網(wǎng)絡(luò)運維|VPN之DSVPN的介紹

2020-04-07 16:38 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運維工程師，今天跟大家分享一個日常網(wǎng)絡(luò)運維會經(jīng)常用的VPN（DSVPN）的簡單介紹。
 
定義

動態(tài)智能VPN（Dynamic Smart Virtual Private Network），簡稱DSVPN，是一種在Hub-Spoke組網(wǎng)方式下為公網(wǎng)地址動態(tài)變化的分支之間建立VPN隧道的解決方案。

目的

越來越多的企業(yè)希望建立Hub-Spoke方式的IPSec VPN網(wǎng)絡(luò)將企業(yè)總部（Hub）與地理位置不同的多個分支（Spoke）相連，從而加強企業(yè)的通信安全、降低通信成本。當企業(yè)總部采用靜態(tài)的公網(wǎng)地址接入

Internet，分支機構(gòu)采用動態(tài)的公網(wǎng)地址接入Internet時，使用傳統(tǒng)的IPSec、GRE over IPSec等技術(shù)構(gòu)建VPN網(wǎng)絡(luò)將存在一個問題，即分支之間無法直接通信（源分支無法獲取目的分支公網(wǎng)地址，也就無法在分

支之間直接建立隧道），所有分支之間的通信數(shù)據(jù)只能由總部中轉(zhuǎn)，如圖5-1所示。 通過總部中轉(zhuǎn)流量的辦法來解決分支與分支間的通信會帶來如下問題：

• 總部在中轉(zhuǎn)分支間的數(shù)據(jù)流時會消耗總部Hub的CPU及內(nèi)存資源，造成資源緊張。
• 總部要對分支間的數(shù)據(jù)流封裝和解封裝，會引入額外的網(wǎng)絡(luò)延時。

另外，當IPSec網(wǎng)絡(luò)規(guī)模不斷擴展時，為減少路由配置和維護，需要部署動態(tài)路由協(xié)議。但IPSec和動態(tài)路由協(xié)議之間存在一個基礎(chǔ)問題，動態(tài)路由協(xié)議依賴于組播報文或廣播報文進行路由更新，而IPSec不支持

廣播協(xié)議報文和組播協(xié)議報文的傳輸。

在此背景下，華為提出了DSVPN解決方案，它通過將下一跳解析協(xié)議NHRP（Next Hop Resolution Protocol）和mGRE（multipoint Generic Routing Encapsulation）技術(shù)與IPSec相結(jié)合解決了上述問題：

• DSVPN通過NHRP協(xié)議動態(tài)收集、維護和發(fā)布各節(jié)點的公網(wǎng)地址等信息，解決了源分支無法獲取目的分支公網(wǎng)地址的問題，從而可在分支與分支之間建立動態(tài)VPN隧道，實現(xiàn)分支與分支間的直接通信，進而減輕總部的負擔、避免網(wǎng)絡(luò)延時。
• DSVPN借助mGRE技術(shù)，使VPN隧道能夠傳輸組播協(xié)議報文和廣播協(xié)議報文，并且一個Tunnel接口可與多個對端建立VPN隧道，減少了配置VPN隧道的工作量；在新增分支或分支公網(wǎng)地址發(fā)生變化時，也能自動維護總部與分支之間的隧道關(guān)系，而不用調(diào)整總部的隧道配置，使得網(wǎng)絡(luò)維護變得更智能化。

如圖2所示為一個采用DSVPN解決方案構(gòu)建的VPN網(wǎng)絡(luò)。 受益

• 降低VPN網(wǎng)絡(luò)構(gòu)建成本

DSVPN可以實現(xiàn)分支和總部以及分支之間的動態(tài)全連接，分支不需要單獨購買靜態(tài)的公網(wǎng)地址，節(jié)省企業(yè)開支。

• 簡化總部Hub和分支Spoke配置

總部Hub和分支Spoke上配置的Tunnel接口從多個點對點GRE隧道接口變更為一個mGRE隧道接口。當為DSVPN網(wǎng)絡(luò)添加新的分支Spoke時，企業(yè)網(wǎng)絡(luò)管理員不需要更改總部Hub或任何當前分支Spoke上的配

置，只需在新的分支Spoke進行配置，之后新的分支Spoke自動向總部Hub進行動態(tài)注冊。

• 降低分支間數(shù)據(jù)傳輸時延

由于分支間可以動態(tài)構(gòu)建隧道，業(yè)務(wù)數(shù)據(jù)可以直接轉(zhuǎn)發(fā)，不用再經(jīng)過總部，減少了數(shù)據(jù)轉(zhuǎn)發(fā)的延遲，提升了轉(zhuǎn)發(fā)性能和效率。

DSVPN在中小型網(wǎng)絡(luò)中的應(yīng)用解決方案

在中小型網(wǎng)絡(luò)中，分支機構(gòu)的數(shù)目很少，可以選擇部署非shortcut方式的DSVPN實現(xiàn)分支機構(gòu)間直接通信。 如圖5-11所示，分支Spoke1和分支Spoke2通過公網(wǎng)與總部Hub相連。部署非shortcut方式的DSVPN后，分支Spoke1和分支Spoke2間可以相互學(xué)習(xí)到目的分支的路由，路由下一跳直接為目的分支Spoke的Tunnel

地址，各分支Spoke分別按照目的Spoke的Tunnel地址查找其公網(wǎng)地址，動態(tài)建立mGRE隧道。mGRE隧道建立后，分支間即可直接進行通信，所有流量不再通過總部Hub。

DSVPN在大型網(wǎng)絡(luò)中的應(yīng)用解決方案

在大型網(wǎng)絡(luò)中，分支機構(gòu)很多，部署非shortcut方式DSVPN會提高對分支Spoke的路由表容量和性能的要求。在不升級分支Spoke的情況下，選擇部署shortcut方式DSVPN，可以減少分支Spoke的路由表項，降

低對分支Spoke的路由表容量和性能要求。 如圖5-12所示，部署shortcut方式DSVPN后，所有分支Spoke只能學(xué)習(xí)到總部的路由，路由下一跳全部是Hub的Tunnel地址。各分支Spoke只能以目的Spoke的私網(wǎng)地址查找其公網(wǎng)地址，動態(tài)建立mGRE隧道。動

態(tài)mGRE隧道建立后，分支間即可直接進行通信，所有流量不再通過總部Hub。
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理