企业网广泛部署VPN遇到的问题
1、总部不能集中管理VPN
2、每个分支需要配置IPSec VPN,工作量大,对维护人员有一定技术要求。
3、每一个分支需要重复配置:
(1)、DNS域名、DNS服务器地址、WINS服务器地址等网络资源。
(2)、ACL推送,设定了允许分支子网访问的总部子网范围。
4、需要重复配置分支设备升级。
EVPN(效率VPN)解决的问题
1、总部集中管理VPN配置。
2、分支从总部获取IPSecVPN配置信息,简化分支IPSec配置。
3、分支从总部获取:
(1)、DNS域名、DNS服务器地址、WINS服务器地址等网络资源,进一步分发给用户。
(2)、ACL推送,分支子网动态感知可访问总部子网范围,流量进入隧道。
4、总部统一定义升级URL,分支设备自行升级。
IPsce的配置流程:
什么是Efficient VPN
1、Efficient VPN概述
- IPSec VPN技术以其高度的安全性、可靠性以及灵活性成为企业构建其VPN网络的首选当企业分支数量多时,希望各个分支的配置能够尽量简单,而复杂的配置集中在总部上Efficient VPN可以解决IPSec VPN配置复杂问题,简化分支用户业务部署。
2、Efficient VPN简化配置方式
其大致实现思路为:
(1)、采用Clicent/Server结构
(2)、Remote端(分支网关)只需要简单配置
(3)、Server端(总部网关)集中了大量配置
3、EVPN应用场景
- 客户端支持硬件(防火墙/路由器)或软件(笔记本)
- server端配置不需要根据客户端的类型(软件或硬件客户端)进行单独配置。
- 不管分支机构用户或数量增长,只需要在分支机构做好相应VPN配置,就能实现总部资源访问,同时总部配置基本可以做到不做任何改动。
- 华为路由器需要单独申请授权才能用EVPN
硬件客户端的几种模式
- Client模式:
- (1)、Remote端会向Server端申请一个IP地址D。
- (2)、Remote端的地址做地址转换(NAT)
• 缺点:一个地址NAT转换的数量有限(65535个转化表项),下挂用户数量有限制。
- Network模式:
- (1)、Remote端的直接使用内网真实的地址去访问总部网络。
- Network-plus模式:
- (1)、Network-plus模式和Network模式基本一致
- (2)、Client端会向Server端申请一个IP地址,该地址可以用于设备的管理
- Network-auto-cfg模式:
- (1)、Network-auto-cfg模式中Client端还会向Server端申请IP地址池。
- (2)、该IP地址池用于给Client端下挂的用户分配地址。
• 手机端访问可以使用这种方式
配置推送的实现
- 阶段1:IKE SA阶段2:IPSec SAEVPN插入全新的1.5阶段。该阶段的主要技术是新增了“Config Mode配置模式“
• 在IKE1和IKE2之间增加了阶段1.5,可以实验用户身份验证,网络参数推送(配置方面1.5阶段用户无感知)。
传统和EVPN配置对比
- 在Remtoe端EVPN相关配置
• 使用EVPN必须是野蛮模式,默认就是野蛮模式。
EVPN相关配置
- 在Server端的EVPN的相关配置:
- 1、Server端参数配置分为两部分:网络资源参数配置和IPSec参数的配置。
- 2、网络资源参数包括IP地址、域名、DNS服务器地址、WINS服务器地址等。
- 3、IPSec参数配置和传统的IPSec VPN的配置一致
- 配置Efficient VPN采用Client模式建立IPSec隧道示例
• (1)、在RouterA和RouterB上配置接口的IP地址和到对端的静态路由,保证路由可达。
(2)、在RouterB上配置DHCP服务器地址,用于实现DHCP动态方式的地址分配。
(3)、RouterB作为IPSec隧道协商响应方,采用策略模板方式与RouterA建立IPSec隧道。
(4)、在RouterA上采用Client方式配置Efficient VPN,作为协商发起方与RouterB建立IPSec隧道。