H3CADVPN方案

H3CADVPN方案交流胶片典型应用（海外）ADVPN案例支持情况目录，VPN地址管理协议VAMServerVAMServer是接受DVPN节点向其注册信息的服务器，负责管理、维护各DVPN节点的信息HUBHub是一种VAMClient，一个VPN网络的中心设备，它是路由信息交换的中心。在Hub-Spoke组网中，它也是数据转发的中心SPOKESpoke是一种VAMClient，通常是企业分支机构的网关设备，该节点不会转发收到的其它DVPN节点的数据ADVPN是一种VPN技术，包括VAM协议和DVPN隧道两部分HubRoutersHub1Hub2VAMServersSpokeRoutersBranch1InternetBranch2MainBackup初始连接VAMClient（Hub和Spoke）向VAMServer发起连接，协商VAM控制协议报文加密、验证算法，以及密钥注册阶段VAMClient利用VAM协议隧道向VAMServer注册，完成VAMClient和VAMServer间的双向认证，将VAMClient信息注册到VAMServer上隧道建立利用VAMClient在VAMServer注册的信息，完成Client之间安全数据转发隧道的建立，包括Spoke与Hub之间，以及Spoke之间的隧道永久IPsec隧道按需动态IPsec隧道特点ADVPN继承了IPsec对通过Session转发的数据进行加密保护，保证通信的数据的安全性支持Hub-Spoke和Full-Mesh组网结构实现了对OSPFv2、BGP动态路由协议的支持支持主备+双活组网，支持动态地址组网ADVPN不但继承了传统VPN的各种优点，更重要的是解决了传统VPN目前普遍面临的问题。配置简单、网络规划简单、功能强大，比传统VPN更加符合目前以及未来的网络应用永久IPsec隧道按需动态IPsec隧道可动态，易扩容支持动态路由协议，总部和分支之间可以运行动态路由如BGP、OSPF，若部署BGP的，可部署成动态BGP，即总部发布分支的网段路由，这样的好处是新增加分支，无需更改总部和其他分支设备配置，只添加新分支设备及配置即可，做到简单平滑扩容既主备，又双活若总部有两条运营商线路，分支设备既可以通过运营商A线路同总部HUB1建立隧道，同时跟运营商B线路同总部HUB2建立隧道，这两条隧道是双活状态，通过策略路由调整隧道优先级，同时是主备关系，若有一条线路down掉，可以快速切换成另一条隧道，做到双保险。Ipsec做不到这一点，Ipsec是单点隧道，一个分支只能跟总部一台设备建立隧道，是冷备份关系，故在链路切换时，存在速度等诸多缺陷，更不能做到双活永久IPsec隧道按需动态IPsec隧道支持Full-mesh组网适应未来网络发展趋势，不仅实现总部-分支互访需求，为未来分支互访做好铺垫灵活动态地址使用VAM(VPNAddressManagement)解决了对动态IP地址的支持，在同一个VPN内部构建隧道，事先不需要知道其他Client的任何信息，只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次，不管其他Client设备怎么更改也都能够进行互相通讯。用户也不用关心自己当前使用的IP地址是多少，更加适应现在动态IP地址的使用方式典型应用（海外）ADVPN案例支持情况目录–$250KFOBQ1FY13NationalOilwellVarco–BranchProj（美国国民油井华高公司）Productsused:IMCwithBIMSmodule,8x6602routers,250xMSR20-10routersArchitecture:Threehubsites,eachwithtwohubrouters.TwoVAMservers.Branchsitesconnecttoregionhubsites.Secure,site-to-siteconnectivity.IMCtoreducecomplexityandspeeddeployments关键需求:分支网站连接到区域中心。安全,Spoke之间可以互访。部署IMC来降低复杂性并提升速度组网架构:三对6602做HUB，共用了六台，两台6602做VAMserver，共中标八台6602，250台MSR20-10，以及IMC25万美金–$270KFOBQ2FY13DepartmentofInternalTrade–ThaiRiceMillProj（国内贸易部-泰国RiceMill项目）Productsused:2JC176AHP6602RouterChassis,760JF812AHPMSR9002-portFEWAN/4-portFELANRouter,1JF377AAEHPIMCStdS/WPltfrmw/100-nodeE-LTU,1JF381AAEHPIMCStd/Entadd1000-nodeE-LTUand2JD377AHP5500-24GEISwitchArchitecture:Thedesignincludes2xSR6602insinglelocation(forredundancy)and760ofMSR900router(oneperbranch).AlloftheequipmentconnecttobroadbandADSLinternetlink（两台6602设备既做VAMServer，又做HUB，760台MSR900放分支位置，通过ADSL线路连接到总部HUB）关键需求：客户需求在分支使用摄像头，但当前路由器不够，cisco给客户推荐方案是增加路由器，并租用更多线路，客户不想花更多钱去租线路，HP推荐方案是增加路由器，用原有的线路，使用DVPN，客户最终选择HP设备。中标设备：2台6602，760台MSR900，IMC和2台5500-24G交换机。27万美金–Governmentbranchproject（安达曼SWAN-政府分支项目）Productsused:HP6608,HP6604andMSR30-20Routers,HPIMC(+Core&BranchSwitches)Andaman&NicobarIslands,GovernmentofIndia(Logotobeupdated)Architecture:FortheirWANbackbonetheyhaveselectedHP-HP6608atcore/hub,HP6604atTier1&2locationsandMSR30-20atTier3locations)–ThecommunicationbetweenTier-1/2/3andDCisIPsecandwillbeusingDVPNfordynamictunneling40万美金中标设备:6608，6604和MSR30-20，IMC（中心和分支交换机）[台数不明]组网架构：HP6608在中心做HUB，6604在一二级位置，MSR30-20在三级，使用DVPN，三级之间有互访需求（巴西银行：20000台路由器大型银行）---项目交流阶段ProjectDescription:CurrentDMVPNcustomerwith20,000locationsusingSLBon6500and32Cisco7206’sforhubs.PlanningrefreshofWAN,purehubandspoke.Keyrequirements:1.EachbranchrequiresdualSPconnectionswithHQ2.Costeffectivelysupport20,000locations3.Spoketospokeisnotarequirement4.Allencryptionandequipmentmustbeownedbybank(keptinternal)Timeline:1.Initialstages-SAiscollectingadditionalinformationfromclientandpositioningMPLSNetworkHUBRoutersDVPNDataTunnelDVPNControlTunnelDataCenterAAA/SNMPServersFirewallsmainmainbackupbackupVAMServersBranchDVPNSpokeMainlinkDVPNControlTunnels(2)DVPNDataTunnels(2)Backuplink客户需求:1、每个分支和总部有双向访问需求2、分支之间没有互访需求3、所有加密数据和设备都银行自己维护:10,200routers（欧洲大的零售连锁企业：10200台路由器规模）---目前重点支持项目ProjectDescription:Hierarchicalnetworkdeploymentwith~9500locationsusingMPLSandInternet.PlanningrefreshofWAN,hubandspoke/full-mesh.Keyrequirements:1.Eachbranchrequiresconnectiontowarehouse2.Costeffectivelysupport9500locations3.Spoketospokeisarequirement4.EachwarehouserequiresconnectiontocountryHQ5.EachCountryHQrequiresconnectiontoInternationalH