Linux CentOS 6을 실행하는 ~ 600 개의 원격 서버 (+ 600 개의 개인 LAN)간에 VPN 네트워크를 구축하는 계약에 대한 예비 연구를하고 있습니다. 네트워크는 스타 기반이어야하므로 각 원격 서버가 중앙 서버에 연결하여 VPN에 들어갑니다 (SPOF는 알고 있지만이 VPN이 구축 된 기본 응용 프로그램은 어쨌든 중앙 서버).
OpenVPN을 사용하고 싶습니다 (정말 유연하고 필요한 구성으로 조정할 수 있습니다). 그러나 그러한 대규모 네트워크에서 실행하기위한 모범 사례가 궁금합니다. 예를 들어, tun 모드에서 사용되는 경우 중앙 서버에 600 개의 tun 인터페이스가 생성되며, 지원되는지 및 / 또는 문제가 있는지조차 모릅니다.
나는 그러한 대규모 네트워크에 대한 경험이 없으므로 어떤 종류의 제안과 조언에도 열려 있습니다. 감사!
답변:
틴크를 확인하십시오. 경로를 자동 협상하는 간단한 데몬입니다. 처음에는 연결이 별처럼 보이지만 두 서버가 직접 연결되는 것이 더 가까워지면 그렇게합니다. 또한 각 상자는 마스터 노드에 한 번만 연결하도록 구성해야하므로 새 서버를 추가하면 기존 서버의 모든 구성을 업데이트 할 필요가 없습니다. ~ 600 대의 서버로 빠르게 고통받을 것입니다.
OpenVPN AFAIK를 사용하면 중앙 서버에서 하나의 tun 인터페이스 만 만든 다음 모든 연결 노드가이 인터페이스의 서브넷에 있습니다. 따라서이 측면에 대한 제한이 없습니다.
언급 한 규모가 아니지만 비슷한 VPN을 설정했습니다. 우리는 80 / 24LAN을 가진 80 대의 서버를 가지고 있습니다. 우리는 OpenVPN을 사용하며 훌륭하게 작동합니다. 우리가 가진 주요 문제는 잘못된 감독과 나쁜 계획으로 인한 대역폭 과부하였습니다. 많은 서버가 100Mbit / s에 쉽게 도달 할 수 있으므로 신중하게 계획해야합니다. 그것이 당신의 사용에 달려 있지만 그것은 우리가 가진 주요 문제입니다.
구성 측면에서는 VPN 인증서를 특정 경로에 연결하는 클라이언트 별 구성을 사용해야합니다. 이것은 ccd 디렉토리로 수행 할 수 있습니다. 서버가 많으면 빠르게 혼란에 빠질 수 있으므로 구성을 깨끗하게 유지하십시오. 키가 너무 많으면 시간이 걸리기 때문에 키를 빠르게 생성 할 수있는 작은 스크립트를 작성하십시오. OpenVPN 유틸리티를 수정하여 자동으로 실행할 수 있습니다. 보안이 그다지 중요하지 않은 경우 인증서 만료 시간을 길게 설정하면 600 개의 인증서를 다시 발급하는 데 어려움이 있습니다.