更新时间:2024-12-03 GMT+08:00
分享

IPsec VPN方案介绍

背景信息

随着分支办公、分支连锁场景越来越多,分支网络不仅要访问Internet,还要访问总部/数据中心(DC)、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景,需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式,其成本高、部署效率低,显然无法满足企业发展诉求。当前,企业分支可以选择通过Internet接入总部网络,同时为保证网络互联安全性和可靠性,可以部署IPsec VPN或SD-WAN方案。

本章主要介绍了IPsec VPN互联方案,配置流程如表1所示。IPsec VPN属于一种静态的VPN,通过在站点之间建立IPsec隧道来创建VPN通道,根据配置静态网段引流到VPN隧道中,实现站点间的业务通过VPN隧道进行访问。

如果有以下场景诉求,建议选择IPsec VPN方案:

  • 金融、物流、办公门店等只考虑用FW做出口网关场景。
  • Hub节点为第三方VPN网关。
表1 互联配置流程

配置步骤

配置指引

1. 部署分支网络

单站点内网络部署流程如表1所示,包括站点创建、设备添加、网络业务配置、设备上线、配置下发等,不再赘述。

2. 配置分支互联

配置站点间VPN,具体操作参见VPN配置VPN监控

逻辑架构

图1 IPsec VPN架构图

服务架构如图1所示,主要包括管理/控制层和网络层。每层具备明确的核心组件并承担不同的功能。

  • 第三方BSS/OSS

    华为乾坤开放了北向API接口,可以纳入到现有的BSS/OSS等第三方业务编排系统,实现广域网络的灵活集成和定制。

  • 管理/控制层

    IPsec VPN互联方案的网络编排,主要涉及华为乾坤云平台,通过云平台对站点间VPN的模型进行编排、业务发放。

    华为乾坤云平台是管理/控制层的核心,主要包含网络业务编排、网元控制、基础网络运维、基础性能监控(提供链路质量信息、应用质量信息、流量信息,并提供站点、站点间等多维度的统计呈现)等功能。

  • 网络层

    网络层主要由物理设备组成,是企业WAN的基础物理组网。用户可以根据实际诉求选择合适的出口设备,当前IPsec VPN方案支持的网关设备如下:

    • AR:主要做中小分支的出口设备,通过简单的IPsec VPN进行站点间通信。
    • 防火墙:主要适用于金融、物流、办公等高安全场景,采用防火墙做出口设备,可以做分支或总部的出口设备。
    • 第三方VPN网关:多分支场景,总部网络一般已部署(已存在第三方VPN网关设备),此时分支设备需要和第三方VPN网关对接,只能通过IPsec VPN与第三方VPN网关对接。

互联拓扑模型

IPsec VPN方案支持两种常见的互联拓扑模型,分别为Hub-Spoke和Mesh,如图2所示,根据实际需求选择合适的拓扑模型。

  • Hub-Spoke模型可以适于大规模的分支互联,但分支的互访,也无法满足所有分支都可以互访,仅支持部分分支间互访,建议针对大型、有互访诉求的分支,按需开启互访的能力。
  • Mesh组网模型主要受限于整体网络的规模,无法适合海量分支场景下有分支互访的诉求,仅建议在少量分支互联的场景下应用(如分支站点<32个)。
图2 互联拓扑模型
  • Hub-Spoke模型

    Spoke站点出口设备可以是AR、防火墙或者第三方出口网关设备,Hub站点出口设备必须是防火墙或者第三方网关设备(非云管模式的华为防火墙也当做第三方网关设备)。

    总部网关设备如果是非华为设备,评估是否可以替换成华为防火墙设备。如果不可替换,需要明确是否支持IPsec VPN对接。

    智能选路场景下,AR不能作为Spoke站点出口设备。

  • Mesh全互联模型

    仅支持防火墙或者第三方网关设备做出口网关。

出口组网模型

出口组网仅支持单设备单链路模式,且只支持通过云管模式上线,如图3所示。

图3 互联出口组网模型

典型组网

  • IPsec VPN 单Hub组网
    • 组网方案简介:

      分支通过单条或者多条出口链路和单总部/DC互联,即单Hub节点互联。分支出口网关设备可以为云AR、云防火墙或者第三方VPN网关设备;总部网关设备可以为云防火墙,也可以为本地管理的防火墙(传统模式)或者第三方VPN网关设备。

      图4 多分支、单总部/数据中心(单Hub节点)互联组网示意
    • 适用场景:

      海量小分支需要和总部/DC通信,只有一个总部/DC,或者对外仅体现一个公网地址,分支可以单条或者多条出口链路。

    • 方案关键点:
      • 分支间、分支和总部间的网段不能有重叠。
      • 总部Hub节点为第三方VPN网关时,需要支持标准的IPsec对接,同时根据第三方VPN网关的能力做对应的站点规模的规划。
      • IPsec VPN方案中AR设备不支持作为总部Hub节点,只能用防火墙。针对防火墙设备,总部安全需求、策略比较复杂,建议采用传统模式。
      • AR仅支持Hub-spoke模型。当开启“智能选路”功能后,AR不能作为分支出口网关设备。
  • IPsec VPN 多Hub组网
    • 组网方案简介:

      IPsec VPN 多Hub节点组网前提是开启“智能选路”功能,分支通过多条上行链路(多条有线链路、或者有线+LTE无线链路)出口和多总部/DC互联,或者一个总部多个对外出口,即多Hub节点互联。分支出口网关设备是云防火墙;总部网关设备可以为本地管理的防火墙(传统模式)或者第三方VPN网关设备。

      图5 分支多链路、多总部/数据中心(多Hub节点)互联组网示意
    • 适用场景:

      海量小分支需要和多总部/DC通信,分支需要访问总部业务,通过多个总部/DC出口接入或者通过多个中心机房接入企业DC,两个中心站点内部需要提供相同的业务,为考虑可靠性,一般要求分支部署多条上行链路,可以为两条有线链路,或者一条有线线路(作为主用线路)和一条无线线路(作为备用线路)。

    • 方案关键点:
      • 分支多条链路上行时,通过开局配置的方式线下配置出口链路参数。分支站点推荐配置两条出口线路,可以两条有线线路,或者一条主用的有线线路和一条备份的LTE无线线路。
      • Hub节点可以为多个总部/DC;或者一个总部/DC有多个公网IP地址,在互联模型上,实际可以当做多个Hub点来链接。
      • 多个Hub点的子网网段必须相同(防火墙同一时刻只会选择一个Hub建立通道,所以必须保证Hub内的业务相同,否则连接不同的Hub点,业务范围就会有差异)。
      • Hub节点的主备顺序,需要根据对应DC站点的实际顺序定义,同时需要先开通到主Hub节点的链路,保证Spoke站点可以先链接到主Hub节点。

相关文档