黃宏杰

摘 要： 目前企業(yè)中心與分支的安全通信主要利用IPSec或SSL VPN在因特網(wǎng)上進(jìn)行數(shù)據(jù)傳輸。介紹了DMVPN技術(shù)的發(fā)展過(guò)程，從傳統(tǒng)的IPSEC VPN技術(shù)演變?yōu)榛贕RE技術(shù)的IPSEC VPN網(wǎng)絡(luò)，發(fā)展到基于mGRE技術(shù)的DMVPN網(wǎng)絡(luò)；深入探討了以NHRP為核心的DMVPN技術(shù)的基本原理和拓?fù)湓O(shè)計(jì)的實(shí)現(xiàn)；論述了DMVPN技術(shù)在企業(yè)網(wǎng)中的應(yīng)用。采用基于單或雙中心的DMVPN技術(shù)進(jìn)行了靜態(tài)和動(dòng)態(tài)IP地址規(guī)劃，并提供動(dòng)態(tài)路由協(xié)議支持。

關(guān)鍵詞： 互聯(lián)網(wǎng)安全協(xié)議； 動(dòng)態(tài)多點(diǎn)虛擬專(zhuān)網(wǎng)； 多點(diǎn)通用路由封裝； 下一跳解析協(xié)議

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2014）10-32-03

Application research of DMVPN technology in enterprise network

Huang Hongjie

（Fujian Vocational College of Agriculture Information Technology Department， Fuzhou， Fujian 350119， China）

Abstract： The current corporate security communication of headquarters and branch mainly use IPSec or SSL VPN for data transmission on the Internet. The development process of DMVPN technology is introduced， from traditional IPSEC VPN technology evolved into IPSEC VPN network of GRE-based technology， to the development DMVPN network of the mGRE-based technology. The basic principle and topology design which takes NHRP as the core of the DMVPN technology are discussed. The application of DMVPN technology in the enterprise network is elaborated， using DMVPN technology based on single or double center， static and dynamic IP address planning. It provides dynamic routing protocol support.

Key words： IPSEC； DMVPN； mGRE； NHRP

0 引言

企業(yè)希望通過(guò)公網(wǎng)安全地將各地的分支與中心聯(lián)系起來(lái)，構(gòu)成星型拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)，并通過(guò)IPSec隧道來(lái)保證內(nèi)部通訊的安全。但大多數(shù)企業(yè)的數(shù)據(jù)集中在中心，如果兩個(gè)分支通信，則要通過(guò)中心，這樣就造成了較大的網(wǎng)絡(luò)時(shí)延。尤其在視頻、語(yǔ)音通信中，這種時(shí)延影響了企業(yè)網(wǎng)絡(luò)的正常運(yùn)行[1]。DMVPN技術(shù)的出現(xiàn)，為企業(yè)解決了這方面的難題，DMVPN是一種基于mGRE的集高速高擴(kuò)展性的IPSec VPN技術(shù)。

1 DMVPN技術(shù)的發(fā)展過(guò)程

1.1 基于傳統(tǒng)的IPSEC VPN網(wǎng)絡(luò)

傳統(tǒng)的IPSec VPN網(wǎng)絡(luò)一般通過(guò)共享密鑰在通信兩端進(jìn)行數(shù)據(jù)加密，其隧道是點(diǎn)到點(diǎn)的加密集合，該網(wǎng)絡(luò)的組織形式可以是星形結(jié)構(gòu)或網(wǎng)狀結(jié)構(gòu)[2]。星形拓?fù)涞腎PSec VPN是一種安全可靠的網(wǎng)絡(luò)，但不適合在有大量分支的網(wǎng)絡(luò)中部署；網(wǎng)狀結(jié)構(gòu)的所有分支之間都要直接連接，但客戶(hù)端需要維護(hù)的IPSEC SA過(guò)多，IPSEC VPN配置過(guò)于復(fù)雜，需要每一個(gè)分支擁有固定IP地址。

1.2 基于GRE的IPSec VPN網(wǎng)絡(luò)

通用路由封裝（GRE）與IPSec綁定，使GRE隧道一旦建立，將立刻觸發(fā)IPSec加密?；贕RE的IPSec VPN隧道配置包括了對(duì)端的地址，即IPSec隧道的對(duì)端地址，則不用為IPSec定義匹配的訪(fǎng)問(wèn)控制列表。這樣，可利用動(dòng)態(tài)路由協(xié)議在加密隧道兩端的路由器上更新路由表，隧道任何一端的網(wǎng)絡(luò)發(fā)生變化，另外一端都會(huì)動(dòng)態(tài)地學(xué)習(xí)到這個(gè)變化，并保持網(wǎng)絡(luò)的連通性而無(wú)需改變路由器的配置。

1.3 DMVPN技術(shù)網(wǎng)絡(luò)的誕生

為了解決IPSec VPN的高擴(kuò)展性難題，思科提出了動(dòng)態(tài)多點(diǎn)虛擬專(zhuān)網(wǎng)技術(shù)，即Dynamic Multipoint VPN（DMVPN）。DMVPN是一種基于mGRE的IPSEC VPN技術(shù)， IPSec是對(duì)mGRE流量進(jìn)行加密，根據(jù)NHRP和動(dòng)態(tài)路由協(xié)議建立起來(lái)的保護(hù)網(wǎng)絡(luò)間的臨時(shí)隧道。DMVPN技術(shù)的關(guān)鍵組件和特點(diǎn)包括：①多點(diǎn)GRE隧道接口，使得單一的GRE接口可以支持多個(gè)IPsec隧道且簡(jiǎn)化配置；②NHRP允許分支采用動(dòng)態(tài)IP地址，中心用于維護(hù)每個(gè)分支公網(wǎng)地址的NHRP數(shù)據(jù)庫(kù)。

2 DMVPN技術(shù)的基本原理

2.1 多點(diǎn)mGRE隧道

GRE技術(shù)是點(diǎn)對(duì)點(diǎn)的隧道技術(shù)。mGRE是DMVPN重要的組成部分，是點(diǎn)對(duì)多點(diǎn)的GRE隧道技術(shù)，只需要指定源，并不需要指定目的。mGRE隧道技術(shù)中的每個(gè)分支只需配置一個(gè)mGRE隧道接口，這樣，任何一個(gè)分支都能夠和其他分支建立隧道連接，如有新的分支需要加入，其他分支都不需要再增加新的配置。

2.2 下一跳解析協(xié)議NHRP

DMVPN的核心是NHRP，NHRP即下一跳解析協(xié)議，由IETF在RFC 2332中定義，提供了非廣播多路訪(fǎng)問(wèn)網(wǎng)絡(luò)上的源分支獲取到達(dá)目標(biāo)分支的“下一跳”的互聯(lián)網(wǎng)絡(luò)層地址和NBMA子網(wǎng)地址的方法。NHRP實(shí)現(xiàn)了網(wǎng)絡(luò)層隧道接口地址和公網(wǎng)IP地址之間的映射。NHRP基于客戶(hù)/服務(wù)器的結(jié)構(gòu)，中心作為NHRP服務(wù)器，利用NHRP解決分支的動(dòng)態(tài)地址問(wèn)題，它維護(hù)著NHRP數(shù)據(jù)庫(kù)，為分支提供注冊(cè)和查詢(xún)服務(wù)。

2.3 分支到中心的動(dòng)態(tài)隧道建立

DMVPN網(wǎng)絡(luò)中，在中心路由器上不必配置分支的GRE或IPSec的信息，可通過(guò)NHRP自動(dòng)獲取有關(guān)信息，而在分支路由器上則必須依據(jù)中心路由器的外網(wǎng)公共IP地址和NHRP協(xié)議來(lái)配置GRE隧道，分支上需要靜態(tài)配置中心的隧道接口地址和公網(wǎng)IP之間的映射，當(dāng)分支路由器加電啟動(dòng)時(shí)，由運(yùn)營(yíng)商通過(guò)DHCP獲取IP地址，并自動(dòng)建立IPSec加密的GRE隧道，通過(guò)NHRP向中心路由器注冊(cè)自己的外網(wǎng)端口IP地址，分支到中心的隧道一旦建立便持續(xù)存在。

2.4 分支到分支的動(dòng)態(tài)隧道建立

中心路由器設(shè)置mGRE隧道端口的“下一跳”地址是目的分支隧道的端口地址。當(dāng)源分支需要向目的分支傳遞數(shù)據(jù)包時(shí)，它利用NHRP來(lái)動(dòng)態(tài)獲取目的分支IP地址。在這一過(guò)程中，中心路由器充當(dāng)NHRP服務(wù)器的角色，響應(yīng)分支路由器作為NHRP客戶(hù)端的請(qǐng)求，向源分支分配目標(biāo)分支公網(wǎng)地址，可直接發(fā)起隧道連接訪(fǎng)問(wèn)目標(biāo)分支。這樣，兩個(gè)分支之間可以通過(guò)mGRE端口建立IPSec動(dòng)態(tài)隧道，該隧道在預(yù)定義的時(shí)間內(nèi)將自動(dòng)拆除。

3 DMVPN技術(shù)的拓?fù)湓O(shè)計(jì)

3.1 DMVPN技術(shù)星形結(jié)構(gòu)拓?fù)湓O(shè)計(jì)

DMVPN技術(shù)的原理可行，需要有相應(yīng)的拓?fù)溥B接來(lái)支撐。DMVPN起初采用星形拓?fù)湓O(shè)計(jì)，除了中心為多點(diǎn)GRE 隧道外，所有分支均為普通點(diǎn)對(duì)點(diǎn)GRE隧道。分支間的流量都必須經(jīng)過(guò)中心轉(zhuǎn)發(fā)，但該DMVPN技術(shù)的優(yōu)勢(shì)就在于，增加分支不增加中心的配置，并且分支支持動(dòng)態(tài)獲取IP地址。

3.2 DMVPN技術(shù)虛擬網(wǎng)狀拓?fù)湓O(shè)計(jì)

DMVPN 發(fā)展到第二階段，所有分支都采用mGRE 配置，功能大大提升，支持分支和分支間直接建立隧道，實(shí)現(xiàn)了虛擬網(wǎng)狀拓?fù)洌嬲龑?shí)現(xiàn)了DMVPN的高擴(kuò)展性。

3.3 DMVPN技術(shù)層次結(jié)構(gòu)拓?fù)湓O(shè)計(jì)

本文主要討論單區(qū)域的DMVPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。現(xiàn)在的DMVPN技術(shù)已實(shí)現(xiàn)層次化結(jié)構(gòu)拓?fù)湓O(shè)計(jì)，主要運(yùn)用于DMVPN技術(shù)的超大范圍部署，并且能夠?qū)崿F(xiàn)不同區(qū)域的分支間直接建立隧道，使DMVPN技術(shù)實(shí)現(xiàn)了層次化部署，不同 DMVPN區(qū)域的分支必須經(jīng)過(guò)本區(qū)域的中心才能建立連接。

4 DMVPN技術(shù)的應(yīng)用研究

4.1 DMVPN構(gòu)建企業(yè)網(wǎng)的主要優(yōu)勢(shì)

基于DMVPN技術(shù)用于構(gòu)建可擴(kuò)展性的企業(yè)VPN網(wǎng)絡(luò)，支持分布式的應(yīng)用程序，具備主要的優(yōu)勢(shì)[3]有：①只允許創(chuàng)建一個(gè)多點(diǎn)GRE隧道接口，一個(gè)單獨(dú)的IPSEC PROFILE，不需要CRYPTO MAP來(lái)處理分支的路由器，增加一個(gè)分支路由器不需要變化中心配置；②IPSEC封裝的自動(dòng)初始化；③mGRE對(duì)等體原地址和目的地址用NHRP來(lái)解析；④支持分支路由器動(dòng)態(tài)地址；⑤動(dòng)態(tài)創(chuàng)建分支與分支之間的隧道，當(dāng)分支需要發(fā)送信息給另一個(gè)分支時(shí)，會(huì)用NHRP協(xié)議到中心的NHRP數(shù)據(jù)庫(kù)查詢(xún)分支的真實(shí)IP地址，而后建立IPSEC隧道。

4.2 基于單中心的DMVPN網(wǎng)絡(luò)拓?fù)?/p>

對(duì)于單中心的DMVPN網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō)，所有的分支都在一個(gè)DMVPN網(wǎng)絡(luò)內(nèi)，在分支上只需要建立一個(gè)永久隧道和一個(gè)臨時(shí)隧道接口，分支路由器可通過(guò)靜態(tài)設(shè)置與中心通信，配置相對(duì)簡(jiǎn)單，如圖1所示。

圖1 基于單中心的DMVPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

4.3 基于雙中心的DMVPN網(wǎng)絡(luò)拓?fù)?/p>

雙中心的DMVPN網(wǎng)絡(luò)架構(gòu)內(nèi)有兩個(gè)中心，其中以一個(gè)中心為主，另一個(gè)中心為輔，構(gòu)成一個(gè)區(qū)域的DMVPN技術(shù)的網(wǎng)絡(luò)。在每個(gè)分支上建立兩個(gè)隧道接口，與一個(gè)中心建立永久的IPSec隧道，也同時(shí)和另一個(gè)中心建立臨時(shí)的IPSec隧道。當(dāng)分支訪(fǎng)問(wèn)中心內(nèi)部網(wǎng)絡(luò)時(shí)，可以利用兩個(gè)中心實(shí)現(xiàn)網(wǎng)絡(luò)帶寬的負(fù)載均衡，分支通過(guò)動(dòng)態(tài)路由協(xié)議選擇與中心進(jìn)行通信。當(dāng)其中一個(gè)中心出現(xiàn)問(wèn)題的時(shí)候，另外一個(gè)中心能夠接管所有流量，實(shí)現(xiàn) DMVPN 的高可用性，如圖2所示。

圖2 基于雙中心的DMVPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

4.4 靜態(tài)和動(dòng)態(tài)IP地址規(guī)劃

在DMVPN解決方案中，利用NHRP解決分支動(dòng)態(tài)地址問(wèn)題。DMVPN要求中心必須申請(qǐng)靜態(tài)的公共IP地址。對(duì)于中心和所有分支，需要設(shè)置支持mGRE隧道接口，所有隧道接口IP地址需要在同一網(wǎng)絡(luò)平面內(nèi)。對(duì)于雙中心的DMVPN網(wǎng)絡(luò)，在中心上配置另外一臺(tái)中心的隧道接口地址和公網(wǎng)IP地址。在所有分支上需要配置中心的隧道接口地址和公網(wǎng)IP地址。中心之間、分支與中心之間建立起永久隧道連接，分支與分支之間可以根據(jù)需要建立起動(dòng)態(tài)隧道連接。

4.5 動(dòng)態(tài)路由協(xié)議的支持和實(shí)現(xiàn)

4.5.1 動(dòng)態(tài)路由協(xié)議的支持

DMVPN是一個(gè)標(biāo)準(zhǔn)的mGRE OVER IPSEC VPN技術(shù)，支持在IPSec和mGRE隧道之上運(yùn)行動(dòng)態(tài)路由協(xié)議[4]。動(dòng)態(tài)路由協(xié)議的主要目的是宣告隧道接口網(wǎng)絡(luò)和分支私有網(wǎng)絡(luò)。目前，DMVPN技術(shù)支持的路由協(xié)議有RIP、EIGRP、OSPF和BGP等。

4.5.2 動(dòng)態(tài)路由協(xié)議的實(shí)現(xiàn)

DMVPN網(wǎng)絡(luò)上運(yùn)行RIP或EIGRP協(xié)議，必須關(guān)閉水平分割（split horizon）功能，否則，分支將無(wú)法學(xué)習(xí)到通往其他分支子網(wǎng)的路由。OSPF是鏈路狀態(tài)型路由協(xié)議，其本身就不存在水平分割（split horizon）問(wèn)題，但必須把DMVPN的中心配置為OSPF的指定路由器（DR），這可通過(guò)指定中心路由器有更高的OSPF優(yōu)先權(quán)來(lái)實(shí)現(xiàn)。

4.6 DMVPN技術(shù)的適用場(chǎng)合

DMVPN可以和防火墻、IDS、IPS等技術(shù)結(jié)合使用。DMVPN技術(shù)適用于以下場(chǎng)合[5]：①中大型企業(yè)；②企業(yè)網(wǎng)的遠(yuǎn)程備份；③VPN主要業(yè)務(wù)等。

5 結(jié)束語(yǔ)

DMVPN是一種以NHRP為核心的基于mGRE的IPSec VPN技術(shù)，具有高速高擴(kuò)展性的特點(diǎn)，組網(wǎng)有簡(jiǎn)易性、可靠性和低費(fèi)用等優(yōu)點(diǎn)，成為構(gòu)建現(xiàn)代高速安全企業(yè)網(wǎng)優(yōu)選的技術(shù)解決方案。DMVPN技術(shù)可進(jìn)一步與MPLS VPN等技術(shù)融合，引領(lǐng)IP化趨勢(shì)的高效、高速、高可靠的新型“多網(wǎng)合一”[6]。相信DMVPN技術(shù)必將在未來(lái)的多網(wǎng)融合技術(shù)中得到更廣泛應(yīng)用。

參考文獻(xiàn)：

[1] [美]Sean Convery.王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].人民

郵電出版社，2005.

[2] 張恒軍.SSL VPN和IPSec VPN綜合分析[J].信息系統(tǒng)工程，

2009.11.

[3] Cisco. Dynamic Multipoint VPN （DMVPN） Design Guide

（Versionl.l） [R]，2008.10.

[4] Russ White，CCIE#2635，Don Slice， CCIE#1929，Alvaro Retana，

CCIE#1609著.夏俊杰譯.路由設(shè)計(jì)的優(yōu)化[M].人民郵電出版社，2013.

[5] 梁玉柱.基于DMVPN技術(shù)的廣域網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)[J].信息系統(tǒng)工程，

2012.2.

[6] 鄭星宇.MPLS VPN與DMVPN技術(shù)的融合應(yīng)用[J].中國(guó)有線(xiàn)電視，

2011.5.