H3C ADVPN方案.ppt

H3CADVPN方案交流胶片,ADVPN基本概念,ADVPN典型应用（海外）,ADVPN案例,支持情况,目录,ADVPN基本概念,VAMVPNAddressManagement，VPN地址管理协议VAMServerVAMServer是接受DVPN节点向其注册信息的服务器，负责管理、维护各DVPN节点的信息HUBHub是一种VAMClient，一个VPN网络的中心设备，它是路由信息交换的中心。在Hub-Spoke组网中，它也是数据转发的中心SPOKESpoke是一种VAMClient，通常是企业分支机构的网关设备，该节点不会转发收到的其它DVPN节点的数据,ADVPN是一种VPN技术，包括VAM协议和DVPN隧道两部分,HubRouters,Hub1,Hub2,VAMServers,SpokeRouters,Branch1,Internet,Branch2,Main,Backup,ADVPN隧道技术,HubRouters,Firewalls,Hub1,Hub2,VAMServers,IMCIVM&BIMSServer,SpokeRouters,Branch1,Internet,AAAServer,CoreSwitches,Branch2,Main,Backup,初始连接VAMClient（Hub和Spoke）向VAMServer发起连接，协商VAM控制协议报文加密、验证算法，以及密钥,注册阶段VAMClient利用VAM协议隧道向VAMServer注册，完成VAMClient和VAMServer间的双向认证，将VAMClient信息注册到VAMServer上,隧道建立利用VAMClient在VAMServer注册的信息，完成Client之间安全数据转发隧道的建立，包括Spoke与Hub之间，以及Spoke之间的隧道,ADVPN特点,ADVPN继承了IPsec对通过Session转发的数据进行加密保护，保证通信的数据的安全性支持Hub-Spoke和Full-Mesh组网结构实现了对OSPFv2、BGP动态路由协议的支持支持主备+双活组网，支持动态地址组网,ADVPN不但继承了传统VPN的各种优点，更重要的是解决了传统VPN目前普遍面临的问题。配置简单、网络规划简单、功能强大，比传统VPN更加符合目前以及未来的网络应用,ADVPN优势,HubRouters,Firewalls,Hub1,Hub2,VAMServers,IMCIVM&BIMSServer,SpokeRouters,Branch1,Internet,AAAServer,CoreSwitches,Branch2,Main,Backup,可动态，易扩容支持动态路由协议，总部和分支之间可以运行动态路由如BGP、OSPF，若部署BGP的，可部署成动态BGP，即总部发布分支的网段路由，这样的好处是新增加分支，无需更改总部和其他分支设备配置，只添加新分支设备及配置即可，做到简单平滑扩容,既主备，又双活若总部有两条运营商线路，分支设备既可以通过运营商A线路同总部HUB1建立隧道，同时跟运营商B线路同总部HUB2建立隧道，这两条隧道是双活状态，通过策略路由调整隧道优先级，同时是主备关系，若有一条线路down掉，可以快速切换成另一条隧道，做到双保险。Ipsec做不到这一点，Ipsec是单点隧道，一个分支只能跟总部一台设备建立隧道，是冷备份关系，故在链路切换时，存在速度等诸多缺陷，更不能做到双活,ADVPN优势,HubRouters,Firewalls,Hub1,Hub2,VAMServers,IMCIVM&BIMSServer,SpokeRouters,Branch1,Internet,AAAServer,CoreSwitches,Branch2,Main,Backup,支持Full-mesh组网适应未来网络发展趋势，不仅实现总部-分支互访需求，为未来分支互访做好铺垫,灵活动态地址使用VAM(VPNAddressManagement)解决了对动态IP地址的支持，在同一个VPN内部构建隧道，事先不需要知道其他Client的任何信息，只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次，不管其他Client设备怎么更改也都能够进行互相通讯。用户也不用关心自己当前使用的IP地址是多少，更加适应现在动态IP地址的使用方式,ADVPN基本概念,ADVPN典型应用（海外）,ADVPN案例,支持情况,目录,IntelligentWANsolutionwinsandpipeline,2012,2013,2014,WIN,WIN,WIN,WIN,WIN,MinistryofSocialAffairsandHealthFinland,WIN,WIN,WIN,WIN,AdamanSWAN,目前正在支持的重大项目,DVPN$250KFOBQ1FY13,NationalOilwellVarcoBranchProj（美国国民油井华高公司）,Productsused:IMCwithBIMSmodule,8x6602routers,250 xMSR20-10routers,Architecture:Threehubsites,eachwithtwohubrouters.TwoVAMservers.Branchsitesconnecttoregionhubsites.Secure,site-to-siteconnectivity.IMCtoreducecomplexityandspeeddeployments,关键需求:分支网站连接到区域中心。安全,Spoke之间可以互访。部署IMC来降低复杂性并提升速度,组网架构:三对6602做HUB，共用了六台，两台6602做VAMserver，共中标八台6602，250台MSR20-10，以及IMC,25万美金,DVPN$270KFOBQ2FY13,DepartmentofInternalTradeThaiRiceMillProj（国内贸易部-泰国RiceMill项目）,Productsused:2JC176AHP6602RouterChassis,760JF812AHPMSR9002-portFEWAN/4-portFELANRouter,1JF377AAEHPIMCStdS/WPltfrmw/100-nodeE-LTU,1JF381AAEHPIMCStd/Entadd1000-nodeE-LTUand2JD377AHP5500-24GEISwitchArchitecture:Thedesignincludes2xSR6602insinglelocation(forredundancy)and760ofMSR900router(oneperbranch).AlloftheequipmentconnecttobroadbandADSLinternetlink（两台6602设备既做VAMServer，又做HUB，760台MSR900放分支位置，通过ADSL线路连接到总部HUB）,关键需求：客户需求在分支使用摄像头，但当前路由器不够，cisco给客户推荐方案是增加路由器，并租用更多线路，客户不想花更多钱去租线路，HP推荐方案是增加路由器，用原有的线路，使用DVPN，客户最终选择HP设备。,中标设备：2台6602，760台MSR900，IMC和2台5500-24G交换机。,27万美金,DVPN-$400KFOBQ2FY13,AndamanSWANGovernmentbranchproject（安达曼SWAN-政府分支项目）,Productsused:HP6608,HP6604andMSR30-20Routers,HPIMC(+Core&BranchSwitches),Andaman&NicobarIslands,GovernmentofIndia(Logotobeupdated),Architecture:FortheirWANbackbonetheyhaveselectedHP-HP6608atcore/hub,HP6604atTier1&2locationsandMSR30-20atTier3locations)ThecommunicationbetweenTier-1/2/3andDCisIPsecandwillbeusingDVPNfordynamictunneling,40万美金,中标设备:6608，6604和MSR30-20，IMC（中心和分支交换机）台数不明,组网架构：HP6608在中心做HUB，6604在一二级位置，MSR30-20在三级，使用DVPN，三级之间有互访需求,BancodoBrasil:LargeConsumerBank20,000routers（巴西银行：20000台路由器大型银行）-项目交流阶段,ProjectDescription:CurrentDMVPNcustomerwith20,000locationsusingSLBon6500and32Cisco7206sforhubs.PlanningrefreshofWAN,purehubandspoke.Keyrequirements:EachbranchrequiresdualSPconnectionswithHQCosteffectivelysupport20,000locationsSpoketospokeisnotarequirementAllencryptionandequipmentmustbeownedbybank(keptinternal)Timeline:Initialstages-SAiscollectingadditionalinformationfromclientandpositioning,HUBRouters,DVPNDataTunnel,DVPNControlTunnel,DataCenter,AAA/SNMPServers,Firewalls,main,main,backup,backup,VAMServers,DVPNSpoke,Mainlink,DVPNControlTunnels(2),DVPNDataTunnels(2),Backuplink,客户需求:1、每个分支和总部有双向访问需求2、分支之间没有互访需求3、所有加密数据和设备都银行自己维护,Lidl:LargeRetailChaininEurope:10,200routers（欧洲大的零售连锁企业：10200台路由器规模）-目前重点支持项目,ProjectDescription:Hierarchicalnetworkdeploymentwith9500locationsusingMPLSandInternet.PlanningrefreshofWAN,hubandspoke/full-mesh.Keyrequirements:EachbranchrequiresconnectiontowarehouseCosteffectivelysupport9500locationsSpoketospokeisarequirementEachwarehouserequiresconnectiontocountryHQEachCountryHQrequiresconnectiontoInternationalHQ,关键需求:1、每个分支都连接到warehouse2、分支之间有互访需求3、每个warehose（仓库）都连接到国家总部4、每个国家都要求连到国际总部,ADVPN基本概念,ADVPN典型应用（海外）,ADVPN引导案例,差异化,目录,HubRouters,Hub1,Hub2,VAMServers,Main,Backup,EAD/UAMServer,IMCBIMS&IVM&UAMServer,ApplicationsServers,第三方杀毒服务器补丁升级服务器,FW1,FW2,HQ,CAServer,Portal网关,Switch,CoreSwitch,DMZ区,SpokeRouters,Branch1,Branch2,Branch,ISPA,ISPB,弹性和扩展方案,SMB方案,VAMServers&HubRouters,Hub1,Hub2,EAD/UAMServer,第三方杀毒服务器补丁升级服务器,IMCBIMS&IVM&UAMServer,HQ,CAServer,FW1,FW2,CoreSwitch,ISPA,ISPB,Portal网关,SpokeRouters,Branch1,Branch2,多租户方案,HubRouters,Hub1,Hub2,VAMServers,SpokeRouters,BranchofEnterpriseA,Internet,CoreSwitches,Main,Backup,IMCIVM&BIMS&UAMServer,ApplicationsforEnterpriseA,ApplicationsforEnterpriseB,Multi-Tenant数据中心,BranchofEnterpriseB,Switch,FW1,FW2,EdgeRouter1,EdgeRouter2,双活/主备VPN方案,Hub1,Hub2,VAMServers,SpokeRouters,BranchA,MPLS,CoreSwitches,Main,Backup,ApplicationsServers,BranchB,HUBRouters,Internet,EAD/UAMServer,IMCBIMS&IVM&UAMServer,CAServer,FW2,FW1,EdgeRouters,层次化方案,NationalHeadquarter,InternationalMPLS,Internet,NationalMPLS,CoreVPN,NationalVPN,Internationalspoke&NationalHub&NationalVAMServer,InternationalHeadquarter,NationalSpoke,InternationalHubRouters,Hub1,Hub2,InternationalVAMServers,Main,Backup,EAD/UAMServer,第三方杀毒服务器补丁升级服务器,FW1,FW2,EdgeRouter1,EdgeRouter2,IMCBIMS&IVM&UAMServer,CAServer,L3Switch,CoreSwitch,华润万家全国门店网络拓扑,本次网络改造区域-华南区,网络管理中心VPN运行监测配置自动下发版本自动更新,集团局域网,H3CSR66,VPNServer,中国电信,总部,中国联通,H3CMSR900,H3CMSR900,H3CMSR900,H3CMSR900,H3CMSR20,H3CSR66,改造后网络拓扑,实施流程用U盘将简单配置加载到分支设备（配置包括分支设备能连接到总部网管的配置信息）分支设备自动连接总部网管，自动下发分支设备完整配置配置更新实现自动化版本实时、定时批量升级,Hub1,Hub2,Spoke1,Spoke2,SpokeN,SpokeN,Spoke1,Spoke2,总部,分支机