VP
В этом плане нет разницы. Только политика отличается.
Size: a a a
2021 April 12
VB
мне кажется она колосальна. Ведь интерфейс нам нужен для того, чтобы роутить, ведь не все можно описать полиси (да и неудобно).
VB
а сторить gre чтоб потом накручивать неописуемые policy это только жля экспериментов
VP
Вам кажется. )
Если есть какой-то туннель, то для роутинга монопенисуально "снаружи" он или "изнутри".
Если есть какой-то туннель, то для роутинга монопенисуально "снаружи" он или "изнутри".
VB
нет!
VB
если ipsec внутри (инкапсулирован) и трафик не попадает под полиси, то он уйдет в туннель нешифрованный!
VB
соответственно нужны И маршруты И полиси
VP
Ужас. )
VB
а если gre инкапсулирован в ipsec, то полиси только на концы туннеля ине важно какие адреса там будут летать
VB
согласен +)
VB
а если вы можете все описать полиси то проще использовать сразу туннельный режим ipsec без оверхеда на gre. Но это тот случай, когда можно обойтись без интерфейса. А раз вы хотите интерфейс то врядли вы опишите подходящие полиси
VP
Судя по этой фразе Вы таки не понимаете, как это работает. (
VB
или вы не хотите критически отнестись к тому что знаете.
VB
шифруется то, что попадает под полиси, соответственно вы должны указать все возможные адреса назначения и получателя, которые должны быть зашифрованны. При роутинге обычно все что не специфично это дефултроут
VB
и это проблема, что в полиси нельзя выборочно что-то не шифровать
VB
точнее можно но это очень большой список получается
VP
И что? ) Вы написали про инкапсуляцию а теперь пишете про шифрование. Для Вас нет разницы? )
VB
да, я был недостаточно точен, шифрование gre я назвал инкапсуляцией ( но я сделал это лишь чотбы обратить внимание что оно шифрует весь gre), а не внутри, чтобы избежать путаницы в терминологии с "внутри и снаружи" т.к. она может ввести в заблуждение если не договориться заранее о чем я писал выше, но вы сочли это неважным.
m
