我计划将我的web应用基础设施托管给一个公共vps提供商。由于vps主机的专用网络可由与其一起托管的所有vps访问,而且许多基础结构组件都没有任何访问控制/身份验证,因此我需要将vps与其他vps隔离开来,并且只让vps彼此连接。我也需要这是透明的,尽可能少的过头。我不需要隐私和加密。
我发现只有ah和shared secret的ipsec可以做到这一点,但我希望这样的设置可以与任意数量的主机/vps一起工作。我不想为虚拟网络中的每个可能对定义共享机密,我的虚拟网络应该扩展到所有知道共享机密的vps/主机。
这可以用Linux内核中当前的IPSec实现来实现吗?
任何指向网上教程/操作指南的链接都非常有用!啊!
最佳答案
请在传输模式下查看ESP,因为不建议使用AH,并且现代实现可能不支持AH。
您可以将esp仅用于身份验证和空加密,以类似于ah。
http://www.unixwiz.net/techtips/iguide-ipsec.html
http://www.networksorcery.com/enp/protocol/esp.htm
要建立ipsec配置,您可以查看ipsec工具:http://ipsec-tools.sourceforge.net/-您将使用“setkey”命令来播放sad和spd:
http://www.nbi.dk/cgi-bin/man2html?8+setkey
http://www.ipsec-howto.org/x304.html
“-e null”(rfc 2410)将为您提供空加密。用“-a please”设置所需的身份验证。
您可以指定覆盖所有传入和传出通信量的范围策略。