Hub and Spoke

Hub and Spoke

使用ADVPN(Auto Discovery VPN)建立Full-Mesh方式的Hub_and_Spoke

VPNkmliu 发表了文章 • 1 个评论 • 708 次浏览 • 2016-05-20 09:23 • 来自相关话题

使用ADVPN(Auto_Discovery_VPN)_建立Full-Mesh方式的Hub_and_Spoke_v1.2_.pdf

 
(v1.2版本更新了RIP2方式的ADVPN实现方式等内容,修改了部分简介内容) 
ADVPN (Auto Discovery VPN) 是一种基于IETF RFC draft的IPsec VPN(https://tools.ietf.org/html/dr ... pn-03)简单来说,ADVPN允许在传统的Hub-and-Spoke VPN网络中的Spokes之间相互建立动态的、按需连接的VPN隧道,从而达到整网Full-Mesh的效果。
    传统的Hub-Spoke方式中,Spoke只能和Hub建立永久隧道,Spoke之间的流量需要通过Hub来转发,这种方式减轻了Spoke的负担,增加了 Hub的性能要求,同时利于总部对分支间流量的监控;使用ADVPN技术实现的Full-Mesh方式中,Spoke之间可以建立动态直连隧道,分支间的流量可以直接转发。相比而言,Hub负担减轻,同时减少分支间流量的延迟,更有利于VOIP等实时流量的传输,在实际使用的过程中可按照自身需求进行选择。
     我们都知道思科的DMVPN,DMVPN通过多点的GRE-Over-IPsec加上NHRP注册协议实现总部和分部之间的全互联(Full-Mesh),而Fortinet的ADVPN与DMVPN的实现方式完全不一样,ADVPN只基于IKE(携带ADVPN报文)&IPsec(通过IKE消息触发advpn内核通知)就能实现,不需要GRE-Over-IPsec,也不需要NHRP注册服务,以更加简单的方式实现总部和分部之间全互联(Full-Mesh)。 目前只有FortiOS5.4的版本才支持ADVPN,同时ADVPN需要与动态路由协议(BGP/RIP)配合使用。一般而言,我们推荐使用BGP协议,因为BGP的路由反射功能与ADVPN能够完美的契合,在二者的实现原理都围绕着简化Full-Mesh进行,HUB设备充当BGP的RR反射器角色,所有的Spoke都只需要与Hub建立起BGP邻居(就像所有Spoke也只需要与Hub建立起IPsec VPN一样),Hub就像一面反射的镜子,将这个Spoke学习而来的BGP路由传递给其他所有的Spokes,Hub通过BGP RR负责整网的路由动态更新。当新加入一个Spoke的时候,只需要与Hub建立IPsec VPN隧道以及BGP邻居,则这个新的Spoke的路由信息就可被传递到其他的Spoke,同时其他的Spoke可以动态地与新Spoke建立起IPsec VPN隧道,从而实现Spoke之间数据和路由的直接转发。
    在实际使用过程中为了简化BGP的配置,可以使用BGP动态邻居特性,该特性中,在Hub节点BGP配置中,配置一个特定网段,Hub可以接受来自该网段内的所有邻居的连接请求,并与其建立对等体关系,本地不再一一配置到每个对端的peer命令。在大规模组网中,该特性既简化了配置,又大大降低了维护和升级成本。为了防止非法邻居接入,建议动态邻居所在的对等体组需要配置MD5认证功能。
 
详细见附件内容! 查看全部
 
(v1.2版本更新了RIP2方式的ADVPN实现方式等内容,修改了部分简介内容) 
ADVPN (Auto Discovery VPN) 是一种基于IETF RFC draft的IPsec VPN(https://tools.ietf.org/html/dr ... pn-03)简单来说,ADVPN允许在传统的Hub-and-Spoke VPN网络中的Spokes之间相互建立动态的、按需连接的VPN隧道,从而达到整网Full-Mesh的效果。
    传统的Hub-Spoke方式中,Spoke只能和Hub建立永久隧道,Spoke之间的流量需要通过Hub来转发,这种方式减轻了Spoke的负担,增加了 Hub的性能要求,同时利于总部对分支间流量的监控;使用ADVPN技术实现的Full-Mesh方式中,Spoke之间可以建立动态直连隧道,分支间的流量可以直接转发。相比而言,Hub负担减轻,同时减少分支间流量的延迟,更有利于VOIP等实时流量的传输,在实际使用的过程中可按照自身需求进行选择。
     我们都知道思科的DMVPN,DMVPN通过多点的GRE-Over-IPsec加上NHRP注册协议实现总部和分部之间的全互联(Full-Mesh),而Fortinet的ADVPN与DMVPN的实现方式完全不一样,ADVPN只基于IKE(携带ADVPN报文)&IPsec(通过IKE消息触发advpn内核通知)就能实现,不需要GRE-Over-IPsec,也不需要NHRP注册服务,以更加简单的方式实现总部和分部之间全互联(Full-Mesh)。 目前只有FortiOS5.4的版本才支持ADVPN,同时ADVPN需要与动态路由协议(BGP/RIP)配合使用。一般而言,我们推荐使用BGP协议,因为BGP的路由反射功能与ADVPN能够完美的契合,在二者的实现原理都围绕着简化Full-Mesh进行,HUB设备充当BGP的RR反射器角色,所有的Spoke都只需要与Hub建立起BGP邻居(就像所有Spoke也只需要与Hub建立起IPsec VPN一样),Hub就像一面反射的镜子,将这个Spoke学习而来的BGP路由传递给其他所有的Spokes,Hub通过BGP RR负责整网的路由动态更新。当新加入一个Spoke的时候,只需要与Hub建立IPsec VPN隧道以及BGP邻居,则这个新的Spoke的路由信息就可被传递到其他的Spoke,同时其他的Spoke可以动态地与新Spoke建立起IPsec VPN隧道,从而实现Spoke之间数据和路由的直接转发。
    在实际使用过程中为了简化BGP的配置,可以使用BGP动态邻居特性,该特性中,在Hub节点BGP配置中,配置一个特定网段,Hub可以接受来自该网段内的所有邻居的连接请求,并与其建立对等体关系,本地不再一一配置到每个对端的peer命令。在大规模组网中,该特性既简化了配置,又大大降低了维护和升级成本。为了防止非法邻居接入,建议动态邻居所在的对等体组需要配置MD5认证功能。
 
详细见附件内容!

IPsec VPN之总部静态固定IP与分部PPPoE动态IP 部署Hub_and_Spoke

VPNkmliu 发表了文章 • 1 个评论 • 600 次浏览 • 2016-01-15 14:14 • 来自相关话题

   本文主要讨论IPsec VPN在总部使用静态IP而分部使用动态IP的场景下的部署方式,以及扩展开来介绍此类组网模式下的Hub-and-Spoke部署以及配置。 
   此类组网在实际应用中使用较多,而很多技术人员对总部和分部IPsec究竟如何部署存在着不少的困惑,故此输入这篇文档进行答疑解惑。 查看全部
   本文主要讨论IPsec VPN在总部使用静态IP而分部使用动态IP的场景下的部署方式,以及扩展开来介绍此类组网模式下的Hub-and-Spoke部署以及配置。 
   此类组网在实际应用中使用较多,而很多技术人员对总部和分部IPsec究竟如何部署存在着不少的困惑,故此输入这篇文档进行答疑解惑。

使用ADVPN(Auto Discovery VPN)建立Full-Mesh方式的Hub_and_Spoke

VPNkmliu 发表了文章 • 1 个评论 • 708 次浏览 • 2016-05-20 09:23 • 来自相关话题

使用ADVPN(Auto_Discovery_VPN)_建立Full-Mesh方式的Hub_and_Spoke_v1.2_.pdf

 
(v1.2版本更新了RIP2方式的ADVPN实现方式等内容,修改了部分简介内容) 
ADVPN (Auto Discovery VPN) 是一种基于IETF RFC draft的IPsec VPN(https://tools.ietf.org/html/dr ... pn-03)简单来说,ADVPN允许在传统的Hub-and-Spoke VPN网络中的Spokes之间相互建立动态的、按需连接的VPN隧道,从而达到整网Full-Mesh的效果。
    传统的Hub-Spoke方式中,Spoke只能和Hub建立永久隧道,Spoke之间的流量需要通过Hub来转发,这种方式减轻了Spoke的负担,增加了 Hub的性能要求,同时利于总部对分支间流量的监控;使用ADVPN技术实现的Full-Mesh方式中,Spoke之间可以建立动态直连隧道,分支间的流量可以直接转发。相比而言,Hub负担减轻,同时减少分支间流量的延迟,更有利于VOIP等实时流量的传输,在实际使用的过程中可按照自身需求进行选择。
     我们都知道思科的DMVPN,DMVPN通过多点的GRE-Over-IPsec加上NHRP注册协议实现总部和分部之间的全互联(Full-Mesh),而Fortinet的ADVPN与DMVPN的实现方式完全不一样,ADVPN只基于IKE(携带ADVPN报文)&IPsec(通过IKE消息触发advpn内核通知)就能实现,不需要GRE-Over-IPsec,也不需要NHRP注册服务,以更加简单的方式实现总部和分部之间全互联(Full-Mesh)。 目前只有FortiOS5.4的版本才支持ADVPN,同时ADVPN需要与动态路由协议(BGP/RIP)配合使用。一般而言,我们推荐使用BGP协议,因为BGP的路由反射功能与ADVPN能够完美的契合,在二者的实现原理都围绕着简化Full-Mesh进行,HUB设备充当BGP的RR反射器角色,所有的Spoke都只需要与Hub建立起BGP邻居(就像所有Spoke也只需要与Hub建立起IPsec VPN一样),Hub就像一面反射的镜子,将这个Spoke学习而来的BGP路由传递给其他所有的Spokes,Hub通过BGP RR负责整网的路由动态更新。当新加入一个Spoke的时候,只需要与Hub建立IPsec VPN隧道以及BGP邻居,则这个新的Spoke的路由信息就可被传递到其他的Spoke,同时其他的Spoke可以动态地与新Spoke建立起IPsec VPN隧道,从而实现Spoke之间数据和路由的直接转发。
    在实际使用过程中为了简化BGP的配置,可以使用BGP动态邻居特性,该特性中,在Hub节点BGP配置中,配置一个特定网段,Hub可以接受来自该网段内的所有邻居的连接请求,并与其建立对等体关系,本地不再一一配置到每个对端的peer命令。在大规模组网中,该特性既简化了配置,又大大降低了维护和升级成本。为了防止非法邻居接入,建议动态邻居所在的对等体组需要配置MD5认证功能。
 
详细见附件内容! 查看全部
 
(v1.2版本更新了RIP2方式的ADVPN实现方式等内容,修改了部分简介内容) 
ADVPN (Auto Discovery VPN) 是一种基于IETF RFC draft的IPsec VPN(https://tools.ietf.org/html/dr ... pn-03)简单来说,ADVPN允许在传统的Hub-and-Spoke VPN网络中的Spokes之间相互建立动态的、按需连接的VPN隧道,从而达到整网Full-Mesh的效果。
    传统的Hub-Spoke方式中,Spoke只能和Hub建立永久隧道,Spoke之间的流量需要通过Hub来转发,这种方式减轻了Spoke的负担,增加了 Hub的性能要求,同时利于总部对分支间流量的监控;使用ADVPN技术实现的Full-Mesh方式中,Spoke之间可以建立动态直连隧道,分支间的流量可以直接转发。相比而言,Hub负担减轻,同时减少分支间流量的延迟,更有利于VOIP等实时流量的传输,在实际使用的过程中可按照自身需求进行选择。
     我们都知道思科的DMVPN,DMVPN通过多点的GRE-Over-IPsec加上NHRP注册协议实现总部和分部之间的全互联(Full-Mesh),而Fortinet的ADVPN与DMVPN的实现方式完全不一样,ADVPN只基于IKE(携带ADVPN报文)&IPsec(通过IKE消息触发advpn内核通知)就能实现,不需要GRE-Over-IPsec,也不需要NHRP注册服务,以更加简单的方式实现总部和分部之间全互联(Full-Mesh)。 目前只有FortiOS5.4的版本才支持ADVPN,同时ADVPN需要与动态路由协议(BGP/RIP)配合使用。一般而言,我们推荐使用BGP协议,因为BGP的路由反射功能与ADVPN能够完美的契合,在二者的实现原理都围绕着简化Full-Mesh进行,HUB设备充当BGP的RR反射器角色,所有的Spoke都只需要与Hub建立起BGP邻居(就像所有Spoke也只需要与Hub建立起IPsec VPN一样),Hub就像一面反射的镜子,将这个Spoke学习而来的BGP路由传递给其他所有的Spokes,Hub通过BGP RR负责整网的路由动态更新。当新加入一个Spoke的时候,只需要与Hub建立IPsec VPN隧道以及BGP邻居,则这个新的Spoke的路由信息就可被传递到其他的Spoke,同时其他的Spoke可以动态地与新Spoke建立起IPsec VPN隧道,从而实现Spoke之间数据和路由的直接转发。
    在实际使用过程中为了简化BGP的配置,可以使用BGP动态邻居特性,该特性中,在Hub节点BGP配置中,配置一个特定网段,Hub可以接受来自该网段内的所有邻居的连接请求,并与其建立对等体关系,本地不再一一配置到每个对端的peer命令。在大规模组网中,该特性既简化了配置,又大大降低了维护和升级成本。为了防止非法邻居接入,建议动态邻居所在的对等体组需要配置MD5认证功能。
 
详细见附件内容!

IPsec VPN之总部静态固定IP与分部PPPoE动态IP 部署Hub_and_Spoke

VPNkmliu 发表了文章 • 1 个评论 • 600 次浏览 • 2016-01-15 14:14 • 来自相关话题

   本文主要讨论IPsec VPN在总部使用静态IP而分部使用动态IP的场景下的部署方式,以及扩展开来介绍此类组网模式下的Hub-and-Spoke部署以及配置。 
   此类组网在实际应用中使用较多,而很多技术人员对总部和分部IPsec究竟如何部署存在着不少的困惑,故此输入这篇文档进行答疑解惑。 查看全部
   本文主要讨论IPsec VPN在总部使用静态IP而分部使用动态IP的场景下的部署方式,以及扩展开来介绍此类组网模式下的Hub-and-Spoke部署以及配置。 
   此类组网在实际应用中使用较多,而很多技术人员对总部和分部IPsec究竟如何部署存在着不少的困惑,故此输入这篇文档进行答疑解惑。