Thiết lập TAP hầu như không yêu cầu thêm công việc nào từ người thiết lập nó.
Tất nhiên, nếu bạn biết cách thiết lập TUN nhưng không hiểu bạn đang làm gì và chỉ cần làm theo hướng dẫn điều chỉnh, bạn sẽ chiến đấu để thiết lập TAP nhưng không phải vì nó khó hơn mà vì bạn không biết bạn đang làm gì đang làm. Điều này dễ dẫn đến xung đột mạng trong môi trường TAP và sau đó có vẻ như nó phức tạp hơn.
thực tế là, nếu bạn không cần một hướng dẫn bởi vì bạn biết những gì bạn đang làm, thiết lập tap mất nhiều thời gian như thiết lập tun.
với tap có nhiều giải pháp về mạng con, tôi thấy mình cách dễ nhất là sử dụng mạng con lớp B. trang web1 (Network1) bằng cách sử dụng 172.22.1.0/16 trang web2 (mạng2) bằng cách sử dụng 172.22.2.0/16 trang web3 bằng cách sử dụng 172.22.3.0/16, v.v.
bạn thiết lập site1 với máy chủ oVPN và để cung cấp cho khách hàng phạm vi ip 172.22.254.2 - 172.22.254.255/16 để bạn có thể có hơn 200 máy khách ovpn (mạng con) mỗi mạng con có thể có hơn 200 máy khách. Làm cho tổng số 40.000 khách hàng bạn có thể xử lý (nghi ngờ oVPN có thể xử lý việc đó nhưng như bạn thấy, việc thiết lập mạng con phù hợp sẽ cung cấp cho bạn nhiều hơn đủ khi bạn cần)
bạn sử dụng một vòi và tất cả các khách hàng cùng nhau như trong một mạng lưới công ty lớn.
Tuy nhiên, nếu mỗi trang web có DHCP riêng và cần có, bạn cần đảm bảo sử dụng ebtables hoặc iptables hoặc dnsmasq để chặn phân phối dhcp. ebtables tuy nhiên sẽ làm chậm hiệu suất. sử dụng dnsmasq dhcp-host = 20: a9: 9b: 22: 33: 44, ví dụ bỏ qua sẽ là một nhiệm vụ lớn để thiết lập trên tất cả các máy chủ dhcp. tuy nhiên, trên phần cứng hiện đại, tác động của ebtables không phải là lớn. chỉ 1 hoặc 2%
chi phí hoạt động của vòi, khoảng 32 đến điều chỉnh, cũng không phải là vấn đề (có thể là trên các mạng không được mã hóa) nhưng trên các mạng được mã hóa, thông thường AES sẽ gây ra sự chậm lại.
Ví dụ, trên wrt3200acm của tôi không được mã hóa, tôi nhận được 360Mbps. Sử dụng mã hóa, nó giảm xuống còn 54-100Mbps tùy thuộc vào loại mã hóa tôi chọn) nhưng openvpn không thực hiện mã hóa trên 1500 và mã hóa thứ 2 trên 32 chi phí. Thay vào đó, nó thực hiện mã hóa 1 lần trên 1500 + 32 đầu.
Vì vậy, tác động ở đây là tối thiểu.
Trên phần cứng cũ, bạn có thể nhận thấy tác động nhiều hơn, nhưng đối với phần cứng hiện đại thì nó thực sự giảm đến mức tối thiểu.
Mã hóa giữa 2 máy ảo có hỗ trợ AES giúp tôi nhận được ovpn của mình với TAP tới 120-150Mbps.
Một số báo cáo bộ định tuyến chuyên dụng VỚI mã hóa phần cứng AES hỗ trợ lên tới 400Mbps! Nhanh hơn 3 lần thì i5-3570k có thể làm được (mà trên hệ thống thử nghiệm của tôi không thể tăng cao hơn 150Mb / giây với 100% sử dụng lõi 1) Đầu khác của tôi: E3-1231 v3, sau đó khoảng 7% sử dụng CPU, khoảng 25% lõi openvpn đang sử dụng đã được sử dụng. Vì vậy, E3 rất có thể có thể tăng kết nối lên gấp 3 đến 4 lần.
vì vậy, bạn có một cái gì đó giữa 360Mbps và 600Mbps với kết nối giữa cpu E3-1231 v3 khi thực hiện nhấn mã AES265, auth SHA256 và ta.key, chứng chỉ tls-crypt tôi cũng đã sử dụng TLS-DHE-RSA-VỚI-AES cao nhất 256-SHA256
Để chỉ ra điều này, với tap: wrt3200acm đạt tới 70-80mbps với mã hóa. i5-3570k đạt 120-150 bằng mã hóa. E3-1231 v3 nhận được ít nhất 360Mb / giây bằng mã hóa (điều này được nội suy từ các phát hiện của tôi với trường hợp 1 và 2 vì tôi không có 2 E3-1231 v3 để thử nghiệm.)
Đây là những phát hiện của tôi dựa trên các bản sao từ windows sang windows sao chép giữa 2 máy khách trong 2 mạng con khác nhau được kết nối bởi openvpn TAP