注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

CCIE那点事-李萧明

博客已转移到www.jdccie.com CCIE那点事敬请期待

 
 
 

日志

 
 

動態多點VPN (DMVPN)技術簡介  

2011-05-19 17:44:00|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

動態多點VPN (DMVPN)技術簡介前言Site-to-Site VPN的用途向來用於企業客戶,利用傳統的GRE Tunnel在一對VPN設備之間建立一點對點的邏輯通道。其間的路徑必須透過第三方的網路來進行傳送,慣例施以IPSec的加解密以增加資料的安全性,有Intranet的延伸以及搭配動態路由作數據線路的備援等常見之應用。加解密跟VPN理論上無直接的關係,端看企業對資料暴露在公網上的安全感之重視程度,建議採用ASIC專門硬體來處理加解密功能。IPSec基本是一個很成熟的技術,本篇並不打算著墨太多。VPN絕大部份的網路架構都相似如Hub-and-Spoke這樣的長像 (如下圖) ,由總公司扮演中央節點 (Hub) 的角色,透過IP網路集中所有Point-to-Point (P-P) 遠端節點 (Spoke) 的連接於一身,而且不必被同一家固網業者給綁死。
動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
雖然距離與地域的界限被IP網路給打破了,但是Site-to-Site VPN仍有一些先天上條件的限制,例如:
Tunnel的兩端必須要配發固定IP給Hub跟Spoke,而且中間不可以有NAT存在。這對一些在對岸有點的台商來說相當困擾,一般給Internet上網的WAN端都是浮動IP,並不適合給VPN使用,除非花大錢拉IPLC專線。

Hub-and-Spoke 的P-P Tunnel在遠端節點不多的情況下,IP的分配跟管理上的不便感覺可能不是那麼明顯跟繁瑣,但是如果要一次佈署數百到上千個營業所,甚至量大要遍及一鄉一鎮,例如金融提款機、彩票銷售據點或是投票所,所耗用的WAN IP區段以及在Hub上建立個別的 Tunnel Interface的數量,所產生相關設定的行數才真正嚇人,也讓Hub的資源大幅被耗損。即使所有的遠端節點都是標準化同一個樣子也無法避免,讓P-P GRE Tunnel在擴展性上的缺點完全暴露出來了。

為了解決P-P GRE Tunnel在Hub-and-Spoke VPN架構下的不便,Cisco Systems在西元2000秋天設計了一個新的做法,即在Hub上改以點對多點 (Point-to-Multipoint) 的Tunnel架構,大幅提昇了原始Hub-and-Spoke設計上的彈性以及帶來管理上的簡便性。換句話說,Spoke可以使用GRE或是mGRE,但是Hub必須使用mGRE。首先比較一下傳統的GRE Tunnel與新的Multipoint GRE  (mGRE)  Tunnel的差異性。

Hub-and-Spoke VPN的架構

Hub的Tunnel數量

WAN IP區塊

Spoke支援動態IP

NAT環境

增減Spoke時,Hub的配合步驟

GRE

1對1

大,用/30 bit當netmask會有50%被浪費掉

不可

限制多

至少一次工

mGRE

1對多

少,可同處於一個Subnet

限制少

不需變動


Cisco Systems提出的新技術叫DMVPN  (Dynamic Multipoint VPN) ,顧名思義就是Spoke可以採動態的WAN IP位址,而Hub以一個點對多點的Tunnel與各Spoke相接的VPN架構,同時保有IPSec加密的需求。以下是DMVPN的詳細說明,首先從DMVPN的架構開始。

DMVPN架構
DMVPN可歸納三種架構,從小到大分別為:
1.首先為前面所提傳統Hub-and-Spoke的架構,但是Hub的數量可不止一個,例如組成為一個Hub Group (如下圖) 。因此Spoke的單一mGRE Tunnel Interface可以同時對Hub Group建 Uplink Tunnels,以達到Hub Active-Active Model的要求。同如前所說,Hub以mGRP Tunnel對所有Spoke建立Downlink連接。 動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
2.第二種為Server Load Balancing的架構,Spoke的Tunnel Uplink Destination指向一個Virtual的Hub IP,由Layer 4的設備先處理IPSec的加解密,再將Spoke的純GRE連線分配到後端的Router Farm,來達到Router Load Balancing的目的 (如下圖) 。一般而言Hub能處理的Spoke數量頂多在數百個之普,而在單台Layer 4設備一個IPSec模組硬體處理的Session數便可達數千個之多,同時可依需要再擴增。此架構方便以增加後端Router的數量來達到Spoke家數的水平擴充,同時在Hub端也可以減少IPSec處理的部份成本,讓Hub的選擇性增多,更有彈性。不會因單一Hub的能力而影響到整個網路,因此,此架構最適合用於數千個遠端節點以上,需要大規模VPN建置的服務來參考。 動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
3.最後為多層次的架構,相較於前兩種架構,Hub都集中於同一處或是一個區域內,地理上的限制不大。如果因地域的關係,可以分區域來建立層次化的DMVPN (如下圖) 。此架構一般並不常見,而且較為複雜,因篇幅關係,並不多做介紹。 動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
DMVPN的支援平台
支援DMVPN的路由器其實很多,除了IOS要求Advanced IP Service或Advanced Enterprise Service版本的支援外,從西元2000秋天開始到現在,早期小型的830 / 870 / 1700 / 2600 / 3600 / 3700系列,中型的7000系列,到新一代的ISR、6500 / 7600系列,都可以藉由IOS版本升級而提供DMVPN功能的支援。Hub端建議由中、大型路由器來扮演,其需要有VPN的硬體加密/解密加速卡。其中7200及6500/7600上的VPN加速卡可以同時處理高達數千個IPSec Session (如下圖) ,可搭配IOS內建的IOS SLB功能來提供後端Hub Load Balancing的定位。

Cisco VPN Security Router

Max Tunnels

3DES Throughput

Cisco 830

10

7Mbps

Cisco 1841 with AIM-VPN/BPII

800

95Mbps

Cisco 2801 with AIM-VPN/BPII

1,500

100Mbps

Cisco 2811 with AIM-VPN/EPII

1,500

130Mbps

Cisco 2821 with AIM-VPN/EPII

1,500

140Mbps

Cisco 2851 with AIM-VPN/EPII

1,500

145Mbps

Cisco 3825 with AIM-VPN/EPII

2,000

175Mbps

Cisco 3845 with AIM-VPN/EPII

2,500

185Mbps

Cisco 7200VXR/NPE-G1 with a Single SA-VAM2+

5,000

280Mbps

Cisco 7301 with SA-VAM2+

5,000

280Mbps

Cisco7200VXR/NPE-G2 with VSA

5,000

950Mbps

Cisco 7600/6500 with One IPSec VPN SPA

8,000

2.5Gbps


DMVPN的兩大關鍵技術:mGRE與NHRP
DMVPN運用了mGRE的技術,因此基本上DMVPN相較於其他的VPN的好處在於:Hub的設計更加簡單,以單一mGRE Tunnel Interface可對最多500個同類型的Spoke,精簡一再重覆與類似的設定。所以Hub上可以大幅減少個別Spoke的Interface與IP Address的數量,實現部署上與設定上的簡化,降低建置變更的次數。Spoke的增加或移除,Hub的配置並不需更動,更符合企業的期盼。支援Unicast、Multicast、Broadcast的支援、靜態及動態路由,符合大多數的應用。支援遠端節點動態IP連接。支援NAT,遠端節點與中央節點可放在NAT轉址設備之後,Spoke 可為動態NAT轉址 (不支援PAT) ,Hub亦可靜態轉址。支援與Frame Relay、ATM及MPLS VPN共存,Spoke搭配OER (Optimized Edge Routing) 的使用時,網路的Redundancy設計更有彈性。Spoke-Spoke為動態Tunnel連接,提供在多層次架構下的Short-Cut Forwarding。動態Tunnel上只許Unicast的Data Traffic,可以減輕Hub的負載與流量,也減少了Routing的Delay。支援QoS,提供Low Latency Queuing給對Delay敏感的Traffic。
除了mGRE的技術外,所有DMVP Spoke的部署都要使用到NHRP (Next Hop Resolution Protocol) 的協定。NHRP的主要功能為Address Mapping (地址映射) 跟Resolution  (地址解析) 以方便Hub了解與Spoke之間下層Layer 2/3的實體位址與Tunnel Destination的動態位址。

假設遠端的節點NHC  (Next Hop Client) 是動態去獲取IP位置的,如何讓Hub及其他節點也能知道,就要使用NHRP去Next Hub Server  (NHS,即Hub的角色) 上進行註冊以滿足動態NHC的IP解析 (如下圖) ,這情形基本上就跟動態DNS是一樣的機制。至少NHS要有固定的IP位址,讓平時Hub-Spoke、Hub-Hub為靜態連接,只有Spoke-Spoke之間才為動態Tunnel連接。即遠端節點的IP是不固定的情況下,必須透過NHRP動態的跟Hub註冊,然後再動態的建立Tunnel。這中間也要同時搭配動態路由,才能讓路由跟著Spoke的變化走。 動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
再者,在DMVPN下,IP Routing Protocol的更新僅會穿越Hub-Spoke跟Hub-Hub之間的靜態Tunnel,而不去監測Spoke-Spoke之間的動態Tunnel,以避免Routing 大亂。一般而言EIGRP是最適合在DMVPN的環境下使用,一個Hub可以支援到500個Spoke的Update,而OSPF為400個。 (註:以上測試是在LAB模擬環境下的結果,與實際的環境也許會有很大的差異,僅供參考)

DMVPN的應用
DMVPN尤其長於如便利商店POS系統、ATM提款機、加盟連鎖店或彩卷投注站等比較特定的服務,配合IPSec加密可以滿足法規上對資料保護法的要求。

除了有加解密的需要外,DMVPN亦可搭配熱門的廣域網路應用服務 (Wide Area Application Service;WAAS) 的技術,例如提供應用服務有效的降低Response Time,以及針對檔案做變動性的傳送,享受效能加速減少頻寬的浪費等好處 (如下圖) 。 動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
mGRE的Multicast支援可以應用於即時股市行情或是電子看板之類的新興廣告媒體,譬如可做Live Streaming與廣告行銷、資訊的整合呈現,播放於人潮擁擠的戶外的電視牆或是車站月台上的看板 (如下圖) 。 動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
DMVPN的未來發展
DMVPN未來將增加IPv6與QoS的支援,例如:支援IPv6 over在 IPv4 GRE加密Tunnel或IPv6 GRE 加密Tunnel未來QoS的功能發展可在Hub上針對不同Spoke作QoS的服務,以及在Spoke上可以針對不同Spoke的動態Tunnel上作QoS的服務
結語
DMVPN是一個改良型的Layer 3 VPN平台,在中央節點提供了Redundancy及負載平衡的能力,並對Hub的管理與IP的規劃從此化繁為簡;而遠端節點也支援了NAT轉址及穿越防火牆的能力,不再有固定IP的限制。DMVPN可以與原來的服務完全相容,這些優點對系統管理者來說簡直是一大福音。此外,DMVPN的架構還可以當做成本比較低的備援網路,甚至能以不同Service Provider所提供的Layer 2或Layer 3網路當下層,其上再加一層有自主性的網路當IP Backbone。最後,用Server Load Balancing的DMVPN架構搭配Branch路由器OER的技術,可以給有計劃建置異地備援DR Site的網路規劃者一個良心的建議 (如下圖) 。 動態多點VPN (DMVPN)技術簡介 - dc31151 - 李萧明
  评论这张
 
阅读(42)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018