金 鵬 孫慶文 李永紅 楊玉永 李希亮

（中國濟南 250014 山東省地震局）

0 引言

山東省內郯廬、聊考兩大地震帶縱貫南北，燕山—渤海斷裂帶在半島北部沿海通過，南黃海地震帶分布于半島東南近海海域，具有發(fā)生中強以上地震的地質構造背景。因此，山東省地震局著力于地震監(jiān)測手段的提升完善，不斷加強地震群測群防活動的開展，穩(wěn)步推進地震行業(yè)網絡的全面建設（劉敏，2012）。

在地震行業(yè)網絡運行經費有限的情況下，縣級地震臺網采取多種地震行業(yè)網絡接入方式：基于SDH專線接入、基于MPLSVPN接入、基于聯(lián)通3G無線網絡接入、基于DMVPN接入。其中基于DMVPN接入方式部署范圍最廣，目前已有37個縣級臺網 （金鵬，2011，2012）采用。

1 DMVPN簡介

動態(tài)多點VPN（DMVPN），使用IPSec加密的多點GRE（mGRE）隧道和下一跳解析協(xié)議（NHRP）來實現(xiàn)一個具有擴展功能的L2L網絡。其中，主要涉及3個網絡協(xié)議：IPSec協(xié)議、GRE協(xié)議、NHRP協(xié)議。

在DMVPN中，利用IPSec實現(xiàn)加密功能，利用GRE或mGRE建立隧道，利用NHRP解決分支節(jié)點的動態(tài)地址問題。DMVPN只要求中心節(jié)點必須申請靜態(tài)的公共IP地址 （Wei Luo, Carlos Pignataro，2006） 。

1.1 IPSec協(xié)議

IPSec（Internet Protocol Security）基于端對端的安全模式，在源IP地址和目標IP地址之間建立信任和安全。IPSec協(xié)議不是一個單獨的協(xié)議，給出應用于IP層上網絡數(shù)據(jù)安全的一整套體系結構，規(guī)定如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網絡安全服務。

1.2 GRE協(xié)議

GRE（Generic Routing Encapsulation） 定義了在任意一種網絡層協(xié)議上封裝其他網絡層協(xié)議的協(xié)議。GRE采用Tunnel（隧道）技術，是VPN（Virtual Private Network）的第3層隧道協(xié)議。Tunnel 是一個虛擬的點對點連接，提供一條通路使封裝的數(shù)據(jù)報文能夠在此通路上傳輸，并且在一個Tunnel 的兩端分別對數(shù)據(jù)報進行封裝及解封裝。

1.3 NHRP協(xié)議

NHRP（Next Hop Resolution Protocol） 用于連接到非廣播多路訪問 （NBMA）式子網絡源站，決定到達目標站間的NBMA下一跳的互聯(lián)網絡層地址和NBMA子網地址。如果目的地與NBMA子網連接，NBMA下一跳就是目標站；否則，NBMA下一跳是從NBMA子網到目標站最近的出口路由器。

2 DMVPN的主要優(yōu)勢

實現(xiàn)VPN的方式有很多，如PPTP（Point to Point Tunneling Protocol點對點隧道協(xié)議）、L2TP（Layer 2 Tunneling Protocol第 2 層 隧 道 協(xié) 議 ）、DVPN（Dynamic Virtual Private Network“華為/H3C”動態(tài)VPN）等，相較于其他方式，DMVPN的主要優(yōu)勢有以下4點。

2.1 中心路由器配置減少

在DMVPN中，中心站點路由器（HUB_R）配置單個mGRE隧道接口、單個IPSec配置文件，而無需加密訪問列表來處理所有分支站點路由器（SPOKE_R）。這樣，即使有新的分支站點路由器添加到網絡中，在中心路由器上的配置也可以保持相對穩(wěn)定。

2.2 自動IPSec加密啟動

IPSec為點對點GRE隧道，或者通過mGRE隧道中的NHRP協(xié)議得到的GRE隧道Peer地址立即啟動IPSec自動加密。

2.3 分支站點路由器支持動態(tài)地址

在DMVPN中，中心站點路由器可以動態(tài)識別分支站點路由器的接口地址，允許分支站點路由器使用動態(tài)物理接口地址。而其他方式的VPN，路由器的接口地址一般是靜態(tài)的。

2.4 分支到分支（Spoke-to-Spoke）隧道的動態(tài)建立

源分支站點路由器可以使用NHRP協(xié)議動態(tài)確定目標分支路由器的地址，在兩個分支站點路由器之間動態(tài)建立一個IPSec隧道，直接傳輸數(shù)據(jù)。

3 地震行業(yè)網絡設計

DMVPN使用星型網絡拓撲結構設計，流過兩臺DMVPN路由器之間的流量通過GRE隧道發(fā)送，IPSec用于保護IPSec對等設備之間的GRE數(shù)據(jù)包，對于一臺分支站點的設備，如果目標位于另一分支站點，通過NHRP，可以學習該條路由信息，直接和遠程分支站點建立連接 （Richard Deal et al，2007） 。網絡拓撲見圖 1。

圖1 基于DMVPN接入地震行業(yè)網Fig.1 Seismic network based on DMVPN

3.1 DMVPN中心站點配置

DMVPN在中心站點路由器上需要配置以下命令

HUB_R（config）#crypto ipsec profile profile_name

HUB_R（ipsec-profile）#set transform-set transform_set_name

HUB_R（config）#interface tunnel tunnel_#

HUB_R（config-if）#ip address 10.37.X.Y 255.255.255.0

HUB_R（config-if）#ip mtu 1436

HUB_R（config-if）#tunnel source 123.232.X.Y 255.255.255.224

HUB_R（config-if）#tunnel mode gre multipoint

HUB_R（config-if）#tunnel key key

HUB_R（config-if）#tunnel protection ipsec profile profile_name

HUB_R（config-if）#ip nhrp network-id network_identifier

HUB_R（config-if）#ip nhrp authentication string

HUB_R（config-if）#ip nhrp map multicast dynamic

HUB_R（config-if）#ip nhrp holdtime seconds

使用crypto ipsec profile命令建立一個IPSec配置文件來保護GRE隧道的流量，并在隧道接口上使用tunnel protection ipsec profile命令激活；為了防止碎片產生，使用ip mtu命令，將GRE接口的MTU設置為1 436字節(jié)；使用tunnel mode gre multipoint命令，將連接模式指定為多點；使用ip nhrp命令組獲得分支站點的動態(tài)地址。

3.2 DMVPN分支站點的配置

DMVPN在分支站點路由器上需要配置以下命令。

SPOKE_R（config）#crypto ipsec profile profile_name

SPOKE_R（ipsec-profile）#set transform-set transform_set_name

SPOKE_R（config）#interface tunnel tunnel_#

SPOKE_R（config-if）#ip address 10.37.X.Y 255.255.255.0

SPOKE_R（config-if）#ip mtu 1436

SPOKE_R（config-if）#tunnel source source

SPOKE_R（config-if）#tunnel mode gre multipoint

SPOKE_R（config-if）#tunnel key key

SPOKE_R（config-if）#tunnel protection ipsec profile profile_name

SPOKE_R（config-if）#ip nhrp network-id network_identifier

SPOKE_R（config-if）#ip nhrp authentication string

SPOKE_R（config-if）#ip nhrp map 10.37.X.Y 123.232.X.Y

SPOKE_R（config-if）#ip nhrp map multicast 123.232.X.Y

SPOKE_R（config-if）#ip nhrp nhs 10.37.X.Y

SPOKE_R（config-if）#ip nhrp holdtime seconds

分支站點的配置類似于中心站點配置。使用tunnel mode gre multipoint命令，建立到其他分支站點設備的連接；在隧道接口上，使用ip nhrp map命令，映射中心站點外部接口地址，其中10.37.X.Y為中心站點隧道的接口地址，123.232.X.Y為中心站點的公網接口地址；使用ip nhrp nhs命令宣告分支站點下一跳服務器。

4 結束語

利用DMVPN，已在山東省部署37個縣級地震臺網。作為一種向市縣拓展延伸地震行業(yè)網絡的手段，DMVPN是一種經濟的互聯(lián)方式。SDH專線、MPLSVPN、3G、DMVPN之間靈活合理的配合使用，將為地震行業(yè)網絡的發(fā)展和應用提供經濟、有效的互聯(lián)基礎。

金鵬. 淺析3G技術在地震行業(yè)網絡中的應用[J]. 地震地磁觀測與研究，2011，32：112-115.

金鵬. 基于MPLS VPN技術的地震行業(yè)網[J]. 地震地磁觀測與研究，2012，34：265-268.

劉敏. 山東省地震群測群防體系建立及發(fā)展[J]. 國際地震動態(tài)，2012，3：22-27.

Richard Deal， 姚軍玲. Cisco VPN完全配置指南[M]. 北京： 人民郵電出版社， 2007.

Wei Luo， Carlos Pignataro et al. 第二層VPN體系結構[M]. 北京：人民郵電出版社， 2006.