各种VPN技术

各种VPN技术

如果您的组网有以下典型特征，可根据以下几项选择相应的VPN：（L2TP、IPSec）
（1）两端相互访问较频繁，传输的数据为机密数据，且任何用户都能访问对端内网，无需认证时，可采用IPSec方式。
（2）只有一端访问另一端，且访问的用户必须通过用户认证时，可采用L2TP方式。
（3）如果只有一端访问另一端，传输数据为机密数据，且访问的用户必须通过用户认证，可采用L2TP over IPSec方式，安全性更高。

GRE over IPSec隧道和IPSec over GRE隧道都可以用来安全的传输数据，两者的区别在于对数据的封装顺序不同。GRE over IPSec在报文封装时，是先GRE封装然后再IPSec封装；IPSec over GRE在报文封装时，是先IPSec封装再GRE封装。
由于IPSec无法封装组播报文，因此IPSec over GRE隧道也无法传输组播数据。如果隧道两端要传输组播数据时，就要采用GRE over IPSec方式。
比如，当网络1和网络2中采用RIP建立路由时，由于RIP路由数据为组播数据，需采用GRE over IPSec将RIP路由发送到对端。

L2TP
二层隧道协议L2TP（Layer 2 Tunneling Protocol）是虚拟私有拨号网VPDN（Virtual Private Dial-up Network）隧道协议的一种，扩展了点到点协议PPP（Point-to-Point Protocol）的应用，是远程拨号用户接入企业总部网络的一种重要VPN技术。
L2TP通过拨号网络，基于PPP的协商，建立企业分支用户到企业总部的隧道，使远程用户可以接入企业总部。PPPoE（PPP over Ethernet）技术更是扩展了L2TP的应用范围，通过以太网络连接Internet，建立远程移动办公人员到企业总部的L2TP隧道。

为了更好的利用拨号网络，方便远程用户的接入，产生了基于拨号网络的VPN，即VPDN。通过VPDN技术，远程用户和企业总部网关之间建立了一条点到点虚拟链路。
VPDN有以下3种常用的隧道技术：
    点到点隧道协议PPTP（Point-to-Point Tunneling Protocol）
    二层转发L2F（Layer 2 Forwarding）
    二层隧道协议L2TP（Layer 2 Tunneling Protocol）
L2TP集合了PPTP和L2F两种协议的优点，目前已被广泛接受，主要应用在单个或少数远程终端通过公共网络接入企业内联网的需要。

GRE

GRE的基本概念和应用场景。
General Routing Encapsulation，简称GRE，是一种三层VPN封装技术。
GRE可以对某些网络层协议（如IPX、Apple Talk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。
异种报文传输的通道称为Tunnel（隧道）。通过在IPv4网络上建立GRE隧道，解决了两个IPv6网络的通信问题。
GRE除了可以封装网络层协议报文以外，它还具备封装组播报文的能力。由于动态路由协议中会使用组播报文，因此更多时候GRE会在需要传递组播路由数据的场景中被用到，这也是GRE被称为通用路由封装协议的原因。以下几个场景就是GRE在路由封装方面的应用。
GRE over IPSec
IPSec隧道两端的IP网络需要通信，彼此就要获取到对端网络的私网路由信息。假设隧道两端的IP网络部署的是动态路由协议，那么IPSec隧道中就需要传递路由协议的组播报文。由于IPSec本身并不具备封装组播报文的能力，因此该场景下就需要寻求GRE的协助。GRE首先将组播报文封装成单播报文，封装后的单播报文就可以经过IPSec隧道发送到对端网络。此时，建立在两个IP网络中的隧道被称为GRE over IPSec隧道。
扩大跳数受限的网络工作范围
网络中运行RIP协议，如果两台电脑之间的跳数超过15，它们将无法通信。通过在网络中使用GRE隧道可以隐藏一部分跳数，从而扩大网络的工作范围。
例如，在FW_A和FW_B之间建立GRE隧道后，FW_A和FW_B就相当于相邻的路由器，距离为一跳。这就隐藏了FW_A和FW_B之间的跳数，使网络得到了扩展。

VPLS简介（MPLS L2VTPN）
虚拟专用局域网业务VPLS（Virtual Private LAN Service）是公用网络中提供的一种点到多点的L2VPN（Layer 2 virtual private network）业务，使地域上隔离的用户站点能通过MAN/WAN（Metropolitan Area Network/Wide Area Network）相连，并且使各个站点间的连接效果像在一个LAN（Local Area Network）中一样。它是一种基于MPLS（MultiProtocol Label Switching）网络的二层VPN技术，也被称为透明局域网业务TLS（Transparent LAN Service）。
VPLS的典型组网，处于不同物理位置的用户通过接入不同的PE设备，实现用户之间的互相通信。从用户的角度来看，整个VPLS网络就是一个二层交换网，用户之间就像直接通过LAN互连在一起一样。
目的
目前，随着企业的分布范围日益扩大以及公司员工的移动性不断增加，企业中VoIP（Voice Over IP）、即时消息、网络会议的应用越来越广泛，因此这些应用对端到端的数据通信技术有了更高的要求。端到端数据通信功能的实现依赖于一个能够支持多点业务的网络。
传统的ATM（Asynchronous Transfer Mode）、FR（Frame Relay）技术只能实现二层点到点互连，而且具有网络建设成本高、速率较慢、部署复杂等缺点。随着IP技术的发展，一种在IP（Internet Protocol）网络上提供VPN（Virtual Private Network）服务、可方便设定速率、配置简单的技术随之产生，这种技术即MPLS VPN技术。基于MPLS的VPN技术有两种，分别是MPLS L2VPN和MPLS L3VPN：
    传统VLL（Virtual Leased Line）方式的MPLS L2VPN是在公网中提供一种点到点的L2VPN业务，不能直接在服务提供者处进行多点间的交换。
    MPLS L3VPN网络虽可提供多点业务，但PE设备会感知私网路由，造成设备的路由信息过于庞大，对PE设备的路由控制性能要求较高。
针对以上问题，VPLS在传统MPLS L2VPN方案的基础上发展而成，是一种基于以太网和MPLS标签交换的技术：
    由于以太网本身就具有的支持多点通信特点，使得VPLS技术可以实现多点通信的要求。
    同时VPLS是一种二层标签交换技术，从用户侧来看，整个MPLS IP骨干网是一个二层交换设备，PE设备不需要感知私网路由。
因此，VPLS技术为企业提供了一种更加完备的多点业务解决方案。它结合了以太网技术和MPLS技术的优势，是对传统LAN全部功能的仿真，其主要目的是通过运营商提供的IP/MPLS网络连接地域上隔离的多个由以太网构成的LAN，使它们像一个LAN那样工作。
受益
    充分利用运营商构建的IP网络资源，建设成本低。
    充分继承以太网速率高的优势。
    如果使用VPLS技术，企业无论LAN还是WAN，都可以只使用以太链路，实现快速和灵活的业务部署。
    将企业网络的路由策略控制和维护权利交给了企业，增强了企业VPN网络的安全性和可维护性。
VPLS基本原理
VPLS基本传输结构
整个VPLS网络就像一个交换机，它通过MPLS隧道在每个VPN的各个Site之间建立虚链路（PW），并通过PW将用户二层报文在站点间透传。对于PE（Provider Edge）设备，它会在转发报文的同时学习源MAC并建立MAC转发表项，完成MAC地址与用户接入接口（AC接口）和虚链路（PW）的映射关系。

VLL技术

VLL技术通过隧道承载CE（Customer Edge）端的各种二层业务，透明传递CE端的二层数据，为用户提供点对点的二层VPN服务。
VLL的基本架构可以分为AC、VC和Tunnel三个部分，而PW这个概念也会经常用到。

VLL的分类: CCC方式VLL、Martini方式VLL、SVC方式VLL
CCC方式VLL
CCC远程连接，为客户提供类似传统二层VPN的二层连接。
电路交叉连接CCC（Circuit Cross Connect），是通过手工配置来实现VLL的一种方式。
CCC方式VLL因为不进行信令协商，不需要交互控制报文，因此消耗资源比较少，易于配置。适用于小型、拓扑简单的MPLS网络。
拓扑结构
CCC的连接方式可以分为本地连接和远程连接两种方式。
Martini方式VLL
Martini方式VLL使用LDP作为传递VC信息的信令，此种方式遵循RFC4906，对标准的LDP进行了扩展，增加了FEC类型（VC FEC）用于VC标签的交换。PE为CE之间的每条连接分配一个VC标签，二层VPN信息将携带着VC标签，通过LDP建立的公网LSP，转发到对端的PE。由于用不同的VC标签来区分不同的VLL连接，这样实际上在公网的LSP上建立了一条VC LSP，使得公网的LSP可以被多条VC LSP共用，只有PE设备需要保存VC Label和LSP的映射等少量信息。P设备不包含任何二层VPN信息，所以扩展性较好，解决了CCC方式VLL公网隧道不能被共用的问题。
Martini方式中，用VC Type和VC ID来唯一识别一个VC。
    VC Type：表明VC的封装类型，例如VLAN或Ethernet。
    VC ID：标识VC。相同VC Type的所有VC，其VC ID必须在整个PE唯一。
拓扑结构
Martini方式的VLL只支持远程连接，而不支持本地连接。
SVC方式VLL
概述
在Martini中用LDP进行VC标签的交互，如果不使用LDP，而是在PE上直接手工指定内层标签，这就是静态虚拟电路SVC（Static Virtual Circuit）模式，可以认为SVC是Martini的简化。
SVC方式VLL的VC标签是静态配置的，不需要VC标签映射，所以不需要LDP信令传输VC label。
拓扑结构
SVC的外层公网隧道标签建立的方法与Martini相同。内层标签在配置VC的时候进行手工指定，PE之间不需要信令来传递标签信息。SVC不支持本地连接，其网络拓扑模型和报文交互过程与Martini完全相同。

VLL三种方式的比较
实现方式CCC
VC标签分配方式:手工指定
PW信令协议:无
特征:仅一层静态LSP隧道，静态LSP携带VC信息

实现方式Martini
VC标签分配方式:系统随机分配
PW信令协议:LDP
特征:两层隧道，外层隧道为公网隧道，用于透传数据，内层隧道用VC标签来标识。

实现方式SVC
VC标签分配方式:手工指定
PW信令协议:无
特征:两层隧道，外层隧道为公网隧道，用于透传数据，内层隧道用手工指定的VC标签来标识。


EVPN
EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术。
EVPN技术采用类似于BGP/MPLS IP VPN的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。
目的
原有的VXLAN实现方案没有控制平面，是通过数据平面的流量泛洪进行VTEP（VXLAN Tunnel Endpoints）发现和主机信息（包括IP地址、MAC地址、VNI、网关VTEP IP地址）学习的，这种方式导致数据中心网络存在很多泛洪流量。为了解决这一问题，VXLAN引入了EVPN作为控制平面，通过在VTEP之间交换EVPN路由实现VTEP的自动发现、主机信息相互通告等功能，避免了不必要的数据流量泛洪。
EVPN是采用类似于BGP/MPLS IP VPN的机制的VPN技术，在公共网络中传播EVPN路由，在一定程度上保障客户私有数据在公共网络传播的安全性。
在VXLAN网络规模较大时，原有的VXLAN实现方案手工配置比较耗时，通过采用EVPN协议，可以减少人工配置工作量。
EVPN基本原理
介绍
EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术。EVPN技术采用类似于BGP/MPLS IP VPN的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。
EVPN路由
EVPN（Ethernet Virtual Private Network）技术采用类似于BGP/MPLS IP VPN的机制，在BGP协议的基础上定义了一种新的NLRI（Network Layer Reachability Information，网络层可达信息）即EVPN NLRI，EVPN NLRI定义了新的BGP EVPN路由类型，用于处在三层网络的不同站点之间的IP地址学习和发布。
在动态VXLAN隧道创建中，EVPN作为VXLAN控制平面协议，会使用到EVPN NLRI中定义的IP前缀类型（IP Prefix Route）路由，用于传递VTEP地址和主机信息，可以使VTEP（VXLAN Tunnel Endpoints）发现和主机信息学习从数据平面转移到控制平面。


VXLAN
定义
RFC定义了VLAN扩展方案VXLAN（Virtual eXtensible Local Area Network，虚拟扩展局域网）。VXLAN采用MAC in UDP（User Datagram Protocol）封装方式，是NVO3（Network Virtualization over Layer 3）中的一种网络虚拟化技术。
起源
随着网络技术的发展，云计算凭借其在系统利用率高、人力/管理成本低、灵活性/可扩展性强等方面表现出的优势，已经成为目前企业IT建设的新趋势。而服务器虚拟化作为云计算的核心技术之一，得到了越来越多的应用。
服务器虚拟化技术的广泛部署，极大地增加了数据中心的计算密度；同时，为了实现业务的灵活变更，虚拟机VM（Virtual Machine）需要能够在网络中不受限迁移，这给传统的“二层+三层”数据中心网络带来了新的挑战。
    虚拟机规模受网络设备表项规格的限制
    在传统二层网络环境下，数据报文是通过查询MAC地址表进行二层转发。服务器虚拟化后，VM的数量比原有的物理机发生了数量级的增长，伴随而来的便是VM网卡MAC地址数量的空前增加。而接入侧二层设备的MAC地址表规格较小，无法满足快速增长的VM数量。
    网络隔离能力有限
    VLAN作为当前主流的网络隔离技术，在标准定义中只有12比特，因此可用的VLAN数量仅4096个。对于公有云或其它大型虚拟化云计算服务这种动辄上万甚至更多租户的场景而言，VLAN的隔离能力无法满足。
    租户是一套完整的可用于数据中心网络部署的逻辑资源的集合，逻辑资源包括VLAN、IP地址池等网络资源和物理服务器、虚拟机等计算资源。租户有各自的租户管理员进行网络业务的编排和部署。
    虚拟机迁移范围受限
    由于服务器资源等问题（如CPU过高，内存不够等），虚拟机迁移已经成为了一个常态性业务。
    虚拟机迁移是指将虚拟机从一个物理机迁移到另一个物理机。为了保证虚拟机迁移过程中业务不中断，则需要保证虚拟机的IP地址、MAC地址等参数保持不变，这就要求虚拟机迁移必须发生在一个二层网络中。而传统的二层网络，将虚拟机迁移限制在了一个较小的局部范围内。
为了应对传统数据中心网络对服务器虚拟化技术的限制，VXLAN技术应运而生，其能够很好的解决上述问题。
    针对虚拟机规模受设备表项规格限制
    VXLAN将管理员规划的同一区域内的VM发出的原始报文封装成新的UDP报文，并使用物理网络的IP和MAC地址作为外层头，这样报文对网络中的其他设备只表现为封装后的参数。因此，极大降低了大二层网络对MAC地址规格的需求。
    针对网络隔离能力限制
    VXLAN引入了类似VLAN ID的用户标识，称为VXLAN网络标识VNI（VXLAN Network Identifier），由24比特组成，支持多达16M的VXLAN段，有效得解决了云计算中海量租户隔离的问题。
    针对虚拟机迁移范围受限
    VXLAN将VM发出的原始报文进行封装后通过VXLAN隧道进行传输，隧道两端的VM不需感知传输网络的物理架构。这样，对于具有同一网段IP地址的VM而言，即使其物理位置不在同一个二层网络中，但从逻辑上看，相当于处于同一个二层域。即VXLAN技术在三层网络之上，构建出了一个虚拟的大二层网络，只要虚拟机路由可达，就可以将其规划到同一个大二层网络中。这就解决了虚拟机迁移范围受限问题。
目的
为了解决数据中心网络服务器虚拟化以及虚拟机不受限迁移问题，VXLAN特性应运而生。由于VXLAN特性在本质上属于一种VPN技术，因此，其同样能够应用在园区网络中，以实现分散物理站点之间的二层互联以及站点间的三层互联。
在当前的园区网中，租户站点与站点之间为了实现二、三层互联，需要部署相关设备以及多种二、三层网络技术。而基于Overlay的VXLAN技术，不感知当前的物理网络，能够在任意路由可达的网络上叠加二层虚拟网络，实现站点与站点之间的二层互联。同时，基于VXLAN三层网关，也能够实现站点与站点之间的三层互联。因此，通过VXLAN技术实现租户不同站点之间的互联更加快速、灵活。
VXLAN网络架构
VXLAN是NVO3中的一种网络虚拟化技术，通过将原主机发出的数据包封装在UDP中，并使用物理网络的IP、MAC作为外层头进行封装，然后在IP网络上传输，到达目的地后由隧道终结点解封装并将数据发送给目标主机。
通过VXLAN，虚拟网络可接入大量租户，且租户可以规划自己的虚拟网络，不需要考虑物理网络IP地址和广播域的限制，降低了网络管理的难度。
类似于传统的VLAN网络，VXLAN网络也有VXLAN网络内互访和VXLAN网络间互访。
VXLAN网络内互访
通过VXLAN技术可以实现在已有三层网络上构建虚拟二层网络，实现主机之间的二层互通。


PWE3
介绍PWE3的定义、由来和作用。
定义
端到端伪线仿真PWE3（Pseudo-Wire Emulation Edge to Edge），是一种点到点的MPLS L2VPN技术。它在分组交换网络PSN（Packet Switched Network）中尽可能真实地模仿异步传输ATM（Asynchronous Transfer Mode）、帧中继（FR）、以太网（Ethernet）、低速TDM（Time Division Multiplexing）电路和SONET（Synchronous Optical Network）/SDH（Synchronous Digital Hierarchy）等业务的基本行为和特征。
目的
IP网络基于其本身升级、扩展、互通的灵活性强等优势，近年来发展迅速。而传统的通信网络受限于传输的方式和业务的类型，灵活性相对较差。在传统通信网的升级和拓展过程中，为了充分利用现有或公共网络资源，利用PWE3技术将传统通信网络与现有PSN网络结合是一种较好的解决方案。
PWE3通常应用在宽带城域接入网或移动承载网中，用来承载Ethernet、ATM、TDM、FR、PPP等各种类型的业务。如图1所示，A公司的总部和分支机构所在网络是传统的通信网络（如ATM、FR等），通过PWE3技术在PE1和PE2之间建立PW，使得A公司的总部和分支机构可以通过MPLS网络互通。这样将原有的接入方式与现有的IP骨干网很好的融合在一起，减少网络的重复建设，节约运营成本。
PWE3基本原理
PWE3的基本架构
PWE3以LDP为信令协议，通过隧道（如MPLS LSP隧道、MPLS TE隧道或者GRE隧道）承载CE（Customer Edge）端的各种二层业务（如各种二层数据报文），透明传递CE端的二层数据。PWE3网络的基本传输构件包括：
    接入链路AC（Attachment Circuit）
    虚链路PW（Pseudo wire）
    转发器（Forwarder）
    隧道（Tunnels）
    PW信令协议（PW Signal）


MPLS L2VPN 二层vpn