楊柳

(上海行健職業(yè)學(xué)院，信息技術(shù)與機(jī)電工程系，上海 200072)

0 引言

隨著互聯(lián)網(wǎng)+的飛速發(fā)展，為超大型企業(yè)管理規(guī)模提供了有利的條件，公司的分支機(jī)構(gòu)遍布全國乃至全球，各國分公司又有各地區(qū)子公司，隨著合作伙伴和客戶的不斷增加，企業(yè)、客戶、員工對數(shù)據(jù)安全傳輸和網(wǎng)絡(luò)高可用性的要求不斷提高。VPN(虛擬專用網(wǎng))是企業(yè)用來構(gòu)建跨區(qū)域安全網(wǎng)絡(luò)的常用技術(shù)[1]。IPSec VPN是使用最廣泛并且是最經(jīng)典的保證VPN數(shù)據(jù)安全傳輸?shù)募夹g(shù)方案，但它不支持動態(tài)路由，不適合企業(yè)級大規(guī)模部署架構(gòu)。這里引入DMVPN，可以在物理上使用星型拓?fù)浣Y(jié)構(gòu)，實現(xiàn)虛擬的Full-mesh網(wǎng)狀連通性[2]，中心站點的一次配置可以應(yīng)對分支站點的動態(tài)改變，適合超大型企業(yè)部署架構(gòu)。本文設(shè)計了如圖1所示的企業(yè)網(wǎng)絡(luò)，模擬分層模式，基于第三階段DMVPN[2]的雙核心架構(gòu)可實現(xiàn)公司內(nèi)網(wǎng)間數(shù)據(jù)安全傳輸，同時在總公司內(nèi)部采用HSRP技術(shù)實現(xiàn)出口網(wǎng)關(guān)冗余。分析并對比單個隧道云和分層隧道云的實現(xiàn)方法，提出當(dāng)前主流企業(yè)網(wǎng)絡(luò)架構(gòu)下最優(yōu)的局域網(wǎng)安全傳輸方案。

1 雙核心架構(gòu)設(shè)計

圖1為模擬超大型企業(yè)的網(wǎng)絡(luò)拓?fù)洌琀UB1、HUB11和Inside12構(gòu)成公司總部，R2、R5和R6模擬互聯(lián)網(wǎng)，Spoke3和Spoke4模擬兩個分公司站點，Spoke3-7和Spoke3-8為Spoke3的兩個分公司站點，Spoke4-9和Spoke4-10為Spoke4的兩個分公司站點，因此形成分層模式，其中HUB1和HUB11為總公司雙核心站點，具體IP地址規(guī)劃如表1所示。

圖1 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

表1 IP地址規(guī)劃表

單個隧道云方案下隧道網(wǎng)絡(luò)為172.16.1.0/24，各出口站點的具體隧道地址與設(shè)備編號一致，如Spoke3的隧道地址為172.16.1.3/24,分層隧道云方案下總公司站點(HUB1、HUB11)與分公司站點(Spoke3、Spoke4)間的隧道網(wǎng)絡(luò)為172.16.1.0/24，分公司站點(Spoke3、Spoke4)與其各自分公司間的網(wǎng)絡(luò)隧道為172.16.2.0/24，同樣，具體隧道地址與設(shè)備編號一致，如Spoke4-9的隧道地址為172.16.2.9/24。

2 分層DMVPN技術(shù)

動態(tài)多點VPN(DMVPN)是為了應(yīng)對傳統(tǒng)站點到站點IPSec VPN無法適合企業(yè)級大規(guī)模部署而提出的高擴(kuò)展性解決方案。主要由mGRE、NHRP、動態(tài)路由協(xié)議和IPSec VPN四大關(guān)鍵技術(shù)結(jié)合而實現(xiàn)[3]，圖2為DMVPN的典型配置流程圖。DMVPN有3個發(fā)展階段，本文模擬的企業(yè)網(wǎng)絡(luò)符合第三階段DMVPN的層次化架構(gòu)特征，但嚴(yán)格意義上并不屬于樹形架構(gòu)。從目前互聯(lián)網(wǎng)應(yīng)用實際來分析，總公司與各分公司間均會通過互聯(lián)網(wǎng)連通，所以拓?fù)渲心M出的各站點均連接到中間R2、R5和R6構(gòu)成的互聯(lián)網(wǎng)中，符合當(dāng)前主流企業(yè)網(wǎng)互聯(lián)方案。在此方案中可以選擇單個隧道云或者分層隧道云實現(xiàn)公司局域網(wǎng)間的數(shù)據(jù)安全傳輸，以下將分析兩種實現(xiàn)方法間的優(yōu)劣，提出最優(yōu)方案[4]。

圖2 DMVPN配置流程圖

2.1 公網(wǎng)暢通

實現(xiàn)局域網(wǎng)互聯(lián)的首要前提是公網(wǎng)暢通，因公網(wǎng)連通不屬于本文的關(guān)鍵性技術(shù)，故不做詳述。

2.2 mGRE隧道建立

mGRE是一種特殊的GRE技術(shù)，這種技術(shù)類似于多點幀中繼技術(shù)。處于同一個隧道云中的站點接口，處于同一個網(wǎng)段，通過隧道云可以實現(xiàn)站點間虛擬網(wǎng)狀連通性[2]。圖1所模擬的網(wǎng)絡(luò)在公網(wǎng)暢通的前提下可以使用單個云或者分層云的方法來建立隧道，單個隧道云的情況下，網(wǎng)絡(luò)可以簡化為如圖3(a)所示，總公司及各分公司出口站點均通過同一個隧道網(wǎng)絡(luò)連接。分層隧道云的情況下，網(wǎng)絡(luò)簡化如圖3(b)所示，總公司站點與分公司(Spoke3、Spoke4)之間建立mGRE1隧道，分公司(Spoke3、Spoke4)與其各自分公司間建立mGRE2隧道。

(a)單個隧道云拓?fù)鋱D

2.3 NHRP分析及配置

在各出口站點建立了隧道后，并不能立即實現(xiàn)隧道之間的連通，因為各站點的隧道地址尚未和公網(wǎng)地址進(jìn)行一一對應(yīng)，NHRP協(xié)議就是為了實現(xiàn)兩者的對應(yīng)關(guān)系而設(shè)計的。第三階段DMVPN的NHRP處理流程參見文獻(xiàn)[2]。

2.3.1 雙核心站點NHRP分析

本文設(shè)計的企業(yè)網(wǎng)絡(luò)屬于層次化拓?fù)?，需要實現(xiàn)不同分公司與分公司站點間直接建立隧道，且符合DMVPN第三階段特性，同時雙核心架構(gòu)要求總公司兩個核心站點除了動態(tài)接受分公司的組播映射注冊外，還需要互相配置靜態(tài)映射。

2.3.2 分公司站點NHRP分析

Spoke3和Spoke4作為總公司雙核心站點的分公司，同時又作為其各自分公司的上級公司，NHRP配置不僅要設(shè)置總公司雙核心站點的靜態(tài)映射，還要接受其各自分公司的動態(tài)組播映射注冊，圖4為單個隧道云情況下分公司站點Spoke3的NHRP關(guān)鍵性配置。

圖4 Spoke3的NHRP關(guān)鍵配置

2.3.3 分公司的分公司站點NHRP分析

Spoke3和Spoke4的分公司，需要向其各自的上級公司站點注冊信息，為典型的第三階段DMVPN分支站點NHRP配置。

2.4 動態(tài)路由協(xié)議

通過2.3，分層模式的雙核心架構(gòu)已實現(xiàn)隧道互通，接下來可使用動態(tài)路由協(xié)議通過mGRE隧道云來貫通總公司及各分公司的局域網(wǎng)[5]，在此選擇EIGRP協(xié)議，通告網(wǎng)絡(luò)時注意只能通告隧道網(wǎng)絡(luò)和局域網(wǎng)網(wǎng)絡(luò)，不能通告公網(wǎng)地址。由于第三階段DMVPN支持路由匯總，需要總公司站點向分公司發(fā)送匯總路由[6]，配置為ip summary-address eigrp 1 192.168.0.0/16。

2.5 IPSec實現(xiàn)

DMVPN也可以叫做mGRE over IPSec VPN，通過mGRE隧道和動態(tài)路由協(xié)議實現(xiàn)局域網(wǎng)互通后，最為關(guān)鍵的是使用IPSec保護(hù)數(shù)據(jù)流的安全。在此方案中，由于每個站點都需永久或動態(tài)的與其他站點建立VPN連接，所以IPSec VPN第一階段認(rèn)證標(biāo)識配置中VPN對等體采用通配符0.0.0.0 0.0.0.0，IPSec VPN采用傳輸模式。IPsec VPN的第二階段采用IPSec Profile的配置方式，只需設(shè)置轉(zhuǎn)換集，無需指定對等體和定義感興趣流[7-9]。

3 仿真測試

3.1 測試NHRP

各公司站點的NHRP初始映射信息在單個隧道云和多級隧道云情況下基本沒有區(qū)別，單個隧道云情況下分公司Spoke3的NHRP初始注冊信息如圖5所示，有HUB1和HUB11的靜態(tài)映射，同時Spoke3動態(tài)接收到其兩個分公司的注冊信息。分公司Spoke3-7的NHRP初始注冊信息只有Spoke3的靜態(tài)映射，當(dāng)有通信需求時，通信發(fā)起端會向目標(biāo)端動態(tài)注冊信息，最終每個站點都會學(xué)習(xí)到所有站的注冊信息，此時所有站點的隧道暢通。

圖5 Spoke3的NHRP初始注冊信息

3.2 局域網(wǎng)通信測試

通過動態(tài)路由協(xié)議配置將屬性調(diào)整完成后可實現(xiàn)所有站點局域網(wǎng)暢通[10]，但此時單個隧道云和分層隧道云情況下，通信過程卻有所區(qū)別，具體如下。

單個隧道云情況下具有NHRP初始注冊信息的站點間能夠直接通信，但NHRP服務(wù)器地址不同的站點間(如Spoke3-8與Spoke4-9間)不能直接連通，雙方均需要首先向?qū)Ψ剿鶎偕霞壒維poke3和Spoke4站點發(fā)起通信需求，上級公司掌握到各自的NHRP信息后，各子公司間才能夠?qū)崿F(xiàn)隧道完全暢通。

分層隧道云情況下所有站點局域網(wǎng)之間均可以直接通信。分層隧道云測試可知總公司核心站點能夠?qū)W習(xí)到所有分公司站點的明細(xì)路由。圖6為跟蹤分公司Spoke3-7與Spoke4-9的通信路徑，可以看到在分層隧道云的情況下，配置完成后各分公司局域網(wǎng)間便可以實現(xiàn)完全暢通，并且初始通信是通過總公司核心站點轉(zhuǎn)發(fā)，后續(xù)通信為雙方直接通信。圖7跟蹤分公司Spoke3與總公司內(nèi)部局域網(wǎng)的通信路徑，可以看到流量分別通過HUB1和HUB11到達(dá)目標(biāo)，實現(xiàn)了負(fù)載均衡,當(dāng)其中一個站點出現(xiàn)故障時，另一個站點可以獨自承擔(dān)所有通信流量，不影響正常通信。

圖6 分公司間局域網(wǎng)連通性測試

圖7 跟蹤Spoke3到Inside12的通信路徑

3.3 DMVPN狀態(tài)測試

根據(jù)2.5節(jié)分析，所有經(jīng)過隧道的通信流量都會被加密傳輸，圖8為部分第二階段安全關(guān)聯(lián)情況。

圖8 Spoke4-9 IPSec VPN的IPSec SA

4 總結(jié)

本文根據(jù)目前行業(yè)現(xiàn)狀和互聯(lián)網(wǎng)實際應(yīng)用模擬出大規(guī)模企業(yè)分層網(wǎng)絡(luò)架構(gòu)，通過仿真對比分析了使用DMVPN技術(shù)不同規(guī)劃方法實施局域網(wǎng)連通的優(yōu)劣，分析本方案主要有以下幾方面特點。

4.1 符合主流互聯(lián)網(wǎng)架構(gòu)

此網(wǎng)絡(luò)架構(gòu)屬于第三階段DMVPN的層次化結(jié)構(gòu)，但嚴(yán)格意義上不屬于樹形結(jié)構(gòu)，互聯(lián)網(wǎng)的飛速發(fā)展使得大型企業(yè)的總部和各分公司之間都會通過互聯(lián)網(wǎng)連通[11]，所以本文模擬的網(wǎng)絡(luò)架構(gòu)更符合主流應(yīng)用實際。

4.2 對比2種mGRE規(guī)劃方法

對模擬企業(yè)網(wǎng)分別進(jìn)行單個隧道云和分層隧道云規(guī)劃，對比其配置和驗證結(jié)果可知，單個隧道云結(jié)構(gòu)和配置相對簡單，易于理解，但不同區(qū)域的分公司局域網(wǎng)之間的通信需要經(jīng)過上層公司站點傳遞。分層隧道云雖然結(jié)構(gòu)和配置相對復(fù)雜，但各分公司間能夠直接通信，更有利于超大型企業(yè)多級分公司架構(gòu)部署。

4.3 簡化的配置和維護(hù)工作

此方案不僅解決了分層模式下的局域網(wǎng)絡(luò)通信問題，并將總公司核心站點的壓力分解給各分公司，進(jìn)行區(qū)域化管理，實現(xiàn)了總公司核心站點的一次配置即可應(yīng)對各分公司及其子公司變化的目的。

4.4 避免單點故障

雙核心架構(gòu)實現(xiàn)了總公司出口站點互相備份，對總公司內(nèi)部可采用HSRP技術(shù)實現(xiàn)網(wǎng)關(guān)冗余[12]。如果兩核心站點同時正常工作，可實現(xiàn)各站點局域網(wǎng)傳輸流量負(fù)載均衡，當(dāng)有任何一個站點出現(xiàn)故障，另一個站點負(fù)責(zé)承載所有流量，不影響正常的網(wǎng)絡(luò)通信，所以此雙核心架構(gòu)不僅是對于總公司內(nèi)部向分公司還是分公司向總公司的通信都避免了單點故障。