【华三】ADVPN概述和组成
ADVPN 概述
ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)是一种基于VAM(VPN Address Management,VPN地址管理)协议的动态VPN技术。
核心思想
- VAM Client 从VAM Server获取目标VAM Client的公网地址,自动建立Hub-Spoke永久隧道以及Spoke-Spoke动态隧道;
- Spoke-Spoke隧道仅在Spoke之间有数据交互时建立,当Spoke之间没有数据交互时,自动删除隧道,从而避免设备维护大量闲置的隧道表项,有效地提高设备资源的利用率。
- 需要明确规划Hub和Spoke
ADVPN组件
VAM Server
是一个独立设备
负责收集、维护和分发VAM client的私网地址和公网地址的映射关系
VAM Server 需要具有固定公网地址,且该地址必须静态配置,不能动态变化
VAM Client
公司的所有站点,包括总部(Hub)和分部网络出口设备(Spoke)
主动向VAM Server注册自己的私网地址和公网地址的映射关系
Hub
ADVPN网络的中心设备,通常是企业总部的网关
Spoke
ADVPN网络的分支设备,通常是企业分支机构的网关
AAA服务器
用来对VAM Client的身份进行验证的
ADVPN优势
动态地址接入
在企业分部使用动态地址接入公网的环境中,ADVPN可以感知公网地址的变化,在各分部之间以及分部与总部之间自动建立VPN隧道。
分支间直接互联
ADVPN可在分支之间直接建立隧道(Full-Mseh网络),有利于减轻总部设备的负担和提高分支间的通信效率。
IPSec深度保护
借助IPSec的加密和认证技术,可为ADVPN隧道传输数据提供可的安全防护,Spoke-Spoke隧道默认是没有加密的,可以通过IPSec进行深度保护。
配置和维护简单
ADVPN支持动态路由协议,和GRE很像,分支站点只需要简单配置路由协议,即可快速实现VAM Client之间私网的互通。
ADVPN建立过程
(1)初始化&注册(二次校验)
初始化阶段:
VAM client和VAM server之间协商加密和认证的算法和密钥;
VAM client和VAM server之间完成第一次身份验证
注册阶段:(二次校验)
VAM client主动向VAM server注册自己的私网地址和公网地址的映射关系。
VAM server向VAM Client分发建立隧道所需的信息(Hub和Spoke等等)
(2)隧道建立
隧道建立阶段:
Hub和Spoke之间建立永久隧道,Spoke与Spoke之间建立流量触发的动态隧道
Spoke-Spoke隧道默认是以明文方式建立
(3)路由学习
路由学习阶段:
在ADVPN网络中,VAM Client死亡之间需要实现路由互通。ADVPN隧道的路由学习方式包括两种类型:静态路由协议(小型网络,需要手工配置)、动态路由协议(大型网络、部署简单)
(4)通过IPSec进行隧道数据的保护(可选)
两种组网方式
Full-Mesh网络
Spoke和Spoke之间可以直接建立隧道进行通信,不需要经过Hub转发。
Full-Mesh模式具有如下特点:
- Spoke之间的流量不需要经过Hub转发,从而减轻了Hub的压力。
- Spoke之间直接通信,数据传输效率较高。
- Spoke需要管理动态建立的隧道表项,因此对Spoke设备的处理能力有较高要求。
Hub-Spoke网络
Spoke和Spoke之间不可以直接建立隧道进行通信,必须经过Hub转发。
Hub-Spoke模式具有如下特点:
- Spoke之间的流量需要经过Hub转发,因此对Hub设备的处理能力有较高要求。
- Spoke之间通过Hub通信,数据传输效率较低。
- Spoke无需管理动态建立的隧道表项,从而减轻了Spoke的压力。