导出PDF什么是DSVPN?
DSVPN(Dynamic Smart Virtual Private Network,动态智能VPN),Cisco称DMVPN,是企业分支互联场景下在分支与总部、分支与分支间动态建立VPN的一种技术。使用传统VPN技术建立总部与分支互连时,总部的VPN配置和维护复杂,不利于扩展,分支间通信经过总部中转会导致数据转发延迟,而分支间直接通信无法使用动态公网地址,需额外购买静态公网地址,成本较高。DSVPN技术基于mGRE技术和NHRP协议,实现分支到总部、分支机构之间的动态全连接,新分支接入时配置更简单;分支与分支间可以动态建立VPN隧道,数据不经总部中转,传输效率更高;分支机构可以使用动态公网地址接入资源,降低建网成本。
为什么需要DSVPN?
目前越来越多的企业希望通过在公共网络上部署VPN的方式实现总部与各地分支机构的互连,同时需要对业务加密以及保证语音视频等业务的质量。在企业分支互联场景下,传统的VPN技术存在如下几个问题:
- 配置复杂:当企业存在大量分支机构时,VPN隧道数量众多,配置复杂,每新接入一个分支,总部都需要针对其进行VPN配置和维护,网络不易扩展。
- 流量转发延迟:分支间通信经过总部中转,流量转发会占用总部带宽资源,数据加密解密会占用总部设备处理能力且导致额外延迟,影响音视频会议等时延敏感的业务。
- 分支不能使用动态公网地址:分支间直接通信时,如果分支出口采用的是动态地址,则分支之间无法事先获知对端的地址,因此无法在分支之间直接建立隧道,需要额外购买静态公网地址,增加成本。
企业分支互联典型组网(配置DSVPN之前)
为了解决上述问题,华为推出了动态智能VPN技术,即DSVPN。
DSVPN有哪些优势?
在企业分支互联场景下,相较于传统VPN技术,DSVPN具有如下优势:
- 动态:分支间由业务流量触发动态建立隧道,分支间通信不经过总部。
- 智能:分支节点支持使用动态公网地址,无需配置静态地址,降低建网成本。
- 配置简单易扩展:每台设备只需配置一个隧道接口与其他设备互联,总部VPN配置简单,新增分支无需更改总部配置,简化运维,网络结构易于扩展。
- 安全:可选部署IPSec(Internet Protocol Security)加密技术,保证企业业务安全。
企业分支互联组网(配置DSVPN)
DSVPN是如何工作的?
DSVPN的实现包含以下四个关键部分:
- mGRE(multipoint Generic Routing Encapsulation,多点GRE)
- NHRP(Next Hop Resolution Protocol,下一跳解析协议)
- 路由(RIP、OSPF、BGP等)
- IPSec
mGRE
mGRE是点到多点的GRE隧道,mGRE隧道接口是为实现DSVPN而提供的一种点到多点类型的逻辑接口。DSVPN使用mGRE技术,支持在一个隧道接口上存在多条GRE隧道,极大地简化了配置,总部Hub只需配置一个mGRE隧道接口且只需要指定tunnel源,即可实现任意一个分支与其他分支建立隧道链接。当有新的分支Spoke需要加入时,企业网络管理员不需要更改总部Hub或任何当前分支Spoke上的配置,只需在新的分支Spoke进行配置,之后新分支Spoke自动向总部Hub进行动态注册。
- 隧道源地址:报文传输协议中的源地址。
- 隧道目的地址:报文传输协议中的目的地址。
- 隧道接口IP地址:隧道接口地址和其他物理接口上的IP地址一样,用于设备之间的通信(例如获取路由信息等)。与GRE隧道接口手工指定目的地址不同,mGRE隧道接口的目的地址来自于NHRP地址解析协议,一个mGRE隧道接口上,可以存在多条GRE隧道,有多个GRE对端。
NHRP
NHRP在DSVPN中用于解决公共网络上的源Spoke如何获取目的Spoke的动态公网地址的问题。分支Spoke接入时使用当前出接口的公网地址向总部Hub发送NHRP注册请求进行注册,总部Hub根据这些请求信息,创建或刷新NHRP peer表。Spoke间通过NHRP地址解析请求和应答,创建和刷新NHRP peer表。DSVPN通过NHRP收集和维护各节点动态变化的公网地址等信息,在企业各分支机构使用动态地址接入公网的情况下,也能在分支与分支间动态地建立Spoke-Spoke隧道,实现分支结构与分支机构之间的直接通信,Spoke间动态建立的隧道在一定周期内没有流量转发,将自动拆除。分支机构不需要单独购买静态的公网地址,降低了网络构建成本。
路由
部署DSVPN时,需要配置路由来实现mGRE封装报文的正确转发。DSVPN支持如下两种路由学习方式:
- 分支间相互学习路由(非shortcut方式)
采用这种方式时,源分支到目的分支子网的路由下一跳为目的分支的Tunnel地址,每个分支需要学习到所有对端的路由数据。这种情况下,Spoke会消耗大量的CPU和内存资源,对其路由表容量和性能有较高的要求。而实际应用中,Spoke的性能往往较低,能存放的路由数量有限。因此,这种路由部署方案只适用于网络节点较少、路由信息量小的中小型网络。
这种路由部署方式下,DSVPN采用非shortcut方式建立分支间的mGRE隧道。
分支路由汇聚到总部(shortcut方式)
采用这种方式时,源分支到目的分支子网的路由下一跳为总部的Tunnel地址,Spoke只需存放到Hub的路由。由于Spoke减少了自身的路由数量,所以适用于那些网络规模大、分支较多的大型网络。
这种路由部署方式下,DSVPN采用shortcut方式建立分支间的mGRE隧道。
上述两种路由学习方式均支持配置静态路由和动态路由协议来实现路由部署,DSVPN支持OSPF、BGP两种动态路由协议。
IPSec
DSVPN IPSec保护
DSVPN的应用场景
DSVPN实现分支间动态建立VPN的应用场景有两种:应用在中小型网络中的非shortcut场景和应用在大型网络中的shortcut场景。
中小型网络部署DSVPN
在中小型网络中,为了实现分支机构间建立VPN直接通信,由于分支机构的数目很少,可以选择部署非shortcut场景DSVPN,实现分支机构间VPN的动态建立,分支Spoke1和分支Spoke2通过公网与总部Hub相连。在非shortcut场景中,部署分支间相互学习路由的DSVPN,分支Spoke间可以相互学习到对端分支子网的路由,下一跳直接为对端Spoke,实现Spoke1和Spoke2子网间的相互通信。
中小型网络部署DSVPN
大型网络部署DSVPN
在大型网络中,分支机构很多,此时部署非shortcut场景DSVPN会提高对分支Spoke的路由表容量和性能的要求。在不升级分支Spoke的情况,可以选择DSVPN增强功能,部署shortcut场景DSVPN,可以缩减分支Spoke的路由表项,降低对分支Spoke的路由表容量和性能要求。在shortcut场景中,所有分支Spoke只有到总部的路由,所有访问目的分支的流量全部指向总部Hub。当分支子网间需要进行通信时,交互的第一个报文通过总部Hub,之后分支Spoke间建立隧道,所有流量不再通过总部Hub,分支间直接进行通信。
大型网络部署DSVPN
