HCIP-17.2.2 传统VPN缺点

数通

传统VPN模型:

  • Overlay VPN
  • Peer-To-Peer

MPLS-VPN是上面两种VPN的整合。

模型1 – Overlay VPN

image-20241024144704419

Overlay VPN特点:

客户路由协议总是在客户设备之间交换,而运营商对客户网络结构一无所知。

典型协议:

二层—帧中继、三层—GRE与IPSec、应用层—SSL VPN

传统Overlay VPN缺点:

CE-CE建立隧道,本质是一种“静态”VPN,无法反应网络的实时变化,并且当有新增站点时,需要手动在所有站点上建立与新站点的连接,配置与维护复杂,不易于管理。

PE-PE建立隧道,不同VPN用户不能共享相同的地址空间。

模型2 – Peer-To-Peer VPN (1)

image-20241024145322657

Peer-To-Peer VPN特点:

在CE设备与PE设备之间交换私网信息,由PE设备将私网信息在运营商网络中传播,实现了VPN部署及路由发布的动态性,解决了Overlay VPN的“静态”性质,不太适合大规模应用和部署的问题。

Peer-To-Peer VPN缺点:

为了防止连通在一台PE上不同CE之间互通,必须在PE上配置大量的ACL,但这种操作也增加了管理PE设备的负担。

VPN客户之间如果出现地址重叠,PE设备无法识别重叠的地址。

模型2 – Peer-To-Peer VPN (2)

image-20241024150029974

Peer-To-Peer VPN的专用的接入方式特点:

运营商为每一个VPN单独准备一台PE设备,PE和CE之间可以运行任意的路由协议,与其他VPN无关

缺点:

每新增一个VPN站点,都要新增一台专用的PE设备,代价过于昂贵,而且没有解决VPN客户之间地址重叠的问题。

MPLS VPN 解决了传统VPN技术固有缺陷——地址空间重叠问题