ope娱乐 关于ope 产品动态 在线询价 公司相册 维修售后 在线订单 联系我们
返回首页
当前位置: 首页 > 在线询价

dw777大旺国际官网:ADVPN 技术和应用

时间:2019-02-04 14:55:26来源:本站 作者: 点击:
  很多政府、金融、电力、能源企业有为数众多的分支机构,因此企业对利用公共网络组建VPN的需求越来越多

  很多政府、金融、电力、能源企业有为数众多的分支机构,因此企业对利用公共网络组建VPN的需求越来越多。那么我们需要什么样的VPN技术呢?首先是网络组建要简单方便,可扩展性好,减少分支机构众多时配置和维护的复杂性;其次是保证网络的安全性,报文的传输要经过公共网络,需要加密,同时要防止非法分支接入;第三是良好的适应性,分支分布在不同的地方,接入条件不同,如有的分支机构采用固定地址,有的使用动态地址接入,有的分支部署在NAT网关后面等等。

  IPSec VPN实现了通过公共网络进行数据的安全传送。通过Aggressive方式,支持分支网关动态IP地址和NAT穿越。但是IPSec隧道存在以下局限。

  在总部网关上,通过特别配置可以实现和多个分支安全连接。但是这种多点VPN的实现是Hub-Spoke方式,就是只能在分支和总部之间建立安全隧道dw777大旺国际官网:ADVPN 技术和应用隧道的建立必须由分支主动发起,两个分支网关之间不能直接建立隧道。分支之间的流量要通过总部,而且还不保证一定能传送到;另外,对防止非法分支接入的能力比较弱。

  不支持路由协议, 由于IPSec VPN隧道是通过Acl进行数据流分类建立,而不是依靠接口作为VPN隧道端点实现,所以IPSec构建VPN的私网之间的路由需要手动维护,而不能够依靠动态路由完成整个VPN网络的路由学习

  GRE也是常用的隧道技术。GRE隧道支持动态路由协议,但它是点到点隧道技术,实现多点互通配置繁杂。而且GRE本身不支持安全,必须和IPSec一起使用。GRE+IPSec可以通过特别的配置支持分支动态地址。GRE隧道的可维护性和扩展行差,每增加一个设备,其它所有对端都要进行相应配置

  L2TP隧道通过User+LAC+LNS的方式实现User对LNS的内部私有网络的访问。由于L2TP的方式限制,作为User端的接入网络之间是没有办法直接建立通道连接。L2TP和GRE协议一样,本身没有加密功能,需要和IPSec结合使用。在实际应用中,L2TP的主要应用为个人办公用户通过拨号等线路接入到总部的VPN网络中。

  VAM Client——VAM Client向VAM Server注册自己的私网地址、公网地址(注:这里所说的公网地址是指ADVPN节点接入公共网络的接口地址,私网地址是指ADVPN节点上ADVPN隧道接口的IP地址。)等信息,向VAM Server查询其它VAM Client的信息,泛指对Hub和Spoke的统称;

  ADVPN是三层VPN技术,公网作为VPN网络的链路层,实现了点到多点的自动隧道技术(如图1所示)。

  ADVPN可以看成是GRE+IPSec隧道的改进升级,和GRE隧道类似,在节点上有对应的tunnel虚接口。ADVPN隧道是点到多点的隧道技术,对端节点很多,而且随时有可能有节点加入和退出,而且各个节点的地址可能是动态变化的,所以不能在本地配置所有对端节点的公网地址。因此增加了VAM Server这个角色,所有的节点将自己的公网地址和tunnel接口的私网地址向VAM Server进行注册。VAM Server负责维护各个节点的信息。

  本端节点如果需要发送报文给对端节点连接的私网,查询路由表,发现下一跳是对端节点的tunnel私网地址,此时,如果本端节点还没有建立到对端节点的隧道,那么向VAM Server发起查询,通过对端的私网地址去查询对端的公网地址,然后发起隧道的建立过程(如图2所示)。

  可以看出,分支节点的公网地址可以是动态的,如果公网地址改变,需要向VAM Server重新注册。每个节点到其它节点的隧道不必一直存在,在分支比较多时,保持所有隧道联通会耗费比较大的系统资源。一般来说,只要求Spoke和Hub之间的隧道是永久的, Spoke之间的隧道可以是动态的,只在有报文需要传送的时候才建连,建立过程无须人为干预,是自动建立的,当一段时间后,Spoke之间如果没有流量,隧道可以拆除。由DVPNSession来标识隧道的存在与否。

  GRE+IPSec实现中,GRE和IPSec虽然结合使用,但是二者没有内在联系。而在ADVPN的实现中,IKE/ IPSec SA协商过程中加入了对应ADVPN相关信息,即使在两端公网动态地址的情况下,使用的也是主模式,而非Aggressive模式,加强了安全性。而且保证出入ADVPN tunnel的所有报文,都要经过IPSec的加解密。从而实现了ADVPN和IPSec的内在结合。

  在同一个ADVPN域中,所有ADVPN节点通过同一个ADVPN隧道相连,所以各个节点的tunnel虚接口上的私网IP地址在同一个网段上。

  ADVPN隧道的封装方式有两种:GRE封装和UDP封装。GRE封装中因为采用标准的封装格式,不能再携带多余信息,所以UDP封装更有优势,组网上可以有更多灵活性,所以一般采用UDP封装。

  在ADVPN组网中,有两种组网方式(如图3所示):Hub-Spoke方式和Full-Mesh方式。Hub-Spoke方式中,Spoke只能和Hub建立永久隧道,Spoke之间的流量需要通过Hub来转发,这种方式减轻了Spoke的负担,增加了Hub的性能要求,同时利于总部对分支间流量的监控;Full-Mesh方式中,Spoke之间可以建立动态直连隧道,分支间的流量可以直接转发。相比而言,Hub负担减轻,同时减少分支间流量的延迟,更有利于VOIP等实时流量的传输。两种方式中,分支间的路由都需要通过Hub来交换。

  因为ADVPN隧道可以是UDP封装,所以Spoke和Hub之间的隧道可以穿越NAT网关进行报文传输。在Full-Mesh组网中,两个Spoke设备需要通信,如果只有一个Spoke在NAT网关后,那么二者也可以建立直连隧道;如果两个Spoke都在NAT网关后,二者不能建立直连隧道,二者的通信需要通过Hub来中转。

  如上所述,VAM协议实现了VPN节点信息的注册、查询、维护等功能。VAM使用UDP作为传输协议,使用端口号18000。

  VAM Client和VAM Server之间的报文是通过公网传送的,必须要保证安全性。VAM的安全性是基于预先配置的共享密钥和连接初始化阶段双方提供的随机数来实现的。在连接初始化阶段,VAM Client和VAM Server之间还要协商加密和数据完整性的算法。在此基础上,实现VAM Client和VAM Server之间的通信的加密安全。

  VAM协议的另一个重要功能,就是提供了VAM Server对VAM Clients身份的验证。VAM Server通过AAA对需要加入到ADVPN域的客户端进行身份认证,客户端要想加入到某个特定的ADVPN域内,其用户名、密码必须经过AAA Server的认证,从而有效防止了非法设备的接入,提高了网络的安全性。

  ADVPN隧道是多点隧道,将多个ADVPN节点通过该隧道直连在一起。每个ADVPN节点上有对应的ADVPN tunnel虚接口,逻辑上,ADVPN节点通过该ADVPN tunnel虚接口和远端的多个ADVPN节点直连。路由协议可以通过该tunnel虚接口传递路由信息,和实际接口没有区别。ADVPN支持OSPF和BGP路由协议,包括eBGP和iBGP,同时支持静态路由。

  需要注意的是,路由协议的部署方式决定了ADVPN的组网方式(Full-Mesh or Hub-Spoke),而不是ADVPN的组网方式决定了路由协议的部署方式。

  例如,使用OSPF实现Full-Mesh组网,需要在tunnel虚接口下面配置OSPF网络类型为broadcast,并且保证两个Hub设备成为DR/BDR,因此需要将Spoke设备的DR priority设置为0,而Hub设备的DR priority为非0值。将Hub设备配置成DR/BDR设备是因为Spoke设备和Hub设备之间有永久隧道存在,而且Hub设备一般来说比Spoke设备处理能力更强。如果想要使用OSPF实现Hub-Spoke组网,则需要将OSPF网络类型为配置为p2mp。

  使用BGP也可以实现Full-Mesh或Hub-Spoke组网模式。为了简化BGP的配置,可以使用BGP动态邻居特性,该特性中,在Hub节点BGP配置中,配置一个特定网段,Hub可以接受来自该网段内的所有邻居的连接请求,并与其建立对等体关系,本地不再一一配置到每个对端的peer命令。在大规模组网中,该特性既简化了配置,又大大降低了维护和升级成本。为了防止非法邻居接入,动态邻居所在的对等体组需要配置MD5认证功能。

  实际组网中(如图4所示),为了网络的可靠性,Hub和VAM Server都是两个,可以配置成主备,也可以是双活。当前VAM Server由具有相应能力的路由器来担任。AAA Server用来认证VAM Client,可以放置在企业内部。

  还有比较复杂的情况,为了防范来自公网的攻击,将Hub和VAM Server放置在防火墙后面(如图5所示),两个防火墙连接到到不同的ISP网络中,这样不同分支Spokes设备可以选择接入到不同的ISP网络中。AAA Server和其它服务器一起放置在防火墙的DMZ区域。

  在实际应用中,一些网络的分支节点众多(超过一万个甚至更多),为了提高ADVPN技术的扩展性,可以选择以下方式。

  可以在一个ADVPN域中,划分多个组。一个域中可以有多个Hub,VAM Server可以分配Hub给不同的组,划分可以是随机的,也可以根据Hub/Spoke的私网地址及其掩码来确定。在所有的Hub之间,建立Full-Mesh网络,建立永久隧道。每个Spoke和同组的Hub之间建立永久隧道。组内的Spoke之间可以是Full-Mesh方式,也可以是Hub-Spoke方式。不同组的Spoke之间进行通信,需要经过两个组的Hub。在一些条件下,也可以允许和控制不同组之间的Spoke建立直连动态隧道。

  ADVPN通过动态路由协议来获取路由的方式,但是在一些条件下,可以采用更方便的方式,自动生成到达对端的路由,建立过程如下:

  Hub/Spoke不仅向VAM Server注册公网地址和私网地址,而且要携带自己连接子网的网段。这样在一定的条件下,一个Spoke设备有发往其它Hub/Spoke的对端报文,它可以使用报文的目的IP地址向VAM Server进行查询,VAM Sever使用该目的地址去查询匹配各个节点的子网地址,将匹配项的公网地址、私网地址和子网网段等信息发送给Spoke。Spoke可以自动生成到达对端子网网段的路由,下一跳是对端tunnel的私网地址。

  ADVPN隧道配置简单,只需要一套配置,就可以实现和很多个对端建立隧道,隧道建立自动完成。dw777大旺国际官网已存在节点配置无须做任何改变的情况下,就可以实现新节点的接入,网络的维护性和扩展性好。ADVPN通过和IPSec的内在结合保证了隧道的安全性,VAM协议通过加密传输实现了安全性,节点接入的AAA认证防止了非法节点的接入。ADVPN支持动态路由协议,支持大规模组网,这些都给ADVPN的广泛应用提供了基础。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

顶一下
0%
返回首页
0
0%
------分隔线----------------------------
推荐内容