DSVPN介绍
定义
DSVPN(Dynamic Smart Virtual Private Network,动态智能VPN),是指在Hub-Spoke网络模型中,分支与总部、分支与分支间动态建立VPN的一种技术。
目的
为了充分利用公共网络资源,降低网络构建成本,越来越多的企业希望通过公共网络将总部机构(Hub)与地理位置不同的多个分支机构(Spoke)相连,并在分支机构与总部机构间、分支机构与分支机构间建立VPN。
在Hub-Spoke网络中,总部与分支间建立Hub-Spoke隧道,分支到分支的数据流经由总部传输。按图1进行网络规划和部署后,会带来如下问题:
- 当新接入一个分支之后,总部Hub需要针对其进行VPN配置和维护。在大量分支接入时,总部Hub的配置会变得非常复杂,而且每次网络调整时,都需要调整总部的配置。
- 如果分支间通信经过总部中转,这些数据流会使用总部资源且导致额外延迟(特别是采用IPSec加密时),因为总部需要对来自源分支的数据包进行解密再加密,以将其发送到目的分支。
- 如果分支之间不通过总部中转而直接进行通信,此时如果分支出口采用的是动态地址,则分支之间无法事先获知对端的地址,因此无法在分支之间直接建立隧道。
DSVPN通过NHRP(Next Hop Resolution Protocol)收集、维护各站点动态变化的公网地址等信息,解决了无法事先获得通信对端公网地址的问题。
如图2所示,DSVPN可以在企业各分支机构使用动态地址接入公网的情况下,在分支与分支机构间动态地建立Spoke-Spoke隧道,实现分支结构与分支机构之间的直接通信。另外,DSVPN通过mGRE(multipoint Generic Routing Encapsulation)技术,支持在一个mGRE隧道接口上存在多条GRE隧道,大规模简化了子网流量的管理以及设备上GRE和IPSec的配置。
受益
降低VPN网络构建成本
DSVPN可以实现分支和总部机构,以及分支机构之间的动态全连接,分支机构不需要单独购买静态的公网地址,节省企业开支。
简化总部Hub和分支Spoke配置
总部Hub和分支Spoke上配置的隧道接口从多个点对点GRE隧道接口变更为一个mGRE隧道接口。当为DSVPN网络添加新的分支Spoke时,企业网络管理员不需要更改总部Hub或任何当前分支Spoke上的配置,只需在新的分支Spoke进行配置,之后分支新的Spoke自动向总部Hub进行动态注册。
降低分支机构间数据传输时延
由于分支机构间可以动态构建隧道,业务数据可以直接转发,不用再经过总部机构,减少了数据转发的延迟,提升了转发性能和效率。
