SDWAN如果采用POP接入(有网关)方式,那么site to site的tunnel怎么过nat呢?

如下图分支cpe需要通过pop点接入,连接到其它分支或者总部cpe,如果需要加密,一般使用ipsec,ipsec的对端无法通过pop点直接建在对端cpe上,而如果ipsec对端建在pop点上,那么ipsec终结在pop点上,会在pop点做一次解密和加密操作,很耗性能,又暴露了用户报文。
我看versa有张图,底层可能是先建的vxlan tunnel,ipsec跑在vxlan上,即ipsec over vxlan,这样ipsec在pop点之间直接被转发到对端cpe。
但问题来了,一般cpe位于防火墙之内,需要过nat,vxlan是无法支持nat的,难道他们修改了pop端的vxlan实现机制?

图片说明

图片说明

sexuhui8820
bigsheng.zero 我在知乎上回答了这个问题:
一年多之前 回复

2个回答

我在知乎上回答了这个问题:
https://www.zhihu.com/question/310611105/answer/584888339

sexuhui8820
bigsheng.zero 晓光,daho的组网有问题,不然我问这个问题干嘛,知道我是谁了吧~
一年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问
相关内容推荐