亚马逊云AWS搭建多站点的Cisco DMVPN架构

  如果在你的企业网络架构中存在多个AWS VPC网络,企业物理数据中心以及多个分支站点,那么要将这些不同的节点有效地连接起来,在网络设计架构上不得不说是一个很大的挑战。在挨踢小茶之前的文章《亚马逊云AWS搭建多站点的VPN CloudHub架构》中介绍了如何利用AWS原生的VGW (Virtual Private Gateway)以及CloudHub特性来进行这方面的网络架构,但这种架构存在一定的局限性,作为补充,本文会介绍一下如何利用另一种技术:Cisco DMVPN来进行架构设计。

  对于不熟悉DMVPN的朋友,挨踢小茶在这里先对这个技术简单介绍一下。DMVPN全称是Dynamic Multipoint Virtual Private Network,是一项思科私有的技术,它可以在不同的思科路由器之间建立动态多点的Site-to-Site VPN连接。每一个Spoke站点只需要与Hub站点发起VPN连接的请求并建立加密隧道,而不需要建立Full-Mesh的连接(即所有Spoke之间都建立两两的连接)。并且DMVPN的一个最大特点是,它利用了NHRP (Next Hop Resolution Protocol) 让Spoke与Spoke之间的信息交流可以不需要经过Hub站点,这种特性会极大地减少两个Spoke之间交流的网络延迟。

  如下图所示,左边可以看到一个AWS区域,分别在其中不同的可用区(Availability Zone)创建了Cisco CSR的EC2实例。这两个Cisco CSR路由器充当了Hub的角色,一主一备,并且与每一个Spoke站点的路由器建立VPN的连接。具体的配置挨踢小茶就不在文章详细列举了,有兴趣的朋友可以查看官方的指引Deploying the Cisco Cloud Services Router 1000V Series in Amazon Web Services, Design and Implementation Guide或者这个文档

Cisco DMVPN in AWS

  下面来讲讲这个架构的一些特点:

  • 支持远程站点(Spoke)的公网IP地址为动态的地址。事实上Hub端的配置并没有包含任何Spoke端的公网地址信息,VPN的连接请求是Spoke发起的,Hub只是负责接受请求和转发。
  • 动态Spoke-to-Spoke的隧道,分支节点间可以直接通信,不需要经过Hub站点
  • 你可以利用任何思科支持的路由协议来运行DMVPN,比如EIGRP, OSPF或BGP等(大部分企业会倾向于在DMVPN上使用EIGRP)
  • 你需要考虑Cisco CSR的EC2实例运行时候产生的费用
  • 你还需要考虑Cisco CSR本身的许可证的费用
  • Hub站点可能会遇到网络瓶颈,网络的带宽取决于EC2实例的类型和配置(以及是否支持Enhanced Networking或Elastic Network Adaptor)
  • 两个不同AZ内的Cisco CSR需要能通过BFD检测对方的是否处于健康状态(需要license支持)
  • Hub站点的Cisco CSR热备切换的时候,要能自动重写VPC的路由,VPC才能访问健康的CSR路由器
  • EC2实例需要做好AMI、启动脚本,以做到如果EC2出现故障可以在最短时间内替换上新的EC2

选择AWS VPN CloudHub还是Cisco DMVPN架构?

  其实这个问题并没有一个简单的统一答案,一切要按照实际的网络现状来考虑。下面列了一些可以作为各位参考的因素:

  1. 你的远程站点是否都是固定的静态IP地址?Cisco DMVPN架构两者都支持,但AWS VPN CloudHub只能支持静态的IP地址。
  2. 你的所有设备是否都是思科的?Cisco DMVPN技术是思科私有技术,只有当你所有设备都是思科的情况下,才能使用这种架构。
  3. 你的数据传输是否对延迟很敏感,是否有VoIP或视频流量?CloudHub架构下所有流量要先经过Hub站点进行中转,而DMVPN架构不需要。
  4. CloudHub架构是AWS VPC原生支持的技术,因此与VPC的兼容性非常好,你不需要担心VGW的高可用和性能的问题;相对地Cisco DMVPN需要自己管理EC2实例,控制EC2的带宽阀值,高可用设计以及主备自动切换等等。
  5. 是否有使用AWS Direct Connect线路?VPN CloudHub架构原生就支持DX线路,但DMVPN并不支持,因此需要额外的进行架构设计。

总结

  有的时候,在复杂网络环境下(想象一下你有20个分支结构,20个VPC)使用哪种网络架构并不是一道单选题,更多的时候是一道多选题。你很可能会需要结合使用VPN CloudHub以及DMVPN架构,还可能会需要使用VPC Peering和Transit VPC的设计,甚至会需要设计多个Transit VPC的设置等等……


扫描下面二维码添加公众号【挨踢茶馆】,并回复微信群。您将被邀请进入AWS群,走向人生巅峰,迎娶白富美!  
 
 » 除非注明,本博客文章均为挨踢小茶原创,转载请以链接形式标明本文地址
该日志由 挨踢小茶 于2018年01月03日发表在 AWS, 云计算 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 亚马逊云AWS搭建多站点的Cisco DMVPN架构 | 挨踢茶馆
关键字: , , ,

亚马逊云AWS搭建多站点的Cisco DMVPN架构:目前有10 条留言

  1. 亚马逊的架构看到就晕

    2018-05-06 下午 2:48 [回复]
  2. 5楼
    lawrencepanwiscc:

    VyOS 也支援 NHRP !!

    2018-04-21 上午 1:00 [回复]
  3. 👿 AWS确实不错!

    2018-01-26 下午 3:49 [回复]
  4. 地板
    thornbird:

    这个用信用卡付款怕坑爹

    2018-01-24 下午 5:10 [回复]
    • 其实这个不用太担心,因为我也被坑过几次。但是如果不是你真实意愿产生的费用,你可以去跟AWS申诉(开一个support case)。我曾经申诉要回了30多美金的费用,AWS基本没问什么信息就把钱打回给你,蛮良心的。

      2018-01-26 上午 8:30 [回复]
  5. 板凳
    头条新闻:

    文章不错非常喜欢 😀

    2018-01-17 上午 10:35 [回复]
  6. 好文章,非常详细,博主辛苦了

    2018-01-14 下午 7:07 [回复]

发表评论



快捷键:Ctrl+Enter

使用以下社交账号登陆: