網(wǎng)絡(luò)運(yùn)維|VPN之DSVPN的介紹

2020-04-07 16:38 作者：艾銻無(wú)限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，今天跟大家分享一個(gè)日常網(wǎng)絡(luò)運(yùn)維會(huì)經(jīng)常用的VPN（DSVPN）的簡(jiǎn)單介紹。
 
定義

動(dòng)態(tài)智能VPN（Dynamic Smart Virtual Private Network），簡(jiǎn)稱DSVPN，是一種在Hub-Spoke組網(wǎng)方式下為公網(wǎng)地址動(dòng)態(tài)變化的分支之間建立VPN隧道的解決方案。

目的

越來(lái)越多的企業(yè)希望建立Hub-Spoke方式的IPSec VPN網(wǎng)絡(luò)將企業(yè)總部（Hub）與地理位置不同的多個(gè)分支（Spoke）相連，從而加強(qiáng)企業(yè)的通信安全、降低通信成本。當(dāng)企業(yè)總部采用靜態(tài)的公網(wǎng)地址接入

Internet，分支機(jī)構(gòu)采用動(dòng)態(tài)的公網(wǎng)地址接入Internet時(shí)，使用傳統(tǒng)的IPSec、GRE over IPSec等技術(shù)構(gòu)建VPN網(wǎng)絡(luò)將存在一個(gè)問(wèn)題，即分支之間無(wú)法直接通信（源分支無(wú)法獲取目的分支公網(wǎng)地址，也就無(wú)法在分

支之間直接建立隧道），所有分支之間的通信數(shù)據(jù)只能由總部中轉(zhuǎn)，如圖5-1所示。 通過(guò)總部中轉(zhuǎn)流量的辦法來(lái)解決分支與分支間的通信會(huì)帶來(lái)如下問(wèn)題：

• 總部在中轉(zhuǎn)分支間的數(shù)據(jù)流時(shí)會(huì)消耗總部Hub的CPU及內(nèi)存資源，造成資源緊張。
• 總部要對(duì)分支間的數(shù)據(jù)流封裝和解封裝，會(huì)引入額外的網(wǎng)絡(luò)延時(shí)。

另外，當(dāng)IPSec網(wǎng)絡(luò)規(guī)模不斷擴(kuò)展時(shí)，為減少路由配置和維護(hù)，需要部署動(dòng)態(tài)路由協(xié)議。但I(xiàn)PSec和動(dòng)態(tài)路由協(xié)議之間存在一個(gè)基礎(chǔ)問(wèn)題，動(dòng)態(tài)路由協(xié)議依賴于組播報(bào)文或廣播報(bào)文進(jìn)行路由更新，而IPSec不支持

廣播協(xié)議報(bào)文和組播協(xié)議報(bào)文的傳輸。

在此背景下，華為提出了DSVPN解決方案，它通過(guò)將下一跳解析協(xié)議NHRP（Next Hop Resolution Protocol）和mGRE（multipoint Generic Routing Encapsulation）技術(shù)與IPSec相結(jié)合解決了上述問(wèn)題：

• DSVPN通過(guò)NHRP協(xié)議動(dòng)態(tài)收集、維護(hù)和發(fā)布各節(jié)點(diǎn)的公網(wǎng)地址等信息，解決了源分支無(wú)法獲取目的分支公網(wǎng)地址的問(wèn)題，從而可在分支與分支之間建立動(dòng)態(tài)VPN隧道，實(shí)現(xiàn)分支與分支間的直接通信，進(jìn)而減輕總部的負(fù)擔(dān)、避免網(wǎng)絡(luò)延時(shí)。
• DSVPN借助mGRE技術(shù)，使VPN隧道能夠傳輸組播協(xié)議報(bào)文和廣播協(xié)議報(bào)文，并且一個(gè)Tunnel接口可與多個(gè)對(duì)端建立VPN隧道，減少了配置VPN隧道的工作量；在新增分支或分支公網(wǎng)地址發(fā)生變化時(shí)，也能自動(dòng)維護(hù)總部與分支之間的隧道關(guān)系，而不用調(diào)整總部的隧道配置，使得網(wǎng)絡(luò)維護(hù)變得更智能化。

如圖2所示為一個(gè)采用DSVPN解決方案構(gòu)建的VPN網(wǎng)絡(luò)。 受益

• 降低VPN網(wǎng)絡(luò)構(gòu)建成本

DSVPN可以實(shí)現(xiàn)分支和總部以及分支之間的動(dòng)態(tài)全連接，分支不需要單獨(dú)購(gòu)買(mǎi)靜態(tài)的公網(wǎng)地址，節(jié)省企業(yè)開(kāi)支。

• 簡(jiǎn)化總部Hub和分支Spoke配置

總部Hub和分支Spoke上配置的Tunnel接口從多個(gè)點(diǎn)對(duì)點(diǎn)GRE隧道接口變更為一個(gè)mGRE隧道接口。當(dāng)為DSVPN網(wǎng)絡(luò)添加新的分支Spoke時(shí)，企業(yè)網(wǎng)絡(luò)管理員不需要更改總部Hub或任何當(dāng)前分支Spoke上的配

置，只需在新的分支Spoke進(jìn)行配置，之后新的分支Spoke自動(dòng)向總部Hub進(jìn)行動(dòng)態(tài)注冊(cè)。

• 降低分支間數(shù)據(jù)傳輸時(shí)延

由于分支間可以動(dòng)態(tài)構(gòu)建隧道，業(yè)務(wù)數(shù)據(jù)可以直接轉(zhuǎn)發(fā)，不用再經(jīng)過(guò)總部，減少了數(shù)據(jù)轉(zhuǎn)發(fā)的延遲，提升了轉(zhuǎn)發(fā)性能和效率。

DSVPN在中小型網(wǎng)絡(luò)中的應(yīng)用解決方案

在中小型網(wǎng)絡(luò)中，分支機(jī)構(gòu)的數(shù)目很少，可以選擇部署非shortcut方式的DSVPN實(shí)現(xiàn)分支機(jī)構(gòu)間直接通信。 如圖5-11所示，分支Spoke1和分支Spoke2通過(guò)公網(wǎng)與總部Hub相連。部署非shortcut方式的DSVPN后，分支Spoke1和分支Spoke2間可以相互學(xué)習(xí)到目的分支的路由，路由下一跳直接為目的分支Spoke的Tunnel

地址，各分支Spoke分別按照目的Spoke的Tunnel地址查找其公網(wǎng)地址，動(dòng)態(tài)建立mGRE隧道。mGRE隧道建立后，分支間即可直接進(jìn)行通信，所有流量不再通過(guò)總部Hub。

DSVPN在大型網(wǎng)絡(luò)中的應(yīng)用解決方案

在大型網(wǎng)絡(luò)中，分支機(jī)構(gòu)很多，部署非shortcut方式DSVPN會(huì)提高對(duì)分支Spoke的路由表容量和性能的要求。在不升級(jí)分支Spoke的情況下，選擇部署shortcut方式DSVPN，可以減少分支Spoke的路由表項(xiàng)，降

低對(duì)分支Spoke的路由表容量和性能要求。 如圖5-12所示，部署shortcut方式DSVPN后，所有分支Spoke只能學(xué)習(xí)到總部的路由，路由下一跳全部是Hub的Tunnel地址。各分支Spoke只能以目的Spoke的私網(wǎng)地址查找其公網(wǎng)地址，動(dòng)態(tài)建立mGRE隧道。動(dòng)

態(tài)mGRE隧道建立后，分支間即可直接進(jìn)行通信，所有流量不再通過(guò)總部Hub。
 
以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理