EVPN定義
EVPN全稱是Ethernet Virtual Private Network。EVPN代表以太網(wǎng)虛擬專用網(wǎng)絡(luò)。是下一代全業(yè)務(wù)承載的VPN解決方案。EVPN統(tǒng)一了各種VPN業(yè)務(wù)的控制面,利用BGP擴(kuò)展協(xié)議來(lái)傳遞二層或三層的可達(dá)性信息,實(shí)現(xiàn)了轉(zhuǎn)發(fā)面和控制面的分離。
以太網(wǎng)是涉及使用通用協(xié)議通過(guò)局域網(wǎng)(LAN)將多個(gè)系統(tǒng)鏈接在一起的網(wǎng)絡(luò)。以太網(wǎng)在TCP/IP堆棧的數(shù)據(jù)鏈路級(jí)別(或級(jí)別2)運(yùn)行,并允許組織設(shè)置具有身份驗(yàn)證和安全功能的獨(dú)立本地網(wǎng)絡(luò),以管理誰(shuí)使用它們以及用于什么目的。
虛擬專用網(wǎng)絡(luò)(VPN)是加密通過(guò)Web發(fā)送的數(shù)據(jù)的工具,通過(guò)全球服務(wù)器網(wǎng)絡(luò)路由該數(shù)據(jù)。這具有匿名化用戶IP地址的效果,讓他們上網(wǎng)而不會(huì)成為網(wǎng)絡(luò)犯罪分子或監(jiān)視系統(tǒng)的受害者。那么我們?nèi)绾潍@得以太網(wǎng)VPN?長(zhǎng)期以來(lái),網(wǎng)絡(luò)管理員一直使用VPN將遠(yuǎn)程計(jì)算機(jī)安全地鏈接在一起。VPN提供的加密在敏感或?qū)S袛?shù)據(jù)與更廣泛的互聯(lián)網(wǎng)之間建立了有效的屏障。所以鏈接非常直觀。
VPN長(zhǎng)期以來(lái)一直與以太網(wǎng)系統(tǒng)一起使用。但這不是EVPN的意義所在。相反,它代表了一種以太網(wǎng)VPN協(xié)議-這實(shí)際上是非常革命性的。
為什么EVPN是一項(xiàng)改變游戲規(guī)則的技術(shù)?
開(kāi)發(fā)以太網(wǎng)VPN協(xié)議的一大好處是能夠?qū)⒉煌墓ぞ呃壍揭粋€(gè)服務(wù)中。因此,例如,思科提供的EVPN實(shí)施包括L3VPN,VPWS,VPLS和SPB/TRILL。
這意味著網(wǎng)絡(luò)橋接工具、VPN協(xié)議、專線服務(wù)和多點(diǎn)LAN可以很容易地整合到一個(gè)包中。
過(guò)去,以太網(wǎng)管理員必須兼顧各種VPN協(xié)議才能創(chuàng)建定制的安全解決方案。通過(guò)以太網(wǎng)VPN實(shí)施,他們的任務(wù)要簡(jiǎn)單得多。這就是為什么EVPN通常被稱為“控制平面”協(xié)議的原因——因?yàn)樗梢酝耆刂扑邪踩δ堋?br />
EVPN可以做什么?
然而,所有這些似乎都很抽象。以太網(wǎng)VPN的真正好處每天都在網(wǎng)絡(luò)運(yùn)營(yíng)中感受到。從醫(yī)院和大學(xué)到公司,這項(xiàng)技術(shù)已經(jīng)開(kāi)始對(duì)組織的速度和安全性產(chǎn)生巨大影響。
假設(shè)一家公司有五個(gè)區(qū)域辦事處,并希望引入全公司的人力資源和CRM管理系統(tǒng)。以前,在所有五個(gè)站點(diǎn)中集成網(wǎng)絡(luò),同時(shí)保持高度的安全性會(huì)很棘手。保持低成本將更加困難。通過(guò)以太網(wǎng)VPN基于點(diǎn)對(duì)點(diǎn)原則工作,該公司可以將五個(gè)區(qū)域LAN鏈接在一起,形成有效的廣域網(wǎng)(WAN)。
這允許任何辦公室的工作人員登錄到集中式客戶數(shù)據(jù)庫(kù),而無(wú)需擔(dān)心使用單獨(dú)的VPN保護(hù)。它應(yīng)該提高工作速度。這是EVPN軟件包的一個(gè)關(guān)鍵優(yōu)勢(shì):通過(guò)集成不同的網(wǎng)絡(luò),管理人員可以使系統(tǒng)作為一個(gè)整體更有效地運(yùn)行。
此外,如果公司希望為研究中心或部門創(chuàng)建一個(gè)單獨(dú)的LAN,以太網(wǎng)VPN將通過(guò)虛擬LAN技術(shù)(VLAN)使這變得容易。
以太網(wǎng)VPN與IPVPN:有什么區(qū)別?
EVPN技術(shù)可以與基于IP的VPN(我們與試圖破解Netflix地理封鎖程序或保護(hù)其電子郵件免受黑客攻擊的個(gè)人相關(guān)聯(lián)的類型)形成對(duì)比。
根本區(qū)別在于兩個(gè)VPN的連接方式。在以太網(wǎng)VPN中,連接通過(guò)以太網(wǎng)交換機(jī)和MAC地址進(jìn)行。另一方面,IPVPN用戶路由器到路由器的連接和IP地址。以太網(wǎng)VPN需要傳輸更多數(shù)據(jù)(因?yàn)镸AC標(biāo)頭的結(jié)構(gòu)方式)。而且它們?cè)趯⒆泳W(wǎng)鏈接在一起方面的能力不如。但另一方面,以太網(wǎng)可以更深入地定制。
以前,尋求真正VPN保護(hù)的公司可能更喜歡TCP/IP網(wǎng)絡(luò)。這是因?yàn)橄馡PSec這樣的VPN協(xié)議通過(guò)匿名IP地址來(lái)運(yùn)行-但它們對(duì)MAC地址沒(méi)有任何作用。
但是,EVPN技術(shù)現(xiàn)在使創(chuàng)建基本上模仿IPVPN的隧道以太網(wǎng)連接變得更加容易。它們變得越來(lái)越容易擴(kuò)展,更便宜,更安全。這就是為什么在網(wǎng)絡(luò)社區(qū)中如此嗡嗡作響的原因。
EVPN與VPLS對(duì)比
另一個(gè)重要的比較是以太網(wǎng)VPN和VPLS之間的比較。我們已經(jīng)提到VPLS是與EVPN協(xié)議捆綁在一起的技術(shù)之一,但它仍然可以用作獨(dú)立的替代方案。
事實(shí)上,VPLS可能是將LAN連接在一起的最受歡迎的網(wǎng)絡(luò)解決方案-盡管它受到以太網(wǎng)VPN的威脅很大。在VPLS設(shè)置中,我們?nèi)栽谡務(wù)撨B接LAN。但在這種情況下,連接通過(guò)VPLS提供商維護(hù)的“虛擬”交換機(jī)進(jìn)行管理。虛擬交換機(jī)基本上愚弄了一組網(wǎng)絡(luò)交換機(jī),使它們認(rèn)為它們是更大網(wǎng)絡(luò)的一部分。
缺點(diǎn)是VPLS需要廣泛的“虛擬線”網(wǎng)狀網(wǎng)絡(luò)才能將各種站點(diǎn)和數(shù)據(jù)中心連接在一起。這也意味著網(wǎng)絡(luò)中的提供商邊緣站點(diǎn)可能是安全漏洞。
以太網(wǎng)VPN要簡(jiǎn)單得多,使用所謂的多協(xié)議BGP來(lái)建立連接。從本質(zhì)上講,這使得通過(guò)以太網(wǎng)發(fā)送MAC地址變得更加容易-大大提高了速度。
以太網(wǎng)VPN是一項(xiàng)變革性技術(shù)嗎?
我們已經(jīng)看到,EVPN是一種創(chuàng)建安全以太網(wǎng)網(wǎng)絡(luò)的新方法,在將地理位置遙遠(yuǎn)的位置連接在一起時(shí)特別有用。它可以高效擴(kuò)展、用戶友好、經(jīng)濟(jì)高效且快速。
但它真的會(huì)改變游戲規(guī)則嗎?到目前為止,我們不確定。任何增強(qiáng)網(wǎng)絡(luò)安全的措施都應(yīng)該有助于減少網(wǎng)絡(luò)犯罪的發(fā)生率,而當(dāng)網(wǎng)絡(luò)盡可能快時(shí),經(jīng)濟(jì)就會(huì)蓬勃發(fā)展。如果大規(guī)模采用EVPN標(biāo)準(zhǔn)具有遠(yuǎn)遠(yuǎn)超出IT部門的巨大好處,請(qǐng)不要感到驚訝。