GoForum › 🌐 V2EX

sdwan 中 CPE 流量如何实现租户隔离？

jonathan001 · 2026-05-16 17:00 · 0 次点赞 · 3 条回复

核心骨干网已经搭建完成，全部基于 vxlan 进行转发，考虑到 cpe 设备可能存在在 nat 后，准备使用 ipsec 来连接 pe ，因为 ipsec 天然可以穿透 nat ，如果 ipsec 和远端的 pe 建立连接那么 pe 如何区分流量属于哪个租户的呢？

这个问题困扰了我许久，有没有做过的同学，希望能指导下。

3 条回复

pagxir · 2026-05-16 18:10

ipsec 不是带有 spi 么，spi 可以区分的

ekucn · 2026-05-16 18:15

1 原生 IPsec 天然无法直接穿透 NAT ，你乱说 2.IPSec 有 SA ，可以绑定到不同的虚拟网卡，然后再走不同路由，我看爱快那边这功能就是这么实现的。

jonathan001 · 2026-05-16 18:20

@ekucn 那岂不是 pe 测要创建一堆虚拟 tunnel ，不过这种方案应该可行，然后把 tunnel 划分的 vrf 中

添加回复

你还需要登录后发表回复

登录后可发帖和回复

登录注册

主题信息

作者: jonathan001

发布: 2026-05-16

点赞: 0

回复: 0