我被问到的最常见问题之一是组织应该部署的VPN类型的类型。因此,希望有一段时间拯救一些人,我以为我刚刚在选择VPN协议时经历一些最基本的考虑因素。
让我们假设您已经决定部署一个VPN来连接您的组织/客户的站点(一个点对点VPN)。但是您不确定应该部署哪种VPN技术和类型——是IPsec、MPLS layer 3、MPLS layer 2、基于l2tpv3还是其他技术?
您选择在选择网站到网站VPN技术或协议时要问自己的一些问题包括:
1.成本是主要关注点吗?
2.您的流量是否需要加密和身份验证?
3.“本地”多协议传输或第二层连接重要吗?
4.您是一个希望巩固遗留和IP/MPLS网络基础设施的服务提供商吗?
5.站点之间是否需要任意对任意(第3层)连接?
6.是否需要端到端服务质量(QoS) ?
7.是否需要完全控制客户边缘路由器之间的路由?
8.简化了WAN路由是否可取?
9.是否需要额外的管理服务,如防火墙互联网接入/语音服务?
10.您需要通过VPN传输多播流量吗?
还有许多其他的问题你必须问你自己,但是为了使这篇博文足够简短,我将继续讨论上面的问题。
1.成本是主要关注点吗?
成本几乎总是很重要的,但如果它是一个主要问题,那么基于internet的IPsec VPN通常是一个不错的选择。Internet连接相对便宜,但由于Internet不安全,您将需要IPsec来保护您的流量。
2.您的流量是否需要加密和身份验证?
如果您需要对站点到站点的VPN通信进行身份验证和加密,那么IPsec是最好的选择。IPsec VPN可以是标准的IPsec VPN;它可以基于思科的动态多点VPN (DMVPN)技术;甚至可以是基于MPLS或l2tp的VPN,使用IPsec保护流量。但是,无论站点到站点VPN的具体形式是什么,如果需要身份验证和加密,都需要IPsec。
3.“本地”多协议传输或第二层连接重要吗?
下一个问题是“本地”多协议传输或第二层连接是否重要。如果是基于虚拟专用网服务(VPLS)或虚拟专用网服务(VPWS)的二层VPN类型,则可能是一个不错的选择。
也可以使用GRE隧道在MPLS 3层和IPsec vpn上传输多协议流量。
4.您是一个希望巩固遗留和IP/MPLS网络基础设施的服务提供商吗?
如果您是寻求巩固遗留基础架构的服务提供商,如ATM / MPLS基础结构等ATM / Frame Relay Networks,以及部署较新的服务,例如以太网/ L2TPv3(Eompls / EOL2TPv3),那么Diall-2 VPN这是答案。这是因为MPLS和L2TPv3伪指数(仿真电路)都可以承载诸如以太网,帧中继,ATM,HDLC,PPP甚至X.25的层-2流量。
5.站点之间是否需要任意对任意(第3层)连接?
任何类型的WAN连接都可以是语音和交互式视频等应用程序和流量类型的有利。如果您希望站点之间的任何连接,那么MPLS Layer-3 VPN或多点到多点Layer-2 VPN(VPLS)是好的选择。DMVPN等其他技术还可以提供这种类型的连接。
6.是否需要端到端服务质量(QoS) ?
QoS对于确保流量和应用程序在延迟、抖动(可变延迟)和丢包方面的性能要求得到满足通常很重要。QoS对于流量类型(如语音)尤其重要。虽然QoS可以在各种VPN部署中得到支持,但MPLS三层VPN通常提供针对特定应用和流量类型的端到端QoS保证。
7.是否完全控制了客户边缘(CE)路由器之间的路由?
如果您绝对需要完全控制您的网站之间的路由,那么基于IPSec和MPLS / L2TPv3的第2层VPN是所有可能性。MPLS Layer-3(RFC 2547BIS / RFC 4364)VPN不是一个选项,如果完全控制路由很重要,因为服务提供商边缘(PE)路由器将参与路由,因此您将丢失一些控制。与部署MPLS Layer-3 VPN的优势相比,这种控制丧失通常被认为是微不足道的,但值得注意。
8.简化了WAN路由是否可取?
当存在任意对任意连接和(许多)站点之间的路由邻接时,配置广域网路由是很有挑战性的。当然,解决这一问题的一种方法是部署hub-and-spoke拓扑,但是这样就失去了任意对任意连接的优势。MPLS三层vpn除了提供简单的广域网路由外,还可以提供任意到任意的连通性。这是因为,当IP流量通过服务提供商骨干网络的站点之间的标签交换路径(lsp)进行转发时,客户边缘(CE)路由器只与它们直接相连的提供商边缘(PE)路由器进行对等,而不是彼此之间。
9.是否需要额外的管理服务,如防火墙互联网接入/语音服务?
服务供应商可以向他们的客户提供各种管理服务,如防火墙互联网接入和语音服务。这些托管服务最容易提供,通常通过MPLS Layer-3 vpn提供。
10.您需要通过VPN传输多播流量吗?
MPLS三层vpn和IPsec vpn本身不支持组播。如果您需要在MPLS 3层VPN中传输组播流量,那么您将需要GRE隧道或支持组播VPN (mvpn)。如果您需要通过IPsec VPN传输多播,那么您将需要使用GRE隧道或虚拟隧道接口(VTIs)等技术。
下一次,我将介绍在选择远程访问VPN技术时的一些主要考虑事项。
不用说,如果你对这个问题有任何想法,请留下评论或给我发邮件。
标记