基于DMVPN技術(shù)的廣域網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)

PAGEPAGE5基于DMVPN技術(shù)的廣域網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)摘要：本文首先介紹了傳統(tǒng)的IPSECVPN技術(shù)，剖析了傳統(tǒng)IPSECVPN存在的問題和不足之處，由此引入并深入探討了DMVPN技術(shù)原理以及它在構(gòu)建廣域網(wǎng)絡(luò)方面的優(yōu)勢，結(jié)合作者在某跨國公司的實(shí)踐，采用DMVPN技術(shù)設(shè)計(jì)并實(shí)現(xiàn)了一個雙中心星形拓?fù)浣Y(jié)構(gòu)的廣域網(wǎng)。關(guān)鍵詞：廣域網(wǎng)，IPSECVPN，DMVPN，設(shè)計(jì)和實(shí)現(xiàn)引言IPSecVPN是一種以公共網(wǎng)絡(luò)如因特網(wǎng)為基礎(chǔ)，通過IPSec數(shù)據(jù)加密和認(rèn)證等技術(shù)，在位于不同區(qū)域的兩個局域網(wǎng)之間建立的安全通信網(wǎng)絡(luò)。作為一種業(yè)界流行的企業(yè)廣域網(wǎng)解決方案，與使用MPLSVPN或者幀中繼專線構(gòu)建的廣域網(wǎng)相比，IPSecVPN可為企業(yè)節(jié)約大量的通訊費(fèi)用。傳統(tǒng)的IPSec技術(shù)適合建立點(diǎn)到點(diǎn)的VPN網(wǎng)絡(luò)，多個具有相同站點(diǎn)的點(diǎn)對點(diǎn)IPSecVPN網(wǎng)絡(luò)，可構(gòu)成以總部為中心的星型拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)。大部分企業(yè)的IT服務(wù)器和數(shù)據(jù)庫資源都集中在總部的數(shù)據(jù)中心，所以星形拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)可滿足多數(shù)企業(yè)應(yīng)用的需要。當(dāng)然，星形拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)也有一定的缺陷，如果兩個分支站點(diǎn)之間相互通信，則要通過中心站點(diǎn)，這樣就造成了較大的網(wǎng)絡(luò)時延，對中心站點(diǎn)的網(wǎng)絡(luò)帶寬資源也造成了不必要的浪費(fèi)，一個極端的例子是位于同一個城市的兩個分支站點(diǎn)，需要繞道通過異地的中心站點(diǎn)來進(jìn)行通信，尤其是對于語音通信來說，分支站點(diǎn)之間的網(wǎng)絡(luò)時延往往變得不可忍受。DMVPN技術(shù)的出現(xiàn)，使得我們可以構(gòu)建一種具有全連接拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，在分支站點(diǎn)之間可直接進(jìn)行IPSEC通信。1傳統(tǒng)的IPSecVPN網(wǎng)絡(luò)1.1IPSec安全協(xié)議框架IPSec工作在OSI參考模型的第三層：網(wǎng)絡(luò)層。IPSec是一個安全協(xié)議框架，它的功能是進(jìn)行數(shù)據(jù)源認(rèn)證、保護(hù)數(shù)據(jù)的完整性和私密性，確保數(shù)據(jù)不是來源于第三方攻擊者，確保數(shù)據(jù)不會被攻擊者截獲、讀取和更改。IPSec協(xié)議總共有三個：因特網(wǎng)密鑰交換協(xié)議IKE、安全封裝協(xié)議ESP和認(rèn)證頭協(xié)議AH。其中IKE用于IPSec通信對等體安全聯(lián)盟SA之間的認(rèn)證和協(xié)商，確定對等體之間數(shù)據(jù)通信所采用的加密算法（DES或3DES）、Hash算法（SHA-1或MD5）和密鑰算法等，用來保證密鑰和數(shù)據(jù)的安全傳送和交換。ESP和AH提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和報(bào)文防重放功能，但AH僅支持明文傳送，不支持對IP報(bào)文的加密操作，所以較少被采用；而ESP可支持對數(shù)據(jù)報(bào)文進(jìn)行加密，防止數(shù)據(jù)在傳送過程中被攔截和被破解。IPSec本身具有隧道功能來構(gòu)建VPN，也可與GRE隧道協(xié)議結(jié)合來構(gòu)建VPN網(wǎng)絡(luò)。1.2傳統(tǒng)的IPSECVPN網(wǎng)絡(luò)傳統(tǒng)的IPSecVPN網(wǎng)絡(luò)的特點(diǎn)是（1）利用訪問控制列表ACL來定義哪些數(shù)據(jù)是需要被IPSec所保護(hù)的數(shù)據(jù)流，只有當(dāng)數(shù)據(jù)報(bào)文與所定義的訪問控制列表ACL相匹配時，才會建立IPSec加密隧道，每增加一個分支站點(diǎn)網(wǎng)絡(luò)連接，都必須在中心站點(diǎn)上配置數(shù)據(jù)源地址、目的地址等信息，當(dāng)網(wǎng)絡(luò)規(guī)模越大，中心站點(diǎn)設(shè)備的管理和維護(hù)變得非常困難。（2）在建立IPSecVPN之前，需要知道對端的公網(wǎng)IP地址，目前很多分支站點(diǎn)使用DSL接入因特網(wǎng)，采用DHCP動態(tài)獲得IP地址，每次上線時所獲得的IP地址不是固定不變的，所以中心路由器無法根據(jù)該地址信息進(jìn)行配置，從而限制了IPSec的使用。（3）由于OSPF、RIP、EIGRP動態(tài)路由協(xié)議都通過組播或廣播報(bào)文進(jìn)行路由表的更新，而IPSec不支持對組播和廣播數(shù)據(jù)報(bào)文進(jìn)行加密操作，這樣就無法使用動態(tài)路由協(xié)議。1.3基于GRE的IPSecVPN網(wǎng)絡(luò)通用路由封裝協(xié)議GRE是一種位于網(wǎng)絡(luò)層的協(xié)議，它提供了將一種協(xié)議例如IP或IPX的報(bào)文封裝在另一種協(xié)議例如IP報(bào)文中的機(jī)制，使報(bào)文能夠在異種協(xié)議網(wǎng)絡(luò)中傳輸，而異種報(bào)文傳輸?shù)耐ǖ婪Q為隧道。IPSec不支持IP多播和廣播，但我們可以把多播/廣播報(bào)文封裝在GRE報(bào)文中，然后采用IPSec進(jìn)行加密，這樣動態(tài)路由協(xié)議的路由更新報(bào)文就可以在IPSecVPN網(wǎng)絡(luò)上進(jìn)行傳送。與傳統(tǒng)的IPSec相比，基于GRE的IPSecVPN可以使用EIGRP或OSPF等動態(tài)路由協(xié)議進(jìn)行路由更新，因此配置較為簡單方便，但是由于點(diǎn)對點(diǎn)GRE隧道需要在通信雙方設(shè)備上靜態(tài)指定隧道源地址和目標(biāo)地址，當(dāng)增加新的站點(diǎn)時，仍需要在中心站點(diǎn)上增加相應(yīng)的配置，由此帶來的網(wǎng)絡(luò)維護(hù)工作量仍然很大。2.DMVPN技術(shù)原理為了解決傳統(tǒng)IPSecVPN不利于大規(guī)模部署和維護(hù)的缺陷，CISCO公司提出了動態(tài)多點(diǎn)虛擬專網(wǎng)DMVPN技術(shù)，與傳統(tǒng)IPSecVPN一樣，DMVPN采用IPSec協(xié)議進(jìn)行數(shù)據(jù)加密和認(rèn)證，它的創(chuàng)新之處在于引入了多點(diǎn)通用路由封裝協(xié)議mGRE和下一跳解析協(xié)議NHRP，成功消除了傳統(tǒng)IPSecVPN的缺陷。這樣做的好處是：（1）中心路由器不必配置任何分支站點(diǎn)的IP地址信息，大大簡化了中心路由器的配置。（2)當(dāng)DMVPN網(wǎng)絡(luò)擴(kuò)展時，無須改動中心路由器和其它分支路由器的配置。（3）對于分支站點(diǎn)來說，沒有必要采用固定的IP地址，這樣分支站點(diǎn)可采用DSL接入因特網(wǎng)。（4）分支站點(diǎn)和分支站點(diǎn)之間的通信可按照需要動態(tài)建立網(wǎng)絡(luò)連接，無需通過中心站點(diǎn)，可以有效地支持語音等全連接的網(wǎng)絡(luò)服務(wù)。2.1多點(diǎn)mGR隧道多點(diǎn)mGRE隧道是對點(diǎn)對點(diǎn)GRE隧道的一種擴(kuò)展，對于典型的NBMA非廣播多路訪問網(wǎng)絡(luò)來說，如果使用點(diǎn)對點(diǎn)GRE隧道技術(shù)實(shí)現(xiàn)n個站點(diǎn)之間的通信，如果有每個站點(diǎn)必須手動建立n-1個點(diǎn)對點(diǎn)GRE隧道，如有新的分支站點(diǎn)需要加入，則必須對所有站點(diǎn)進(jìn)行配置。而采用mGRE隧道技術(shù)，網(wǎng)絡(luò)中的每個站點(diǎn)只需配置一個mGRE隧道接口，這樣任何一個站點(diǎn)都能夠和其他站點(diǎn)建立隧道連接，如有新的分支站點(diǎn)需要加入，其他站點(diǎn)都不需要再增加新的配置。2.2下一跳解析協(xié)議NHRPNHRP提供了NBMA網(wǎng)絡(luò)上源站點(diǎn)獲取目標(biāo)站點(diǎn)“下一跳”IP地址的方法。我們知道，使用ARP協(xié)議可以實(shí)現(xiàn)二層的MAC物理地址和三層IP網(wǎng)絡(luò)地址之間的映射，與ARP協(xié)議類似，NHRP實(shí)現(xiàn)了網(wǎng)絡(luò)層隧道接口地址和公網(wǎng)IP地址之間的映射。NHRP基于客戶/服務(wù)器的結(jié)構(gòu)，中心站點(diǎn)作為NHRP服務(wù)器，它維護(hù)著NHRP數(shù)據(jù)庫，為分支站點(diǎn)提供注冊和查詢服務(wù)。2.3分支站點(diǎn)到中心站點(diǎn)的隧道建立中心站點(diǎn)必須擁有固定IP地址，在所有分支站點(diǎn)上都需要靜態(tài)配置中心站點(diǎn)的隧道接口地址和公網(wǎng)IP之間的映射，當(dāng)分支站點(diǎn)路由器加電啟動時，通過DHCP獲取自身的公網(wǎng)IP地址，由于分支站點(diǎn)配置了中心站點(diǎn)的公網(wǎng)IP地址和隧道地址，因此分支站點(diǎn)能夠和中心站點(diǎn)之間自動建立IPSec加密的GRE隧道，而中心站點(diǎn)根據(jù)分支站點(diǎn)發(fā)來的數(shù)據(jù)報(bào)文，就能發(fā)現(xiàn)分支站點(diǎn)的公網(wǎng)IP地址，所以在中心站點(diǎn)上無需配置任何分支站點(diǎn)的信息。分支站點(diǎn)到中心站點(diǎn)的隧道一旦建立便持續(xù)存在。2.4分支站點(diǎn)到另一分支站點(diǎn)的動態(tài)隧道建立由于中心站點(diǎn)保留所有已注冊分支站點(diǎn)的隧道接口地址和公網(wǎng)IP地址，當(dāng)一個分支站點(diǎn)向另外一個分支站