網絡運維|VPN之DSVPN的介紹
2020-04-07 16:38 作者:艾銻無限 瀏覽量:
網絡運維|VPN之DSVPN的介紹
大家好,我是一枚從事IT外包的網絡運維工程師,今天跟大家分享一個日常網絡運維會經常用的VPN(DSVPN)的簡單介紹。
定義
動態智能VPN(Dynamic Smart Virtual Private Network),簡稱DSVPN,是一種在Hub-Spoke組網方式下為公網地址動態變化的分支之間建立VPN隧道的解決方案。
目的
越來越多的企業希望建立Hub-Spoke方式的IPSec VPN網絡將企業總部(Hub)與地理位置不同的多個分支(Spoke)相連,從而加強企業的通信安全、降低通信成本。當企業總部采用靜態的公網地址接入
Internet,分支機構采用動態的公網地址接入Internet時,使用傳統的IPSec、GRE over IPSec等技術構建VPN網絡將存在一個問題,即分支之間無法直接通信(源分支無法獲取目的分支公網地址,也就無法在分
支之間直接建立隧道),所有分支之間的通信數據只能由總部中轉,如圖5-1所示。
圖5-1 企業典型Hub-Spoke組網(配置DSVPN之前)
- 總部在中轉分支間的數據流時會消耗總部Hub的CPU及內存資源,造成資源緊張。
- 總部要對分支間的數據流封裝和解封裝,會引入額外的網絡延時。
廣播協議報文和組播協議報文的傳輸。
在此背景下,華為提出了DSVPN解決方案,它通過將下一跳解析協議NHRP(Next Hop Resolution Protocol)和mGRE(multipoint Generic Routing Encapsulation)技術與IPSec相結合解決了上述問題:
- DSVPN通過NHRP協議動態收集、維護和發布各節點的公網地址等信息,解決了源分支無法獲取目的分支公網地址的問題,從而可在分支與分支之間建立動態VPN隧道,實現分支與分支間的直接通信,進而減輕總部的負擔、避免網絡延時。
- DSVPN借助mGRE技術,使VPN隧道能夠傳輸組播協議報文和廣播協議報文,并且一個Tunnel接口可與多個對端建立VPN隧道,減少了配置VPN隧道的工作量;在新增分支或分支公網地址發生變化時,也能自動維護總部與分支之間的隧道關系,而不用調整總部的隧道配置,使得網絡維護變得更智能化。
圖5-2 企業Hub-Spoke組網(配置DSVPN之后)
受益- 降低VPN網絡構建成本
- 簡化總部Hub和分支Spoke配置
置,只需在新的分支Spoke進行配置,之后新的分支Spoke自動向總部Hub進行動態注冊。
- 降低分支間數據傳輸時延
DSVPN在中小型網絡中的應用解決方案
在中小型網絡中,分支機構的數目很少,可以選擇部署非shortcut方式的DSVPN實現分支機構間直接通信。
圖5-11 中小型網絡部署DSVPN
如圖5-11所示,分支Spoke1和分支Spoke2通過公網與總部Hub相連。部署非shortcut方式的DSVPN后,分支Spoke1和分支Spoke2間可以相互學習到目的分支的路由,路由下一跳直接為目的分支Spoke的Tunnel地址,各分支Spoke分別按照目的Spoke的Tunnel地址查找其公網地址,動態建立mGRE隧道。mGRE隧道建立后,分支間即可直接進行通信,所有流量不再通過總部Hub。
DSVPN在大型網絡中的應用解決方案
在大型網絡中,分支機構很多,部署非shortcut方式DSVPN會提高對分支Spoke的路由表容量和性能的要求。在不升級分支Spoke的情況下,選擇部署shortcut方式DSVPN,可以減少分支Spoke的路由表項,降
低對分支Spoke的路由表容量和性能要求。
圖5-12 大型網絡部署DSVPN
如圖5-12所示,部署shortcut方式DSVPN后,所有分支Spoke只能學習到總部的路由,路由下一跳全部是Hub的Tunnel地址。各分支Spoke只能以目的Spoke的私網地址查找其公網地址,動態建立mGRE隧道。動態mGRE隧道建立后,分支間即可直接進行通信,所有流量不再通過總部Hub。
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉