У меня довольно простая настройка сети, как показано на прикрепленное изображение. Сеть распределена между двумя более или менее похожими центрами обработки данных, которые связаны через статический туннель OpenVPN. И VPN-серверы, и шлюзы работают. ПТИЦА OSPF, настроенный как магистральная область 0.
Каждый «клиент» состоит из клиента OpenVPN и нескольких хостов за ним, которые все принадлежат общему блоку / 64. Клиент OpenVPN открывает два подключения (основное и резервное) к одному из контроллеров домена. Мне нужно, чтобы все клиентские хосты могли разговаривать с любым сервером приложений на любом DC и наоборот, но ни один «клиент» не должен иметь никаких сведений о других «клиентах». Первоначально я хотел запустить OSPF и на клиентах OpenVPN и заставить их таким образом рекламировать свои / 64 блоки, но это означало бы, что все клиенты увидят всех остальных клиентов.
Что я хочу сделать, так это предотвратить «межклиентскую» связь, предпочтительно на уровне маршрутизации, как с точки зрения безопасности, так и для предотвращения любого избыточного сетевого трафика, поскольку некоторые клиенты могут находиться за очень медленными каналами. Таким образом, клиенты видят только сети DC, а DC могут видеть все клиентские сети. Можно ли это каким-то образом сделать с помощью возможностей фильтрации BIRD (и если да, то как?), Или мне, возможно, следует изучить некоторые другие протоколы маршрутизации?
Заметка: Я задал этот вопрос Сетевая инженерия где они посоветовали мне задать этот вопрос здесь, а также посоветовали мне изучить BGP как возможное решение. Однако у меня нет опыта работы с BGP, и, если кратко рассмотреть его, мне кажется, что его довольно сложно настроить.
