《广域互联方案与技术概述》属于博主的“广域网”专栏,若想成为HCIE,对于广域网相关的知识需要非常了解,更多关于广域网的内容博主会更新在“广域网”专栏里,请持续关注!
一.前言
- 广域网有着悠久的历史,广域网上所使用的技术也经过了多次的更新。相比园区网,广域网所连接企业的需求更加多样,不同的企业在连接方式、可靠性要求、安全要求方面都会有很大不同。
- 为了满足不同企业在互联上的需求,产生了各种广域互联技术。
二.广域互联网基本架构
1.什么是广域网
- 广域网(Wide Area Network,WAN),提供不同地区、城市、国家之间的互联服务。广域网通常会跨越非常远的距离(几十公里到几千公里),为了满足广域网远距离传输的需求,经常使用光纤作为互联的媒介。
2.广域网与企业广域互联
- 企业广域互联指的是不同地点的总部数据中心、分部、办事处、移动办公等各级节点间互联互通的企业私有网络。
- 企业广域互联一般依赖于运营商搭建的广域网或企业自建广域网。
3.企业广域互联网主要组网方式
- 一般企业广域互联组网有以下几种方式:
- 通过运营商传输专线或MPLS专线把各区域网络连接在一起,该方式适用于对SLA(Service Level Agreement)要求较高的企业,价格较贵。
- 通过运营商Internet +VPN技术连接,该方式适用于对SLA要求不高的中小分支。
- 通过运营商点对点专线实现跨城或者跨国的连接,该方式多用于数据中心、总部或重要网点的连接,价格较贵。
- 电力,交通等行业拥有自建专线的网络连接。
- 企业广域互联网络往往是以上多种连接形式的结合
4.企业广域互联组网技术-运营商专线
- 企业基于网络可靠性与网络安全性考虑,在构建企业广域网时会向运营商租用传输专线或MPLS专线:
- 向运营商租用传输专线价格昂贵,但是数据被承载在传输专用线路上,业务质量和业务安全都有保障。
- 向运营商租用MPLS专线线路在价格上比传输专线便宜,能够保障业务安全,但是业务可靠性没有传输专线好。
- 少部分企业(比如交通,电力)拥有部署光纤的能力,可以自建骨干网。
5.企业广域互联组网技术-Internet与VPN
- 随着Internet的发展,部分的企业业务可以使用Internet承载。
- 由于Internet有安全风险,因此需要使用VPN技术提供安全可靠的连接。
- 以PPTP,L2TP以及PPPOE为代表的VPDN技术提供终端用户或者分支拨号连接到运营商或者总部网络的能力。
- 以IPsec VPN为基础的网络更多地成为企业分支之间以及分支总部互连的选择。
- 为了解决IPsec在大规模组网配置复杂的问题DSVPN,A2A VPN等技术也发展起来并被广泛使用。
6.企业广域互联组网常见应用场景
- 企业广域互联需要基于企业需求部署,比如在金融行业为了可靠性和安全性,大多会租用传输专线或MPLS专线。在别的企业,考虑到网络成本一般会租用MPLS专线做主线路,Internet+VPN做备用线路的方式。
三.广域互联网组网技术应用
1.广域互联组网方案
(1)企业广域互联组网的三种方案
- 企业广域互联方式较多,基于企业不同的需求,一般会使用一种或多种互联方式。
(2)专线与VPN的对比
- 专线业务出现非常早,它能够很好地满足企业之间互联的需求,对于可靠性和安全性也有很好地保障,但是价格一直比较昂贵。
- 随着网络的发展,VPN技术开始占有更多的市场,但是对于网络有高安全高可靠性诉求的部分行业,比如金融,依然倾向使用专线技术。
- 对于专线和VPN技术地取舍应该基于公司业务,多方面比较。
(3)运营商专线介绍
- 运营商拥有大量线路资源,对于不同的行业与场景,运营商推出不同专线业务。
- 运营商高品质的传输专线业务主要是SDH、MSTP、裸纤等,价格昂贵,但是性能优异。
- 运营商还有一类专线业务是MPLS VPN,MPLS VPN专线能提供稍逊于传输专线的性能,但价格便宜。
(4)企业自建专线与VPN介绍
- 企业可以通过运营商网络自行建立VPN,比如:SSLVPN、DSVPN、IPsecVPN等。
- 部分大型企业有自行铺设光纤的能力,能够自建专线,但是拥有自行铺设光纤能力的公司较少。
- 企业自建VPN由于价格低廉、扩展方便、企业可控性强,被越来越多地使用。
2.专线技术应用
(1)专线技术概述
- 专线技术诞生很早,由于网络的发展很多专线技术已经不再使用,比如:中继、ATM等,现在使用比较多的专线技术基本分以下几种:
- 裸纤:也叫裸光纤,运营商提供光纤,中间不经过别的设备,光纤价格昂贵。
- SDH/MSTP/WDM:传输类专线,这类专线使用传输设备在光纤上构建硬管道,能够保障良好的性能,价格比裸纤便宜。
- MPLS VPN:MPLS专线,这类专线使用以太网做接入,基本不构建硬管道,在性能上比传输类专线弱,但是价格是专线中最便宜的。
(2)裸纤专线介绍
- 裸纤也叫裸光纤,运营商提供一条纯光纤线路,网络容量取决于光纤两端的企业设备。
- 裸纤按照距离收费,距离越远越贵,光纤有最大长度,一般认为光纤一跳最大距离是300KM,超过300 KM的站点之间需要架设中继设备。
(3)裸纤专线应用场景
(4)SDH/MSTP/WDM专线介绍
- 对于需要长距离传输且对网络可靠性和安全性有需求的企业,可以租用SDH/MSTP/WDM专线。
- 此类专线属于传输类专线,租户独占传输专线的一部分带宽,由于是多个用户共享线路,所以价格比裸纤便宜。虽然传输类专线线路共享,但是由于带宽独占,且使用的是硬管道,所以能够提供非常高的可靠性和安全性。
- 现网中使用比较多的是MSTP与WDM专线,少量区域还在使用SDH专线。
(5)SDH/MSTP/WDM专线应用场景
(6)MPLS VPN专线
- MPLS VPN技术被广泛地用于企业互联,根据企业需求可以部署MPLS L2VPN或者MPLS L3VPN,MPLSVPN作为价格和性能折中的方案,是一种很受欢迎的专线业务。
- 对于能够自建广域网的企业,比如:铁路、电力等,MPLS VPN是一种易管理,低成本的VPN技术,对于无法自建广域网的企业,MPLS VPN价格比较昂贵。
- 对于一些有高可靠、高安全需求的企业,可以使用MPLS VPN作为主链路,使用GRE Over IPsec作为备用链路。
(7)MPLS VPN专线应用场景
3.VPN技术应用
(1)VPN技术概述
- VPN技术被广泛地用在企业自建互联网的场景中。
- VPN技术按业务用途划分可分成以下三类:
- Access VPN(远程访问虚拟专网):又称拨号VPN、远程访问VPN,通常使用L2TP VPN技术。
- Intranet VPN(企业内部虚拟专网):网关到网关,通过公司的网络架构连接来自同公司的资源,通常使用GRE或者DSVPN技术。
- Extranet VPN(扩展的企业内部虚拟专网):与合作伙伴企业网构成Extranet,通常使用SSLVPN技术。
(2)Access VPN介绍
a.Access VPN
- Access VPN主要使用的VPDN(Virtual Private Dial-up Networks,虚拟专用拨号网)技术,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网业务。可以用于企业互联或者远程访问企业网络。
b.PPTP简介
- PPTP协议是一个VPN协议,它已有20多年的历史。该协议依赖于加密,认证和点对点协议(PPP,Point-to-Point Protocol)进行协商。实质上,它只需要用户名、密码和服务器地址就可创建连接。
- PPTP速度很快,但是速度是以弱加密性为代价的。在所有VPN协议中,PPTP加密级别最低,且PPTP必须基于IP网络。
c.L2TP简介
- IETF的开放标准L2TP协议结合了PPTP等协议的优点,特别适合组建远程接入方式的VPN,已经成为事实上的工业标准。
- 但请注意,L2TP只是一种隧道协议,既不提供加密也不保证隐私,因此一般与IPsec配合使用。
- L2TP被作为常用的企业互联技术之一,使用L2TP需要配合AAA服务器,当需要构建L2VPN时L2TP是非常好的选择。
(3)Intranet VPN介绍
a.Intranet VPN
- Intranet VPN技术指的是,基于Internet在公司网关之间构建VPN网络,主要用到的技术有GRE、DSVPN等。
- 企业自建分支-总部VPN,主要使用GRE和DSVPN技术。
b.Intranet VPN现网应用
- Intranet VPN现网中主要用于企业分支与总部,分支与分支之间互联。
- 现网中使用比较多的是GRE Over Ipsec。对于有较多分支的企业,可以使用Efficient VPN简化分支的配置,部署IPsec链路冗余备份后可以保障GRE的可靠性。
(4)Extranet VPN介绍
a.Extranet VPN
- Extranet VPN主要用于在客户或者供应商之间构建安全的访问服务,同时对于出差员工也可以使用Extranet VPN接入公司网络。
- Extranet VPN主要用到的技术是SSLVPN与L2TP。
b.SSL VPN简介
- SSLVPN主要用于出差人员远程接入公司内网,一般被认为是公司内网在广域网上的扩展。
- SSLVPN基于HTTP进行用户认证和控制,用户无需配置,使用简单。
c.Extranet VPN使用场景
- 外部用户接入内网,使用SSLVPN比较方便,无需安装客户端,直接使用网页即可访问公司内网,且SSLVPN的业务选择较多,比如网页代理、文件分享、端口转发、网络扩展。
