VPN之DSVPN的介绍
定义
动态智能VPN(Dynamic Smart Virtual Private Network),简称DSVPN,是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。
目的
越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE over IPSec等技术构建VPN网络将存在一个问题,即分支之间无法直接通信(源分支无法获取目的分支公网地址,也就无法在分支之间直接建立隧道),所有分支之间的通信数据只能由总部中转,如图5-1所示。
图5-1 企业典型Hub-Spoke组网(配置DSVPN之前)
通过总部中转流量的办法来解决分支与分支间的通信会带来如下问题:
·总部在中转分支间的数据流时会消耗总部Hub的CPU及内存资源,造成资源紧张。
·总部要对分支间的数据流封装和解封装,会引入额外的网络延时。
另外,当IPSec网络规模不断扩展时,为减少路由配置和维护,需要部署动态路由协议。但IPSec和动态路由协议之间存在一个基础问题,动态路由协议依赖于组播报文或广播报文进行路由更新,而IPSec不支持广播协议报文和组播协议报文的传输。
在此背景下,华为提出了DSVPN解决方案,它通过将下一跳解析协议NHRP(Next Hop Resolution Protocol)和mGRE(multipoint Generic Routing Encapsulation)技术与IPSec相结合解决了上述问题:
·DSVPN通过NHRP协议动态收集、维护和发布各节点的公网地址等信息,解决了源分支无法获取目的分支公网地址的问题,从而可在分支与分支之间建立动态VPN隧道,实现分支与分支间的直接通信,进而减轻总部的负担、避免网络延时。
·DSVPN借助mGRE技术,使VPN隧道能够传输组播协议报文和广播协议报文,并且一个Tunnel接口可与多个对端建立VPN隧道,减少了配置VPN隧道的工作量;在新增分支或分支公网地址发生变化时,也能自动维护总部与分支之间的隧道关系,而不用调整总部的隧道配置,使得网络维护变得更智能化。
如图2所示为一个采用DSVPN解决方案构建的VPN网络。
图5-2 企业Hub-Spoke组网(配置DSVPN之后)
受益
·降低VPN网络构建成本
DSVPN可以实现分支和总部以及分支之间的动态全连接,分支不需要单独购买静态的公网地址,节省企业开支。
·简化总部Hub和分支Spoke配置
总部Hub和分支Spoke上配置的Tunnel接口从多个点对点GRE隧道接口变更为一个mGRE隧道接口。当为DSVPN网络添加新的分支Spoke时,企业网络管理员不需要更改总部Hub或任何当前分支Spoke上的配置,只需在新的分支Spoke进行配置,之后新的分支Spoke自动向总部Hub进行动态注册。
·降低分支间数据传输时延
由于分支间可以动态构建隧道,业务数据可以直接转发,不用再经过总部,减少了数据转发的延迟,提升了转发性能和效率。
DSVPN在中小型网络中的应用解决方案
在中小型网络中,分支机构的数目很少,可以选择部署非shortcut方式的DSVPN实现分支机构间直接通信。
图5-11 中小型网络部署DSVPN
如图5-11所示,分支Spoke1和分支Spoke2通过公网与总部Hub相连。部署非shortcut方式的DSVPN后,分支Spoke1和分支Spoke2间可以相互学习到目的分支的路由,路由下一跳直接为目的分支Spoke的Tunnel地址,各分支Spoke分别按照目的Spoke的Tunnel地址查找其公网地址,动态建立mGRE隧道。mGRE隧道建立后,分支间即可直接进行通信,所有流量不再通过总部Hub。
DSVPN在大型网络中的应用解决方案
在大型网络中,分支机构很多,部署非shortcut方式DSVPN会提高对分支Spoke的路由表容量和性能的要求。在不升级分支Spoke的情况下,选择部署shortcut方式DSVPN,可以减少分支Spoke的路由表项,降低对分支Spoke的路由表容量和性能要求。
图5-12 大型网络部署DSVPN
如图5-12所示,部署shortcut方式DSVPN后,所有分支Spoke只能学习到总部的路由,路由下一跳全部是Hub的Tunnel地址。各分支Spoke只能以目的Spoke的私网地址查找其公网地址,动态建立mGRE隧道。动态mGRE隧道建立后,分支间即可直接进行通信,所有流量不再通过总部Hub。
VPN之DSVPN的介绍相关推荐
- VPN 原理以及实现
VPN 原理以及实现 作者:0x7F@知道创宇404实验室 时间:2021年7月21日 0x00 前言 最近在工作中遇到 VPN 的相关问题,之前一直对 VPN 的原理存在一些疑惑,借此机会学习一下 ...
- IPSEC VPN详解
目录 IPSEC的技术协议族架构 IPESC建立安全通信工作步骤: IPSEC架构 IKE 工作阶段 IPSEC的NAT问题 IPSEC的多VPN问题 DSVPN IPSEC 是一种基于网络层,应用密 ...
- 奇安信技术支持实习生面试
一面(6.28) 1.自己讲个熟悉的知识 答:我说的是OSPF,第一次面试,再加上OSPF东西有点多,一时间不知道从何说起,就简单说了下数据包.状态机.工作过程.特殊区域,中间卡了好几次,是有点尴尬的 ...
- 华为HCIE-Security考试心得
HCIE考试心得 在此记录下我的HCIE成长之路.从2016年刚上大学对网络的一无所知,到2019-09-09一次通过HCIE-Security认证的一次记录与总结. 也是对我一个阶段的一次学习总结. ...
- 公司分支使用5G链路和总部建立IPS加密隧道配置案例
场景介绍 企业分支通过5G链路接入到Internet,然后与企业总部建立VPN,使得分支可以通过Internet接入总部.根据企业分支和总部之间的业务诉求,可以在5G链路上建立不同的VPN隧道,例如G ...
- win10搭建openvpn以及使用
2020是不平凡的一年,全国上下都沉浸在抗击新冠状病毒的浪潮中.受疫情的影响,春节假期无限制延长,很多返工的人不能及时到岗,企业因此只能停工.为了降低损失,尤其是互联网/it类公司就需要及时开通远程办 ...
- Google Pay 初步集成
准备工作 Google Play Console 的账号 一个地点在美国或者香港等地方的vpn(下面有介绍原因) 一部有Google Play应用市场的手机 项目内的操作 首先GoogleSample ...
- flutter 抓包使用教程
目录 引言 代理抓包原理 部分应用不能抓包的原因 解决方案 实际操作步骤(Android) 1:安装drony (这里手机使用的Android设备) 2:开启代理抓包软件(这里代理抓包软件使用的是F ...
- juniper:SRX-产品简介
1.SRX340: 1U 1)SRX340业务网关将安全服务.路由.交换和WAN连接性整合到一个1U设备中,能够安全地连接最多100个用户的中型分布式企业.SRX340是一种经济高效的集成化网络和安 ...
最新文章
- 某百度程序员中午面试一个阿里程序员,晚上去阿里面试,面试官竟是中午那个人!
- python打开文件_python如何学习
- CSS3+jQuery实现时钟插件
- arcgis开发常用源码
- $cfg_dbtype = mysql_Druid连接池二(学习笔记)
- UVA 10917 Walk Through the Forest
- 使用parted命令对硬盘进行操作
- python 进位_Python小课堂(第一讲)
- Oracle Online Redefinition在线重定义(下)
- 【Redis数据库】命令学习笔记——发布订阅、事务、脚本、连接等命令汇总
- hibernate 之HQL查询实例
- 基于stm32CubeMX和keil5的stm32f103学习编程
- C语言大作业 商品库存管理系统
- 英伟达失去手机与平板市场:拖延症惹的祸
- 充电+拓展+投屏三合一的Type-C适配器拆解
- 第二天-01-虚拟机快照和克隆
- 计算机辅助教学时必不可少的,浅谈计算机辅助教学在历史教学中的作用及应用.doc...
- 前端实现浏览器下载文件
- AJAX,SpringMVC,拦截器(Ajax发送请求 经过SpringMVC拦截器重定向其他页面失败)
- nvm,nrm 管理 node版本号 和 npm 源管理
热门文章
- linux 编译链接过程,编译程序 一:linux程序编译过程(一)-编译和链接
- 服务器的文件共享,服务器文件共享设置
- flume数据丢失与重复_Flume架构及常见面试
- db2 日期英式写法_《学霸英语》16:美国人和英国人“表达日期”,差距竟然这么大!...
- python redis_Python操作Redis大全
- php系统导出数据到excel,php导出大量数据到excel时,有哪些比较好的处理方法?...
- 计算机二级试题库office选择题,全国计算机二级MSoffice选择题题库2017
- Spring Cloud 2020.0.3 发布!
- 微信8.0.6正式发布,新增了7大变化,个个实用~
- 皮一皮:顶尖黑客技术,10秒教学,不会你打我!