大小是 a
/30,或者可能是 a/31。當然,您將來可能會添加更多站點,因此/24為 VPN 分配更大的站點並不是一個壞主意,具體取決於您的特定 VPN 技術及其處理路由的方式。與 OpenVPN 或 IPSec 相比,您在 Wireguard 等中分配子網的方式可能有所不同。