基于 IPSec 路由的 vpn st0 接口

网络工程 虚拟专用网 杜松 ipsec 杜松-srx
2022-02-17 09:19:30

据我所知,当网关配置有基于路由的 VPN 时,使用 st0 接口。

但我的问题是,说下面是拓扑

A<---->B<---->C<---->D

A 和 D 是主机,B 和 C 是路由器/网关。

现在,如果我们想从 A 到达 D,我们可以直接从 B 出发,下一跳为 C。

使用 st0 时也是如此。st0 在 B 和 C 上配置,当 A 必须到达 D 时,B 的下一跳将是 st0。同样,当 D 必须到达 A 时,下一跳将是 C 的 st0。

那么,我们不能将它们的网关 IP 地址添加为下一跳,而不是将它们映射到 st0 吗?我们不是在做同样的事情吗?

如果没有,任何人都可以帮助我更好地理解它。

1个回答

如果您设置 B 或 C 的下一跳而不是 st0.0(假设没有 NAT 或安全策略问题),流量仍将在 A 和 D 之间流动,但是您将不再通过隧道接口路由并加密流量.

通常在使用 IPSEC 隧道时,B 和 C 之间的链接会更多跳和/或由第三方控制,因此您将通过隧道进行路由。

其它你可能感兴趣的问题
上一篇如何在思科路由器上阻止 youtube url 下一篇“网络拓扑”和“网络几何”有什么区别?