原帖由 meilinxiaoxue 于 2008-3-19 19:15 发表
不明白什么意思,是说要用到gre tun还是啥?
客户那边那么多的机器,不可能都直接挂在路由器上吧?假如你挂在交换机上,不划分vlan的话本地直接就通信了...
原帖由 seven007 于 2008-3-19 19:49 发表
如果没猜错的话估计他的客户端是客户那边的路由器。
客户路由器通过tunnel连到网关。
这样的话确实应该在路由器上做access-list,具体怎么实施得仔细想一想
原帖由 meilinxiaoxue 于 2008-3-19 20:13 发表
晕...原来如此....
这个貌似比较头疼,你的思路是不是想通过隧道把每个客户连接进去?
假如你用gre,那么客户机器本身还是要先分配一个ip,他们在同一个网段,直接就访问了.
是否可以考虑在路由器上做一个pppoe服 ...
原帖由 meilinxiaoxue 于 2008-3-19 20:54 发表
恩...很奇怪...
就假设各地的gre是同一个网段的不同子集,一起搞到中心路由器去,隔离肯定是可以的,但是那个服务端要回访各个区域的不同子集不是麻烦得要命...一条条的写主机直接路由....管理起来惨大了.... ...
原帖由 meilinxiaoxue 于 2008-3-19 20:54 发表
恩...很奇怪...
就假设各地的gre是同一个网段的不同子集,一起搞到中心路由器去,隔离肯定是可以的,但是那个服务端要回访各个区域的不同子集不是麻烦得要命...一条条的写主机直接路由....管理起来惨大了.... ...
原帖由 ssffzz1 于 2008-3-19 21:03 发表
对啊。LZ不用这么保密。牵扯到公网IP的地方,把最后几位改掉就行了。
这样的拓扑结构很多的。
但是我搞不清楚中间为什么用GRE隧道,为了安全吗?
原帖由 meilinxiaoxue 于 2008-3-19 21:10 发表
不清楚为什么要那么干...也许是把服务那边的服务器都放在私有地址上面,不通过公网提供服务,然后用gre把分部门的访问给连进去?
这样如果只用gre也不大安全吧...还要加密掉...
原帖由 ssffzz1 于 2008-3-19 21:23 发表
哦,你是要具体的命令啊。
这个无能为力,关于扩展访问列表的例子网上很多的。CCNA的教材里也有的,并且配置也非常简单的,就是定义协议、源IP、源端口、目的IP、目的端口这个五元组而已。
欢迎光临 Chinaunix (http://bbs.chinaunix.net/) | Powered by Discuz! X3.2 |