哪些 VPN 类型/协议本质上支持多播流量?

网络工程 虚拟专用网 多播 隧道 最佳实践
2021-07-20 05:55:59

在我的工作中,我们定期为客户从头开始构建移动网络。(移动网络:想想带 wifi 的电池供电 LTE 路由器。)由于我们从头开始构建,因此我们可以与供应商无关并研究降低成本的方法。

有句话说,对锤子来说,每一个问题都是钉子。(对于思科人来说,每个产品都可以用思科解决方案解决。)我坚信使用正确的工具来完成工作。因此,我决定研究不同安全/值得信赖的 VPN 技术的优势/最佳使用场景的心理模型。然后开发每个的工作熟练程度以添加到我的工具包中。

以下是我正在阅读的值得注意的 VPN 类型/协议。注意我省略了我认为不安全或不可信的 VPN 技术(NSA 后门)。

  • IKEv2/IPSec:(我读到它是 L2TP 的更好版本,它可以重新建立 VPN 连接,当互联网不稳定时,或在多个网络(家庭、工作、蜂窝网络)之间切换时。)
  • openVPN:最安全。已经审核过了 我想知道它是否支持多播。(我在某处读到它没有,但我也听说有人提到它可以使用桥接模式。)
  • SoftEtherVPN:创建一个模拟硬件交换机的虚拟集线器,因此可以进行多播。它还具有 NAT Transversal 功能,因此您可以在防火墙后面拥有一个 VPN 服务器,人们无需编辑任何防火墙设置即可连接到该服务器。(我认为是通过云中继)。
  • GRE/IPSec VPN 隧道:2 台路由器(cisco、pfsense 等)可以使用它形成站点到站点链接,这将允许多播流量。(这是站点到站点路由器的唯一 VPN 协议吗?)

问题:在上述 VPN 隧道协议/类型中,它们固有地、透明地或以最少的配置支持多播流量。

1个回答
  • IKE(以大量简化的术语/实际解释)只是建立 IPSec VPN 隧道的一种方式,而 IPSec VPN 隧道本身并不支持多播。
  • 您可以将 GRE 隧道放在支持多播和其他非 IP 第 3 层协议(如 Apple Talk、IPX 和 NHRP)的 IPSec VPN 隧道内,这解释了为什么使用 NHRP(非 IP 第 3 层协议)的 DMVPN ) 因为它的魔力取决于 GRE。
  • 有一个相对较新的东西叫做 VTI(虚拟隧道接口),它是支持多播的 IPSec VPN 隧道。它只支持 IP 流量,不支持 NHRP,因此不能用于 DMVPN。请注意相对较新:此时,大多数商业供应商都支持 VTI(思科、瞻博网络等)。我听说 VTI 使多供应商环境中的生活更轻松。注意 StrongSwan 是一个 Linux IKEv2 VPN 服务器,它最近增加了对 VTI 的支持(VyOS 是一个内置 StrongSwan 的 Linux 路由器发行版,因此开源路由器可以与商业路由器形成站点到站点 VPN 桥接器)。我读到截至 2017 年 6 月 pfsense 不支持 VTI,但 VTI 代码将在 pfsense 所基于的 FreeBSD 的未来版本中可用,因此也许 2 年后 pfsense 的新版本可能会支持它。
  • OpenVPN:本身不支持多播流量。然而,我确实读到它有一个桥接 VPN 模式,它可以通过将其视为广播来支持多播流量,我通过 google-fu 找到的随机论坛帖子上的某个人分享了一个关于 1 个用户观看大型多播流的故事,这是然后向 VPN 连接上的所有其他用户广播,它充当了其他 OpenVPN 客户端的拒绝服务,因此我不建议将 OpenVPN 用于多播。
  • EtherSoft 是 VPN 服务器软件:它提供自己的自制 VPN 服务器服务,涉及虚拟交换机,同时提供 OpenVPN 服务器服务和 L2TP 服务器服务。据我所知,移动客户端只能连接到 L2TP 服务器。(从我读过的内容来看,由于漏洞利用是不安全的)它将多播流量视为广播流量,它的“虚拟集线器”有一个默认的安全策略,可以限制广播流量/开始丢弃超过限制的流量,您可以解除限制,但是您会遇到与 OpenVPN Bridge VPN 模式相同的问题。
其它你可能感兴趣的问题
上一篇滑动窗口协议如何处理极端网络延迟导致的重复数据包? 下一篇100BASE-TX 中的 IPG 信号位