网络运维|VPN之DSVPN的介绍
2020-04-07 16:38 作者:艾锑无限 浏览量:
网络运维|VPN之DSVPN的介绍
大家好,我是一枚从事IT外包的网络运维工程师,今天跟大家分享一个日常网络运维会经常用的VPN(DSVPN)的简单介绍。
定义
动态智能VPN(Dynamic Smart Virtual Private Network),简称DSVPN,是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。
目的
越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入
Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE over IPSec等技术构建VPN网络将存在一个问题,即分支之间无法直接通信(源分支无法获取目的分支公网地址,也就无法在分
支之间直接建立隧道),所有分支之间的通信数据只能由总部中转,如图5-1所示。
图5-1 企业典型Hub-Spoke组网(配置DSVPN之前)
- 总部在中转分支间的数据流时会消耗总部Hub的CPU及内存资源,造成资源紧张。
- 总部要对分支间的数据流封装和解封装,会引入额外的网络延时。
广播协议报文和组播协议报文的传输。
在此背景下,华为提出了DSVPN解决方案,它通过将下一跳解析协议NHRP(Next Hop Resolution Protocol)和mGRE(multipoint Generic Routing Encapsulation)技术与IPSec相结合解决了上述问题:
- DSVPN通过NHRP协议动态收集、维护和发布各节点的公网地址等信息,解决了源分支无法获取目的分支公网地址的问题,从而可在分支与分支之间建立动态VPN隧道,实现分支与分支间的直接通信,进而减轻总部的负担、避免网络延时。
- DSVPN借助mGRE技术,使VPN隧道能够传输组播协议报文和广播协议报文,并且一个Tunnel接口可与多个对端建立VPN隧道,减少了配置VPN隧道的工作量;在新增分支或分支公网地址发生变化时,也能自动维护总部与分支之间的隧道关系,而不用调整总部的隧道配置,使得网络维护变得更智能化。
图5-2 企业Hub-Spoke组网(配置DSVPN之后)
受益- 降低VPN网络构建成本
- 简化总部Hub和分支Spoke配置
置,只需在新的分支Spoke进行配置,之后新的分支Spoke自动向总部Hub进行动态注册。
- 降低分支间数据传输时延
DSVPN在中小型网络中的应用解决方案
在中小型网络中,分支机构的数目很少,可以选择部署非shortcut方式的DSVPN实现分支机构间直接通信。
图5-11 中小型网络部署DSVPN
如图5-11所示,分支Spoke1和分支Spoke2通过公网与总部Hub相连。部署非shortcut方式的DSVPN后,分支Spoke1和分支Spoke2间可以相互学习到目的分支的路由,路由下一跳直接为目的分支Spoke的Tunnel地址,各分支Spoke分别按照目的Spoke的Tunnel地址查找其公网地址,动态建立mGRE隧道。mGRE隧道建立后,分支间即可直接进行通信,所有流量不再通过总部Hub。
DSVPN在大型网络中的应用解决方案
在大型网络中,分支机构很多,部署非shortcut方式DSVPN会提高对分支Spoke的路由表容量和性能的要求。在不升级分支Spoke的情况下,选择部署shortcut方式DSVPN,可以减少分支Spoke的路由表项,降
低对分支Spoke的路由表容量和性能要求。
图5-12 大型网络部署DSVPN
如图5-12所示,部署shortcut方式DSVPN后,所有分支Spoke只能学习到总部的路由,路由下一跳全部是Hub的Tunnel地址。各分支Spoke只能以目的Spoke的私网地址查找其公网地址,动态建立mGRE隧道。动态mGRE隧道建立后,分支间即可直接进行通信,所有流量不再通过总部Hub。
以上文章由北京艾锑无限科技发展有限公司整理
相关文章
IT电脑维护外包
关闭