EVPN定義
EVPN全稱是Ethernet Virtual Private Network。EVPN代表以太網(wǎng)虛擬專用網(wǎng)絡(luò)。是下一代全業(yè)務(wù)承載的VPN解決方案。EVPN統(tǒng)一了各種VPN業(yè)務(wù)的控制面,利用BGP擴(kuò)展協(xié)議來傳遞二層或三層的可達(dá)性信息,實現(xiàn)了轉(zhuǎn)發(fā)面和控制面的分離。
以太網(wǎng)是涉及使用通用協(xié)議通過局域網(wǎng)(LAN)將多個系統(tǒng)鏈接在一起的網(wǎng)絡(luò)。以太網(wǎng)在TCP/IP堆棧的數(shù)據(jù)鏈路級別(或級別2)運行,并允許組織設(shè)置具有身份驗證和安全功能的獨立本地網(wǎng)絡(luò),以管理誰使用它們以及用于什么目的。
虛擬專用網(wǎng)絡(luò)(VPN)是加密通過Web發(fā)送的數(shù)據(jù)的工具,通過全球服務(wù)器網(wǎng)絡(luò)路由該數(shù)據(jù)。這具有匿名化用戶IP地址的效果,讓他們上網(wǎng)而不會成為網(wǎng)絡(luò)犯罪分子或監(jiān)視系統(tǒng)的受害者。那么我們?nèi)绾潍@得以太網(wǎng)VPN?長期以來,網(wǎng)絡(luò)管理員一直使用VPN將遠(yuǎn)程計算機(jī)安全地鏈接在一起。VPN提供的加密在敏感或?qū)S袛?shù)據(jù)與更廣泛的互聯(lián)網(wǎng)之間建立了有效的屏障。所以鏈接非常直觀。
VPN長期以來一直與以太網(wǎng)系統(tǒng)一起使用。但這不是EVPN的意義所在。相反,它代表了一種以太網(wǎng)VPN協(xié)議-這實際上是非常革命性的。
為什么EVPN是一項改變游戲規(guī)則的技術(shù)?
開發(fā)以太網(wǎng)VPN協(xié)議的一大好處是能夠?qū)⒉煌墓ぞ呃壍揭粋€服務(wù)中。因此,例如,思科提供的EVPN實施包括L3VPN,VPWS,VPLS和SPB/TRILL。
這意味著網(wǎng)絡(luò)橋接工具、VPN協(xié)議、專線服務(wù)和多點LAN可以很容易地整合到一個包中。
過去,以太網(wǎng)管理員必須兼顧各種VPN協(xié)議才能創(chuàng)建定制的安全解決方案。通過以太網(wǎng)VPN實施,他們的任務(wù)要簡單得多。這就是為什么EVPN通常被稱為“控制平面”協(xié)議的原因——因為它可以完全控制所有安全功能。
EVPN可以做什么?
然而,所有這些似乎都很抽象。以太網(wǎng)VPN的真正好處每天都在網(wǎng)絡(luò)運營中感受到。從醫(yī)院和大學(xué)到公司,這項技術(shù)已經(jīng)開始對組織的速度和安全性產(chǎn)生巨大影響。
假設(shè)一家公司有五個區(qū)域辦事處,并希望引入全公司的人力資源和CRM管理系統(tǒng)。以前,在所有五個站點中集成網(wǎng)絡(luò),同時保持高度的安全性會很棘手。保持低成本將更加困難。通過以太網(wǎng)VPN基于點對點原則工作,該公司可以將五個區(qū)域LAN鏈接在一起,形成有效的廣域網(wǎng)(WAN)。
這允許任何辦公室的工作人員登錄到集中式客戶數(shù)據(jù)庫,而無需擔(dān)心使用單獨的VPN保護(hù)。它應(yīng)該提高工作速度。這是EVPN軟件包的一個關(guān)鍵優(yōu)勢:通過集成不同的網(wǎng)絡(luò),管理人員可以使系統(tǒng)作為一個整體更有效地運行。
此外,如果公司希望為研究中心或部門創(chuàng)建一個單獨的LAN,以太網(wǎng)VPN將通過虛擬LAN技術(shù)(VLAN)使這變得容易。
以太網(wǎng)VPN與IPVPN:有什么區(qū)別?
EVPN技術(shù)可以與基于IP的VPN(我們與試圖破解Netflix地理封鎖程序或保護(hù)其電子郵件免受黑客攻擊的個人相關(guān)聯(lián)的類型)形成對比。
根本區(qū)別在于兩個VPN的連接方式。在以太網(wǎng)VPN中,連接通過以太網(wǎng)交換機(jī)和MAC地址進(jìn)行。另一方面,IPVPN用戶路由器到路由器的連接和IP地址。以太網(wǎng)VPN需要傳輸更多數(shù)據(jù)(因為MAC標(biāo)頭的結(jié)構(gòu)方式)。而且它們在將子網(wǎng)鏈接在一起方面的能力不如。但另一方面,以太網(wǎng)可以更深入地定制。
以前,尋求真正VPN保護(hù)的公司可能更喜歡TCP/IP網(wǎng)絡(luò)。這是因為像IPSec這樣的VPN協(xié)議通過匿名IP地址來運行-但它們對MAC地址沒有任何作用。
但是,EVPN技術(shù)現(xiàn)在使創(chuàng)建基本上模仿IPVPN的隧道以太網(wǎng)連接變得更加容易。它們變得越來越容易擴(kuò)展,更便宜,更安全。這就是為什么在網(wǎng)絡(luò)社區(qū)中如此嗡嗡作響的原因。
EVPN與VPLS對比
另一個重要的比較是以太網(wǎng)VPN和VPLS之間的比較。我們已經(jīng)提到VPLS是與EVPN協(xié)議捆綁在一起的技術(shù)之一,但它仍然可以用作獨立的替代方案。
事實上,VPLS可能是將LAN連接在一起的最受歡迎的網(wǎng)絡(luò)解決方案-盡管它受到以太網(wǎng)VPN的威脅很大。在VPLS設(shè)置中,我們?nèi)栽谡務(wù)撨B接LAN。但在這種情況下,連接通過VPLS提供商維護(hù)的“虛擬”交換機(jī)進(jìn)行管理。虛擬交換機(jī)基本上愚弄了一組網(wǎng)絡(luò)交換機(jī),使它們認(rèn)為它們是更大網(wǎng)絡(luò)的一部分。
缺點是VPLS需要廣泛的“虛擬線”網(wǎng)狀網(wǎng)絡(luò)才能將各種站點和數(shù)據(jù)中心連接在一起。這也意味著網(wǎng)絡(luò)中的提供商邊緣站點可能是安全漏洞。
以太網(wǎng)VPN要簡單得多,使用所謂的多協(xié)議BGP來建立連接。從本質(zhì)上講,這使得通過以太網(wǎng)發(fā)送MAC地址變得更加容易-大大提高了速度。
以太網(wǎng)VPN是一項變革性技術(shù)嗎?
我們已經(jīng)看到,EVPN是一種創(chuàng)建安全以太網(wǎng)網(wǎng)絡(luò)的新方法,在將地理位置遙遠(yuǎn)的位置連接在一起時特別有用。它可以高效擴(kuò)展、用戶友好、經(jīng)濟(jì)高效且快速。
但它真的會改變游戲規(guī)則嗎?到目前為止,我們不確定。任何增強(qiáng)網(wǎng)絡(luò)安全的措施都應(yīng)該有助于減少網(wǎng)絡(luò)犯罪的發(fā)生率,而當(dāng)網(wǎng)絡(luò)盡可能快時,經(jīng)濟(jì)就會蓬勃發(fā)展。如果大規(guī)模采用EVPN標(biāo)準(zhǔn)具有遠(yuǎn)遠(yuǎn)超出IT部門的巨大好處,請不要感到驚訝。