DVPN的主要特性有哪些?
現在越來越多的企業希望利用公共網絡組建VPN(Virtual Private Network,虛擬私有網絡),連接地理位置不同的多個分支機構。然而,企業分支機構通常采用動態地址接入方式(如PPPoE ADSL)接入公共網絡,通信一方無法事先知道對端的公網地址,這就為組建VPN提出了一個難題。
H3C的DVPN(Dynamic Virtual Private Network,動態虛擬私有網絡)是一種動態虛擬專用網技術,可通過動態獲取對端的信息建立VPN連接。本文將介紹DVPN的主要特性。DVPN不但結合了傳統VPN的優點,而且解決了傳統VPN的缺陷。配置簡單、網絡規劃簡單、功能強大,比傳統的VPN更加符合目前以及未來的網絡應用。其特點如下:
配置簡單
一個DVPN接入設備可以通過一個Tunnel邏輯接口和多個DVPN接入設備建立會話通道,而不用為每一個通道配置一個邏輯的接口作為隧道的端點,大大的簡化了配置的復雜度,提高了網絡的可維護性和易擴充性。
自由穿越NAT網關技術
DVPN是采用UDP方式的 DVPN。由于使用了UDP報文進行封裝,可以自由穿越NAT網關。解決內網DVPN接入設備和公網DVPN接入設備之間的VPN連接,使NAT網關內部的私有網絡和NAT網關外部的私有網絡共同構建一個虛擬私有網絡。
支持依賴動態IP地址構建VPN
當在一個DVPN域內部構建隧道時,只需要指定相應的Server的IP地址,并不關心自己當前使用的IP地址是多少,更加適應如普通撥號、xDSL撥號等使用動態IP地址的組網應用。
支持自動建立隧道
DVPN中的Server維護著一個DVPN域中所有接入設備的信息,DVPN域中的Client可以通過Server的重定向功能自動獲得需要進行通信的其它Client的信息,并最終在兩個Client之間自動建立會話隧道(Session)。作為Client的DVPN接入設備只需配置自己的相關信息和Server的信息,不需要知道其他Client的信息,極大地減少了網絡的維護管理工作。
注冊過程加密
在Client向Server進行注冊的過程中,需要先完成算法套件以及各種密鑰鑰地協商。使用協商出來的算法對注冊過程中的關鍵信息(例如用戶名、密碼等)進行加密保護,還可以對注冊的報文進行合法性檢測,保證關鍵注冊信息的安全性。
支持身份認證
在Client向Server進行注冊的過程中,Client可以根據配置需要對Server的身份使用pre-shared-key(預共享密鑰)進行驗證,保證Client接入一個合法的Server;同時Server可以根據需要使用AAA對需要接入到DVPN域的Client進行身份驗證,保證只有通過身份驗證的Client才可以接入到DVPN域。
策略統一管理
在DVPN Client在Server端注冊成功后,Server會將DVPN域中的策略發布給該Client。策略主要包括會話協商使用的算法套件、會話的保活時間、會話的空閑超時時間、IPSec使用的加密驗證算法、IPSec sa的重協商時間等。在整個DVPN域中,所有的Session會使用相同的策略。
支持會話協商過程的加密
在Session協商過程中,所有的會話的控制報文都會使用Server發布的算法套件進行IPSec加密保護。即在建立Session的會話協商過程中,根據Server發布數據的加密驗證算法,為Session的數據通信協商IPSec SA。協商過程使用DH(Diffie-Hellman)進行SA的密鑰協商。對于需要通過該Session進行轉發的數據,如果需要加密處理,則通過IPSec使用Session協商出來的IPSec SA對報文進行加密處理后,通過DVPN進行轉發,實現了轉發數據報文的安全性。Session的IPSec SA支持重協商功能,可以根據需要指定進行IPSec SA重協商的時間,進一步保證數據的安全性。
支持多個VPN域
DVPN允許用戶在一臺DVPN設備上支持多個VPN域。即一臺路由器不僅可以屬于VPN A,也可以屬于VPN B;同一設備可以在VPN A中作為Client設備,同時還在VPN B中作為Server設備使用。在同一臺DVPN設備上最多可以支持200個DVPN域,可以同時作為200個DVPN域的Server設備。大大提高了組網的靈活性,也可以更加充分的使用網絡設備資源,減少了用戶的投資。在實際的組網中為了保證各個DVPN域之間的隔離,如果在同一臺DVPN設備上支持多個DVPN域,需要通過私網路由來實現不同DVPN域的隔離。
支持動態路由
DVPN可以對需要通過Tunnel接口發送的路由報文,通過所有的Session會話進行廣播,從而實現整個DVPN域內的路由自動學習。實際應用中,DVPN配合動態路由協議,可以簡化對需要接入到DVPN域的各個私有網絡的規劃,簡化整個網絡的配置,提高網絡的維護性和自動化。
